KONKLUŻJONIJIET TAL-AVUKAT ĠENERALI

PITRUZZELLA

ippreżentati fis‑27 ta’ April 2023 ( 1 )

Kawża C‑340/21

VB

vs

Natsionalna agentsia za prihodite

(talba għal deċiżjoni preliminari mressqa mill-Varhoven administrativen sad (il-Qorti Amministrattiva Suprema, il-Bulgarija))

“Rinviju għal deċiżjoni preliminari – Protezzjoni ta’ data personali – Regolament (UE) 2016/679 – Responsabbiltà tal-kontrollur responsabbli għad-data personali – Sigurtà tal-ipproċessar – Ksur tas-sigurtà tal-ipproċessar tad-data personali – Dannu morali sostnut minħabba l-inerzja tal-kontrollur responsabbli għad-data personali – Rikors għal kumpens”

Il-komunikazzjoni illegali ta’ data personali miżmuma minn aġenzija pubblika, minħabba attakk ta’ pirazija, tista’ tagħti lok għal kumpens għad-dannu morali favur persuna detentriċi tad-data minħabba s-sempliċi fatt li din tibża’ minn eventwali abbuż fil-futur mid-data tagħha? X’inhuma l-kriterji għall-imputabbiltà tar-responsabbiltà lill-kontrollur responsabbli għad-data personali? Kif jitqassmu l-obbligi probatorji fil-kawża? X’inhi l-portata tal-istħarriġ tal-qorti?

I. Il‑kuntest ġuridiku

1.

L-Artikolu 4, intitolat “Definizzjonijiet”, tar-Regolament 2016/679 ( 2 ) (iktar ’il quddiem ir-“Regolament”) jipprevedi li:

“Għall-finijiet ta’ dan ir-Regolament:

[…]

(12)

‘ksur ta’ data personali’ tfisser ksur tas-sigurtà li jwassal għal qerda aċċidentali jew illegali, telf, bidliet, żvelar mhux awtorizzat ta’, jew aċċess għal, data personali trażmessa, maħżuna jew ipproċessata b’xi mod ieħor;

[…]”.

2.

L-Artikolu 5, intitolat “Prinċipji relatati mal-ipproċessar ta’ data personali”, jipprevedi:

“1.   Id-data personali għandha:

[…]

(f)

tiġi pproċessata b’mod li jiżgura sigurtà xierqa tad-data personali, inkluża l-protezzjoni mill-ipproċessar mhux awtorizzat jew illegali u kontra t-telf, il-qerda jew il-ħsara aċċidentali, bl-użu ta’ miżuri tekniċi jew organizzattivi xierqa (“integrità u kunfidenzjalità”).

2.   Il-kontrollur għandu jkun responsabbli għall-konformità mal-paragrafu 1 u jkun kapaċi juriha (‘responsabbiltà’).”

3.

L-Artikolu 24 tal-istess regolament, intitolat “Responsabbiltà tal-kontrollur”, jistabbilixxi li:

“1.   B’kont meħud tan-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskji ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura u jkun jista’ juri li l-ipproċessar isir f’konformità ma’ dan ir-Regolament. Dawk il-miżuri għandhom jiġu rieżaminati u aġġornati fejn meħtieġ.

2.   Fejn dawn ikunu proporzjonati fir-rigward ta’ attivitajiet ta’ pproċessar, il-miżuri msemmija fil-paragrafu 1 għandhom jinkludu l-implimentazzjoni ta’ politiki adatti dwar il-protezzjoni tad-data mill-kontrollur.

3.   Il-konformità mal-kodiċijiet tal-kondotta kif imsemmi fl-Artikolu 40 jew mekkaniżmi ta’ ċertifikazzjoni approvati kif imsemmi fl-Artikolu 42 jistgħu jintużaw bħala element li bih tintwera l-konformità mal-obbligi tal-kontrollur.”

4.

L-Artikolu 32, intitolat “Sigurtà tal-ipproċessar”, jipprevedi li:

“1.   Filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni u in-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskju ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur u l-proċessur għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa, biex jiżguraw livell ta’ sigurtà xieraq għar-riskju, inklużi inter alia kif xieraq:

[…]

2.   Fl-evalwazzjoni tal-livell xieraq ta’ sigurtà ser jitqiesu b’mod partikolari r-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali.

3.   L-osservanza ta’ kodiċi ta’ kondotta approvat kif imsemmi fl-Artikolu 40 jew mekkaniżmu ta’ ċertifikazzjoni approvat kif imsemmi fl-Artikolu 42 jistgħu jintużaw bħala element li bih tintwera konformità mar-rekwiżiti stipulati fil-paragrafu 1 ta’ dan l-Artikolu.

[…]”.

5.

L-Artikolu 82 tal-istess regolament, intitolat “Dritt għal kumpens u responsabbiltà”, jipprevedi:

“1.   Kwalunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab.

2.   Kwalunkwe kontrollur involut fl-ipproċessar għandu jkunu responsabbli għad-dannu kkawżat mill-ipproċessar li jikser dan ir-Regolament. […]

3.   Kontrollur jew proċessur għandu jkun eżentat mir-responsabbiltà taħt il-paragrafu 2 jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu.”

II. Il‑fatti, il‑kawża u d‑domandi preliminari

6.

Fil‑15 ta’ Lulju 2019, il-midja Bulgara kkomunikat l-aħbar li kien hemm aċċess mhux awtorizzat għas-sistema informatika tan-Natsionalna agentsia za prihodite (l-Aġenzija Nazzjonali tad-Dħul Pubbliku, iktar ’il quddiem in-“NAP” ( 3 )) u li informazzjoni fiskali u tas-sigurtà soċjali differenti ta’ miljuni ta’ persuni, kemm ċittadini kif ukoll barranin, kienet ġiet ippubblikata fuq l-internet.

7.

Diversi persuni, fosthom VB, ir-rikorrenti fil-kawża prinċipali, għalhekk ippreżentaw rikors kontra NAP għal kumpens għad-danni morali.

8.

Fil-kawża ineżami, ir-rikorrenti inkwistjoni fil-kawża prinċipali adixxiet lill-Administrativen sad Sofia-grad (il-Qorti Amministrattiva tal-Belt ta’ Sofija, il-Bulgarija, iktar ’il quddiem l-“ASSG”), billi sostniet li n-NAP kienet kisret ir-regoli nazzjonali, kif ukoll l-obbligu li tipproċessa d-data personali bħala kontrollur responsabbli għad-data personali b’mod li “jiġu żgurati standards xierqa ta’ sigurtà” permezz tal-adozzjoni ta’ miżuri tekniċi u organizzattivi xierqa, skont l-Artikoli 24 u 32 tar-Regolament Nru 679/2016. Sussegwentement, ir-rikorrenti ddikjarat li ġarrbet dannu morali, li mmanifesta ruħu fil-forma ta’ tħassib u ta’ biżgħat dwar użu abbużiv futur tad-data personali tagħha.

9.

Min-naħa l-oħra, il-kontroparti enfasizzat li hija ma kienet irċeviet ebda talba mingħand ir-rikorrenti fil-kawża prinċipali li tindika d-data personali li kienet preċiżament is-suġġett ta’ aċċess. Barra minn hekk, wara li ġiet informata bl-intrużjoni, hija sejħet laqgħat ma’ esperti sabiex tiddefendi d-drittijiet u l-interessi taċ-ċittadini. Skont in-NAP lanqas ma kien hemm rabta kawżali bejn l-attakk informatiku u d-dannu allegatament ilmentat, peress li l-aġenzija implimentat is-sistemi kollha ta’ ġestjoni tal-proċeduri u ta’ sigurtà tal-informazzjoni, skont ir-regoli internazzjonali fis-seħħ f’dan il-qasam.

10.

Il-qorti tal-ewwel istanza, l-ASSG, ċaħdet it-talba, peress li qieset li l-komunikazzjoni tad-data ma kinitx imputabbli lill-aġenzija, li l-obbligu probatorju tal-adegwatezza tal-miżuri adottati kien jaqa’ fuq ir-rikorrenti u, fl-aħħar nett, li ebda dannu morali ma seta’ jiġi kkumpensat.

11.

Is-sentenza tal-ewwel istanza ġiet sussegwentement appellata quddiem il-Varhoven administrativen sad (il-Qorti Amministrattiva Suprema, il-Bulgarija). Fost il-punti sostnuti, ir-rikorrenti fil-kawża prinċipali enfasizzat li l-qorti tal-ewwel istanza kienet wettqet żball meta qassmet l-obbligu probatorju fir-rigward tan-nuqqas ta’ adozzjoni tal-miżuri ta’ sigurtà. Id-dannu morali lanqas ma għandu jkun is-suġġett ta’ obbligu probatorju, peress li dan huwa dannu morali effettiv u mhux purament potenzjali.

12.

Min-naħa tagħha, in-NAP tenniet li kienet ħadet il-miżuri tekniċi u organizzattivi neċessarji bħala kontrollur responsabbli għad-data personali u kkontestat l-eżistenza tal-prova ta’ dannu morali effettiv. Fil-fatt, l-ansjetà u l-biżgħat huma stati emozzjonali, li ma jistgħux jiġu kkumpensati.

13.

Il-qorti tar-rinviju kkonstatat diversi eżiti fir-rigward tad-diversi proċeduri li l-vittmi kienu bdew separatament kontra n-NAP għall-kumpens għad-dannu morali.

14.

F’dan il-kuntest, il-qorti tar-rinviju ssospendiet il-proċeduri u għamlet lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:

“(1)

L-Artikolu 24 u l-Artikolu 32 tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) jistgħu jiġu interpretati fis-sens li, sabiex jiġi konkluż li l-miżuri tekniċi u organizzattivi implimentati ma humiex adegwati, huwa biżżejjed li l-iżvelar mhux awtorizzat ta’ data personali jew l-aċċess mhux awtorizzat għal data personali, fis-sens tal-punt 12 tal-Artikolu 4 tar-Regolament 2016/679, jitwettqu minn persuni li ma humiex impjegati fl-amministrazzjoni tal-kontrollur responsabbli għad-data personali u li ma jaqgħux taħt il-kontroll tiegħu?

(2)

Fil-każ li tingħata risposta fin-negattiv għall-ewwel domanda, x’għandhom ikunu s-suġġett u l-portata tal-istħarriġ ġudizzjarju tal-legalità fil-kuntest ta’ kwistjoni dwar jekk il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali taħt l-Artikolu 32 tar-Regolament 2016/679 humiex adegwati?

