Home

Diritto al risarcimento per danni immateriali e GDPR: la CGUE chiarisce i criteri di ammissibilità

Fonte: C. Giustizia UE sez. III, 4 maggio 2023, n. 300
11 Marzo 2024

La Corte di Giustizia dell’Unione Europea, nel caso C-300/21 del 4 maggio 2023, stabilisce che una violazione del GDPR non garantisce – automaticamente - il diritto al risarcimento senza la dimostrazione di un danno effettivo, ammissibile se di tipo immateriale. La CGUE sottolinea altresì che le norme nazionali non possono imporre soglie di gravità per il risarcimento di tali danni, dovendosi assicurare un’applicazione uniforme del GDPR e rimettendo, infine, la determinazione del danno al diritto locale.

Massima

In tema di risarcimento del danno da violazione del GDPR, l’art. 82 par. 1 GDPR va interpretato nel senso che la violazione di per sé sola non basta per il risarcimento, essendo necessario un danno effettivo. Norme nazionali che prevedono una soglia di gravità per i danni immateriali sono contrarie al GDPR. La determinazione dell'importo del risarcimento segue il diritto interno, nel rispetto dei principi di equivalenza e effettività dell'UE

Il caso

Un cittadino austriaco (UI) ha intentato una causa contro Österreichische Post AG per aver raccolto informazioni sulle sue affinità politiche senza il suo consenso. UI ha lamentato la violazione del GDPR e ha chiesto la cessazione del trattamento dei suoi dati e il risarcimento del danno immateriale per "grave contrarietà, perdita di fiducia e sentimento di umiliazione".

I tribunali austriaci hanno accolto la richiesta di cessazione del trattamento dei dati, ma hanno respinto quella di risarcimento del danno immateriale perché i "sentimenti negativi" di UI non superavano la soglia di gravità prevista dal diritto nazionale austriaco.

La questione è stata portata davanti alla CGUE per chiarire l'interpretazione dell'art. 82 GDPR in merito al diritto al risarcimento del danno.

La questione

Le questioni in esame sono state le seguenti:

1. Danno effettivo: è necessario che il ricorrente abbia effettivamente subito un danno per ottenere un risarcimento ai sensi dell'art. 82 GDPR, oppure la semplice violazione del GDPR è sufficiente?

2. Soglia di gravità: una normativa o prassi nazionale che subordina il risarcimento del danno immateriale al superamento di una determinata soglia di gravità è compatibile con il diritto dell'Unione?

3. Criteri per la quantificazione del risarcimento: quali criteri devono essere applicati dai giudici nazionali per determinare l'entità del risarcimento dovuto per violazioni del GDPR, in conformità con i principi di equivalenza ed effettività del diritto dell'Unione?

Le soluzioni giuridiche

La normativa stessa del GDPR, l'art. 82, ammette senza dubbio il risarcimento di danni immateriali (che incidono sulla sfera personale): il Considerando 75 ne anticipa la prescrizione, per cui chiunque (anche diverso da un interessato) subisca un danno - materiale o immateriale - da una violazione del GDPR, può chiedere tale risarcimento.

Nella sentenza CGUE del 2023 in parola, ciò comporta la ricerca di tutti e tre i presupposti, necessari e sufficienti, nel caso concreto: (i) una violazione del GDPR, (ii) un danno (anche immateriale); (iii) un nesso di causalità tra danno e violazione.

Il GDPR non richiede requisiti specifici per il riconoscimento del danno, neanche per quello immateriale. Non sono previste soglie di gravità, criteri affini o livelli minimi. Il Considerando 146 chiarisce che il concetto di danno va interpretato in senso lato, in linea con la giurisprudenza della Corte di Giustizia. Inoltre che gli interessati devono ottenere il pieno ed effettivo risarcimento del danno subito. Senza alcun riferimento alla normativa degli Stati membri, a conferma dell'autonomia e sovraordinazione del GDPR a tutela dei diritti fondamentali dell'UE.

Oltretutto, secondo la CGUE ipotizzare filtri di soglia introdurrebbe una frammentazione territoriale ed eccessiva nella conseguente, inevitabile valutazione giudiziale caso per caso, Stato per Stato, nuocendo alla ratio armonizzatrice di un regolamento come il GDPR.

