La Corte d’appello ha emesso una sentenza di rilievo riguardo agli obblighi di protezione dei dati a seguito del noto attacco informatico che ha colpito DSG Retail (oggi Currys Group Ltd) nel periodo 2017-2018. La vicenda, tornata alla ribalta dopo il ricorso dell’Information Commissioner’s Office, riguarda la portata del dovere di adottare misure tecniche e organizzative (spesso indicate come ATOMs nel contesto normativo) per difendere i dati personali quando vengono sottratti da malintenzionati.
Il quadro fattuale e le questioni giuridiche
Durante nove mesi tra il 2017 e il 2018, i dispositivi di point-of-sale (PoS) di DSG sono stati compromessi da malware che ha consentito l’esfiltrazione di informazioni sensibili, tra cui numeri di carte di pagamento a 16 cifre, date di scadenza e, in alcuni casi, nominativi, codici postali e contatti.
A seguito dell’indagine, nel l’ICO inflisse a DSG una sanzione di £500.000 ai sensi del Data Protection Act 1998, misura inferiore a quanto avrebbe previsto il GDPR perché la violazione risale a prima dell’entrata in vigore del regolamento.
La controversia sul settimo principio della DPA
Il fulcro del contendere era se il settimo principio della DPA (DPP7) si applicasse ai dati recuperati dagli aggressori quando tali dati, pur essendo tecnicamente associati a una persona, non risultano identificabili da un terzo che li detiene. DSG sostenne che i dati EMV (chip-and-pin) non fossero, nella sostanza, «personal data» nelle mani degli hacker quando mancavano gli elementi identificativi e che
La decisione della Corte d’appello e le motivazioni
La Corte d’appello, con la pronuncia redatta da Lord Justice Warby, ha accolto l’appello dell’ICO. La sentenza afferma che il legislatore intendeva una protezione ampia: se il titolare del trattamento può identificare la persona a cui i dati si riferiscono, deve comunque proteggere quei dati contro il trattamento non autorizzato, indipendentemente da quanto il terzo aggressore possa o meno utilizzarli per l’identificazione.
Implicazioni giuridiche e interpretative
Warby ha osservato che un’interpretazione ristretta, come quella adottata dall’Upper Tribunal, conduce a risultati sorprendenti e incoerenti rispetto allo spirito e alla lettera della normativa di riferimento e della direttiva madre. In pratica, la Corte ha ribadito che la protezione copre i dati personali nella disponibilità del titolare anche quando sono pseudonimizzati o parzialmente utili per gli attaccanti.
Reazioni dell’ICO e conseguenze per le imprese
L’ICO ha salutato con favore la decisione. Il commissario John Edwards e la general counsel Binnie Goh hanno sottolineato come la sentenza offra chiarezza sulle responsabilità delle organizzazioni e rafforzi la possibilità di intervenire in futuro contro vulnerabilità procedurali e tecniche. Secondo l’ICO, la pronuncia ribadisce che le aziende hanno un dovere di salvaguardia del danno potenziale che può derivare anche da dataset che gli aggressori non possono immediatamente ricondurre a individui.
Cosa significa per chi gestisce dati personali
Per i titolari del trattamento la pronuncia implica la necessità di rivedere le strategie di sicurezza: patch management, segmentazione di rete, firewall, test di vulnerabilità e pratiche di cifratura devono essere parte di un approccio strutturato.
La sentenza accentua l’importanza di una governance che riconosca il valore del risk management e non consideri la cybersecurity solo come un costo operativo.
Prossime fasi procedurali e riflessioni finali
Il caso tornerà ora al First Tier Tribunal per applicare la nuova interpretazione ai fatti specifici dell’incidente DSG/Currys. Sul piano pratico, la sentenza rappresenta un precedente chiave per futuri contenziosi su violazioni analoghe e invia un messaggio chiaro al mercato: la protezione dei dati personali richiede misure concrete e proporzionate al rischio, indipendentemente dalla facilità con cui un aggressore possa identificare singoli soggetti.
In un’epoca in cui le minacce informatiche evolvono rapidamente, questa decisione mette in evidenza come la responsabilità dei controllori dati non dipenda dalla capacità degli hacker di sfruttare immediatamente le informazioni sottratte, ma dalla necessità di prevenire danni reali alle persone i cui dati sono trattati.