(3)

Fil-każ li tingħata risposta fin-negattiv għall-ewwel domanda, il-prinċipju ta’ responsabbiltà stabbilit fl-Artikolu 5(2) u l-Artikolu 24, moqrija flimkien mal-premessa 74 tar-Regolament 2016/679, jistgħu jiġu interpretati fis-sens li, fil-kuntest ta’ kawża mressqa skont l-Artikolu 82(1) tar-Regolament 2016/679, il-kontrollur responsabbli għad-data personali għandu l-oneru jipprova li l-miżuri tekniċi u organizzattivi implimentati taħt l-Artikolu 32 tar-Regolament 2016/679 huma adegwati? Il-ħatra ta’ perit legali tista’ titqies li hija mezz ta’ prova neċessarju u suffiċjenti sabiex jiġi stabbilit jekk il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali humiex adegwati f’sitwazzjoni bħal dik ineżami, fejn l-aċċess mhux awtorizzat għal data personali u l-iżvelar mhux awtorizzat ta’ data personali kienu r-riżultat ta’ ‘hacking’?

(4)

L-Artikolu 82(3) tar-Regolament 2016/679 jista’ jiġi interpretat fis-sens li l-iżvelar mhux awtorizzat ta’ data personali jew l-aċċess mhux awtorizzat għal data personali, fis-sens tal-punt 12 tal-Artikolu 4 tar-Regolament 2016/679, fil-każ ta’ ‘hacking’, minn persuni li ma humiex impjegati fl-amministrazzjoni tal-kontrollur responsabbli għad-data personali u li ma jaqgħux taħt il-kontroll tiegħu, huma avvenimenti li għalihom dan il-kontrollur fl-ebda każ ma jista’ jinżamm responsabbli u jikkostitwixxu ġustifikazzjoni sabiex jinħeles mir-responsabbiltà tiegħu?

(5)

L-Artikolu 82(1) u (2), flimkien mal-premessi 85 u 146 tal-preambolu tar-Regolament 2016/679, jista’ jiġi interpretat fis-sens li, f’sitwazzjoni bħal dik ineżami fejn kien hemm ksur tas-sigurtà tad-data personali minħabba aċċess mhux awtorizzat għal data personali u komunikazzjoni mhux awtorizzata ta’ data personali mwettqa permezz ta’ ‘hacking’, jaqa’ fi ħdan it-tifsira wiesgħa tal-kunċett ta’ dannu morali u jikkostitwixxi bażi għall-għoti ta’ kumpens s-sempliċi fatt li s-suġġett tad-data jesprimi tħassib, inkwiet u perikolu ta’ eventwali abbuż fil-futur mid-data personali, mingħajr ma jkun ġie stabbilit tali abbuż u/jew mingħajr ma jkun ġie stabbilit dannu ieħor għas-suġġett tad-data?”

III. Analiżi ġuridika

A.   Osservazzjonijiet preliminari

15.

Din il-kawża għandha bħala suġġett domandi interessanti u, parzjalment, ġodda dwar l-interpretazzjoni ta’ diversi dispożizzjonijiet tar-Regolament ( 4 ).

16.

Il-ħames domandi preliminari huma kollha bbażati fuq l-istess kwistjoni: il-kundizzjonijiet għall-eliġibbiltà għal kumpens għad-dannu morali lil persuna li d-data personali tagħha, miżmuma minn aġenzija pubblika, ġiet ippubblikata fuq l-internet wara attakk minn hacker.

17.

Għal raġunijiet ta’ konvenjenza fl-espożizzjoni, ser nipproponi risposti fil-qosor separati għad-domandi preliminari kollha tad-digriet tar-rinviju, filwaqt li jiena konxju b’xi sovrappożizzjonijiet kunċettwali, peress li l-ewwel erbgħa huma kollha intiżi biex jidentifikaw il-kundizzjonijiet ta’ imputabbiltà tal-ksur tad-dispożizzjonijiet tar-Regolament lill-kontrollur responsabbli għad-data personali ( 5 ) u l-ħames waħda tikkonċerna b’mod iktar preċiż il-kunċett ta’ dannu morali għall-finijiet tal-kumpens ( 6 ).

18.

Ninnota li bħalissa hemm diversi kawżi pendenti quddiem il-Qorti tal-Ġustizzja fir-rigward tal-Artikolu 82 tar-Regolament u li, f’waħda minnhom, diġà nqraw il-konklużjonijiet tal-Avukat Ġenerali li ser nieħu inkunsiderazzjoni f’din l-analiżi ( 7 ).

19.

Qabel ma neżamina d-domandi magħmula, inqis li huwa opportun li nagħmel xi kunsiderazzjonijiet preliminari dwar il-prinċipji u l-għanijiet tar-Regolament li ser ikunu utli għas-soluzzjoni tad-domandi preliminari individwali.

20.

L-Artikolu 24 tar-Regolament jistabbilixxi f’termini ġenerali l-obbligu, għall-kontrollur responsabbli għad-data personali, li jimplimenta miżuri tekniċi u organizzattivi xierqa sabiex jiġi żgurat li l-ipproċessar tad-data personali jkun konformi mar-Regolament innifsu u li jkun jista’ juri dan, filwaqt li l-Artikolu 32 jistabbilixxi b’mod iktar speċifiku l-istess obbligu fir-rigward tas-sigurtà tal-ipproċessar. L-Artikoli 24 u 32 jidħlu b’mod iktar speċifiku f’dak li huwa diġà previst fl-Artikolu 5(2), li jintroduċi, preċiżament fost il-“prinċipji relatati mal-ipproċessar ta’ data personali”, il-“prinċipju tar-responsabbiltà”. Dan isegwi b’mod loġiku u jikkumplimenta l-“prinċipju tal-integrità u kunfidenzjalità” previst fl-Artikolu 5(1)(f) u t-tnejn li huma għandhom jinqraw fid-dawl tal-approċċ ibbażat fuq ir-riskju li fuqu huwa bbażat ir-Regolament.

21.

Il-prinċipju tar-responsabbiltà huwa wieħed mill-pilastri tar-Regolament u huwa wieħed mill-innovazzjonijiet l-iktar sinjifikattivi tiegħu. Huwa jafda lill-kontrollur responsabbli għad-data personali bir-responsabbiltà li jieħu miżuri proattivi sabiex jiżgura l-konformità mar-Regolament u jkun lest li jagħti prova tagħha ( 8 ).

22.

Fid-duttrina jissemma bdil kulturali veru u proprju bħala effett tal-“portata globali tal-obbligu tar-responsabbiltà” [traduzzjoni libera] ( 9 ). Ma hijiex tant l-osservanza formali tal-obbligu legali jew tal-miżura li hija inkwistjoni, iżda t-totalità tal-istrateġija azjendali adottata sabiex il-kontrollur responsabbli għad-data personali jiġi eskluż minħabba l-konformità mar-regola tal-protezzjoni tad-data.

23.

Il-miżuri tekniċi u organizzattivi meħtieġa mill-prinċipju tar-responsabbiltà għandhom ikunu “xierqa” fid-dawl tal-fatturi indikati fl-Artikolu 24: in-natura, il-kuntest ta’ applikazzjoni, il-kuntest u l-għanijiet tal-ipproċessar u l-probabbiltà u l-gravità tar-riskji għad-drittijiet u għal-libertajiet tal-persuni fiżiċi.

24.

Għaldaqstant, l-Artikolu 24 jimponi n-natura xierqa tal-miżuri sabiex tkun tista’ tintwera l-konformità tal-ipproċessar mal-prinċipji u mad-dispożizzjonijiet tar-Regolament.

25.

L-Artikolu 32, min-naħa tiegħu, jistabbilixxi l-prinċipju tar-responsabbiltà fuq il-miżuri konkreti li għandhom jittieħdu sabiex jiġi żgurat “livell ta’ sigurtà xieraq għar-riskju”. B’dan il-mod, huwa jżid mal-fatturi diġà previsti li għandhom jittieħdu inkunsiderazzjoni fit-tfassil tal-miżuri tekniċi u organizzattivi, il-livell tat-teknika u l-ispejjeż ta’ implimentazzjoni.

26.

Il-kunċett ta’ adegwatezza jirrikjedi li s-soluzzjonijiet adottati sabiex jiġu żgurati s-sistemi informatiċi jissodisfaw livell ta’ aċċettabbiltà, kemm f’termini tekniċi (rilevanza tal-miżuri) kif ukoll kwalitattivi (effiċjenza tal-protezzjoni). Sabiex tiġi żgurata l-osservanza tal-prinċipji ta’ neċessità, ta’ rilevanza u ta’ proporzjonalità, l-ipproċessar għandu jkun, mhux biss xieraq, iżda wkoll sodisfaċenti fir-rigward tal-għanijiet imfittxija. U f’din il-loġika, il-prinċipju ta’ minimizzazzjoni għandu rwol deċiżiv, li permezz tiegħu l-istadji kollha tal-ipproċessar tad-data għandhom dejjem ikunu intiżi sabiex jimminimizzaw ir-riskji ta’ sigurtà ( 10 ).

27.

Ir-Regolament kollu huwa mmirat lejn il-prevenzjoni tar-riskju u r-responsabbiltà tal-kontrollur responsabbli għad-data personali u, għalhekk, lejn approċċ teleoloġiku li jimmira lejn l-aħjar riżultat possibbli f’termini ta’ effettività, jiġifieri ferm ’il bogħod mil-loġika formalistika marbuta mas-sempliċi obbligu li jiġu osservati proċeduri speċifiċi għall-ħelsien mir-responsabbiltà ( 11 ).

28.

L-Artikolu 24 ma jinkludix elenku eżawrjenti ta’ miżuri “adegwati”: wieħed għandu jipproċedi għal evalwazzjoni ta’ każ b’każ. Dan huwa konformi mal-filosofija tar-Regolament li tispjega kif kien ippreferut li l-proċeduri li għandhom jiġu adottati jintgħażlu fuq il-bażi ta’ evalwazzjoni bir-reqqa tas-sitwazzjoni speċifika sabiex ikunu jistgħu jkunu effettivi kemm jista’ jkun ( 12 ).

B.   L-ewwel domanda preliminari

29.

Permezz tal-ewwel domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikoli 24 u 32 tar-Regolament għandhomx jiġu interpretati fis-sens li l-okkorrenza ta’ “ksur ta’ data personali”, kif iddefinita fl-Artikolu 4(12), hija biżżejjed waħedha sabiex jiġi konkluż li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali ma kinux “adegwati” sabiex jiżguraw il-protezzjoni tad-data.

30.

Mill-kliem tal-Artikoli 24 u 32 tar-Regolament jirriżulta li meta l-kontrollur responsabbli għad-data personali jagħżel il-miżuri tekniċi u organizzattivi li huwa obbligat jimplimenta sabiex jiżgura l-osservanza tar-Regolament innifsu, huwa għandu jieħu inkunsiderazzjoni numru ta’ fatturi ta’ evalwazzjoni elenkati f’dawn l-artikoli u mfakkra iktar ’il fuq.