Il GDPR non fornisce indicazioni specifiche per la quantificazione del danno concreto. Tale ambito è di competenza dei singoli Stati, che possono applicare le proprie normative e criteri. Tuttavia, il risarcimento deve essere: (i) pieno ed effettivo: compensare il danno subito e scoraggiare la reiterazione di comportamenti illeciti; (ii) non punitivo: la funzione punitiva è assolta, d'altronde, dall'art. 84 GDPR- pur scoraggiando la reiterazione di comportamenti illeciti.

Veniamo al caso de quo afferente al GDPR. La sentenza 2023 della CGUE è un punto fermo nell'interpretazione del GDPR stesso, in particolare riguardo all'art. 82 che disciplina il diritto al risarcimento per danni derivanti da violazioni del regolamento. Questa decisione chiarifica due aspetti cruciali: (i) la necessità di dimostrare un danno effettivo e concreto per poter accedere al risarcimento e (ii) l'incompatibilità con il GDPR di normative nazionali che ne prevedano una soglia di gravità per il risarcimento dei danni immateriali. La CGUE ribadisce l'importanza di applicare il GDPR in modo uniforme in tutti i paesi UE: la tutela dei dati personali non può essere limitata da criteri nazionali, avendosi l'obiettivo di garantire un elevato livello di protezione in tutta l'Unione.

La giurisprudenza della CGUE sul tema del GDPR è sempre più omogenea. Un altro caso recente (CGUE, 14 dicembre 2023, C-340/21, ECLI:EU:C:2023:986) ha stabilito che il semplice timore di un uso improprio dei propri dati personali dopo una violazione del GDPR (un data breach, nel caso) può essere considerato un "danno immateriale" risarcibile. Questo amplia le possibilità per gli interessati di ottenere un risarcimento.

Venendo all'ambito nazionale, rammentiamo che – ante GDPR - l'art. 15 (oggi abrogato) del d.lgs. 196/2003, stabiliva che chi causava danni con il trattamento dei dati personali era responsabile ai sensi dell'articolo 2050 c.c. anche per i danni non patrimoniali. Per approfondimenti, si rimanda alla bibliografia specifica (in particolare, a TOSI).

Le notissime "sentenze gemelle di San Martino" (Cass. SS.UU., 11 novembre 2008, nn. 26972-26975) hanno rappresentato una pietra miliare nella giurisprudenza italiana sul risarcimento del danno extra-contrattuale non patrimoniale. La Corte ha stabilito una sorta di “statuto”, ovvero: (i) che il danno non patrimoniale è una categoria unitaria, senza distinzioni tra diverse voci di danno; (ii) che il danno è risarcibile non solo nei casi previsti dalla legge o in caso di reato, ma anche per tutte le violazioni di diritti soggettivi di rilievo costituzionale; (iii) che la liquidazione del danno avviene secondo criteri equitativi.

Già all'epoca diversi commentatori (v. quanto riepilogato sempre da TOSI, 199 ss.) avevano puntato il dito verso un malinteso di fondo, verso l'idea di applicare soglie di ammissibilità al risarcimento per la violazione di diritti costituzionali/fondamentali. Tali diritti non possono essere mai considerati "bagatellari" e la loro tutela non può essere subordinata a criteri economici. La violazione di una norma a tutela configurerebbe di per sé un danno evento, senza la necessità di dover provare un pregiudizio concreto.

In seguito, per quanto qui rileva, si era pronunciata ex multis Cass. civ. sent. 8 febbraio 2017, n. 3311, leading case della giurisprudenza nostrana per il suo focus, più articolato rispetto alle sentenze summenzionate. E per cui il danno non patrimoniale – radicato nell'art. 2059 c.c. - era sì risarcibile ma soggetto al doppio filtro di verifica (i) della “gravità della lesione” e (ii) della “serietà del danno conseguenza” (perdite patite) – ovvero di una “offesa sensibile” alla sua portata effettiva.

La sentenza va letta congiuntamente alla precedente Cass. civ., SS.UU., sent. del 2016, n. 372, che aveva escluso il risarcimento per danni di lieve entità, anche per evitare l'accesso alla giustizia per liti di scarso valore economico.

