SENTENZA TAL-QORTI TAL-ĠUSTIZZJA (It-Tielet Awla)

14 ta’ Diċembru 2023 ( *1 )

“Rinviju għal deċiżjoni preliminari – Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Artikolu 5 – Prinċipji dwar l-ipproċessar – Artikolu 24 – Responsabbiltà tal-kontrollur – Artikolu 32 – Miżuri implimentati biex tiġi żgurata s-sigurtà tal-ipproċessar – Evalwazzjoni tan-natura xierqa ta’ tali miżuri – Portata tal-istħarriġ ġudizzjarju – Produzzjoni tal-provi – Artikolu 82 – Dritt għal kumpens u responsabbiltà – Eżenzjoni eventwali mir-responsabbiltà tal-kontrollur fil-każ ta’ ksur imwettaq minn terzi – Talba għal kumpens għal dannu morali bbażata fuq il-biża’ ta’ użu abbużiv potenzjali ta’ data personali”

Fil-Kawża C‑340/21,

li għandha bħala suġġett talba għal deċiżjoni preliminari skont l-Artikolu 267 TFUE, imressqa mill-Varhoven administrativen sad (il-Qorti Amministrattiva Suprema, il-Bulgarija), permezz ta’ deċiżjoni tal‑14 ta’ Mejju 2021, li waslet fil-Qorti tal-Ġustizzja fit‑2 ta’ Ġunju 2021, fil-proċedura

Natsionalna agentsia za prihodite,

IL-QORTI TAL-ĠUSTIZZJA (It-Tielet Awla),

komposta minn K. Jürimäe, Presidenta tal-Awla, N. Piçarra, M. Safjan, N. Jääskinen (Relatur) u M. Gavalec, Imħallfin,

Avukat Ġenerali: G. Pitruzzella,

Reġistratur: A. Calot Escobar,

wara li rat il-proċedura bil-miktub,

wara li kkunsidrat l-osservazzjonijiet ippreżentati:

–	għan-Natsionalna agentsia za prihodite, minn R. Spetsov,

–	għall-Gvern Bulgaru, minn M. Georgieva u L. Zaharieva, bħala aġenti,

–	għall-Gvern Ċek, minn O. Serdula, M. Smolek u J. Vláčil, bħala aġenti,

–	għall-Irlanda, minn M. Browne, Chief State Solicitor, A. Joyce, J. Quaney u M. Tierney, bħala aġenti, assistiti minn D. Fennelly, BL,

–	għall-Gvern Taljan, minn G. Palmieri, bħala aġent, assistita minn E. De Bonis, avvocato dello Stato,

–	għall-Gvern Portugiż, minn P. Barros da Costa, A. Pimenta, J. Ramos u C. Vieira Guerra, bħala aġenti,

–	għall-Kummissjoni Ewropea, minn A. Bouchagiar, H. Kranenborg u N. Nikolova, bħala aġenti,

wara li semgħet il-konklużjonijiet tal-Avukat Ġenerali, ippreżentati fis-seduta tas‑27 ta’ April 2023,

tagħti l-preżenti

Sentenza

It-talba għal deċiżjoni preliminari tirrigwarda l-interpretazzjoni tal-Artikolu 5(2), tal-Artikoli 24 u 32 kif ukoll tal-Artikolu 82(1) sa (3) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU 2016, L 119, p. 1, u rettifika fil-ĠU 2018, L 127, p. 2, iktar ’il quddiem il-“GDPR”).

Din it-talba tressqet fil-kuntest ta’ tilwima bejn VB, persuna fiżika, u n-Natsionalna agentsia za prihodite (l-Aġenzija Nazzjonali tad-Dħul Pubbliku, il-Bulgarija) (iktar ’il quddiem in-“NAP”) dwar il-kumpens għad-dannu morali li l-imsemmija persuna ssostni li ġarrbet minħabba allegat nuqqas ta’ din l-awtorità pubblika li twettaq l-obbligi legali tagħha fil-kwalità tagħha ta’ kontrollur ta’ data personali.

Il‑kuntest ġuridiku

Il-premessi 4, 10, 11, 74, 76, 83, 85 u 146 tal-GDPR huma fformulati kif ġej:

“4.

[…] Dan ir-regolament jirrispetta d-drittijiet fundamentali kollha u josserva l-libertajiet u l-prinċipji rikonoxxuti fil-[Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea] kif integrata fit-Trattati, b’mod partikolari r-rispett għall-ħajja privata u tal-familja, id-dar u l-komunikazzjonijiet, il-protezzjoni tad-data personali, […], id-dritt għal rimedju effettiv u għal proċess imparzjali […]

[…]

(10)

Sabiex ikun żgurat livell konsistenti u għoli ta’ protezzjoni tal-persuni fiżiċi u sabiex jitneħħew l-ostakoli għaċ-ċirkolazzjoni tad-data personali fl-Unjoni [Ewropea], il-livell ta’ protezzjoni tad-drittijiet u l-libertajiet tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ din id-data għandu jkun ekwivalenti fl-Istati Membri kollha. L-applikazzjoni konsistenti u omoġenea tar-regoli għall-protezzjoni tad-drittijiet u l-libertajiet fundamentali tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali għandha tkun żgurata fl-Unjoni kollha. […]

(11)	Il-protezzjoni effettiva tad-data personali fl-Unjoni kollha teħtieġ it-tisħiħ u l-ispeċifikar fid-dettall tad-drittijiet tas-suġġetti tad-data u l-obbligi ta’ dawk li jipproċessaw u jiddeterminaw l-ipproċessar ta’ data personali, […]

[…]

(74)

Ir-responsabbiltà tal-kontrollur għal kwalunkwe pproċessar ta’ data personali li jitwettaq mill-kontrollur jew f’isem il-kontrollur għandha tiġi stabbilita. B’mod partikolari, il-kontrollur għandu jkun obbligat jimplimenta miżuri adatti u effettivi u jkun jista’ juri l-konformità tal-attivitajiet ta’ pproċessar ma’ dan ir-Regolament, inkluża l-effettività tal-miżuri. Dawk il-miżuri għandhom jikkunsidraw in-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u r-riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi.

[…]

(76)

Il-probabbiltà u l-gravità tar-riskju għad-drittijiet u l-libertajiet tas-suġġett tad-data għandhom jiġu ddeterminati b’referenza għan-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar tad-data. Ir-riskju għandu jiġi evalwat abbażi ta’ valutazzjoni oġġettiva, li permezz tagħha jiġi stabbilit jekk l-operazzjonijiet tal-ipproċessar tad-data jinvolvux riskju jew riskju għoli.

[…]

(83)

Sabiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji, bħall-kriptaġġ. Dawn il-miżuri għandhom jiżguraw livell adatt ta’ sigurtà, inkluża kunfidenzjalità, filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku u l-ispejjeż tal-implimentazzjoni b’rabta mar-riskji u n-natura tad-data personali li għandha tkun protetta. Fil-valutazzjoni tar-riskju tas-sigurtà tad-data, għandha tingħata konsiderazzjoni lir-riskji li huma ppreżentati mill-ipproċessar tad-data personali, bħall-qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata b’xi mod ieħor, li jkun aċċidentali jew illegali, li jista’ b’mod partikolari jwassal għal dannu fiżika, materjali jew mhux materjali.

[…]

(85)

Il-vjolazzjoni ta’ data personali tista’, jekk ma tiġix indirizzata b’mod adegwat u fil-ħin, tirriżulta f’dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi bħat-telf ta’ kontroll tad-data personali tagħhom jew limitazzjoni tad-drittijiet tagħhom, diskriminazzjoni, serq tal-identità jew frodi, telf finanzjarju, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità tad-data personali protetta mis-segretezza professjonali jew kwalunkwe żvantaġġ ekonomiku jew soċjali ieħor għall-persuna fiżika kkonċernata. Għalhekk, malli l-kontrollur jinduna li sar ksur ta’ data personali, il-kontrollur għandu jinnotifika l-ksur tad-data personali lill-awtorità superviżorja mingħajr dewmien bla bżonn […]

[…]

(146)

Il-kontrollur jew il-proċessur għandu jikkumpensa għal kwalunkwe dannu li tista’ ssofri persuna b’riżultat ta’ pproċessar li jikser dan ir-Regolament. Il-kontrollur jew il-proċessur għandu jiġi eżentat mir-responsabbiltà jekk iġib provi li huwa mhuwiex responsabbli bl-ebda mod għad-dannu. Il-kunċett ta’ dannu għandu jiġi interpretat b’mod wiesa’ fid-dawl tal-każistika tal-Qorti tal-Ġustizzja b’mod li jissodisfa b’mod sħiħ l-objettivi ta’ dan ir-Regolament. Dan huwa mingħajr preġudizzju għal kwalunkwe talba għal kumpens għal danni li tirriżulta minn ksur ta’ regoli oħra fil-liġi tal-Unjoni jew ta’ Stat Membru. L-ipproċessar li jikser dan ir-Regolament jinkludi wkoll l-ipproċessar li ma jkunx f’konformità mal-atti delegati u ta’ implimentazzjoni adottati f’konformità ma’ dan ir-Regolament u l-liġi tal-Istat Membru li jispeċifikaw ir-regoli ta’ dan ir-Regolament. Is-suġġetti tad-data għandhom jirċievu kumpens sħiħ u effettiv għad-dannu li jkunu ġarrbu. […]”