31.

Il-kontrollur responsabbli għad-data personali għandu ċertu marġni ta’ manuvra fir-rigward tad-determinazzjoni tal-miżuri l-iktar xierqa fid-dawl tas-sitwazzjoni speċifika tiegħu, iżda din l-għażla hija madankollu suġġetta għall-possibbiltà ta’ stħarriġ ġudizzjarju tal-konformità tal-miżuri applikati għall-obbligi u għall-għanijiet kollha tar-Regolament innifsu.

32.

B’mod partikolari, fir-rigward tal-miżuri ta’ sigurtà, l-Artikolu 32(1) jimponi fuq il-kontrollur responsabbli għad-data personali l-obbligu li jieħu inkunsiderazzjoni l-“livell tekniku”. Dan jimplika limitazzjoni tal-livell teknoloġiku ta’ miżuri li għandhom jiġu implimentati għal dak li huwa raġonevolment possibbli fil-mument li fih jiġu adottati l-miżuri: in-natura idonea tal-miżura għall-prevenzjoni tar-riskju għalhekk tiġi mqabbla mas-soluzzjonijiet li joffri l-livell ta’ żvilupp tax-xjenza, tat-teknika, tat-teknoloġija u tar-riċerka attwali, anki bit-teħid inkunsiderazzjoni tal-ispejjeż tal-implimentazzjoni, kif ser jintwera.

33.

Il-miżuri jistgħu jkunu “xierqa” f’mument partikolari u, minkejja dan, jistgħu jiġu evitati permezz ta’ ċiberkriminali bl-użu ta’ strumenti sofistikati ħafna li jistgħu jiksru saħansitra miżuri ta’ sigurtà li jikkonformaw mal-livell tekniku.

34.

Barra minn hekk, jidher illoġiku li jitqies li l-intenzjoni tal-leġiżlatur tal-Unjoni Ewropea kienet li jimponi fuq il-kontrollur responsabbli għad-data personali l-obbligu li jipprevjeni kull ksur ta’ data personali, indipendentement mid-diliġenza fit-tfassil tal-miżuri ta’ sigurtà ( 13 ).

35.

Kif indikat iktar ’il fuq, ir-Regolament japplika perspettiva differenti mill-awtomatiżmu, li jeħtieġ responsabbiltà ogħla tal-kontrollur responsabbli għad-data personali, li madankollu ma tistax twassal għall-impossibbiltà għal dan tal-aħħar li juri li huwa ssodisfa l-obbligi tiegħu b’mod korrett.

36.

Barra minn hekk, l-Artikolu 32(1) jipprevedi t-teħid inkunsiderazzjoni, kif intqal diġà, tal-“ispejjeż tal-implimentazzjoni” tal-miżuri tekniċi u organizzattivi inkwistjoni. Minn dan isegwi li l-evalwazzjoni tan-natura adegwata ta’ dawn il-miżuri għandha tkun ibbażata fuq ibbilanċjar bejn l-interessi tal-persuna kkonċernata, li ġeneralment ikunu intiżi għal livell ta’ protezzjoni ogħla, u l-interessi ekonomiċi u l-kapaċità teknoloġika tal-kontrollur responsabbli għad-data personali, li kultant ikunu intiżi għal livell ta’ protezzjoni iktar baxx. Dan l-ibbilanċjar għandu josserva r-rekwiżiti tal-prinċipju ġenerali ta’ proporzjonalità.

37.

Ma’ dan għandu jiżdied, f’perspettiva ta’ interpretazzjoni sistematika, li l-leġiżlatur jipprevedi l-possibbiltà li jseħħ ksur tas-sistemi; l-Artikolu 32(1)(c) jinkludi fost il-miżuri ssuġġeriti l-kapaċità ta’ restawr f’waqtu tad-disponibbiltà u l-aċċess għal data personali f’każ ta’ inċident fiżiku jew tekniku. Il-previżjoni, fost il-miżuri ta’ sigurtà li jiżguraw livell ta’ sigurtà adattat għar-riskju ta’ tali kapaċità, tkun inutli jekk jitqies li s-sempliċi ksur tas-sistemi jikkostitwixxi fih innifsu l-prova tal-inadegwatezza ta’ dawn il-miżuri.

C.   It-tieni domanda preliminari

38.

Permezz tat-tieni domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, liema għandu jkun l-għan u l-portata tal-istħarriġ ġudizzjarju meta hija tivverifika n-natura adegwata tal-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali fis-sens tal-Artikolu 32 tar-Regolament.

39.

Minħabba l-varjabbiltà tas-sitwazzjonijiet li jistgħu jinqalgħu fil-prattika, ir-Regolament, kif intqal, ma jistabbilixxix dispożizzjonijiet vinkolanti għad-determinazzjoni tal-miżuri tekniċi u organizzattivi li l-kontrollur responsabbli għad-data personali għandu jieħu sabiex jissodisfa r-rekwiżiti tar-Regolament innifsu. L-adegwatezza tal-miżuri adottati għandha għalhekk tiġi evalwata in concreto, billi jiġi vverifikat jekk il-miżuri speċifiċi kinux ta’ natura li jipprevjenu b’mod raġonevoli r-riskju u jimminimizzaw l-effetti negattivi tal-ksur.

40.

Għalkemm huwa mingħajr dubju minnu li l-għażla u l-implimentazzjoni ta’ dawn il-miżuri jaqgħu taħt l-evalwazzjoni suġġettiva tal-kontrollur responsabbli għad-data personali, peress li l-miżuri msemmija fir-Regolament huma biss eżempji, l-eżami tal-qorti ma jistax ikun limitat għall-istħarriġ tal-konformità min-naħa tal-kontrollur responsabbli għad-data personali tal-obbligi li jirriżultaw mill-Artikoli 24 u 32, jiġifieri li jkun ippreveda (formalment) ċerti miżuri tekniċi u organizzattivi. Huwa għandu jwettaq analiżi konkreta tal-kontenut ta’ dawn il-miżuri, tal-mod kif ġew applikati u tal-effetti prattiċi tagħhom, abbażi tal-provi li huwa għandu u taċ-ċirkustanzi tal-kawża ineżami. Kif osserva b’mod utli l-Gvern Portugiż, “il-mod li bih huwa wettaq l-obbligi tiegħu jidher inseparabbli mill-kontenut tal-miżuri meħuda, sabiex juri li, fid-dawl tal-ipproċessar speċifiku tad-data (in-natura tagħha, il-portata tagħha, il-kuntest u l-għanijiet), tal-livell tat-teknika tat-teknoloġiji disponibbli u tal-ispejjeż tagħhom, kif ukoll tar-riskji għad-drittijiet u għal-libertajiet taċ-ċittadini, il-kontrollur responsabbli għad-data personali ħa l-miżuri kollha neċessarji u xierqa sabiex jiżgura livell ta’ sigurtà adegwat għar-riskju sottostanti” ( 14 ).

41.

L-istħarriġ ġudizzjarju għandu, għalhekk, jieħu inkunsiderazzjoni l-fatturi kollha li jinsabu fl-Artikoli 24 u 32 li, kif diġà għidt, jelenkaw sensiela ta’ kriterji sabiex tiġi evalwata n-natura xierqa u jipprovdu eżempji ta’ miżuri li jistgħu jitqiesu xierqa. Barra minn hekk, kif enfasizzaw il-Kummissjoni Ewropea u l-Istati Membri kollha li ppreżentaw osservazzjonijiet fuq it-tieni talba, l-Artikolu 32(1) sa (3) jenfasizza l-ħtieġa li “jiżguraw livell ta’ sigurtà xieraq għar-riskju”, billi jindika fatturi oħra rilevanti għal dan l-għan, bħall-adozzjoni eventwali mill-kontrollur responsabbli għad-data personali ta’ kodiċi ta’ kondotta approvat jew ta’ sistema ta’ ċertifikazzjoni approvata, kif jipprevedu rispettivament l-Artikoli 40 u 42 tar-Regolament.

42.

L-adozzjoni ta’ kodiċijiet ta’ kondotta jew ta’ sistemi ta’ ċertifikazzjoni tista’ tikkostitwixxi element ta’ evalwazzjoni utli għall-finijiet tal-osservanza tal-oneru tal-prova u tal-istħarriġ ġudizzjarju relatat. Bil-preċiżazzjoni, madankollu, li ma huwiex biżżejjed li l-kontrollur responsabbli għad-data personali jaderixxi ma’ kodiċi ta’ kondotta iżda huwa għandu l-obbligu li jipprova li huwa adotta konkretament il-miżuri previsti minnu, skont il-prinċipju ta’ responsabbiltà. Min-naħa l-oħra, iċ-ċertifikazzjoni tikkostitwixxi “prova fiha nnifisha tal-konformità mar-regolament tal-ipproċessar imwettaq anki jekk tista’ tiġi kontradetta fil-prattika” ( 15 ).

43.

Finalment għandu jiġi osservat li dawn il-miżuri għandhom jiġu eżaminati mill-ġdid u aġġornati jekk neċessarju, skont l-Artikolu 24(1). U anki dan għandu jkun suġġett għal evalwazzjoni tal-qorti nazzjonali. L-Artikolu 32(1) tar-Regolament ( 16 ) fil-fatt jimponi fuq il-kontrollur responsabbli għad-data personali obbligu ta’ kontroll u ta’ sorveljanza kostanti, preventiv u suċċessiv għall-attivitajiet ta’ pproċessar, iżda wkoll ta’ manutenzjoni u ta’ aġġornament possibbli tal-miżuri adottati, bl-għan kemm li jiġi evitat il-ksur kif ukoll, jekk ikun il-każ, li jiġu limitati l-effetti tiegħu.

44.

Intendi, madankollu, li neskludi l-possibbiltà li s-sentenza sussegwenti tinkludi elenku ta’ elementi sostanzjali, bħal dak issuġġerit mill-Gvern Portugiż ( 17 ). Dan jista’ joffri lok għal interpretazzjonijiet kuntrastanti peress li ovvjament l-elenku ma jista’ qatt ikun eżawrjenti.

D.   It-tielet domanda preliminari

45.

Permezz tal-ewwel parti tat-tielet domanda tagħha, il-qorti tar-rinviju essenzjalment titlob lill-Qorti tal-Ġustizzja sabiex tiddetermina jekk, fid-dawl tal-prinċipju ta’ responsabbiltà stabbilit fl-Artikolu 5(2) u fl-Artikolu 24, moqri flimkien mal-premessa 74 ( 18 ) tar-Regolament, fil-kuntest ta’ azzjoni għad-danni skont l-Artikolu 82, l-obbligu probatorju tal-adegwatezza tal-miżuri tekniċi u organizzattivi skont l-Artikolu 32 jinsabx fuq il-kontrollur responsabbli għad-data personali.

