Gli articoli 24 e 32 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che: una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32. L’articolo 32 del regolamento 2016/679 dev’essere interpretato nel senso che: l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi. Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo, deve essere interpretato nel senso che: nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento. L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione devono essere interpretati nel senso che: al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente. L’articolo 82, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che: il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile. L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.
Post correlati
Secondo la Cassazione un “ambiente lavorativo stressogeno” viola il diritto fondamentale della persona del lavoratore (Cassazione Civile, sent. 7 giugno 2024, n. 15957)
27 Giugno 2024
Secondo la Cassazione la questione della risarcibilità o meno della lesione di un diritto fondamentale non può essere sindacata sotto il profilo dell’omesso esame (Cassazione Civile, sent. 7 giugno 2024, n. 16002)
27 Giugno 2024
Il Consiglio di Stato considera conforme ai dettami costituzionali il criterio discretivo da utilizzare per individuare i soggetti assoggettati alle competenze dell’Autorità di Regolazione dei Trasporti (Consiglio di Stato, Sez. VI, sentenza 14 giugno 2024, n. 5365)
27 Giugno 2024
Il TAR Umbria si pronuncia sulla disciplina in materia di emersione dal lavoro irregolare (Tar Umbria, Perugia, sez. I, 14 giugno 2024, n. 471)
27 Giugno 2024
La Corte EDU sui presupposti per la continuazione della custodia cautelare (CEDU sez. V, sent. 13 giugno 2024, ric. n. 44570/19)
27 Giugno 2024