NEWS

Bulgaria: rinvio pregiudiziale alla Corte di Giustizia dell'UE sulla vicenda del data breach dell'Agenzia nazionale delle Entrate

La Corte suprema amministrativa della Bulgaria ha fatto il rinvio pregiudiziale (ex art. 267 TFUE) alla Corte di Giustizia dell’Unione Europea in riferimento alla violazione dei dati personali avvenuta nel giugno del 2019 ai danni della Agenzia nazionale delle Entrate bulgara, alla quale l'autorità nazionale per la protezione dei dati aveva deciso di imporre una sanzione di circa 2,6 milioni di euro.

La sede della Corte di Giustizia dell’Unione Europea

L’istituto del rinvio pregiudiziale è fondamentale per assicurare l’omogeneità dell’applicazione del dritto europeo su tutto il territorio e per favorire il colloquio tra i giudici nazionali e quelli europei al fine di chiarire il significato e la validità di particolari disposizioni normative.

La richiesta è stata avanzata in relazione al procedimento amministrativo N. 1037 dal 2021 della Corte suprema amministrativa e quindi il procedimento di tutti i casi in questa materia nel Paese è sospeso fino alla sentenza della Corte Europea.

La Corte suprema amministrativa in qualità di istanza di cassazione, ha ricevuto oltre 100 ricorsi ai sensi della Legge per la responsabilità dello Stato in relazione alla violazione dei dati della Agenzia nazionale delle Entrate bulgara. Le cause contro l’Agenzia (più di 160 in totale al primo grado) si sono concluse in prima istanza con risultati molto contraddittori (infatti solo sette persone sono riuscite a condannare l’Agenzia).

Al Tribunale di primo grado i ricorsi sono state respinti in quanto ingiustificati o accolti in tutto o in parte. La normativa è interpretata e applicata in modo incoerente in tutti gli elementi di responsabilità del titolare del trattamento dei dati personali.

La decisione del tribunale amministrativo di Sofia comunque afferma che è la vulnerabilità tecnica del sistema informativo della Agenzia nazionale delle Entrate che ha portato alla divulgazione e alla diffusione non regolamentate dei dati personali e la stessa è dovuta alla mancata applicazione di adeguate misure di protezione. Se il sistema fosse stato protetto in modo efficace e affidabile, non sarebbe stato violato, portando alla divulgazione dei dati personali, si legge nella sentenza del tribunale.

Si ricorda che dopo l'attacco hacker contro l'Agenzia nazionale delle Entrate sono diventati pubblici i dati di quasi cinque milioni di cittadini bulgari e persone straniere. In particolare, il file, che è stato rilasciato al pubblico dopo l’attacco informatico, conteneva dati su cittadini e società bulgari e stranieri, inclusi tre nomi, numero unico civile di cittadini bulgari e/o stranieri, nomi e redditi di liberi professionisti, informazioni fiscali e previdenziali sulle dichiarazioni annuali presentate e tanti altri tipi di dati personali.

Nonostante il fatto che il capo dell'Agenzia nazionale delle entrate, Galya Dimitrova, non abbia mai interrotto il suo congedo durante lo scandalo, due dipendenti del dipartimento IT sono stati licenziati come punizione dall'Agenzia.

Note Autore

Teodora Sarkizova Teodora Sarkizova

Teodora Sarkizova, avvocato, European privacy auditor ISDP 10003, socio membro di Federprivacy, corrispondente dalla Bulgaria. Email: studio.legale.varna@abv.bg

Prev San Marino: l'autorità per la privacy sanziona Facebook per 5 milioni di euro
Next Olanda: violata la privacy di 83mila passeggeri, sanzionata compagnia aerea per insufficienti misure di sicurezza

Webinar 'Privacy e gestione del personale'

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy