Data breach e diritto al risarcimento del danno. Il recente caso del Gruppo VF Corp

Abstract: Il 13 dicembre 2023 i siti di alcuni famosi marchi di moda, come Vans e Napapijri, sono stati oggetto di un attacco informatico che ha portato alla esposizione e sottrazione dei dati degli utenti iscritti. In base alle recenti decisioni della Corte di Giustizia Europea, questa illecita sottrazione dei dati potrebbe già di per sè legittimare un RISARCIMENTO DEL DANNO IMMATERIALE nei confronti degli utenti da parte dei gestori dei siti.

Il 4 Marzo 2024 gli iscritti alla newsletter di alcuni famosi marchi di abbigliamento sono stati raggiunti da una comunicazione alquanto peculiare.

Si tratta di una nota con cui le aziende del Gruppo VF Corp (di cui fanno parte, tra gli altri, VansTimberlandNapapijriThe North FaceEastpack e Supreme) hanno informato tutti gli iscritti ai propri siti web che i propri sistemi informatici sono stati oggetto, il 13 dicembre 2023, di una serie di “attività non autorizzate […] apparentemente condotte da attori esterni”.

In altre parole, si tratta di un data breach riguardante i dati di tutti gli utenti iscritti ai siti web delle aziende del Gruppo VF CORP.

L’attacco informatico, che si è protratto fino al 15 dicembre e di cui ha parlato anche la rivista Wired, avrebbe coinvolto, come dichiarato nella nota, “alcuni dati personali dei nostri clienti, che normalmente memorizziamo ed elaboriamo per gestire gli acquisti online, come indirizzo e-mailnome e cognomenumero di telefonoindirizzo di fatturazioneindirizzo di spedizione. In alcuni casi, i dati interessati possono includere anche la cronologia degli ordini, il valore totale dell’ordine e le informazioni sul metodo di pagamento utilizzato per gli acquisti”.

Dunque, come risultato dell’attacco, è ora possibile per i cybercriminali ricostruire per intero le abitudini degli utenti, tra cui metodi di pagamento, residenza e contatti.

Come conseguenza diretta di questa sottrazione, le aziende raccomandano nella nota di adottare varie misure di sicurezza per proteggersi da futuri, probabili, tentativi di furto d’identità, phishing e frodi in generale.

Tutte queste raccomandazioni dovranno essere certamente adottate dagli utenti al fine di evitare il verificarsi di ulteriori danni futuri, ma cosa dire dei danni derivanti direttamente dalla sottrazione illecita dei dati?

L’articolo 82 del GDPR stabilisce espressamente che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento.

Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Ebbene, nello stesso mese in cui i dati degli utenti del Gruppo VF Corp venivano esposti ai cybercriminali, la Corte di Giustizia Europea ha adottato una decisione storica in materia di protezione dei dati personali.

Nel decidere la causa C-340/21, la CGUE ha stabilito da risarcibilità dei danni derivanti da furto dei dati anche nel caso in cui non vi siano evidenze di un concreto utilizzo degli stessi.

Dunque, è stato dichiarato risarcibile il danno derivante dalla semplice esposizione dei dati personali, per cui il solo rischio che questi vengano effettivamente impiegati illecitamente fa sorgere in capo al proprietario degli stessi il diritto al risarcimento del danno, del quale sarà ritenuto responsabile il Titolare del trattamento.

Oltre a tale requisito la Corte di Giustizia richiede la prova che le misure di sicurezza poste in essere dal Responsabile del Trattamento non siano state adeguate a proteggere le informazioni ed i dati degli utenti.

L’onere della prova di aver adottato, in concreto, tutte le misure più adeguate per la protezione dei dati, ricade sul Responsabile del trattamento.

La sentenza delinea dunque una nuova frontiera dei diritti in materia di danno immateriale, mettendo tutti i cittadini ed utenti nella possibilità di ottenere un risarcimento per il semplice fatto di aver subito una esposizione abusiva, contro la propria volontà, dei propri dati.

Per informazioni ed assistenza sulle richieste di risarcimento, gli utenti possono contattare i nostri studi legali attraverso i contatti presenti sul sito internet www.giantinigianfaldoni.it.

Condividi: Le vittime dei data breach hanno sempre diritto al risarcimento del danno

I siti di alcuni famosi marchi di moda, come Vans e Napapijri, sono stati oggetto di un attacco informatico che ha portato alla esposizione e sottrazione dei dati degli utenti iscritti. In base alle recenti decisioni della Corte di Giustizia Europea, questa illecita sottrazione dei dati potrebbe già di per sè legittimare un RISARCIMENTO DEL DANNO IMMATERIALE nei confronti degli utenti.