L’avvocato generale della Corte di Giustizia UE, nelle sue conclusioni del 26 ottobre 2023 relative alle due cause riunite C182/22 e C189/22, ha chiesto alla Corte di interpretare il GDPR in senso estensivo e più favorevole per gli interessati in materia di data breach.
In particolare, il caso verteva su una vicenda di furto di dati ad una società di trading.
A parere dell’avvocato generale, tutti i soggetti interessati sarebbero legittimati a richiedere i danni immateriali all’impresa che ha subito il cyberattacco con esfiltrazione dei dati personali, anche qualora questi non siano ancora stati utilizzati. Invero, non sarebbe necessario attendere un furto di identità, essendo sufficiente il furto di dati.