Home

Trattamento illecito di dati personali: una qualsiasi violazione del GDPR, da sola, non dà diritto al risarcimento del danno materiale o immateriale

La Redazione
La Redazione
04 Maggio 2023

La CGUE (4 maggio 2023, C-300/21) precisa che la mera violazione del GDPR non fonda un diritto al risarcimento, che è subordinato in modo univoco a tre condizioni cumulative: una violazione del GDPR, un danno materiale o immateriale derivante da tale violazione e un nesso di causalità tra il danno e la violazione. Non è invece richiesto, per conferire un diritto al risarcimento, che il danno immateriale subito raggiunga una determinata soglia di gravità.

A partire dal 2017, la Österreichische Post ha raccolto informazioni sulle affinità politiche della popolazione austriaca. Con l'ausilio di un algoritmo, essa ha definito «indirizzi di gruppi destinatari», secondo taluni criteri sociali e demografici. I dati così raccolti hanno indotto la Österreichische Post a stabilire che un determinato cittadino aveva un'elevata affinità con un determinato partito politico austriaco. Per contro, i dati trattati non sono stati trasferiti a terzi.

Il cittadino coinvolto, che non aveva acconsentito al trattamento dei suoi dati personali, afferma di aver provato una grave contrarietà, una perdita di fiducia, nonché un sentimento di umiliazione a causa della particolare affinità che era stata stabilita con il partito in questione. A titolo di risarcimento del danno immateriale che ritiene di avere subito, egli reclama dinanzi ai giudici austriaci un importo di 1000 euro.

La Corte suprema austriaca ha espresso dubbi in merito alla portata del diritto al risarcimento che il regolamento generale sulla protezione dei dati, o GDPR [1], prevede in caso di danno materiale o immateriale derivante da una violazione di tale regolamento. Tale organo giurisdizionale chiede alla Corte di giustizia se la mera violazione del GDPR sia sufficiente per conferire il suddetto diritto e se il risarcimento sia possibile solo oltre un determinato grado di gravità del danno immateriale subito. Esso desidera anche sapere quali siano i requisiti del diritto dell'Unione in ordine alla determinazione dell'importo del risarcimento.

Nella sua sentenza del 4 maggio 2023, la Corte enuncia, in primo luogo, che il diritto al risarcimento previsto dal GDPR è subordinato in modo univoco a tre condizioni cumulative: una violazione del GDPR, un danno materiale o immateriale derivante da tale violazione e un nesso di causalità tra il danno e la violazione.

Pertanto, qualsiasi violazione del GDPR, da sola, non dà diritto al risarcimento.

Una diversa interpretazione sarebbe in contrasto con la chiara formulazione del GDPR. Inoltre, ai sensi dei considerando del GDPR riguardanti specificamente il diritto al risarcimento, la sua violazione non comporta necessariamente un danno e, per fondare un diritto al risarcimento, deve sussistere un nesso di causalità tra la violazione di cui trattasi e il danno subito. Pertanto, l'azione risarcitoria si distingue da altri mezzi di ricorso previsti dal GDPR, segnatamente quelli che consentono di infliggere ammende amministrative per le quali l'esistenza di un danno individuale non è stata dimostrata.

In secondo luogo, la Corte evidenzia che il diritto al risarcimento non è riservato ai danni immateriali che raggiungono una determinata soglia di gravità. Il GDPR non menziona un requisito del genere e una tale restrizione sarebbe in contraddizione con l'ampia concezione delle nozioni di «danno» o di «pregiudizio», adottata dal legislatore dell'Unione. Per giunta, subordinare il risarcimento di un danno immateriale ad una determinata soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal GDPR. Infatti, la graduazione da cui dipenderebbe la possibilità o meno di ottenere il risarcimento potrebbe variare in funzione della valutazione dei giudici aditi.

Per quanto riguarda, in terzo e ultimo luogo, le norme relative alla valutazione del risarcimento, la Corte rileva che il GDPR non contiene disposizioni aventi tale oggetto. Spetta dunque all'ordinamento giuridico di ciascuno Stato membro fissare le modalità delle azioni intese a garantire la salvaguardia dei diritti derivanti per i singoli dal GDPR a tal riguardo e, in particolare, i criteri che consentono di determinare l'entità del risarcimento dovuto in tale contesto, fatto salvo il rispetto dei principi di equivalenza e di effettività. A tal proposito, la Corte sottolinea la funzione compensativa del diritto al risarcimento previsto dal GDPR e ricorda che tale strumento tende a garantire un risarcimento pieno ed effettivo del danno subito.

___________________________________________________________________________________

[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, in prosieguo: il «RGPD», o «GDPR», General Data Protection Regulation).