La mera esistenza di una “violazione dei dati personali”, come definita all’art. 4, par. 12, del Reg. (Ue) 2016/679 (GDPR) non è di per sé sufficiente per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non siano “adeguate” a garantire la protezione di tali dati. Lo ha affermato l’Avvocato Generale Giovanni Pitruzzella, nelle sue conclusioni del 27 aprile 2023 relative alla Causa C‑340/21, VB contro Natsionalna agentsia za prihodite. Secondo Pitruzzella, il giudice nazionale adito nel verificare l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento dei dati personali dovrebbe effettuare un controllo che si estende a un’analisi concreta sia del contenuto di tali misure sia del modo in cui sono state applicate e dei loro effetti pratici. Altresì, nell’ambito di un’azione di risarcimento danni, il titolare del trattamento dei dati personali avrebbe l’onere di dimostrare l’adeguatezza delle misure che ha attuato ai sensi dell’art. 32 del regolamento GDPR.