L-Artikolu 4 ta’ dan ir-regolament, intitolat “Definizzjonijiet”, jipprovdi:

“Għall-finijiet ta’ dan ir-Regolament:

(1)	‘data personali’ tfisser kwalunkwe informazzjoni relatata ma’ persuna fiżika identifikata jew identifikabbli (‘suġġett tad-data’); […]

(2)	‘ipproċessar’ tfisser kwalunkwe attività jew sett ta’ attivitajiet li jitwettqu fuq data personali jew fuq settijiet ta’ data personali, sew jekk b’mezzi awtomatizzati u sew jekk mingħajrhom […] […]

[…]

(7)	‘kontrollur’ tfisser persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew kwalunkwe korp ieħor li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali; […]

[…]

(10)	‘parti terza’ tfisser persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp għajr is-suġġett tad-data, il-kontrollur, il-proċessur u l-persuni li, taħt l-awtorità diretta tal-kontrollur jew tal-proċessur, ikunu awtorizzati li jipproċessaw id-data personali;

[…]

(12)	‘ksur ta’ data personali’ tfisser ksur tas-sigurtà li jwassal għal qerda aċċidentali jew illegali, telf, bidliet, żvelar mhux awtorizzat ta’, jew aċċess għal, data personali trażmessa, maħżuna jew ipproċessata b’xi mod ieħor;

[…]”

L-Artikolu 5 tal-imsemmi regolament, intitolat “Prinċipji relatati mal-ipproċessar ta’ data personali”, jipprovdi:

“1. Id-data personali għandha:

(a)	tkun ipproċessata legalment, ġustament u b’mod trasparenti fir-rigward tas-suġġett tad-data (‘legalità, ġustizzja u trasparenza’);

[…]

(f)	tiġi pproċessata b’mod li jiżgura sigurtà xierqa tad-data personali, inkluża l-protezzjoni mill-ipproċessar mhux awtorizzat jew illegali u kontra t-telf, il-qerda jew il-ħsara aċċidentali, bl-użu ta’ miżuri tekniċi jew organizzattivi xierqa (‘integrità u kunfidenzjalità’).

2. Il-kontrollur għandu jkun responsabbli għall-konformità mal-paragrafu 1 u jkun kapaċi juriha (‘responsabbiltà’).”

Skont l-Artikolu 24 tal-istess regolament, intitolat “Responsabbiltà tal-kontrollur”:

“1. B’kont meħud tan-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskji ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura u jkun jista’ juri li l-ipproċessar isir f’konformità ma’ dan ir-Regolament. Dawk il-miżuri għandhom jiġu rieżaminati u aġġornati fejn meħtieġ.

2. Fejn dawn ikunu proporzjonati fir-rigward ta’ attivitajiet ta’ pproċessar, il-miżuri msemmija fil-paragrafu 1 għandhom jinkludu l-implimentazzjoni ta’ politiki adatti dwar il-protezzjoni tad-data mill-kontrollur.

3. Il-konformità mal-kodiċijiet tal-kondotta kif imsemmi fl-Artikolu 40 jew mekkaniżmi ta’ ċertifikazzjoni approvati kif imsemmi fl-Artikolu 42 jistgħu jintużaw bħala element li bih tintwera l-konformità mal-obbligi tal-kontrollur.”

L-Artikolu 32 tal-GDPR, intitolat “Sigurtà tal-ipproċessar”, jipprovdi:

“1. Filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni u in-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskju ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur u l-proċessur għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa, biex jiżguraw livell ta’ sigurtà xieraq għar-riskju, inklużi inter alia kif xieraq:

(a)	il-psewdonimizzazzjoni u l-kriptaġġ tad-data personali;

(b)	il-kapaċità li jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi ta’ pproċessar;

(c)	il-kapaċità li jiġu restawrati d-disponibbiltà u l-aċċess għad-data personali fil-pront fil-każ ta’ inċident fiżiku jew tekniku;

(d)	proċess sabiex tiġi ttestjata, ivvalutata u evalwata l-effettività tal-miżuri tekniċi u organizzattivi li jiżguraw is-sigurtà tal-ipproċessar.

2. Fl-evalwazzjoni tal-livell xieraq ta’ sigurtà ser jitqiesu b’mod partikolari r-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali.

3. L-osservanza ta’ kodiċi ta’ kondotta approvat kif imsemmi fl-Artikolu 40 jew mekkaniżmu ta’ ċertifikazzjoni approvat kif imsemmi fl-Artikolu 42 jistgħu jintużaw bħala element li bih tintwera konformità mar-rekwiżiti stipulati fil-paragrafu 1 ta’ dan l-Artikolu.

[…]”

L-Artikolu 79 ta’ dan ir-regolament, intitolat “Dritt għal rimedju ġudizzjarju effettiv kontra kontrollur jew proċessur”, jipprovdi, fil-paragrafu 1 tiegħu:

“Mingħajr preġudizzju għal kwalunkwe rimedju amministrattiv jew mhux ġudizzjarju disponibbli, inkluż id-dritt li jitressaq ilment quddiem awtorità superviżorja skont l-Artikolu 77, kull suġġett tad-data għandu d-dritt għal rimedju ġudizzjarju effettiv fejn jikkunsidra li nkisru d-drittijiet tiegħu taħt dan ir-Regolament b’riżultat tal-ipproċessar tad-data personali tiegħu b’nuqqas ta’ konformità ma’ dan ir-Regolament.”

L-Artikolu 82 tar-regolament imsemmi, intitolat “Dritt għal kumpens u responsabbiltà”, jipprovdi, fil-paragrafi 1 u 3 tiegħu:

“1. Kwalunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab.

2. Kwalunkwe kontrollur involut fl-ipproċessar għandu jkunu responsabbli għad-dannu kkawżat mill-ipproċessar li jikser dan ir-Regolament. […]

3. Kontrollur jew proċessur għandu jkun eżentat mir-responsabbiltà taħt il-paragrafu 2 jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu.”

Il‑kawża prinċipali u d‑domandi preliminari

10	In-NAP hija awtorità marbuta mal-Ministru għall-Finanzi Bulgaru. Fil-kuntest tal-kompiti tagħha, li jikkonsistu, inter alia, fl-identifikazzjoni, fl-iżgurar u fl-irkupru tal-krediti pubbliċi, hija responsabbli għall-ipproċessar ta’ data personali, fis-sens tal-punt 7 tal-Artikolu 4 tal-GDPR.

11	Fil‑15 ta’ Lulju 2019, il-medja żvelat li kien seħħ aċċess mhux awtorizzat għas-sistema informatika tan-NAP u li, wara dan l-attakk ċibernetiku, data personali li tinsab fl-imsemmija sistema kienet ġiet ippubblikata fuq l-internet.

Iktar minn sitt miljun persuna fiżika, ta’ nazzjonalità Bulgara jew barranija, kienu kkonċernati minn dawn l-avvenimenti. Xi mijiet minnhom, fosthom ir-rikorrenti fil-kawża prinċipali, ippreżentaw, kontra n-NAP, azzjonijiet għall-kumpens għad-danni morali li rriżultaw mill-iżvelar tad-data personali tagħhom.

Huwa f’dan il-kuntest li r-rikorrenti fil-kawża prinċipali ppreżentat rikors quddiem l-Administrativen sad Sofia-grad (il-Qorti Amministrattiva tal-Belt ta’ Sofija, il-Bulgarija) intiż biex in-NAP tħallasha s-somma ta’ BGN 1000 (lev Bulgaru) (madwar EUR 510) bħala danni, abbażi tal-Artikolu 82 tal-GDPR u tad-dispożizzjonijiet tad-dritt Bulgaru. Insostenn ta’ din it-talba, hija sostniet li ġarrbet dannu morali li jirriżulta minn ksur ta’ data personali, fis-sens tal-punt 12 tal-Artikolu 4 tal-GDPR, b’mod iktar partikolari ksur tas-sigurtà li kien ikkawżat minn nuqqas tan-NAP li twettaq l-obbligi tagħha skont, b’mod partikolari, l-Artikolu 5(1)(f) kif ukoll l-Artikoli 24 u 32 ta’ dan ir-regolament. Id-dannu morali tagħha jikkonsisti fil-biża’ li d-data personali tagħha li ġiet ippubblikata mingħajr il-kunsens tagħha tkun is-suġġett ta’ użu abbużiv, fil-futur, jew li hija stess issofri rikatt, aggressjoni, jew ħtif.

