Piatto ricco, mi ci ficco
Nel 2018, la British Airways è stata vittima di un attacco informatico, che purtroppo è andato avanti per ben due mesi. L’organismo incaricato di effettuare controlli su questa violazione dichiarò a suo tempo che erano presenti delle significative debolezze del sistema informatico della compagnia aerea e dette indicazioni su come metterle sotto controllo.
In conseguenza di questa violazione, nel 2019 l’Information Commissioner Office, vale a dire l’autorità Garante britannica, sviluppò il processo istruttorio, che portò alla determinazione, in via preliminare, di una sanzione di 183 milioni di sterline!
L’ alta direzione della compagnia aerea si mise in ginocchio e, mettendo in evidenza le gravi perdite che la società stava subendo in conseguenza del crollo dei voli, a seguito della pandemia, ottenne una riduzione a solo, per così dire, 20 milioni di sterline. Questa sanzione è la più alta finora applicata dal Garante britannico.
Ma non è finita.
Il fatto che sia stata applicata una sanzione significa che c’erano delle debolezze del sistema informatico e quindi vi era una colpa oggettiva della direzione aziendale.
Per questo motivo il direttore di una associazione di avvocati ha invitato tutti coloro che sono stati coinvolti nella violazione di dati (all’incirca 430.000 dipendenti e passeggeri), ad unirsi ad una class action contro la compagnia aerea.
Il coordinatore, per attirare il maggior numero possibile di clienti, ha cominciato a parlare di un possibile risarcimento, per singolo interessato coinvolto, dell’ordine di alcune migliaia di sterline, il che comporterebbe una perdita complessiva per la compagnia dell’ordine di miliardi di sterline.
È chiaro che un richiamo di questo tipo non poteva cadere nel vuoto e centinaia di interessati, i cui dati sono stati violati, hanno preso contatto con lo studio di avvocati, per vedere se e come potesse valere la pena di procedere.
Ovviamente lo studio di avvocati sta cercando di trovare un accordo extra giudiziario, ma sembra che la compagnia aerea sia molto perplessa sulla effettiva responsabilità della compagnia stessa, a fronte di questa violazione.
Il tema è trattato dall’articolo 82, comma 1 del regolamento generale europeo, che letteralmente recita:
chiunque subisca un danno materiale o immateriale causato di una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Che quindi agli interessati coinvolti nella violazione dei dati spetti un risarcimento non si discute, mentre certamente discutibile è l’importo di tale risarcimento.
Ad esempio, se i dati personali di un interessato sono stati violati, ma questa violazione non ha comportato alcun danno specifico, materiale o immateriale, all’interessato coinvolto, non sembrerebbe che alcun risarcimento sia dovuto.
Ben diversa è la situazione se i dati sottratti sono stati utilizzati indebitamente, ad esempio per effettuare prelievi con addebito sulla sua carta di credito, il che ha comportato un danno materiale all’interessato coinvolto.
Se poi tale addebito è riferito alla visualizzazione di filmati pornografici, non v’è dubbio che al danno materiale si possa aggiungere anche un danno immateriale.
Una cosa è certa: non è possibile stabilire somme forfettarie di risarcimento, in quanto ogni singolo danno, materiale o immateriale, deve essere analizzato in profondità e opportunamente valutato dalla magistratura giudicante.
È ben vero che la magistratura britannica è decisamente più veloce della magistratura italiana, ma credo che sarà meglio mettersi calmi per qualche anno venire!
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.