46.

Il-kunsiderazzjonijiet preċedenti jippermettuli nirrispondi fil-qosor għal din id-domanda fl-affermattiv.

47.

L-ittra tal-liġi, il-kuntest u l-għanijiet tar-Regolament jimmilitaw, fil-fatt, b’mod inekwivoku favur l-obbligu probatorju li jaqa’ fuq il-kontrollur responsabbli għad-data personali.

48.

Mill-formulazzjoni ta’ diversi dispożizzjonijiet tar-Regolament jirriżulta li l-kontrollur responsabbli għad-data personali għandu jkun “jista’” jew “kapaċi”“juri” l-osservanza tal-obbligi previsti mir-Regolament u, b’mod partikolari, li jkun wettaq miżuri adegwati għal dan l-għan, kif indikat fil-premessa 74, fl-Artikolu 5(2), u fl-Artikolu 24(1). Kif jenfasizza l-Gvern Portugiż, il-premessa 74 imsemmija tispeċifika li l-obbligu probatorju li b’hekk tqiegħed fuq il-kontrollur responsabbli għad-data personali għandu jinkludi l-prova tal-“effettività tal-miżuri” inkwistjoni.

49.

Din l-interpretazzjoni letterali jidhirli li hija sostnuta mill-kunsiderazzjonijiet prattiċi u teleoloġiċi li ġejjin.

50.

Fir-rigward tat-tqassim tal-oneru probatorju, fil-kuntest ta’ azzjoni għad-danni bbażata fuq l-Artikolu 82, il-persuna kkonċernata li tkun ressqet kawża kontra l-kontrollur responsabbli għad-data personali għandha tipprova, fl-ewwel lok, li kien hemm ksur tar-Regolament, fit-tieni lok, li hija sofriet dannu u, fit-tielet lok, li teżisti rabta kawżali bejn iż-żewġ elementi preċedenti, kif ġie rrilevat fl-osservazzjonijiet bil-miktub kollha dwar il-ħames domanda preliminari. Dawn huma tliet kundizzjonijiet kumulattivi, kif jirriżulta wkoll mill-ġurisprudenza stabbilita tal-Qorti tal-Ġustizzja u tal-Qorti Ġenerali, fil-kuntest tar-responsabbiltà mhux kuntrattwali tal-Unjoni ( 19 ).

51.

Madankollu, inqis li l-obbligu li r-rikorrent juri l-eżistenza ta’ ksur tar-Regolament ma jistax iwassal biex ikun meħtieġ li jintwera kif il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur ma humiex adegwati, skont l-Artikoli 24 u 32.

52.

Kif tenfasizza l-Kummissjoni, il-produzzjoni ta’ dawn il-provi hija ħafna drabi kważi impossibbli fil-prattika, peress li ġeneralment il-persuni kkonċernati la jkollhom għarfien suffiċjenti sabiex ikunu jistgħu janalizzaw dawn il-miżuri, u lanqas aċċess għall-informazzjoni kollha fil-pussess tal- kontrollur responsabbli għad-data personali inkwistjoni, b’mod partikolari fir-rigward tal-metodi applikati sabiex tiġi żgurata s-sigurtà ta’ dan l-ipproċessar. Barra minn hekk, il-kontrollur responsabbli għad-data personali jista’ wkoll isostni li r-rifjut tiegħu li jiżvela dawn il-fatti lis-suġġetti tad-data huwa bbażat fuq ir-raġuni leġittima li ma jippubblikax l-affarijiet interni tiegħu, jew saħansitra elementi koperti mis-sigriet professjonali, b’mod partikolari għal raġunijiet ta’ sigurtà.

53.

Għalhekk, jekk jitqies li l-obbligu probatorju jaqa’ fuq il-persuna kkonċernata, ir-riżultat prattiku jkun li d-dritt għal azzjoni previst fl-Artikolu 82(1) jitlef parti kbira mill-portata tiegħu. Fil-fehma tiegħi, dan ma jkunx konformi mal-intenzjonijiet tal-leġiżlatur tal-UE, li, meta adotta dan ir-Regolament, ipprova jsaħħaħ id-drittijiet tas-suġġetti tad-data u l-obbligi tal-kontrolluri responsabbli għad-data personali, meta mqabbel mad-Direttiva 95/46 li huwa ssostitwixxa. Huwa għalhekk iktar loġiku, u ġuridikament sostenibbli, li l-kontrollur responsabbli għad-data personali jkun obbligat juri, fil-kuntest tad-difiża tiegħu kontra azzjoni għad-danni, li huwa osserva l-obbligi li jirriżultaw mill-Artikoli 24 u 32 ta’ dan ir-Regolament billi adotta miżuri effettivament xierqa.

54.

Permezz tat-tieni parti tat-tielet domanda tagħha, il-qorti tar-rinviju tistaqsi lill-Qorti tal-Ġustizzja, essenzjalment, jekk perizja ġudizzjarja tistax titqies bħala prova neċessarja u suffiċjenti sabiex tiġi evalwata n-natura adegwata tal-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali f’sitwazzjoni fejn l-aċċess u l-iżvelar mhux awtorizzati tad-data personali huma r-riżultat ta’ attività ta’ hacking.

55.

Kif enfasizzaw (essenzjalment) anki l-Gvern Bulgaru u dak Taljan, l-Irlanda u l-Kummissjoni, inqis li r-risposta għal dawn id-domandi għandha tkun ibbażata fuq il-ġurisprudenza stabbilita tagħna li, skont il-prinċipju tal-awtonomija proċedurali, fin-nuqqas ta’ regoli tal-Unjoni f’dan il-qasam, huwa l-ordinament ġuridiku intern ta’ kull Stat Membru li għandu jirregola l-modalitajiet proċedurali tal-proċeduri ġudizzjarji intiżi biex jissalvagwardjaw id-drittijiet tal-persuni, bil-kundizzjoni, madankollu, li dawn ir-regoli ma jkunux, f’sitwazzjonijiet irregolati mid-dritt tal-Unjoni, inqas favorevoli minn dawk li jirregolaw sitwazzjonijiet simili suġġetti għad-dritt nazzjonali (prinċipju ta’ ekwivalenza) u ma jirrendux impossibbli fil-prattika jew eċċessivament diffiċli l-eżerċizzju tad-drittijiet mogħtija mid-dritt tal-Unjoni (prinċipju ta’ effettività).

56.

F’dan il-każ, nosserva li r-Regolament ma jinkludi ebda dispożizzjoni intiża biex jiġu ddeterminati l-metodi ta’ prova ammissibbli u s-saħħa probatorja tagħhom, b’mod partikolari fir-rigward tal-kumpilazzjoni ta’ xhieda (bħal perizja) li l-qrati nazzjonali jistgħu jew għandhom jordnaw sabiex jevalwaw jekk kontrollur responsabbli għad-data personali ħax miżuri xierqa skont dan ir-Regolament. Għalhekk inqis li, fl-assenza ta’ regoli armonizzati f’dan il-qasam, huwa l-ordinament ġuridiku intern ta’ kull Stat Membru li għandu jiddetermina dawn il-modalitajiet proċedurali, mingħajr preġudizzju għall-osservanza tal-prinċipji ta’ ekwivalenza u ta’ effettività.

57.

Dan il-“prinċipju ta’ effettività”, li jimplika li qorti indipendenti għandha twettaq evalwazzjoni imparzjali, jista’ jiġi kompromess, jekk l-aġġettiv “suffiċjenti” għandu jinftiehem fis-sens li jidhirli li qiegħda tattribwixxilu l-qorti tar-rinviju, jiġifieri li tkun tista’ awtomatikament tiddeduċi minn perizja li l-miżuri meħuda mill-kontrollur responsabbli għad-data personali huma adegwati ( 20 ).

E.   Ir-raba’ domanda preliminari

58.

Permezz tar-raba’ domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82(3) tar-Regolament għandux jiġi interpretat fis-sens li, fil-każ ta’ ksur ta’ dan ir-Regolament (li jikkonsisti, bħal fil-kawża ineżami, fl-“iżvelar mhux awtorizzat” jew fl-“aċċess mhux awtorizzat” għal data personali fis-sens tal-Artikolu 4(12)) imwettaq minn persuni li ma humiex impjegati tal-kontrollur responsabbli għad-data personali u li ma humiex taħt il-kontroll ta’ dan tal-aħħar, dan jikkostitwixxix avveniment li bl-ebda mod ma huwa imputabbli lill-kontrollur responsabbli għad-data personali, u għalhekk huwiex raġuni għal eżenzjoni mir-responsabbiltà tiegħu, fis-sens tal-Artikolu 82(3).

59.

Ir-risposta għad-domanda tirriżulta linearment minn dak indikat iktar ’il fuq dwar il-filosofija ġenerali tar-Regolament: ma humiex previsti awtomatiżmi u għalhekk is-sempliċi fatt li l-iżvelar jew l-aċċess mhux awtorizzati għal data personali seħħew minħabba persuni esterni għall-isfera ta’ kontroll tal-kontrollur responsabbli għad-data personali ma jeżentax lil dan tal-aħħar mir-responsabbiltà tiegħu.

60.

Fl-ewwel lok, b’mod letterali, għandu jiġi nnotat li la l-Artikolu 82(3) u lanqas il-premessa 146 ma jistabbilixxu kundizzjonijiet partikolari li jistgħu jiġu ssodisfatti sabiex il-kontrollur responsabbli għad-data personali jkun eżentat mir-responsabbiltà tiegħu, ħlief li jintwera li “bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu”. Minn din il-formulazzjoni jirriżulta, minn naħa, li l-kontrollur responsabbli għad-data personali jista’ jiġi eżentat mir-responsabbiltà tiegħu biss jekk juri li l-avveniment li kkawża d-dannu inkwistjoni ma huwiex imputabbli lilu u, min-naħa l-oħra, li l-livell ta’ prova meħtieġ minn din id-dispożizzjoni huwa għoli, minħabba l-użu tat-terminu “bl-ebda mod”, kif enfasizzat il-Kummissjoni ( 21 ).

61.