Bħala difiża, in-NAP, qabel kollox, sostniet li r-rikorrenti fil-kawża prinċipali ma kinitx talbitha informazzjoni dwar id-data preċiża li kienet ġiet żvelata. Sussegwentement, in-NAP ipproduċiet dokumenti intiżi biex jipprovaw li hija kienet ħadet il-miżuri kollha neċessarji, minn qabel, sabiex tipprevjeni l-ksur tad-data personali li tinsab fis-sistema informatika tagħha kif ukoll, downstream, sabiex tillimita l-effetti ta’ dan il-ksur u sabiex tassigura liċ-ċittadini. Barra minn hekk, skont in-NAP, ma kienx hemm rabta kawżali bejn id-dannu morali allegat u l-imsemmi ksur. Fl-aħħar nett, hija sostniet li, peress li hija stess sofriet preġudizzju malizzjuż min-naħa ta’ persuni li ma kinux l-impjegati tagħha, hija ma tistax tinżamm responsabbli għall-konsegwenzi dannużi ta’ dan il-preġudizzju.

Permezz ta’ deċiżjoni tas‑27 ta’ Novembru 2020, l-Administrativen sad Sofia-grad (il-Qorti Amministrattiva tal-Belt ta’ Sofija) ċaħdet ir-rikors tar-rikorrenti fil-kawża prinċipali. Din il-qorti qieset, minn naħa, li l-aċċess mhux awtorizzat għad-database tan-NAP kien jirriżulta minn piraterija informatika mwettqa minn terzi u, min-naħa l-oħra, li r-rikorrenti fil-kawża prinċipali ma kinitx ipprovat nuqqas tan-NAP fir-rigward tal-adozzjoni ta’ miżuri ta’ sigurtà. Barra minn hekk, hija qieset li din ir-rikorrenti ma kinitx ġarrbet dannu morali li jagħti dritt għal kumpens.

Ir-rikorrenti fil-kawża prinċipali appellat fil-kassazzjoni mill-imsemmija deċiżjoni quddiem il-Varhoven administrativen sad (il-Qorti Amministrattiva Suprema, il-Bulgarija), li hija l-qorti tar-rinviju f’din il-kawża. Insostenn tal-appell tagħha, hija ssostni li l-qorti tal-ewwel istanza wettqet żball ta’ liġi fit-tqassim tal-oneru tal-prova dwar il-miżuri ta’ sigurtà meħuda min-NAP u li din tal-aħħar ma wrietx l-assenza ta’ nuqqas li tittieħed azzjoni min-naħa tagħha f’dan ir-rigward. Barra minn hekk, ir-rikorrenti fil-kawża prinċipali tallega li l-biża’ ta’ użu abbużiv possibbli tad-data personali tagħha fil-futur tikkostitwixxi dannu morali reali, u mhux ipotetiku. Fid-difiża tagħha, in-NAP tikkontesta kull wieħed minn dawn l-argumenti.

17	Il-qorti tar-rinviju tipprevedi, qabel kollox, il-possibbiltà li l-konstatazzjoni tas-seħħ ta’ ksur ta’ data personali tippermetti, waħedha, li jiġi konkluż li l-miżuri implimentati mill-kontrollur ta’ din id-data ma kinux “xierqa”, fis-sens tal-Artikoli 24 u 32 tal-GDPR.

Madankollu, fil-każ li din il-konstatazzjoni ma tkunx suffiċjenti sabiex tintlaħaq tali konklużjoni, hija tistaqsi, minn naħa, dwar il-portata tal-istħarriġ li l-qrati nazzjonali għandhom iwettqu sabiex jevalwaw in-natura xierqa tal-miżuri kkonċernati u, min-naħa l-oħra, dwar ir-regoli dwar il-produzzjoni tal-provi li għandhom japplikaw f’dan il-kuntest, kemm fir-rigward tal-oneru tal-prova kif ukoll fir-rigward tal-provi, b’mod partikolari meta dawn il-qrati jiġu aditi b’kawża għad-danni bbażata fuq l-Artikolu 82 ta’ dan ir-regolament.

Sussegwentement, din il-qorti tixtieq tkun taf jekk, fid-dawl tal-Artikolu 82(3) tal-imsemmi regolament, il-fatt li l-ksur ta’ data personali jirriżulta minn att imwettaq minn terzi, f’dan il-każ minn attakk ċibernetiku, jikkostitwixxix fattur li jeżenta sistematikament lill-kontrollur ta’ din id-data mir-responsabbiltà tiegħu għad-dannu kkawżat lill-persuna kkonċernata.

Fl-aħħar nett, l-imsemmija qorti tistaqsi jekk il-biża’ li tħoss persuna li d-data personali tagħha tista’ tkun is-suġġett ta’ użu abbużiv fil-futur, f’dan il-każ wara aċċess mhux awtorizzat għaliha u l-iżvelar tagħha minn ċiberkriminali, tistax, waħedha, tikkostitwixxi “dannu morali”, fis-sens tal-Artikolu 82(1) tal-GDPR. Fl-affermattiv, din il-persuna tkun eżentata milli tistabbilixxi li terzi jkunu għamlu, qabel it-talba tagħha għal kumpens, użu illegali minn din id-data, bħal użu ħażin tal-identità tagħha.

F’dawn iċ-ċirkustanzi, il-Varhoven administrativen sad (il-Qorti Amministrattiva Suprema) iddeċidiet li tissospendi l-proċeduri quddiemha u li tagħmel lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:

“1)

L-Artikolu 24 u l-Artikolu 32 [tal-GDPR] jistgħu jiġu interpretati fis-sens li, sabiex jiġi konkluż li l-miżuri tekniċi u organizzattivi implimentati ma humiex adegwati, huwa biżżejjed li l-iżvelar mhux awtorizzat ta’ data personali jew l-aċċess mhux awtorizzat għal data personali, fis-sens tal-punt 12 tal-Artikolu 4 [tal-GDPR], jitwettqu minn persuni li ma humiex impjegati fl-amministrazzjoni tal-kontrollur responsabbli għad-data personali u li ma jaqgħux taħt il-kontroll tiegħu?

Fil-każ li tingħata risposta fin-negattiv għall-ewwel domanda, x’għandhom ikunu s-suġġett u l-portata tal-istħarriġ ġudizzjarju tal-legalità fil-kuntest ta’ kwistjoni dwar jekk il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali taħt l-Artikolu 32 [tal-GDPR] humiex adegwati?

Fil-każ li tingħata risposta fin-negattiv għall-ewwel domanda, il-prinċipju ta’ responsabbiltà stabbilit fl-Artikolu 5(2) u l-Artikolu 24, moqrija flimkien mal-premessa 74 [tal-GDPR], jistgħu jiġu interpretati fis-sens li, fil-kuntest ta’ kawża mressqa skont l-Artikolu 82(1) [tal-imsemmi regolament], il-kontrollur responsabbli għad-data personali għandu l-oneru jipprova li l-miżuri tekniċi u organizzattivi implimentati taħt l-Artikolu 32 [tal-istess regolament] huma adegwati?

Il-ħatra ta’ perit legali tista’ titqies li hija mezz ta’ prova neċessarju u suffiċjenti sabiex jiġi stabbilit jekk il-miżuri tekniċi u organizzattivi implimentati mill-kontrollur responsabbli għad-data personali humiex adegwati f’sitwazzjoni bħal dik ineżami, fejn l-aċċess mhux awtorizzat għal data personali u l-iżvelar mhux awtorizzat ta’ data personali kienu r-riżultat ta’ ‘hacking’?

L-Artikolu 82(3) [tal-GDPR] jista’ jiġi interpretat fis-sens li l-iżvelar mhux awtorizzat ta’ data personali jew l-aċċess mhux awtorizzat għal data personali, fis-sens tal-punt 12 tal-Artikolu 4 [tal-GDPR], fil-każ ta’ ‘hacking’, minn persuni li ma humiex impjegati fl-amministrazzjoni tal-kontrollur responsabbli għad-data personali u li ma jaqgħux taħt il-kontroll tiegħu, huma avvenimenti li għalihom dan il-kontrollur fl-ebda każ ma jista’ jinżamm responsabbli u jikkostitwixxu ġustifikazzjoni sabiex jinħeles mir-responsabbiltà tiegħu?

L-Artikolu 82(1) u (2), flimkien mal-premessi 85 u 146 tal-preambolu [tal-GDPR], jista’ jiġi interpretat fis-sens li, f’sitwazzjoni bħal dik ineżami fejn kien hemm ksur tas-sigurtà tad-data personali minħabba aċċess mhux awtorizzat għal data personali u komunikazzjoni mhux awtorizzata ta’ data personali mwettqa permezz ta’ ‘hacking’, jaqa’ fi ħdan it-tifsira wiesgħa tal-kunċett ta’ dannu morali u jikkostitwixxi bażi għall-għoti ta’ kumpens s-sempliċi fatt li s-suġġett tad-data jesprimi tħassib, inkwiet u perikolu ta’ eventwali abbuż fil-futur mid-data personali, mingħajr ma jkun ġie stabbilit tali abbuż u/jew mingħajr ma jkun ġie stabbilit dannu ieħor għas-suġġett tad-data?”