Esempi applicativi del dictum di San Martino in ambito privacy non sono mancati, specie ai tempi di vigenza del citato art. 15 d.lgs. 196/2003: basti menzionare Cass. civ., ord. 11 gennaio 2016, n. 222, Cass. civ. 15 luglio 2017, n. 16133o ancoraCass. civ. sez. I, 31 dicembre 2020, n. 29982.

La giurisprudenza italiana appare però già in linea con quella della CGUE sul tema del risarcimento danni per violazioni dell'ambito privacy. Difatti la Suprema Corte, con l'ord. Cass. civ. ord., 12 maggio 2023, n. 13073, ha riaffermato il diritto al risarcimento altresì in caso di lesioni marginali dei diritti, purché vi sia una lesione "effettiva". Non è più ammesso un automatismo tra violazione e risarcimento, ma nemmeno l'utilizzo di filtri o meccanismi similari.

La quantificazione del danno per violazioni privacy è, infine, rimessa ai tribunali nazionali. Le tabelle del Tribunale di Milano per la liquidazione del danno potrebbero rappresentarne un riferimento, ma non sono specifiche per violazioni privacy. Un'alternativa potrebbe trovarsi nell'utilizzo dei parametri di gravità del rischio del Considerando 76 del GDPR, per allinearsi ai principi di equivalenza ed effettività richiesti dalla CGUE.

Osservazioni

Come visto, se per un verso le pronunce italiane sull’abrogato art. 15 del Codice Privacy ricalcavano quella odierna della CGUE (non ammettendo automaticamente un danno alla violazione della normativa), nondimeno se ne discostavano, nello stabilire criteri assimilabili alle “soglie” ora vietate dalla CGUE. Ciò sottolinea l'evoluzione avvenuta nel trattamento dei diritti relativi alla protezione dei dati personali a livello europeo, spostando l'enfasi verso una protezione più ampia e accessibile per gli interessati.

La pronuncia non interviene isolatamente: al di fuori dell’ambito della protezione dati, le istituzioni europee stanno gradatamente agendo sul tema del danno e la sua risarcibilità (per es. si sta rivedendo la Direttiva sulla responsabilità per prodotti difettosi) eliminando attuali soglie di ammissione al risarcimento, ove presenti.

La giurisprudenza italiana sembra aver già recepito i principi stabiliti dalla CGUE nel 2023 in materia di risarcimento danni per violazioni della privacy. Tuttavia, sarebbe opportuno attendersi un pronunciamento nomofilattico ufficiale della Corte, possibilmente a Sezioni Unite, che espliciti l'accoglimento del dictum europeo e ne chiarisca la compatibilità – e in che termini costituzionali - con il sistema giuridico italiano.

In particolare, sarebbe utile approfondire la nozione di "danno evento" in relazione all'art. 82 GDPR e la funzione deterrente del risarcimento, oltre a coordinare questi principi con i citati principi costituzionali.

Riferimenti

L. Delli Priscoli, Danno non patrimoniale di lieve entità e principio di solidarietà, 2016, in https://www.magistraturaindipendente.it

A. Meietta, La prova del danno da illecito trattamento dei dati personali, Bari, 2023

Policella - Pelino, Art. 82 GDPR (commento), in (a cura di) Bologni-Pelino, Codice della disciplina privacy, Giuffrè Francis Lefebvre, 2019

G. M. Riccio, Art. 82, in (a cura di) Riccio – Scorza – Belisario, GDPR e normativa privacy – Commentario, Milano, 2018

A. Serravalle, Il danno da trattamento dei dati personali nel GDPR, Napoli, 2020

E. Tosi, Responsabilità civile per illecito trattamento dei dati personali e danno non patrimoniale: oggettivazione del rischio e riemersione del danno morale con funzione deterrente-sanzionatoria alla luce dell'art. 82 GDPR, Giuffrè Francis Lefebvre, 2019

Zanfir - Fortuna, Article 82 GDPR, in AA. VV. (a cura di), The EU General Data Protection Regulation (GDPR), Oxford, 1175-1177