CJUE clarifică responsabilitatea operatorilor de date în caz de atacuri cibernetice - posibilitatea de a cere despăgubiri pentru simpla temere față de posibile consecințe negative ale atacului

Conform hotărârii în cauza C‑340/21, o breșă de securitate produsă de un terț, adică o persoană sau entitate care nu este sub controlul operatorului, nu implică automat că măsurile de securitate luate de operator au fost inadecvate. Operatorii nu sunt prezumați responsabili exclusiv pe baza faptului că datele au fost compromise. În schimb, este necesar ca instanțele să evalueze în mod concret dacă operatorul și-a îndeplinit obligațiile de protecție a datelor în conformitate cu GDPR.

Curtea a subliniat că operatorii au o anumită marjă de apreciere în stabilirea măsurilor tehnice și organizatorice corespunzătoare pentru a proteja datele, în funcție de riscurile specifice asociate prelucrării acestora. Totuși, instanțele naționale sunt îndreptățite să verifice și să evalueze dacă măsurile adoptate de operatori sunt adecvate în contextul dat.

În plus, hotărârea menționează că sarcina de a demonstra că măsurile de securitate au fost adecvate revine operatorului, în contextul unei acțiuni în despăgubire. Aceasta înseamnă că operatorii trebuie să fie pregătiți să prezinte dovezi că au luat toate măsurile necesare pentru a preveni încălcările de protecție a datelor.

Curtea a clarificat și că operatorii nu pot fi exonerați de răspundere doar pentru că atacul cibernetic a fost realizat de o parte terță. Ei trebuie să demonstreze că nu sunt responsabili pentru evenimentul care a cauzat prejudiciul. Prin urmare, dacă operatorul nu a respectat cerințele GDPR și aceasta a contribuit la breșa de securitate, el poate fi ținut răspunzător pentru prejudiciile cauzate.

Referitor la prejudiciul moral care poate rezulta dintr-o încălcare a GDPR, Curtea a stabilit că temerile unei persoane cu privire la utilizarea abuzivă a datelor sale personale în viitor pot constitui un prejudiciu moral în sine. Acest lucru înseamnă că o persoană poate cere despăgubiri pentru simpla temere față de posibile consecințe negative, chiar dacă o utilizare abuzivă a datelor nu a avut loc încă.

Această hotărâre relevă importanța unei evaluări atente și continue a riscurilor în contextul GDPR și subliniază nevoia operatorilor de a avea măsuri solide de securitate a datelor, precum și de a-și asuma responsabilitatea atunci când aceste măsuri eșuează.