Fuq id‑domandi preliminari

Fuq l‑ewwel domanda

Permezz tal-ewwel domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, dwar jekk l-Artikoli 24 u 32 tal-GDPR għandhomx jiġu interpretati fis-sens li żvelar mhux awtorizzat ta’ data personali jew aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 ta’ dan ir-regolament, huma suffiċjenti, waħedhom, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens ta’ dawn l-Artikoli 24 u 32.

Preliminarjament, għandu jitfakkar li, skont ġurisprudenza stabbilita, it-termini ta’ dispożizzjoni tad-dritt tal-Unjoni li, bħall-Artikoli 24 u 32 tal-GDPR, ma tinkludi ebda riferiment espress għad-dritt tal-Istati Membri sabiex jiġu ddeterminati t-tifsira u l-portata tagħha, għandhom normalment jingħataw, fl-Unjoni kollha, interpretazzjoni awtonoma u uniformi, li għandha tiġi mfittxija billi jittieħdu inkunsiderazzjoni, b’mod partikolari, il-formulazzjoni tad-dispożizzjoni kkonċernata, l-għanijiet imfittxija minn din tal-aħħar u l-kuntest tagħha (ara, f’dan is-sens, is-sentenzi tat‑18 ta’ Jannar 1984, Ekro, 327/82, EU:C:1984:11, punt 11; tal‑1 ta’ Ottubru 2019, Planet49,C‑673/17, EU:C:2019:801, punti 47 u 48, kif ukoll tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punt 29).

Fl-ewwel lok, fir-rigward tal-formulazzjoni tad-dispożizzjonijiet rilevanti, għandu jiġi rrilevat li l-Artikolu 24 tal-GDPR jipprevedi obbligu ġenerali, impost fuq il-kontrollur tal-ipproċessar ta’ data personali, li jimplimenta miżuri tekniċi u organizzattivi xierqa sabiex jiżgura ruħu li l-imsemmi pproċessar jitwettaq f’konformità ma’ dan ir-regolament u sabiex ikun jista’ juri dan.

Għal dan l-għan, dan l-Artikolu 24 jelenka, fil-paragrafu 1 tiegħu, ċertu numru ta’ kriterji li għandhom jittieħdu inkunsiderazzjoni sabiex tiġi evalwata n-natura xierqa ta’ tali miżuri, jiġifieri n-natura, il-portata, il-kuntest u l-għanijiet tal-ipproċessar kif ukoll ir-riskji, li l-grad ta’ probabbiltà u ta’ gravità tagħhom ivarja, għad-drittijiet u għal-libertajiet tal-persuni fiżiċi. Din id-dispożizzjoni żżid li l-imsemmija miżuri għandhom jiġu eżaminati mill-ġdid u aġġornati jekk ikun meħtieġ.

F’din il-perspettiva, l-Artikolu 32 tal-GDPR jispeċifika l-obbligi tal-kontrollur u ta’ proċessur eventwali fir-rigward tas-sigurtà ta’ dan l-ipproċessar. Għalhekk, il-paragrafu 1 ta’ dan l-artikolu jipprovdi li dawn tal-aħħar għandhom jimplimentaw il-miżuri tekniċi u organizzattivi xierqa sabiex jiggarantixxu livell ta’ sigurtà adattat għar-riskji msemmija fil-punt preċedenti ta’ din is-sentenza, billi jieħdu inkunsiderazzjoni l-istat tal-għarfien, l-ispejjeż tal-implimentazzjoni kif ukoll in-natura, il-portata, il-kuntest u l-għanijiet tal-ipproċessar ikkonċernat.

Bl-istess mod, il-paragrafu 2 ta’ dan l-artikolu jipprovdi li, fl-evalwazzjoni tal-livell xieraq ta’ sigurtà, għandhom jitqiesu, b’mod partikolari, ir-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali.

Barra minn hekk, kemm l-Artikolu 24(3) ta’ dan ir-regolament kif ukoll l-Artikolu 32(3) tiegħu jindikaw li l-kontrollur jew il-proċessur jista’ juri li huwa osserva r-rekwiżiti tal-paragrafi 1 rispettivi ta’ dawn l-artikoli billi jibbaża ruħu fuq il-fatt li huwa japplika kodiċi ta’ kondotta approvat jew mekkaniżmu ta’ ċertifikazzjoni approvat, kif previst fl-Artikoli 40 u 42 tal-imsemmi regolament.

29	Ir-riferiment, li jinsab fl-Artikolu 32(1) u (2) tal-GDPR, għal “livell ta’ sigurtà adatt għar-riskju” u għal “livell xieraq ta’ sigurtà” juri li dan ir-regolament jistabbilixxi sistema ta’ ġestjoni tar-riskji u li bl-ebda mod ma jallega li jelimina r-riskji ta’ ksur tad-data personali.

Għalhekk, mill-kliem tal-Artikoli 24 u 32 tal-GDPR jirriżulta li dawn id-dispożizzjonijiet sempliċement jimponu fuq il-kontrollur l-obbligu li jadotta miżuri tekniċi u organizzattivi intiżi biex jiġi evitat, sa fejn ikun possibbli, kull ksur ta’ data personali. In-natura xierqa ta’ tali miżuri għandha tiġi evalwata b’mod konkret, billi jiġi eżaminat jekk dawn il-miżuri ġewx implimentati minn dan il-kontrollur b’teħid inkunsiderazzjoni tal-kriterji differenti previsti mill-imsemmija artikoli u tal-bżonnijiet ta’ protezzjoni tad-data speċifikament inerenti għall-ipproċessar ikkonċernat kif ukoll għar-riskji kkawżati minn dan tal-aħħar.

Għaldaqstant, l-Artikoli 24 u 32 tal-GDPR ma jistgħux jinftiehmu fis-sens li żvelar mhux awtorizzat ta’ data personali jew aċċess mhux awtorizzat għal tali data minn terz huma biżżejjed sabiex jiġi konkluż li l-miżuri adottati mill-kontrollur ikkonċernat ma kinux xierqa, fis-sens ta’ dawn id-dispożizzjonijiet, mingħajr ma jippermettu lil dan tal-aħħar li jipproduċi l-prova kuntrarja.

Tali interpretazzjoni hija iktar u iktar neċessarja peress li l-Artikolu 24 tal-GDPR jipprevedi espressament li l-kontrollur għandu jkun f’pożizzjoni li juri l-konformità ma’ dan ir-regolament tal-miżuri li jkun implimenta, possibbiltà li jiġi mċaħħad minnha jekk tiġi aċċettata preżunzjoni inkonfutabbli.

33	Fit-tieni lok, elementi ta’ natura kuntestwali u teleoloġika jikkorroboraw din l-interpretazzjoni tal-Artikoli 24 u 32 tal-GDPR.

Fir-rigward, minn naħa, tal-kuntest li jaqgħu fih dawn iż-żewġ artikoli, għandu jiġi rrilevat li mill-Artikolu 5(2) tal-GDPR jirriżulta li l-kontrollur għandu jkun f’pożizzjoni li juri li huwa osserva l-prinċipji relatati mal-ipproċessar tad-data personali stabbiliti fil-paragrafu 1 tal-imsemmi artikolu. Dan l-obbligu huwa inkluż u speċifikat fl-Artikolu 24(1) u (3), kif ukoll fl-Artikolu 32(3) ta’ dan ir-regolament, fir-rigward tal-obbligu li jiġu implimentati miżuri tekniċi u organizzattivi sabiex tiġi protetta tali data waqt l-ipproċessar imwettaq minn dan il-kontrollur. Issa, tali obbligu li tintwera n-natura xierqa ta’ dawn il-miżuri ma jagħmilx sens jekk il-kontrollur ikun obbligat jimpedixxi kull preġudizzju għall-imsemmija data.

Barra minn hekk, il-premessa 74 tal-GDPR tenfasizza li huwa importanti li l-kontrollur ikun obbligat jimplimenta miżuri xierqa u effettivi u jkun jista’ juri l-konformità tal-attivitajiet ta’ pproċessar ma’ dan ir-regolament, inkluża l-effettività tal-miżuri, li għandhom jieħdu inkunsiderazzjoni kriterji, marbuta mal-karatteristiċi tal-ipproċessar ikkonċernat u mar-riskju ppreżentat minnu, li huma stabbiliti wkoll fl-Artikoli 24 u 32 tiegħu.

36	Bl-istess mod, skont il-premessa 76 ta’ dan ir-regolament, il-probabbiltà u l-gravità tar-riskju jiddependu mill-ispeċifiċitajiet tat-trattament inkwistjoni u dan ir-riskju għandu jkun is-suġġett ta’ evalwazzjoni oġġettiva.