Is-sistema ta’ responsabbiltà prevista fl-Artikolu 82 u, b’mod iktar ġenerali fir-Regolament kollu, kienet is-suġġett ta’ dibattitu wiesa’ fid-duttrina tad-diversi Stati Membri. Fil-fatt, din tinkludi elementi tradizzjonali relatati mar-responsabbiltà mhux kuntrattwali iżda wkoll elementi li, fl-istruttura tad-dispożizzjonijiet, iqarrbuha lejn ir-responsabbiltà kuntrattwali jew saħansitra lejn forma ta’ responsabbiltà oġġettiva, minħabba l-perikolożità intrinsika tal-attività ta’ pproċessar tad-data. Dan ma huwiex il-lok fejn wieħed jidħol fl-artikolu dibattut iżda, fil-fehma tiegħi, l-Artikolu 82 ma jidhirx li jidentifika sistema ta’ responsabbiltà oġġettiva ( 22 ).

62.

Id-dannu kkawżat minn ksur ta’ data personali jista’ jkun il-konsegwenza, li ġġorr magħha r-responsabbiltà, tan-nuqqas ta’ adozzjoni tal-miżuri tekniċi u organizzattivi raġonevoli u, fi kwalunkwe każ, xierqa għall-prevenzjoni tiegħu, meħuda inkunsiderazzjoni r-riskji għad-drittijiet u l-libertajiet tal-individwi relatati mal-attività tal-ipproċessar. Dawn ir-riskji jagħmlu l-obbligu ta’ prevenzjoni u ta’ evitar ta’ dannu iktar sever, billi jestendu d-dmir ta’ diliġenza tal-awtur tal-ipproċessar. Konsegwentement, mill-qari konġunt tal-obbligi ta’ aġir li għandhom il-kontrolluri responsabbli għad-data personali u tad-dispożizzjoni dwar il-prova liberatorja imposta fuq dak li wettaq id-dannu, huwa possibbli li jinsilet argument favur ir-rikonoxximent tan-natura ta’ responsabbiltà aggravata bil-preżunzjoni tar-responsabbiltà minħabba l-ipproċessar illegali ta’ data personali skont l-Artikolu 82 tar-Regolament ( 23 ).

63.

Minn dan tirriżulta l-possibbiltà għall-kontrollur responsabbli għad-data personali li jipprovdi prova liberatorja (mhux awtorizzata fil-kuntest tar-responsabbiltà oġġettiva). F’dak li jirrigwarda l-artikolazzjoni tal-obbligu probatorju, l-Artikolu 82(3) tar-Regolament jipprovdi sistema favorevoli għall-vittma, billi jipprovdi forma ta’ inverżjoni tal-obbligu probatorju tar-responsabbiltà ta’ dak li wettaq id-dannu ( 24 ), b’simetrija sħiħa mal-imsemmija inverżjoni tal-obbligu probatorju f’dak li jirrigwarda n-natura xierqa tal-miżuri adottati. Il-leġiżlatur b’hekk juri li huwa konxju tal-perikoli inerenti fl-aċċettazzjoni ta’ distribuzzjoni differenti tal-obbligu probatorju; li, billi qiegħed fuq il-persuna fiżika leża l-prova tar-responsabbiltà tal-persuna li wettqet id-dannu, dan iwassal għal piż eċċessiv fuq il-pożizzjoni tagħha u, għaldaqstant, sabiex tiġi kompromessa, fil-fatt, in-natura effettiva tal-protezzjoni kumpensatorja, f’kuntest ta’ regoli marbuta mal-użu ta’ teknoloġiji ġodda. Fil-fatt, jista’ jkun partikolarment oneruż għas-suġġett tad-data li jerġa’ jibni u jkollu aċċess għall-modalitajiet ta’ produzzjoni tad-dannu u, konsegwentement, li jipprova l-ħtija tal-kontrollur responsabbli għad-data personali. Għall-kuntrarju, il-kontrollur responsabbli għad-data personali jinsab fl-aħjar pożizzjoni sabiex joffri l-prova liberatorja sabiex juri li l-fatt dannuż ma huwa bl-ebda mod imputabbli lilu ( 25 ).

64.

Il-kontrollur responsabbli għad-dannu għandu juri wkoll, f’konformità mal-prinċipju ta’ responsabbiltà deskritt iktar ’il fuq, li għamel dak kollu possibbli sabiex jiġu rrestawrati d-disponibbiltà u l-aċċess għad-data personali.

65.

Sabiex nerġa’ lura għad-domanda tal-qorti tar-rinviju, fuq il-bażi ta’ dak li ntqal iktar ’il fuq dwar in-natura tar-responsabbiltà tal-kontrollur responsabbli għad-data personali, jekk, kif intqal, il-kontrollur responsabbli għad-data personali jista’ jiġi eżentat mir-responsabbiltà billi juri li l-ksur huwa dovut għal fatt li ma huwa imputabbli lilu bl-ebda mod, is-sempliċi fatt li l-avveniment ġie kkawżat minn persuna barra mill-isfera ta’ kontroll tiegħu ma jistax jitqies bħala tali.

66.

Meta kontrollur responsabbli għad-data personali jkun vittma ta’ attakk minn ċiberkriminali, l-avveniment li kkawża d-dannu jista’ jitqies li ma huwiex imputabbli lill-kontrollur responsabbli għad-data personali, iżda ma huwiex eskluż li n-negliġenza tal-kontrollur responsabbli għad-data personali tkun tat lok għall-attakk inkwistjoni, billi tkun iffaċilitatu minħabba l-assenza jew l-inadegwatezza tal-miżuri ta’ sigurtà tad-data personali li dan tal-aħħar huwa obbligat jimplimenta. Dawn huma evalwazzjonijiet fattwali, speċifiċi għal kull każ, li jitħallew f’idejn il-qorti nazzjonali adita, fid-dawl tal-provi prodotti quddiemha.

67.

Barra minn hekk, hija esperjenza komuni li l-attakki esterni għas-sistemi tal-persuni pubbliċi jew privati li għandhom ammont kbir ta’ data personali huma ħafna iktar frekwenti minn attakki interni. Il-kontrollur responsabbli għad-data personali għandu, għalhekk, jistabbilixxi miżuri xierqa sabiex jindirizzaw b’mod partikolari l-attakki esterni.

68.

Fl-aħħar nett, minn perspettiva teleoloġika, għandu jiġi nnotat li r-Regolament għandu l-għan ta’ livell għoli ta’ protezzjoni. F’dan ir-rigward, il-Qorti tal-Ġustizzja diġà enfasizzat li mill-Artikolu 1(2) tar-Regolament, moqri flimkien mal-premessi 10, 11 u 13 tiegħu, jirriżulta li dan ir-regolament jimponi fuq l-istituzzjonijiet, il-korpi, l-uffiċċji u l-aġenziji tal-Unjoni, kif ukoll fuq l-awtoritajiet kompetenti tal-Istati Membri, il-kompitu li jiżguraw livell għoli ta’ protezzjoni tad-drittijiet żgurati fl-Artikolu 16 TFUE u fl-Artikolu 8 tal-Karta ( 26 ).

69.

Kieku l-Qorti tal-Ġustizzja kellha tagħżel l-interpretazzjoni li tgħid li, meta l-ksur tar-Regolament ikun twettaq minn terz, il-kontrollur responsabbli għad-data personali jkollu jiġi awtomatikament eżentat mir-responsabbiltà tiegħu skont l-Artikolu 82(3), tali interpretazzjoni jkollha effett inkompatibbli mal-għan ta’ protezzjoni mfittex minn dan l-istrument, peress li ddgħajjef id-drittijiet tas-suġġetti tad-data, peress li tillimita din ir-responsabbiltà għall-każijiet fejn il-ksur jitwettaq minn persuni taħt l-awtorità u/jew il-kontroll ta’ dan il-kontrollur responsabbli għad-data personali.

F.   Il-ħames domanda preliminari

70.

Permezz tal-ħames domanda tagħha, il-qorti nazzjonali titlob lill-Qorti tal-Ġustizzja, essenzjalment, tinterpreta l-kunċett ta’ “dannu morali” (fil-lingwaġġ tar-regolament “mhux materjali”) fis-sens tal-Artikolu 82 tar-Regolament. B’mod partikolari, hija tistaqsi jekk id-dispożizzjonijiet tal-Artikolu 82(1) u (2) tar-Regolament, moqrija flimkien mal-premessi 85 u 146 tiegħu ( 27 ), għandhomx jiġu interpretati fis-sens li, f’sitwazzjoni fejn il-ksur ta’ dan ir-regolament kien jikkonsisti f’aċċess mhux awtorizzat għal data personali u fi żvelar mhux awtorizzat ta’ din id-data minn ċiberkriminali, il-fatt li s-suġġett tad-data jibża’ minn eventwali abbuż fil-futur tad-data personali tiegħu jistax jikkostitwixxi fih innifsu dannu (morali) li jagħti dritt għal kumpens.

71.

La l-Artikolu 82 u lanqas il-premessi relattivi għall-kumpens tad-dannu ma jagħtu risposta ċara għad-domanda iżda minnhom innifishom jistgħu jinsiltu ċerti elementi utli għall-analiżi: id-dannu mhux materjali (jew morali) jista’ jkun is-suġġett ta’ kumpens flimkien ma’ dak materjali (jew patrimonjali); il-ksur tar-regolament ma jwassalx awtomatikament għad-dannu “kkawżat” minnu jew, b’mod iktar preċiż, il-ksur ta’ data personali “jista’ jikkawża” danni fiżiċi, materjali jew mhux materjali lil persuni fiżiċi; il-kunċett ta’ dannu għandu jiġi interpretat “f’sens wiesa’” fid-dawl tal-ġurisprudenza tal-Qorti tal-Ġustizzja, sabiex jirrifletti bis-sħiħ l-għanijiet tar-Regolament; il-kumpens għad-dannu “sostnut” għandu jkun “sħiħ u effettiv”.

72.

Is-sens letterali tad-dispożizzjonijiet tar-Regolament diġà jelimina kwalunkwe suġġeriment possibbli ta’ danni in re ipsa: l-għan prinċipali tar-responsabbiltà ċivili previst mir-Regolament huwa dak li s-suġġett tad-data jingħata sodisfazzjon, preċiżament permezz ta’ kumpens “sħiħ u effettiv” tad-dannu sostnut u, għalhekk li jiġi rrestawrat il-bilanċ tas-sitwazzjoni legali li ġiet mibdula b’mod negattiv minħabba l-ksur tad-dritt ( 28 ).

73.

Min-naħa l-oħra, anki mill-perspettiva sistematika, bħal fid-dritt tal-kompetizzjoni, ir-Regolament jipprevedi żewġ pilastri ta’ protezzjoni: wieħed huwa ta’ natura pubblika, billi jipprevedi sanzjonijiet fil-każ ta’ ksur tad-dispożizzjonijiet tar-Regolament, wieħed ta’ natura privata, billi jipprevedi preċiżament responsabbiltà ċivili ta’ natura delittwali, li tista’ tiġi kklassifikata bħala aggravata minħabba responsabbiltà preżunta minħabba l-karatteristiċi, inkluż f’dak li jirrigwarda l-prova liberatorja, imsemmija iktar ’il fuq ( 29 ).

