Ufficio Stampa

Sei vittima di furto dei dati personali legati al caso del GRUPPO VF CORP? Contattaci per richiedere il risarcimento del danno immateriale

Il 4 Marzo 2024 gli iscritti alla newsletter di alcuni famosi marchi di abbigliamento sono stati raggiunti da una comunicazione alquanto peculiare.

Si tratta di una nota con cui le aziende del Gruppo VF Corp (di cui fanno parte, tra gli altri, Vans, Timberland, Napapijri, The North Face, Eastpack e Supreme) hanno informato tutti gli iscritti ai propri siti web che i propri sistemi informatici sono stati oggetto, il 13 dicembre 2023, di una serie di “attività non autorizzate […] apparentemente condotte da attori esterni”.

In altre parole, vi è un consistente rischio che vi sia stato un data breach riguardante i dati di tutti gli utenti iscritti ai siti web delle aziende del Gruppo VF CORP.

L’attacco informatico, che si è protratto fino al 15 dicembre, avrebbe coinvolto, come dichiarato nella nota, “alcuni dati personali dei nostri clienti, che normalmente memorizziamo ed elaboriamo per gestire gli acquisti online, come indirizzo e-mail, nome e cognome, numero di telefono, indirizzo di fatturazione, indirizzo di spedizione. In alcuni casi, i dati interessati possono includere anche la cronologia degli ordini, il valore totale dell’ordine e le informazioni sul metodo di pagamento utilizzato per gli acquisti”.

Dunque, se da un lato è possibile escludere con certezza che nessuna informazione finanziaria sia stata esposta all’attacco, risulta comunque particolarmente grave che tutti i dati degli utenti siano stati sottratti illecitamente ed esposti al rischio di un loro utilizzo abusivo.

In particolare, come risultato dell’attacco, è ora possibile per i possessori dei dati ricostruire per intero le abitudini degli utenti, tra cui metodi di pagamento, residenza e contatti.

Come conseguenza diretta di questa sottrazione, le aziende raccomandano nella nota di adottare varie misure di sicurezza per proteggersi da futuri, probabili, tentativi di furto d’identità, phishing e frodi in generale.

Tutte queste raccomandazioni dovranno essere certamente adottate dagli utenti al fine di evitare il verificarsi di ulteriori danni futuri, ma cosa dire dei danni derivanti direttamente dalla sottrazione illecita dei dati?

L’articolo 82 del GDPR stabilisce espressamente che: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Ebbene, nello stesso mese in cui i dati degli utenti del Gruppo VF Corp venivano esposti ai cybercriminali, la Corte di Giustizia Europea ha adottato una decisione storica in materia di protezione dei dati personali.

Nel decidere la causa C-340/21, la CGUE ha stabilito da risarcibilità dei danni derivanti da furto dei dati anche nel caso in cui non vi siano evidenze di un concreto utilizzo degli stessi.

Dunque, è stato dichiarato risarcibile il danno derivante dalla semplice esposizione dei dati personali, per cui il solo rischio che questi vengano effettivamente impiegati illecitamente fa sorgere in capo al proprietario degli stessi il diritto al risarcimento del danno, del quale sarà ritenuto responsabile il Titolare del trattamento.

Oltre a tale requisito, costituito appunto dal rischio e dal timore che i dati siano effettivamente utilizzati, la Corte di Giustizia richiede per l’accertamento di un diritto al risarcimento, la prova che le misure di sicurezza poste in essere dal Responsabile del Trattamento non siano state adeguate a proteggere le informazioni ed i dati degli utenti.

L’onere della prova di aver adottato, in concreto, tutte le misure più adeguate per la protezione dei dati, ricade sul Responsabile del trattamento.

La sentenza delinea dunque una nuova frontiera dei diritti in materia di danno immateriale, mettendo tutti i cittadini ed utenti nella possibilità di ottenere un risarcimento per il semplice fatto di aver subito una esposizione abusiva, contro la propria volontà, dei propri dati.

Per informazioni ed assistenza per la compilazione e/o invio dei reclami, gli utenti possono contattare una delle sedi di ADICU presenti il sito internet dell’associazione al link: www.adicu.it oppure contattare il numero 0571.484046 – 345.6786190 o via mail sanminiato@adicu.it.

Views: 341

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.