Barra minn hekk, mill-Artikolu 82(2) u (3) tal-GDPR jirriżulta li, għalkemm kontrollur huwa responsabbli għad-dannu kkawżat mill-ipproċessar li jikkostitwixxi ksur ta’ dan ir-regolament, huwa madankollu eżentat mir-responsabbiltà tiegħu jekk jipprova li l-fatt li kkawża d-dannu bl-ebda mod ma huwa imputabbli lilu.

Min-naħa l-oħra, l-interpretazzjoni mogħtija fil-punt 31 ta’ din is-sentenza hija wkoll akkreditata mill-premessa 83 tal-GDPR, li tipprovdi, fl-ewwel sentenza tagħha, li, “[s]abiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji”. B’dan il-mod, il-leġiżlatur tal-Unjoni wera l-intenzjoni tiegħu li “jnaqqas” ir-riskji ta’ ksur tad-data personali, mingħajr ma allega li huwa possibbli li din tiġi eliminata.

Fid-dawl tar-raġunijiet preċedenti, ir-risposta għall-ewwel domanda għandha tkun li l-Artikoli 24 u 32 tal-GDPR għandhom jiġu interpretati fis-sens li żvelar mhux awtorizzat ta’ data personali jew aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 ta’ dan ir-regolament, ma humiex biżżejjed, waħedhom, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens ta’ dawn l-Artikoli 24 u 32.

Fuq it‑tieni domanda

Permezz tat-tieni domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 32 tal-GDPR għandux jiġi interpretat fis-sens li n-natura xierqa tal-miżuri tekniċi u organizzattivi implimentati mill-kontrollur, skont dan l-artikolu, għandha tiġi evalwata mill-qrati nazzjonali b’mod konkret, b’mod partikolari billi jittieħdu inkunsiderazzjoni r-riskji marbuta mal-ipproċessar ikkonċernat.

F’dan ir-rigward, għandu jitfakkar li, kif ġie enfasizzat fil-kuntest tar-risposta għall-ewwel domanda, l-Artikolu 32 tal-GDPR jeżiġi li l-kontrollur u l-proċessur, skont il-każijiet, jimplimentaw miżuri tekniċi u organizzattivi xierqa sabiex jiżguraw livell ta’ sigurtà xieraq għar-riskju, fid-dawl tal-kriterji ta’ evalwazzjoni stabbiliti fil-paragrafu 1 tiegħu. Barra minn hekk, il-paragrafu 2 ta’ dan l-artikolu jelenka, b’mod mhux eżawrjenti, ċertu numru ta’ fatturi li huma rilevanti sabiex jiġi evalwat il-livell ta’ sigurtà xieraq fid-dawl tar-riskji li jippreżenta l-ipproċessar ikkonċernat.

Mill-imsemmi Artikolu 32(1) u (2) jirriżulta li n-natura xierqa ta’ tali miżuri tekniċi u organizzattivi għandha tiġi evalwata f’żewġ stadji. Minn naħa, għandhom jiġu identifikati r-riskji ta’ ksur tad-data personali kkawżati mill-ipproċessar ikkonċernat u l-eventwali konsegwenzi tagħhom għad-drittijiet u għal-libertajiet tal-persuni fiżiċi. Din l-evalwazzjoni għandha ssir b’mod konkret, billi jittieħed inkunsiderazzjoni l-grad ta’ probabbiltà tar-riskji identifikati u l-grad ta’ gravità tagħhom. Min-naħa l-oħra, għandu jiġi vverifikat jekk il-miżuri implimentati mill-kontrollur humiex adattati għal dawn ir-riskji, fid-dawl tal-istat tal-għarfien, tal-ispejjeż tal-implimentazzjoni kif ukoll tan-natura, tal-portata, tal-kuntest u tal-għanijiet ta’ dan l-ipproċessar.

Ċertament, il-kontrollur tad-data għandu ċertu marġni ta’ diskrezzjoni biex jiddetermina l-miżuri tekniċi u organizzattivi xierqa sabiex jiggarantixxi livell ta’ sigurtà xieraq għar-riskju, kif jeħtieġ l-Artikolu 32(1) tal-GDPR. Xorta jibqa’ l-fatt li qorti nazzjonali għandha tkun tista’ tevalwa l-evalwazzjoni kumplessa mwettqa mill-kontrollur u, b’dan il-mod, tiżgura ruħha li l-miżuri adottati minn dan tal-aħħar ikunu xierqa sabiex jiggarantixxu tali livell ta’ sigurtà.

Tali interpretazzjoni hija barra minn hekk ta’ natura li tiżgura, minn naħa, l-effettività tal-protezzjoni tad-data personali li l-premessi 11 u 74 ta’ dan ir-regolament jenfasizzaw u, min-naħa l-oħra, id-dritt għal rimedju ġudizzjarju effettiv kontra kontrollur, kif protett mill-Artikolu 79(1) tal-imsemmi regolament, moqri flimkien mal-premessa 4 tal-istess regolament.

Għaldaqstant, sabiex tistħarreġ in-natura xierqa ta’ miżuri tekniċi u organizzattivi implimentati skont l-Artikolu 32 tal-GDPR, qorti nazzjonali ma għandhiex tillimita ruħha li tikkonstata b’liema mod il-kontrollur ikkonċernat kellu l-intenzjoni li jissodisfa l-obbligi tiegħu taħt dan l-artikolu, iżda għandha twettaq eżami ta’ dawn il-miżuri fil-mertu, fid-dawl tal-kriterji kollha msemmija fl-imsemmi artikolu kif ukoll taċ-ċirkustanzi speċifiċi għall-każ inkwistjoni u tal-provi li din il-qorti għandha f’dan ir-rigward.

Tali eżami jeħtieġ li ssir analiżi konkreta kemm tan-natura kif ukoll tal-kontenut tal-miżuri li ġew implimentati mill-kontrollur, tal-mod kif dawn il-miżuri ġew applikati u tal-effetti prattiċi tagħhom fuq il-livell ta’ sigurtà li dan kellu jiggarantixxi, fid-dawl tar-riskji inerenti għal dan l-ipproċessar.

Konsegwentement, ir-risposta għat-tieni domanda għandha tkun li l-Artikolu 32 tal-GDPR għandu jiġi interpretat fis-sens li n-natura xierqa tal-miżuri tekniċi u organizzattivi implimentati mill-kontrollur skont dan l-artikolu għandha tiġi evalwata mill-qrati nazzjonali b’mod konkret, billi jittieħdu inkunsiderazzjoni r-riskji marbuta mal-ipproċessar ikkonċernat u billi jiġi evalwat jekk in-natura, il-kontenut u l-implimentazzjoni ta’ dawn il-miżuri humiex adattati għal dawn ir-riskji.

Fuq it‑tielet domanda

Fuq l‑ewwel parti tat‑tielet domanda

Permezz tal-ewwel parti tat-tielet domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk il-prinċipju ta’ responsabbiltà tal-kontrollur, stabbilit fl-Artikolu 5(2) tal-GDPR u kkonkretizzat fl-Artikolu 24 tiegħu, għandux jiġi interpretat fis-sens li, fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament, il-kontrollur inkwistjoni għandu l-oneru li jipprova n-natura xierqa tal-miżuri ta’ sigurtà li huwa jkun implimenta skont l-Artikolu 32 tal-imsemmi regolament.

F’dan ir-rigward, għandu, fl-ewwel lok, jitfakkar li l-Artikolu 5(2) tal-GDPR jistabbilixxi prinċipju ta’ responsabbiltà, li abbażi tiegħu l-kontrollur huwa responsabbli għall-osservanza tal-prinċipji relatati mal-ipproċessar tad-data personali stabbiliti fil-paragrafu 1 ta’ dan l-artikolu, u jipprevedi li l-imsemmi kontrollur għandu jkun f’pożizzjoni li juri li dawn il-prinċipji huma osservati.

B’mod partikolari, il-kontrollur għandu, konformement mal-prinċipju ta’ integrità u ta’ kunfidenzjalità tad-data personali li huwa stabbilit fl-Artikolu 5(1)(f) ta’ dan ir-regolament, jiżgura li tali data tiġi pproċessata b’mod li tiġi ggarantita sigurtà xierqa tagħha, inkluża l-protezzjoni kontra l-ipproċessar mhux awtorizzat jew illegali u kontra t-telf, il-qerda jew il-ħsara aċċidentali, bl-għajnuna ta’ miżuri tekniċi jew organizzattivi xierqa, u għandha tkun f’pożizzjoni li turi li dan il-prinċipju huwa osservat.

Għandu jiġi rrilevat ukoll li kemm l-Artikolu 24(1) tal-GDPR, moqri fid-dawl tal-premessa 74 tiegħu, kif ukoll l-Artikolu 32(1) ta’ dan ir-regolament jimponu fuq il-kontrollur, fir-rigward ta’ kull ipproċessar ta’ data personali mwettaq minnu stess jew f’ismu, li jimplimenta miżuri tekniċi u organizzattivi xierqa sabiex jiżgura ruħu u jkun f’pożizzjoni li juri li l-ipproċessar isir f’konformità mal-imsemmi regolament.