74.

Għalhekk, interpretazzjoni wiesgħa ( 30 ) tal-kunċett ta’ dannu (morali) ma tistax twassal biex jitqies li l-leġiżlatur irrinunzja għar-rekwiżit li “dannu” veru u proprju jkun possibbli.

75.

Il-problema sostantiva reali hija jekk, ladarba tiġi stabbilita l-eżistenza tal-ksur u tar-rabta kawżali, jistax ikun hemm dritt għal kumpens minħabba sempliċi tħassib, ansjetà u biża’ li s-suġġett tad-data jesperjenza fir-rigward ta’ eventwali abbuż fil-futur mid-data personali, meta tali abbuż ma jkunx ġie identifikat u/jew meta s-suġġett tad-data ma jkunx ġarrab dannu ulterjuri.

76.

Skont ġurisprudenza stabbilita tal-Qorti tal-Ġustizzja, il-kunċetti ta’ dispożizzjoni tad-dritt tal-Unjoni, li ma tirreferix espressament għad-dritt tal-Istati Membri sabiex jiġu ddeterminati s-sens u l-portata tagħha, għandhom normalment jingħataw interpretazzjoni awtonoma u uniformi fl-Unjoni kollha, li għandha tiġi mfittxija billi jittieħdu inkunsiderazzjoni l-formulazzjoni letterali tad-dispożizzjoni inkwistjoni, il-kuntest tagħha, l-għanijiet imfittxija mill-att li tagħmel parti minnu u l-oriġini ta’ din id-dispożizzjoni ( 31 ).

77.

Il-Qorti tal-Ġustizzja, kif imfakkar mill-Avukat Ġenerali Campos Sánchez-Bordona ( 32 ), ma elaboratx definizzjoni ġenerali ta’ “dannu”, applikabbli b’mod indistint fi kwalunkwe kuntest ( 33 ). Fir-rigward tad-danni morali, mill-ġurisprudenza tagħha wieħed jista’ jikkonkludi li: meta wieħed mill-għanijiet tad-dispożizzjoni li għandha tiġi interpretata huwa l-protezzjoni tal-individwu jew ta’ kategorija partikolari ta’ individwi ( 34 ), il-kunċett ta’ dannu għandu jkun wiesa’; skont dan il-kriterju, il-kumpens jestendi għad-dannu mhux materjali, anki jekk ma jissemmiex fid-dispożizzjoni interpretata ( 35 ).

78.

Għalkemm il-ġurisprudenza tal-Qorti tal-Ġustizzja tawtorizza li wieħed jargumenta li, fit-termini esposti iktar ’il fuq, fid-dritt tal-Unjoni jeżisti prinċipju ta’ kumpens għad-danni mhux materjali, naqbel mal-Avukat Ġenerali Campos li minnu ma tistax tiġi dedotta regola li tgħid li kull dannu mhux materjali, irrispettivament mill-gravità tiegħu, jista’ jiġi kkumpensat ( 36 ).

79.

F’dan il-kuntest, hija rilevanti d-distinzjoni bejn id-dannu mhux materjali li jista’ jiġi kkumpensat u l-iżvantaġġi l-oħra li jirriżultaw mill-ksur tal-legalità li, minħabba l-importanza żgħira tagħhom, ma jagħtux neċessarjament dritt għal kumpens ( 37 ).

80.

Il-Qorti tal-Ġustizzja tirrikonoxxi din id-differenza meta tirreferi għall-inkonvenjenzi u għad-diffikultajiet bħala kategorija awtonoma meta mqabbla ma’ dik tad-dannu, f’oqsma li fihom hija tqis li għandhom jiġu kkumpensati ( 38 ).

81.

B’mod empiriku, jista’ jiġi nnotat li kwalunkwe ksur ta’ standard ta’ protezzjoni tad-data personali jwassal għal reazzjoni negattiva mis-suġġett tad-data. Kumpens dovut minħabba s-sempliċi sentiment negattiv fir-rigward tan-nuqqas ta’ osservanza tal-liġi minn ħaddieħor faċilment jitfixkel ma’ kumpens mingħajr dannu li, kif diġà ntqal, ma jidhirx li huwa possibbli fil-kawża ineżami skont l-Artikolu 82 tar-Regolament.

82.

Il-fatt li, f’ċirkustanzi bħal dawk fil-kawża prinċipali, l-abbuż mid-data personali huwa biss potenzjali, u mhux effettiv, huwa biżżejjed sabiex jitqies li s-suġġett tad-data seta’ ġarrab dannu morali kkawżat mill-ksur tar-Regolament, bil-kundizzjoni li s-suġġett tad-data juri li l-biża’ ta’ tali abbuż ikkawżatlu konkretament u speċifikament dannu emozzjonali reali u ċert ( 39 ).

83.

Il-konfini bejn is-sempliċi irritazzjoni (mhux kumpensabbli) u d-dannu mhux materjali veru u proprju (kumpensabbli) huwa mingħajr dubju sottili, iżda l-qrati nazzjonali, li għandhom id-dmir li jiddelimitaw dan il-konfini każ b’każ, għandhom iwettqu evalwazzjoni bir-reqqa tal-elementi kollha mogħtija mis-suġġett tad-data li jitlob il-kumpens, li għandu l-obbligu li jallega bi preċiżjoni, u mhux b’mod ġeneriku, elementi konkreti li jistgħu jwasslu għall-possibbiltà ta’ “dannu morali effettivament sostnut” minħabba l-ksur tad-data personali, anki jekk dan ma jissodisfax livell ta’ gravità partikolari ddeterminat minn qabel: dak li jgħodd huwa li din ma tkunx sempliċiment perċezzjoni suġġettiva, li tista’ tinbidel u li tiddependi anki minn elementi ta’ karattru u personali, iżda n-natura oġġettiva ta’ diffikultà, imqar żgħira iżda li tista’ tiġi ppruvata, fl-isfera fiżika jew psikika tal-individwu jew fir-rigward tal-ħajja tar-relazzjonijiet tiegħu; in-natura tad-data personali involuta u r-rilevanza li din għandha fil-ħajja tas-suġġett tad-data u forsi anki l-perċezzjoni li, f’dak il-mument, ikollha s-soċjetà ta’ dik id-diffikultà partikolari relatata mal-ksur tad-data ( 40 )

IV. Konklużjoni

84.

Fuq il-bażi tal-kunsiderazzjonijiet kollha preċedenti, nipproponi lill-Qorti tal-Ġustizzja tirrispondi kif ġej għad-domandi preliminari magħmula:

“L-Artikoli 5, 24, 32 u 82 tar-Regolament 2016/679 għandhom jiġu interpretati fis-sens li:

is-sempliċi eżistenza ta’ ‘ksur ta’ data personali’, kif iddefinit fl-Artikolu 4(12), ma hijiex biżżejjed fiha nnifisha sabiex jiġi konkluż li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali ma kinux ‘adegwati’ sabiex jiżguraw il-protezzjoni tad-data inkwistjoni;

meta tivverifika l-adegwatezza tal-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali, il-qorti nazzjonali adita għandha twettaq stħarriġ li jkopri analiżi konkreta kemm tal-kontenut ta’ dawk il-miżuri kif ukoll tal-mod kif ġew applikati u l-effetti prattiċi tagħhom;

fil-kuntest ta’ azzjoni għad-danni skont l-Artikolu 82 tal-GDPR, il-kontrollur responsabbli għad-data personali għandu l-obbligu li juri n-natura adegwata tal-miżuri li jkun implimenta skont l-Artikolu 32 ta’ dan ir-regolament;

skont il-prinċipju tal-awtonomija proċedurali, huwa l-ordinament ġuridiku intern ta’ kull Stat Membru li għandu jiddetermina l-metodi ta’ prova ammissibbli u s-saħħa probatorja tagħhom, inklużi l-miżuri istruttorji li l-qrati nazzjonali jistgħu jew għandhom jordnaw, sabiex jiġi evalwat jekk kontrollur responsabbli għad-data personali jkunx implimenta miżuri xierqa skont dan ir-regolament, fl-osservanza tal-prinċipji ta’ ekwivalenza u ta’ effettività ddefiniti mid-dritt tal-Unjoni;

il-fatt li l-ksur ta’ dan ir-regolament li kkawża d-dannu inkwistjoni twettaq minn terz ma jikkostitwixxix fih innifsu raġuni sabiex il-kontrollur responsabbli għad-data personali jiġi eżentat mir-responsabbiltà tiegħu u, sabiex jibbenefika mill-eżenzjoni prevista minn din id-dispożizzjoni, il-kontrollur responsabbli għad-data personali għandu juri li l-ksur bl-ebda mod ma huwa imputabbli lilu;

id-dannu li jikkonsisti fil-biża’ mill-possibbiltà ta’ abbuż fil-futur mid-data personali tiegħu, li s-suġġett tad-data jkun wera l-eżistenza tiegħu, jista’ jikkostitwixxi dannu morali li jagħti dritt għal kumpens, bil-kundizzjoni li s-suġġett tad-data juri li jkun ġarrab individwalment dannu emozzjonali reali u ċert, li hija ċirkustanza li l-qorti nazzjonali adita għandha tivverifika f’kull każ partikolari.


( 1 ) Lingwa oriġinali: it-Taljan.

( 2 ) Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU 2016, L 119, p. 1, rettifika fil-ĠU 2018, L 127, p. 2).

( 3 ) In-NAP hija kontrollur responsabbli għad-data personali skont l-Artikolu 4(7) tar-Regolament. Skont id-dritt nazzjonali, hija korp amministrattiv b’kompetenza speċifika, suġġetta għall-Ministru tal-Finanzi, u responsabbli għall-konstatazzjoni, is-salvagwardja u l-irkupru tal-finanzi, kif ukoll responsabbli għall-konstatazzjoni, is-salvagwardja u l-irkupru ta’ djun tal-Istat, pubbliċi u privati ddeterminati ex lege. Hija tipproċessa, fl-eżerċizzju tal-awtorità pubblika mogħtija lilha, id-data personali.

( 4 ) L-Artikolu 5(2) (dwar il-prinċipju tar-responsabbiltà ta’ kull kontrollur responsabbli għad-data personali), l-Artikolu 24 (dwar il-miżuri li dan il-kontrollur responsabbli għad-data personali għandu jimplimenta sabiex jiżgura li l-ipproċessar tiegħu jkun konformi ma’ dan ir-regolament), l-Artikolu 32 (dwar dan l-obbligu speċifikament fir-rigward tas-sigurtà tal-ipproċessar) u l-Artikolu 82(1) sa (3) (dwar il-kumpens għad-danni li jirriżultaw minn ksur ta’ dan ir-regolament u dwar il-possibbiltà li l-kontrollur responsabbli għad-data personali jieħu miżuri sabiex jiżgura l-osservanza ta’ dan ir-regolament), minbarra l-premessi 74, 85 u 146 li huma marbuta mal-imsemmija artikoli.

( 5 ) a) l-ewwel waħda hija intiża biex tingħata risposta għad-domanda dwar jekk mis-sempliċi ksur tas-sistemi jistax jiġi dedott li l-miżuri implimentati ma humiex adegwati; b) it-tieni waħda tikkonċerna l-portata tal-istħarriġ ġudizzjarju dwar in-natura xierqa ta’ dawn il-miżuri; (c) it-tielet waħda tirreferi għall-oneru tal-prova tal-adegwatezza nnifisha u għal ċerti modalitajiet tekniċi għat-tfittxija tal-prova; (d) ir-raba’ waħda hija relatata mar-rilevanza, għall-finijiet ta’ eżenzjoni mir-responsabbiltà, tal-fatt li l-attakk fuq is-sistema jiġi minn barra.

( 6 ) Fir-rigward tad-dispożizzjonijiet imsemmija tar-Regolament, l-ewwel tliet domandi jikkonċernaw l-aspetti tar-responsabbiltà tal-kontrollur responsabbli għad-data personali fir-rigward tal-adegwatezza tal-miżuri li għandhom jittieħdu (Artikoli 5, 24 u 32); ir-raba’ u l-ħames waħda, il-kundizzjonijiet għall-eżenzjoni mir-responsabbiltà u l-kunċett ta’ dannu morali kumpensabbli (Artikolu 82).

( 7 ) Ara l-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona fil-kawża Österreichische Post (Dannu morali marbut mat-trattament tad-data personali) (C‑300/21, EU:C:2022:756).

( 8 ) C. Docksey, Article 24. Responsibility of the controller, f’C. Kuner, L. A. Bygrave, C. Docksey, L. Drechsler, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford University Press, 2020, p. 561. Il-prinċipji u l-obbligi tar-regoli dwar il-protezzjoni tad-data għandhom jidħlu fin-nisġa kulturali tal-organizzazzjonijiet, fil-livelli kollha, minflok jitqiesu bħala sensiela ta’ rekwiżiti legali li għandhom jiġu indikati mill-uffiċċju legali.

( 9 ) E. Belisario, G. Riccio, G. Scorza, GDPR e Normativa Privacy – Commentario, Wolters Kluwer, 2022, p. 301.

( 10 ) E. Belisario, G. Riccio, G. Scorza, GDPR iċċitat iktar ’il fuq, p. 380.

( 11 ) Għalhekk, kif ser naraw, l-ewwel u r-raba’ domandi preliminari jistgħu jingħataw biss risposta negattiva. L-ebda awtomatiżmu ma huwa deduċibbli mid-dispożizzjonijiet tar-Regolament: is-sempliċi fatt li kien hemm żvelar tad-data personali ma huwa biżżejjed sabiex jitqies li l-miżuri tekniċi u organizzattivi adottati ma humiex xierqa iżda lanqas il-fatt li dan l-iżvelar innifsu seħħ bl-intervent ta’ persuni estranji għall-organizzazzjoni tal-kontrollur u barra mill-kamp ta’ kontroll tiegħu ma huwa biżżejjed sabiex jeżentah mir-responsabbiltà.

( 12 ) L. Bolognini, E. Pelino, Codice della disciplina privacy, Giuffrè, 2019, p. 201. Il-leġiżlatur Ewropew għalhekk jissupera l-kunċett tas-sigurtà tal-ipproċessar fuq il-bażi tal-preżenza ta’ miżuri ta’ sigurtà stabbiliti minn qabel u jadotta metodoloġija tiegħu tal-istandards internazzjonali tal-ġestjoni tas-sistemi ta’ informazzjoni bbażati fuq ir-riskju: din tipprevedi l-identifikazzjoni ta’ miżuri ta’ mitigazzjoni ta’ riskji li huma indipendenti minn listi ta’ verifika maħsuba minn qabel u applikabbli b’mod ġeneriku. Huwa għalhekk xieraq li jintużaw linji gwida u standards internazzjonali. Ir-riżultat ta’ din l-evalwazzjoni tar-riskji b’hekk isir vinkolanti fil-mument meta l-organizzazzjoni timplimenta deċiżjonijiet sabiex ittaffi r-riskji identifikati, u b’hekk tagħmel lilha nnifisha responsabbli.

( 13 ) Il-kunċett ta’ adegwatezza juri b’mod ċar l-intenzjoni li ma tingħatax rilevanza għall-miżuri tekniċi u organizzattivi kollha li huma astrattament possibbli. Ara, f’dan is-sens, M. L. Gambini, Responsabilità e risarcimento nel trattamento dei dati personali, f’V. Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Giappichelli, 2019, p. 1059.

( 14 ) Osservazzjonijiet bil-miktub, punt 31.

( 15 ) M. Gambini, Responsabilità, iċċitat iktar ’il fuq, p. 1067. Għalhekk, il-proċess ta’ ċertifikazzjoni jirriżulta f’inverżjoni tal-obbligu probatorju favur il-kontrollur responsabbli għad-data personali li jista’ jipprova li huwa aġixxa b’osservanza tal-obbligi tar-Regolament.

( 16 ) Billi jipprevedi espressament, fil-punt (d), li l-ġudizzju ta’ adegwatezza jestendi għall-effettività tal-miżuri meħuda, li għandha tiġi eżaminata regolarment, ivverifikata u evalwata, kemm fi stadju bikri, kif ukoll fi stadju perjodiku, sabiex tiġi żgurata s-sigurtà effettiva tat-tipi kollha ta’ pproċessar, irrispettivament mil-livell ta’ riskju tagħhom; u, barra minn hekk, billi jiġi previst b’mod espliċitu fil-punt (c) li l-miżuri tekniċi u organizzattivi implimentati għandhom ikollhom il-kapaċità li jiġu rrestawrati d-disponibbiltà u l-aċċess għad-data personali fil-każ ta’ inċident fiżiku jew tekniku. Ara M. Gambini, Responsabilità, iċċitat iktar ’il fuq, p. 1064 u 1065.

( 17 ) Punt 30 tal-osservazzjonijiet bil-miktub: “huwa l-kontrollur responsabbli għad-data personali li għandu juri kif evalwa l-fatturi u ċ-ċirkustanzi kollha relatati mal-ipproċessar inkwistjoni, u b’mod partikolari r-riżultat tal-analiżi tar-riskji mwettqa, ir-riskji identifikati, il-miżuri konkreti misjuba sabiex jimmitigaw dawn ir-riskji, il-ġustifikazzjoni tal-għażliet magħżula fid-dawl tas-soluzzjonijiet teknoloġiċi disponibbli fis-suq, l-effettività tal-miżuri, il-korrelazzjoni bejn il-miżuri tekniċi u organizzattivi, it-taħriġ tal-persunal li jipproċessa d-data, l-eżistenza ta’ esternalizzazzjoni tal-operazzjonijiet ta’ pproċessar tad-data, inkluż l-iżvilupp u l-manutenzjoni tat-teknoloġiji tal-informatika, u l-eżistenza ta’ kontroll mill-kontrollur responsabbli għad-data u ta’ istruzzjonijiet preċiżi mogħtija lil dawk inkarigati mill-ipproċessar, skont l-Artikolu 28 tal-GDPR, dwar l-ipproċessar tad-data personali minn dawn tal-aħħar; kif ġiet evalwata l-infrastruttura ta’ appoġġ tas-sistemi ta’ komunikazzjoni u ta’ informazzjoni u kif ġie kklassifikat il-livell ta’ riskju għad-drittijiet u għal-libertajiet tas-suġġetti tad-data”.

( 18 ) Skont il-premessa 74: “Ir-responsabbiltà tal-kontrollur għal kwalunkwe pproċessar ta’ data personali li jitwettaq mill-kontrollur jew f’isem il-kontrollur għandha tiġi stabbilita. B’mod partikolari, il-kontrollur għandu jkun obbligat jimplimenta miżuri adatti u effettivi u jkun jista’ juri l-konformità tal-attivitajiet ta’ pproċessar ma’ dan ir-Regolament, inkluża l-effettività tal-miżuri. Dawk il-miżuri għandhom jikkunsidraw in-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u r-riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi.”

( 19 ) Ara, b’mod partikolari, is-sentenzi tal-Qorti tal-Ġustizzja tal-5 ta’ Settembru 2019, L-Unjoni Ewropea vs Guardian Europe u Guardian Europe vs L-Unjoni Ewropea (C‑447/17 P u C‑479/17 P, EU:C:2019:672, punt 147), u tat-28 ta’ Ottubru 2021, Vialto Consulting vs Il-Kummissjoni (C‑650/19 P, EU:C:2021:879, punt 138), kif ukoll is-sentenzi tal-Qorti Ġenerali tat-13 ta’ Jannar 2021, Helbert vs Eupo (T‑548/18, EU:T:2021:4, punt 116), u tad-29 ta’ Settembru 2021, Kočner vs Europol (T‑528/20, mhux ippubblikata, EU:T:2021:631, punt 61), li fihom jitfakkar li għandhom jiġu ssodisfatti tliet kundizzjonijiet, jiġifieri “l-illegalità tal-aġir allegat fil-konfront tal-istituzzjoni tal-Unjoni, ir-realtà tad-dannu u l-eżistenza ta’ rabta kawżali bejn l-aġir ta’ din l-istituzzjoni u d-dannu invokat”.

( 20 ) Osservazzjonijiet bil-miktub, punt 39.

( 21 ) Skont il-ġurisprudenza stabbilita tal-Qorti tal-Ġustizzja li tgħid li l-eċċezzjonijiet għal regola ġenerali għandhom jiġu interpretati b’mod restrittiv, l-eventwali eżenzjoni mir-responsabbiltà prevista fl-Artikolu 82(3) għandha tiġi interpretata b’mod restrittiv. Ara, b’analoġija, is-sentenzi tal-15 ta’ Ottubru 2020, Association française des usagers de banques (C‑778/18, EU:C:2020:831, punt 53), u tal-5 ta’ April 2022, Commissioner of An Garda Síochána et (C‑140/20, EU:C:2022:258, punt 40).