Mill-kliem tal-Artikolu 5(2), tal-Artikolu 24(1) u tal-Artikolu 32(1) tal-GDPR jirriżulta mingħajr ambigwità li l-oneru tal-prova li d-data personali hija pproċessata b’mod li tiġi ggarantita sigurtà xierqa ta’ din tal-aħħar, fis-sens tal-Artikolu 5(1)(f) u tal-Artikolu 32 ta’ dan ir-regolament, jaqa’ fuq il-kontrollur ikkonċernat (ara, b’analoġija, is-sentenzi tal‑4 ta’ Mejju 2023, Bundesrepublik Deutschland (Kaxxa elettronika ġudizzjarja),C‑60/22, EU:C:2023:373, punti 52 u 53, kif ukoll tal‑4 ta’ Lulju 2023, Meta Platforms et (Kundizzjonijiet ġenerali għall-użu ta’ netwerk soċjali),C‑252/21, EU:C:2023:537, punt 95).

53	Dawn it-tliet artikoli jistabbilixxu għalhekk regola, ta’ applikazzjoni ġenerali, li, fin-nuqqas ta’ indikazzjoni kuntrarja fil-GDPR, għandha tiġi applikata wkoll fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament.

54	Fit-tieni lok, għandu jiġi kkonstatat li l-interpretazzjoni letterali preċedenti hija sostnuta mit-teħid inkunsiderazzjoni tal-għanijiet imfittxija mill-GDPR.

Minn naħa, peress li l-livell ta’ protezzjoni previst mill-GDPR jiddependi mill-miżuri ta’ sigurtà adottati mill-kontrolluri tal-ipproċessar ta’ data personali, dawn għandhom jiġu mħeġġa, permezz tal-fatt li dawn isostnu l-oneru li juru n-natura xierqa ta’ dawn il-miżuri, li jagħmlu kull sforz sabiex jipprevjenu l-okkorrenza ta’ operazzjonijiet ta’ pproċessar li ma humiex konformi ma’ dan ir-regolament.

Min-naħa l-oħra, li kieku kellu jitqies li l-oneru tal-prova dwar in-natura xierqa tal-imsemmija miżuri jaqa’ fuq is-suġġetti tad-data kkonċernati, kif iddefiniti fil-punt 1 tal-Artikolu 4 tal-GDPR, minn dan jirriżulta li d-dritt għal kumpens previst fl-Artikolu 82(1) tiegħu jkun imċaħħad minn parti sinjifikattiva mill-effett utli tiegħu, minkejja li l-leġiżlatur tal-Unjoni ried isaħħaħ kemm id-drittijiet ta’ dawn il-persuni kif ukoll l-obbligi tal-kontrolluri, meta mqabbla mad-dispożizzjonijiet preċedenti għal dan ir-regolament, kif tindika l-premessa 11 tiegħu.

Għaldaqstant, ir-risposta għall-ewwel parti tat-tielet domanda għandha tkun li l-prinċipju ta’ responsabbiltà tal-kontrollur, stabbilit fl-Artikolu 5(2) tal-GDPR u kkonkretizzat fl-Artikolu 24 tiegħu, għandu jiġi interpretat fis-sens li, fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament, il-kontrollur inkwistjoni għandu l-oneru li jipprova n-natura xierqa tal-miżuri ta’ sigurtà li jkun implimenta skont l-Artikolu 32 tal-imsemmi regolament.

Fuq it‑tieni parti tat‑tielet domanda

Permezz tat-tieni parti tat-tielet domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 32 tal-GDPR u l-prinċipju ta’ effettività tad-dritt tal-Unjoni għandhomx jiġu interpretati fis-sens li, sabiex tiġi evalwata n-natura xierqa tal-miżuri ta’ sigurtà li l-kontrollur ikun implimenta skont dan l-artikolu, perizja ġudizzjarja tikkostitwixxi mezz ta’ prova neċessarja u suffiċjenti.

F’dan ir-rigward, għandu jitfakkar li, skont ġurisprudenza stabbilita, fl-assenza ta’ regoli tal-Unjoni f’dan il-qasam, huwa l-ordinament ġuridiku intern ta’ kull Stat Membru li għandu jirregola l-aspetti proċedurali tar-rikorsi ġudizzjarji intiżi biex tiġi żgurata s-salvagwardja tad-drittijiet tal-partijiet fil-kawża, skont il-prinċipju tal-awtonomija proċedurali, bil-kundizzjoni, madankollu, li dawn il-modalitajiet ma jkunux, fis-sitwazzjonijiet li jaqgħu taħt id-dritt tal-Unjoni, inqas favorevoli minn dawk li jirregolaw sitwazzjonijiet simili suġġetti għad-dritt intern (prinċipju ta’ ekwivalenza) u li dawn ma jirrendux prattikament impossibbli jew eċċessivament diffiċli l-eżerċizzju tad-drittijiet ikkonferiti mid-dritt tal-Unjoni (prinċipju ta’ effettività) (sentenza tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punt 53 u l-ġurisprudenza ċċitata).

F’dan il-każ, għandu jiġi rrilevat li l-GDPR ma jistabbilixxix regoli dwar l-ammissjoni u l-valur probatorju ta’ mezz ta’ prova, bħal perizja ġudizzjarja, li għandhom jiġu applikati mill-qrati nazzjonali aditi b’azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament u inkarigati li jevalwaw, fid-dawl tal-Artikolu 32 tiegħu, in-natura xierqa tal-miżuri ta’ sigurtà li implimenta l-kontrollur ikkonċernat. Għaldaqstant, konformement ma’ dak li tfakkar fil-punt preċedenti ta’ din is-sentenza u fin-nuqqas ta’ regoli tad-dritt tal-Unjoni f’dan il-qasam, huwa l-ordinament ġuridiku intern ta’ kull Stat Membru li għandu jistabbilixxi l-modalitajiet tal-azzjonijiet intiżi biex jiżguraw il-protezzjoni tad-drittijiet li l-individwi jisiltu minn dan l-Artikolu 82 u, b’mod partikolari, ir-regoli relatati mal-provi li jippermettu li tiġi evalwata n-natura xierqa ta’ tali miżuri f’dan il-kuntest, mingħajr preġudizzju għall-osservanza tal-imsemmija prinċipji ta’ ekwivalenza u ta’ effettività (ara, b’analoġija, is-sentenzi tal‑21 ta’ Ġunju 2022, Ligue des droits humains,C‑817/19, EU:C:2022:491, punt 297, kif ukoll tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punt 54).

F’din il-proċedura, il-Qorti tal-Ġustizzja ma għandha ebda element ta’ natura li jqajjem dubju dwar l-osservanza tal-prinċipju ta’ ekwivalenza. Is-sitwazzjoni tkun differenti fir-rigward tal-konformità mal-prinċipju ta’ effettività, sa fejn il-kliem stess tat-tieni parti tat-tielet domanda jippreżenta l-użu ta’ perizja ġudizzjarja bħala “mezz ta’ prova neċessarju u suffiċjenti”.

B’mod partikolari, regola proċedurali nazzjonali li skontha jkun sistematikament “neċessarju” li l-qrati nazzjonali jordnaw perizja ġudizzjarja tista’ tmur kontra l-prinċipju ta’ effettività. Fil-fatt, l-użu sistematiku ta’ tali perizja jista’ jkun superfluwu fid-dawl tal-provi l-oħra miżmuma mill-qorti adita, b’mod partikolari, kif indika l-Gvern Bulgaru fl-osservazzjonijiet bil-miktub tiegħu, fid-dawl tar-riżultati ta’ stħarriġ tal-osservanza tal-miżuri ta’ protezzjoni tad-data personali li twettaq minn awtorità indipendenti u stabbilita mil-liġi, sakemm dan l-istħarriġ ikun reċenti, peress li l-imsemmija miżuri għandhom, konformement mal-Artikolu 24(1) tal-GDPR, jiġu eżaminati mill-ġdid u aġġornati jekk ikun meħtieġ.

Barra minn hekk, kif irrilevat il-Kummissjoni Ewropea fl-osservazzjonijiet bil-miktub tagħha, il-prinċipju ta’ effettività jista’ jinkiser fil-każ li t-terminu “suffiċjenti” għandu jinftiehem bħala li jfisser li qorti nazzjonali għandha tiddeduċi esklużivament jew awtomatikament minn rapport ta’ perizja ġudizzjarja li l-miżuri ta’ sigurtà implimentati mill-kontrollur inkwistjoni huma “xierqa”, fis-sens tal-Artikolu 32 tal-GDPR. Issa, is-salvagwardja tad-drittijiet mogħtija minn dan ir-regolament, li huwa intiż mill-imsemmi prinċipju ta’ effettività, u speċjalment id-dritt għal rimedju ġudizzjarju effettiv kontra l-kontrollur, li huwa ggarantit mill-Artikolu 79(1) tiegħu, jirrikjedu li qorti imparzjali twettaq evalwazzjoni oġġettiva tan-natura xierqa tal-miżuri kkonċernati, minflok ma tillimita ruħha għal tali tnaqqis (ara, f’dan is-sens, is-sentenza tat‑12 ta’ Jannar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság,C‑132/21, EU:C:2023:2, punt 50).

Fid-dawl tar-raġunijiet preċedenti, ir-risposta għat-tieni parti tat-tielet domanda għandha tkun li l-Artikolu 32 tal-GDPR u l-prinċipju ta’ effettività tad-dritt tal-Unjoni għandhom jiġu interpretati fis-sens li, sabiex tiġi evalwata n-natura xierqa tal-miżuri ta’ sigurtà li l-kontrollur ikun implimenta skont dan l-artikolu, perizja ġudizzjarja ma tistax tikkostitwixxi mezz ta’ prova sistematikament neċessarja u suffiċjenti.

Fuq ir‑raba’ domanda

Permezz tar-raba’ domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82(3) tal-GDPR għandux jiġi interpretat fis-sens li l-kontrollur huwa eżentat mill-obbligu tiegħu li jikkumpensa d-dannu mġarrab minn persuna, skont l-Artikolu 82(1) u (2) ta’ dan ir-regolament, minħabba s-sempliċi fatt li dan id-dannu jirriżulta minn żvelar mhux awtorizzat ta’ data personali jew minn aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 tal-imsemmi regolament.

Preliminarjament, għandu jiġi ppreċiżat li mill-punt 10 tal-Artikolu 4 tal-GDPR jirriżulta li għandhom il-kwalità ta’ “parti terza”, b’mod partikolari, il-persuni minbarra dawk li, imqiegħda taħt l-awtorità diretta tal-kontrollur jew tal-proċessur, huma awtorizzati li jipproċessaw id-data personali. Din id-definizzjoni tkopri persuni li ma humiex impjegati tal-kontrollur u li ma humiex taħt il-kontroll tiegħu, bħal dawk imsemmija fid-domanda magħmula.

Sussegwentement, għandu jitfakkar, fl-ewwel lok, li l-Artikolu 82(2) tal-GDPR jipprovdi li “[k]walunkwe kontrollur involut fl-ipproċessar għandu jkunu responsabbli għad-dannu kkawżat mill-ipproċessar li jikser dan ir-Regolament” u li l-paragrafu 3 ta’ dan l-artikolu jipprevedi li kontrollur, jew proċessur skont il-każ, għandu jiġi eżentat minn tali responsabbiltà “jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu”.

Barra minn hekk, il-premessa 146 tal-GDPR, li hija marbuta speċifikament mal-Artikolu 82 tiegħu, tistabbilixxi, fl-ewwel u fit-tieni sentenza tagħha, li “[i]l-kontrollur jew il-proċessur għandu jikkumpensa għal kwalunkwe dannu li tista’ ssofri persuna b’riżultat ta’ pproċessar li jikser dan ir-Regolament ” u “għandu jiġi eżentat mir-responsabbiltà jekk iġib provi li huwa mhuwiex responsabbli bl-ebda mod għad-dannu”.

Minn dawn id-dispożizzjonijiet jirriżulta, minn naħa, li l-kontrollur inkwistjoni għandu fil-prinċipju jikkumpensa dannu kkawżat minn ksur ta’ dan ir-regolament marbut ma’ dan l-ipproċessar u, min-naħa l-oħra, li huwa jista’ jiġi eżentat mir-responsabbiltà tiegħu biss jekk jipproduċi l-prova li l-fatt li kkawża dan id-dannu ma huwa bl-ebda mod imputabbli lilu.

Għalhekk, kif turi ż-żieda espliċita tal-avverbju “bl-ebda mod” matul il-proċedura leġiżlattiva, iċ-ċirkustanzi li fihom il-kontrollur jista’ jippretendi li jiġi eżentat mir-responsabbiltà ċivili li huwa jinkorri skont l-Artikolu 82 tal-GDPR għandhom ikunu strettament limitati għal dawk li fihom dan il-kontrollur ikun f’pożizzjoni li juri assenza ta’ imputabbiltà tad-dannu min-naħa tiegħu stess.

Meta, bħal f’dan il-każ, ksur ta’ data personali, fis-sens tal-punt 12 tal-Artikolu 4 tal-GDPR, ikun twettaq minn ċiberkriminali, u għalhekk minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 ta’ dan ir-regolament, dan il-ksur ma jistax jiġi imputat lill-kontrollur, ħlief jekk dan ikun għamel possibbli l-imsemmi ksur billi kiser obbligu previst mill-GDPR, u b’mod partikolari l-obbligu ta’ protezzjoni tad-data li huwa marbut bih skont l-Artikolu 5(1)(f) u l-Artikoli 24 u 32 tal-istess regolament.

Għalhekk, fil-każ ta’ ksur ta’ data personali mwettaq minn terz, il-kontrollur jista’ jeżenta ruħu mir-responsabbiltà tiegħu, abbażi tal-Artikolu 82(3) tal-GDPR, billi jipprova li ma hemm ebda rabta kawżali bejn l-eventwali ksur tiegħu tal-obbligu ta’ protezzjoni tad-data u d-dannu mġarrab mill-persuna fiżika.

73	Fit-tieni lok, l-interpretazzjoni preċedenti ta’ dan l-Artikolu 82(3) hija wkoll konformi mal-għan tal-GDPR li jikkonsisti f’li jiġi żgurat livell għoli ta’ protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-data personali tagħhom, stabbilit fil-premessi 10 u 11 ta’ dan ir-regolament.

Fid-dawl ta’ dawn il-kunsiderazzjonijiet kollha, ir-risposta għar-raba’ domanda għandha tkun li l-Artikolu 82(3) tal-GDPR għandu jiġi interpretat fis-sens li l-kontrollur ma jistax jiġi eżentat mill-obbligu tiegħu li jikkumpensa d-dannu mġarrab minn persuna, skont l-Artikolu 82(1) u (2) ta’ dan ir-regolament, minħabba s-sempliċi fatt li dan id-dannu jirriżulta minn żvelar mhux awtorizzat ta’ data personali jew minn aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 tal-imsemmi regolament, peress li l-imsemmi kontrollur għandu għalhekk jipprova li l-fatt li kkawża d-dannu kkonċernat bl-ebda mod ma huwa imputabbli lilu.

Fuq il‑ħames domanda

Permezz tal-ħames domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82(1) tal-GDPR għandux jiġi interpretat fis-sens li l-biża’ ta’ użu abbużiv potenzjali mid-data personali tagħha minn terzi li persuna kkonċernata tħoss wara ksur ta’ dan ir-regolament tista’, waħedha, tikkostitwixxi “dannu morali”, fis-sens ta’ din id-dispożizzjoni.

Fl-ewwel lok, fir-rigward tat-test tal-Artikolu 82(1) tal-GDPR, għandu jiġi osservat li dan jipprovdi li “[k]walunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab”.

F’dan ir-rigward, il-Qorti tal-Ġustizzja rrilevat li mill-formulazzjoni tal-Artikolu 82(1) tal-GDPR jirriżulta b’mod ċar li l-eżistenza ta’ “dannu” li jkun “iġġarrab” tikkostitwixxi waħda mill-kundizzjonijiet tad-dritt għal kumpens previst fl-imsemmija dispożizzjoni, bħall-eżistenza ta’ ksur ta’ dan ir-regolament u ta’ rabta kawżali bejn dan id-dannu u dan il-ksur, peress li dawn it-tliet kundizzjonijiet huma kumulattivi (sentenza tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punt 32).

Barra minn hekk, abbażi tal-kunsiderazzjonijiet ta’ natura fl-istess ħin litterali, sistematika u teleoloġika, il-Qorti tal-Ġustizzja interpretat l-Artikolu 82(1) tal-GDPR fis-sens li jipprekludi regola jew prattika nazzjonali li tissuġġetta l-kumpens għal “dannu morali”, fis-sens ta’ din id-dispożizzjoni, għall-kundizzjoni li d-dannu mġarrab mis-suġġett tad-data jkun laħaq ċertu livell ta’ gravità (sentenza tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punt 51).

Fid-dawl ta’ dan, għandu jiġi enfasizzat, f’dan il-każ, li l-Artikolu 82(1) tal-GDPR ma jagħmilx distinzjoni bejn każijiet fejn, wara ksur ikkonfermat ta’ dispożizzjonijiet ta’ dan ir-regolament, id-“dannu morali” allegat mill-persuna kkonċernata, minn naħa, ikun marbut ma’ użu abbużiv minn terzi tad-data personali tagħha li jkun diġà seħħ, fid-data tat-talba tagħha għal kumpens, jew inkella, min-naħa l-oħra, ikun marbut mal-biża’ li jinħass minn din il-persuna li tali użu jista’ jseħħ, fil-futur.