( 22 ) Ir-responsabbiltà ċivili għandha tendenza li tiġi kklassifikata bħala oġġettiva kull darba li l-aġent ikun obbligat jieħu l-miżuri kollha astrattament possibbli sabiex jevita d-dannu, indipendentement mill-għarfien effettiv li għandu tagħhom jew mis-sostenibbiltà ekonomika tagħhom. Min-naħa l-oħra, meta tiġi imposta fuq l-aġent l-adozzjoni ta’ miżuri normalment osservabbli minn operatur fis-settur ekonomiku ta’ referenza għaż-żamma tas-sigurtà u l-prevenzjoni tal-preġudizzji li jistgħu jirriżultaw mill-attività eżerċitata, l-imputazzjoni ta’ dan id-dannu għandha t-tendenza li timxi lejn sistema ta’ responsabbiltà għal nuqqas speċifiku. Gambini, M., Responsabbiltà, iċċitat iktar ’il fuq, p. 1055.

( 23 ) M. Gambini, Responsabilità, iċċitat iktar ’il fuq, p. 1059. B’mod simili, il-fehma li l-prova li ttieħdu l-miżuri xierqa ma tikkonsistix f’sempliċi allegazzjoni tal-ikbar diliġenza dovuta, iżda fit-turija ta’ fatt terz li kkawża d-dannu, b’karatteristiċi ta’ imprevedibbiltà u ta’ inevitabbiltà xierqa għall-każ fortuwitu u għall-forza maġġuri, S. Sica, Sub art. 82, f’R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta, Codice della privacy e data protection, Giuffrè, 2021.

( 24 ) “jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu” (Artikolu 82(3)).

( 25 ) M. Gambini, Responsabilità, iċċitat iktar ’il fuq, p. 1060.

( 26 ) Ara, f’dan is-sens, is-sentenza tal-15 ta’ Ġunju 2021, Facebook Ireland et (C‑645/19, EU:C:2021:483, punti 44 u 45).

( 27 ) Skont il-premessa 85: “Il-vjolazzjoni ta’ data personali tista’, jekk ma tiġix indirizzata b’mod adegwat u fil-ħin, tirriżulta f’dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi […]”. Skont il-premessa 146: “Il-kontrollur jew il-proċessur għandu jikkumpensa għal kwalunkwe dannu li tista’ ssofri persuna b’riżultat ta’ pproċessar li jikser dan ir-Regolament. Il-kontrollur jew il-proċessur għandu jiġi eżentat mir-responsabbiltà jekk iġib provi li huwa ma huwiex responsabbli bl-ebda mod għad-dannu. Il-kunċett ta’ dannu għandu jiġi interpretat b’mod wiesa’ fid-dawl tal-każistika tal-Qorti tal-Ġustizzja b’mod li jissodisfa b’mod sħiħ l-objettivi ta’ dan ir-Regolament. Dan huwa mingħajr preġudizzju għal kwalunkwe talba għal kumpens għal danni li tirriżulta minn ksur ta’ regoli oħra fil-liġi tal-Unjoni jew ta’ Stat Membru. […]. Is-suġġetti tad-data għandhom jirċievu kumpens sħiħ u effettiv għad-dannu li jkunu ġarrbu […]”.

( 28 ) Ara l-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona, iċċitati iktar ’il fuq, punt 29 u nota ta’ qiegħ il-paġna Nr 11. Fl-istess konklużjonijiet, l-Avukat Ġenerali ġustament ikkonkluda l-analiżi tiegħu taħt l-aspetti letterali, storiċi, kuntestwali u teleoloġiċi, billi eskluda n-natura “punittiva” tad-danni li jistgħu jiġu kkumpensati lis-suġġetti tad-data skont l-Artikolu 82 (punti 27 sa 55), billi jirrileva, minn naħa, li l-Istati Membri “ma għandhomx jagħżlu (fir-realtà ma jistgħux) bejn il-mekkaniżmi tal-Kapitolu VIII sabiex jiggarantixxu l-protezzjoni tad-data. Fil-każ ta’ ksur li ma jikkawżax dannu, is-suġġett tad-data xorta jingħata (mill-inqas) id-dritt li jressaq ilment quddiem awtorità superviżorja” u, min-naħa l-oħra, li “l-prospett li jinkiseb kumpens, irrispettivament minn kwalunkwe dannu, x’aktarx li jagħti lok għall-kawżi ċivili, b’talbiet li forsi mhux dejjem ikunu ġġustifikati u, b’dan il-mod, jista’ jiskoraġġixxi l-attività tal-ipproċessar tad-data” (punti 54 u 55).

( 29 ) Għaldaqstant, li jiġi miċħud id-dritt għal kumpens minħabba sentimenti jew emozzjonijiet dgħajfa u li jgħaddu malajr marbuta mal-ksur tar-regoli dwar l-ipproċessar ma jħallix lis-suġġett tad-data kompletament mingħajr protezzjoni (f’dan is-sens ara l-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona iċċitati iktar ’il fuq, punt 115).

( 30 ) Jew “b’mod wiesa’” skont il-premessa 146.

( 31 ) Ara s-sentenzi tal-15 ta’ April 2021, The North of England P & I Association (C‑786/19, EU:C:2021:276, punt 48), u tal-10 ta’ Ġunju 2021, KRONE - Verlag (C‑65/20, EU:C:2021:471, punt 25).

( 32 ) Ara l-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona, iċċitati iktar ’il fuq, punt 104.

( 33 ) Lanqas ma identifikat metodu ta’ interpretazzjoni - awtonomu jew b’riferiment għall-ordinamenti nazzjonali - bħala preferibbli: jiddependi mis-suġġett inkwistjoni. Ara s-sentenzi tal-10 ta’ Mejju 2001, Veedfald (C‑203/99, EU:C:2001:258, punt 27), fil-qasam ta’ prodotti difettużi, tas-6 ta’ Mejju 2010, Walz (C‑63/09, EU:C:2010:251, punt 21), dwar ir-responsabbiltà tat-trasportaturi bl-ajru, u tal-10 ta’ Ġunju 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, punti 37 et seq.), fir-rigward tar-responsabbiltà ċivili għall-inċidenti li jirriżultaw miċ-ċirkulazzjoni ta’ vetturi bil-mutur.

( 34 ) Pereżempju, il-konsumaturi ta’ prodotti jew vittmi ta’ inċidenti tat-traffiku.

( 35 ) Fil-qasam tal-vjaġġi “kollox inkluż”, ara s-sentenza tat-12 ta’ Marzu 2002, Leitner (C‑168/00, EU:C:2002:163); fil-kuntest tar-responsabbiltà ċivili li tirriżulta miċ-ċirkulazzjoni tal-vetturi bil-mutur, is-sentenzi tal-24 ta’ Ottubru 2013, Haasová (C‑22/12, EU:C:2013:692, punti 47 sa 50); tal-24 ta’ Ottubru 2013, Drozdovs (C‑277/12, EU:C:2013:685, punt 40), u tat-23 ta’ Jannar 2014, Petillo (C‑371/12, EU:C:2014:26, punt 35).

( 36 ) Ara l-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona, iċċitati iktar ’il fuq, punt 105. Il-Qorti tal-Ġustizzja, pereżempju, irrikonoxxiet il-kompatibbiltà mar-regoli Ewropej ta’ liġi nazzjonali li, bl-għan tal-kalkolu tal-kumpens, tiddistingwi d-danni mhux materjali marbuta ma’ danni korporali kkawżati minn reat minħabba l-oriġini ta’ dan tal-aħħar; ara d-dispożittiv tas-sentenza tat-23 ta’ Jannar 2014, Petillo (C‑371/12, EU:C:2014:26): id-dritt tal-Unjoni “ma jippreklud[i]x leġiżlazzjoni nazzjonali […] li tipprovdi għal sistema partikolari ta’ kumpens għad-danni mhux materjali li jirriżultaw minn feriti ta’ natura ħafifa kkważati mill-inċidenti tat-traffiku li jillimitaw il-kumpens għal dawn id-danni meta mqabbel ma’ dak li huwa ammess fil-qasam tal-kumpens ta’ danni identiċi li jirriżultaw minn inċidenti li ma humiex inċidenti tat-traffiku”.

( 37 ) Din id-distinzjoni tinsab f’ċerti ordinamenti ġuridiċi nazzjonali, peress li din hija korollarju inevitabbli tal-ħajja fis-soċjetà. Reċentement, fir-rigward tal-protezzjoni tad-data, fl-Italja, it-Tribunale di Palermo, sez. I civile, sentenza 05/10/2017 Nru 5261, kif ukoll Cass. Civ., Ord. sez. VI, Nru 17383/2020. Fil-Ġermanja, inter alia, AG Diez, 07.11.2018 - 8 C 130/18; LG Karlsruhe, 02.08.2019 - 8 O 26/19, u AG Frankfurt am Main, 10.07.2020 - 385 C 155/19 (70). Fl-Awstrija, OGH 6 Ob 56/21k.

( 38 ) Ara s-sentenza tat-23 ta’ Ottubru 2012, Nelson et (C‑581/10 u C‑629/10, EU:C:2012:657, punt 51), dwar id-distinzjoni bejn id-“danni” fis-sens tal-Artikolu 19 tal-Konvenzjoni għall-Unifikazzjoni ta’ Ċerti Regoli għat-Trasport Internazzjonali bl-Ajru, konkluża f’Montreal fit-28 ta’ Mejju 1999, u l-“inkonvenjenzi”, fis-sens tar-Regolament Nru 261/2004, li jistgħu jiġu kkumpensati skont l-Artikolu 7 ta’ dan tal-aħħar, fis-sens tas-sentenza tad-19 ta’ Novembru 2009, Sturgeon et (C‑402/07 u C‑432/07, EU:C:2009:716). F’dan is-settur, bħal f’dak tat-trasport tal-passiġġieri bil-baħar u permezz ta’ navigazzjoni interna li għalih jirreferi r-Regolament Nru 1177/2010, il-leġiżlatur seta’ jirrikonoxxi kategorija astratta peress li l-element determinanti tad-diffikultà, u l-essenza tiegħu, huma identiċi għall-persuni kkonċernati kollha. Ma naħsibx li din id-deduzzjoni hija possibbli fil-qasam tal-protezzjoni tad-data.

( 39 ) Skont l-Irlanda, dawn il-kunsiderazzjonijiet huma partikolarment importanti fil-prattika, fil-kuntest taċ-ċiberkriminalità, għaliex jekk kull persuna affettwata - anki jekk biss b’mod minimu - minn ksur ikollha dritt għal kumpens għal danni mhux materjali, dan ikollu effett kbir, b’mod partikolari fuq il-kontrolluri responsabbli għad-data tas-settur pubbliku, li huma ffinanzjati minn fondi pubbliċi limitati u li għandhom pjuttost iservu interessi kollettivi, inkluż it-titjib tas-sigurtà tad-data personali (osservazzjonijiet bil-miktub, punt 72).

( 40 ) Ara l-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona, iċċitati iktar’ il fuq, punt 116.