Għaldaqstant, il-formulazzjoni tal-Artikolu 82(1) tal-GDPR ma teskludix li l-kunċett ta’ “dannu morali” li jinsab f’din id-dispożizzjoni jinkludi sitwazzjoni, bħal dik imsemmija mill-qorti tar-rinviju, fejn il-persuna kkonċernata tinvoka, sabiex tikseb kumpens abbażi ta’ din id-dispożizzjoni, il-biża’ tagħha li d-data personali tagħha ser tkun is-suġġett ta’ użu abbużiv futur minn terzi, minħabba l-ksur ta’ dan ir-regolament li seħħ.

Din l-interpretazzjoni letterali hija kkorroborata, fit-tieni lok, mill-premessa 146 tal-GDPR, li tirrigwarda speċifikament id-dritt għal kumpens previst fl-Artikolu 82(1) ta’ dan tal-aħħar u li ssemmi, fit-tielet sentenza tagħha, li “l-kunċett ta’ dannu għandu jiġi interpretat b’mod wiesa’ fid-dawl tal-każistika tal-Qorti tal-Ġustizzja b’mod li jissodisfa b’mod sħiħ l-objettivi” ta’ dan ir-regolament. Issa, interpretazzjoni tal-kunċett ta’ “dannu morali”, fis-sens ta’ dan l-Artikolu 82(1), li ma tinkludix is-sitwazzjonijiet fejn il-persuna kkonċernata minn ksur tal-imsemmi regolament tinvoka l-biża’ li hija għandha li d-data personali tagħha stess tkun is-suġġett ta’ użu abbużiv fil-futur ma tissodisfax interpretazzjoni wiesgħa ta’ dan il-kunċett, kif mixtieq mil-leġiżlatur tal-Unjoni (ara, b’analoġija, is-sentenza tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punti 37 u 46).

Barra minn hekk, l-ewwel sentenza tal-premessa 85 tal-GDPR tindika li “vjolazzjoni ta’ data personali tista’, jekk ma tiġix indirizzata b’mod adegwat u fil-ħin, tirriżulta f’dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi bħat-telf ta’ kontroll tad-data personali tagħhom jew limitazzjoni tad-drittijiet tagħhom, diskriminazzjoni, serq tal-identità jew frodi, telf finanzjarju, […] jew kwalunkwe żvantaġġ ekonomiku jew soċjali ieħor”. Minn din il-lista illustrattiva tad-“danni” li jistgħu jiġu subiti mill-persuni kkonċernati jirriżulta li l-leġiżlatur tal-Unjoni kellu l-intenzjoni li jinkludi f’dawn il-kunċetti, b’mod partikolari, is-sempliċi “telf ta’ kontroll” fuq id-data tagħhom stess, wara ksur ta’ dan ir-regolament, anki meta użu abbużiv tad-data inkwistjoni ma jkunx seħħ konkretament għad-detriment tal-imsemmija persuni.

Fit-tielet u l-aħħar lok, l-interpretazzjoni li tinsab fil-punt 80 ta’ din is-sentenza hija sostnuta mill-għanijiet tal-GDPR, li għandhom jittieħdu inkunsiderazzjoni b’mod sħiħ sabiex jiġi ddefinit il-kunċett ta’ “dannu”, kif tindika t-tielet sentenza tal-premessa 146 ta’ dan ir-regolament. Issa, interpretazzjoni tal-Artikolu 82(1) tal-GDPR li tgħid li l-kunċett ta’ “dannu morali”, fis-sens ta’ din id-dispożizzjoni, ma jinkludix is-sitwazzjonijiet fejn persuna kkonċernata tinvoka biss il-biża’ tagħha li d-data tagħha tkun is-suġġett ta’ użu abbużiv minn terzi, fil-futur, ma tkunx konformi mal-garanzija ta’ livell għoli ta’ protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-data personali fi ħdan l-Unjoni, li huwa kopert minn dan l-istrument.

Madankollu, għandu jiġi enfasizzat li persuna kkonċernata minn ksur tal-GDPR li kellha konsegwenzi negattivi fil-konfront tagħha hija obbligata turi li dawn il-konsegwenzi jikkostitwixxu dannu morali, fis-sens tal-Artikolu 82 ta’ dan ir-regolament (ara, f’dan is-sens, is-sentenza tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali),C‑300/21, EU:C:2023:370, punt 50).

B’mod partikolari, meta persuna li titlob kumpens fuq din il-bażi tinvoka l-biża’ li fil-futur iseħħ użu abbużiv mid-data personali tagħha minħabba l-eżistenza ta’ tali ksur, il-qorti nazzjonali adita għandha tivverifika li din il-biża’ tista’ titqies li hija fondata, fiċ-ċirkustanzi speċifiċi inkwistjoni u fir-rigward tal-persuna kkonċernata.

Fid-dawl tar-raġunijiet preċedenti, ir-risposta għall-ħames domanda għandha tkun li l-Artikolu 82(1) tal-GDPR għandu jiġi interpretat fis-sens li l-biża’ ta’ użu abbużiv potenzjali tad-data personali tagħha minn terzi li persuna kkonċernata ssib wara ksur ta’ dan ir-regolament tista’, waħedha, tikkostitwixxi “dannu morali”, fis-sens ta’ din id-dispożizzjoni.

Fuq l‑ispejjeż

Peress li l-proċedura għandha, fir-rigward tal-partijiet fil-kawża prinċipali, in-natura ta’ kwistjoni mqajma quddiem il-qorti tar-rinviju, hija dik il-qorti li tiddeċiedi fuq l-ispejjeż. L-ispejjeż sostnuti għas-sottomissjoni tal-osservazzjonijiet lill-Qorti tal-Ġustizzja, barra dawk tal-imsemmija partijiet, ma jistgħux jitħallsu lura.

Għal dawn il-motivi, Il-Qorti tal-Ġustizzja (It-Tielet Awla) taqta’ u tiddeċiedi:

L-Artikoli 24 u 32 tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data),

għandhom jiġu interpretati fis-sens li:

żvelar mhux awtorizzat ta’ data personali jew aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 ta’ dan ir-regolament, ma humiex biżżejjed, waħedhom, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens ta’ dawn l-Artikoli 24 u 32.

L-Artikolu 32 tar-Regolament 2016/679

għandu jiġi interpretat fis-sens li:

in-natura xierqa tal-miżuri tekniċi u organizzattivi implimentati mill-kontrollur skont dan l-artikolu għandha tiġi evalwata mill-qrati nazzjonali b’mod konkret, billi jittieħdu inkunsiderazzjoni r-riskji marbuta mal-ipproċessar ikkonċernat u billi jiġi evalwat jekk in-natura, il-kontenut u l-implimentazzjoni ta’ dawn il-miżuri humiex adattati għal dawn ir-riskji.

Il-prinċipju ta’ responsabbiltà tal-kontrollur, stabbilit fl-Artikolu 5(2) tar-Regolament 2016/679 u kkonkretizzat fl-Artikolu 24 tiegħu,

għandu jiġi interpretat fis-sens li:

fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament, il-kontrollur inkwistjoni għandu l-oneru li jipprova n-natura xierqa tal-miżuri ta’ sigurtà li huwa jkun implimenta skont l-Artikolu 32 tal-imsemmi regolament.

L-Artikolu 32 tar-Regolament 2016/679 u l-prinċipju tal-effettività tad-dritt tal-Unjoni

għandhom jiġu interpretati fis-sens li:

sabiex tiġi evalwata n-natura xierqa tal-miżuri ta’ sigurtà li l-kontrollur ikun implimenta skont dan l-artikolu, perizja ġudizzjarja ma tistax tikkostitwixxi mezz ta’ prova sistematikament neċessarja u suffiċjenti.

L-Artikolu 82(3) tar-Regolament 2016/679

għandu jiġi interpretat fis-sens li:

il-kontrollur ma jistax jiġi eżentat mill-obbligu tiegħu li jikkumpensa d-dannu mġarrab minn persuna, skont l-Artikolu 82(1) u (2) ta’ dan ir-regolament, minħabba s-sempliċi fatt li dan id-dannu jirriżulta minn żvelar mhux awtorizzat ta’ data personali jew minn aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 tal-imsemmi regolament, peress li l-imsemmi kontrollur għandu għalhekk jipprova li l-fatt li kkawża d-dannu kkonċernat bl-ebda mod ma huwa imputabbli lilu.

6)	L-Artikolu 82(1) tar-Regolament 2016/679 għandu jiġi interpretat fis-sens li: il-biża’ ta’ użu abbużiv potenzjali mid-data personali tagħha minn terzi li persuna kkonċernata tħoss wara ksur ta’ dan ir-regolament tista’, waħedha, tikkostitwixxi “dannu morali”, fis-sens ta’ din id-dispożizzjoni.

Firem

( *1 ) Lingwa tal-kawża: il-Bulgaru.