La sentenza della Corte di Giustizia dell’Unione europea del 19 marzo 2026 (causa C-526/24, Brillen Rottler) affronta per la prima volta in modo diretto il tema dell’esercizio abusivo del diritto di accesso ai dati personali ex art. 15 GDPR, chiarendo che il carattere «eccessivo» dell’istanza ai sensi dell’art. 12, par. 5, può ricorrere anche in presenza di una prima richiesta, ogniqualvolta l’analisi delle circostanze concrete riveli un intento fraudolento.
Proviamo, allora, non tanto a ripercorrere il ragionamento della Corte, bensì a esaminare le implicazioni sistematiche delle tesi accolte, muovendo da tre questioni distinte:
- la natura giuridica del diritto di accesso e la sua collocazione nel sistema dei diritti soggettivi conferiti dal GDPR;
- il problema epistemico dell’accertamento dell’intento abusivo da parte del titolare del trattamento;
- il significato dell’interpretazione estensiva dell’art. 82 GDPR in relazione alla risarcibilità del danno in assenza di trattamento.
Si sostiene che la convergenza di questi tre profili produce una tensione strutturale non ancora risolta, che il proposto Digital Omnibus Package affronta in modo parziale.
Indice degli argomenti
L’esercizio dei diritti riconosciuti agli interessati dal Gdpr e la sentenza CGUE
L’esercizio dei diritti riconosciuti agli interessati dal Regolamento (UE) 2016/679 (di seguito, GDPR) costituisce uno degli elementi fondamentali del sistema di protezione dei dati personali nell’ordinamento europeo. Il considerando 7 del Regolamento chiarisce che gli interessati devono avere il controllo dei propri dati personali, e l’art. 15 ne è la traduzione operativa più immediata: il diritto di accesso consente all’interessato di ottenere dal titolare la conferma del trattamento in corso e una copia dei dati trattati. Si tratta di un diritto che la dottrina ha qualificato in termini assai diversi — ora come posizione strumentale rispetto agli altri diritti del GDPR, ora come posizione giuridica soggettiva autonoma — senza che la questione abbia trovato soluzione condivisa.
La sentenza della Corte di Giustizia dell’Unione europea del 19 marzo 2026 (causa C-526/24, Brillen Rottler) si inserisce in questo dibattito affrontando una questione che l’applicazione concreta del GDPR ha reso urgente: se e a quali condizioni il diritto di accesso possa essere esercitato abusivamente, con conseguente facoltà del titolare di rifiutarlo ai sensi dell’art. 12, par. 5, GDPR. La Corte risponde affermando che il carattere «eccessivo» di un’istanza non richiede la ripetitività e può ricorrere anche in caso di prima richiesta, ogniqualvolta l’analisi delle circostanze concrete — incluso il ricorso a fonti pubblicamente accessibili — riveli un intento fraudolento o comunque eccedente la misura ragionevole.
L’analisi in oggetto muove dalla constatazione che la pronuncia indicata solleva almeno tre questioni di fondamento che travalicano il caso concreto:
- la natura giuridica del diritto di accesso e il suo ruolo e scopo, inclusi i confini del suo esercizio;
- il problema dell’accertamento dell’intento abusivo da parte del titolare del trattamento, con la relativa allocazione dei rischi di errore;
- l’autonomizzazione del rimedio risarcitorio ex art. 82 GDPR rispetto al concetto di «trattamento».
Si sostiene che la convergenza di questi tre profili produce una tensione strutturale non ancora risolta, che il proposto Digital Omnibus Package affronta in modo parziale e che richiede una riflessione dogmatica più approfondita di quella finora condotta.
La natura del diritto di accesso nel sistema GDPR: tra diritto soggettivo e strumento di controllo
La comprensione della portata dei limiti al diritto di accesso richiede di chiarire preliminarmente la sua posizione sistematica all’interno del GDPR. Si tratta, a prima vista, di un diritto soggettivo in senso tecnico: il Regolamento lo attribuisce all’interessato in termini non condizionati, lo correda di un regime di rimedi (artt. 77-79 GDPR) e lo presidia con un sistema sanzionatorio pubblicistico (art. 83, par. 5, GDPR). Tuttavia, il considerando 63 fornisce un’indicazione teleologica precisa, affermando che il diritto di accesso mira a consentire all’interessato di essere consapevole del trattamento e di verificarne la liceità. Questa finalizzazione normativa non è neutra sul piano interpretativo.
Un diritto soggettivo che il legislatore qualifica esplicitamente in funzione di uno scopo determinato introduce nella struttura della norma un elemento che la teoria generale del diritto qualifica come condizione di esercizio legittimo. La distinzione, nota nella dottrina civilistica italiana a partire dalla riflessione di Rescigno sull’abuso del diritto, consente di distinguere tra la titolarità formale di una posizione giuridica e il suo esercizio in conformità alla ragione per cui quella posizione è stata attribuita dall’ordinamento. Si ritiene che questa distinzione sia essenziale per comprendere la logica della sentenza in commento: la Corte non afferma che un primo accesso possa essere rifiutato perché è formalmente eccessivo secondo qualche parametro predefinito, bensì perché l’esercizio del diritto si discosta dalla finalità che ne giustifica l’attribuzione.
Questa lettura trova conferma nel fatto che il considerando 63 delimita esplicitamente lo scopo del diritto di accesso alla verifica della liceità del trattamento e alla consapevolezza dell’interessato. Quando un soggetto si iscrive a una newsletter tredici giorni prima di presentare un’istanza di accesso — avendo egli stesso conferito i dati — non vi è, sul piano fattuale, alcuna reale necessità di accedere a informazioni che egli conosce già: l’istanza non mira alla consapevolezza, ma alla costruzione della base per una successiva domanda risarcitoria. È questo scarto tra scopo normativo e scopo effettivo dell’esercizio che fonda, nella logica della Corte, la qualificazione dell’istanza come eccessiva.
Si deve, tuttavia, riconoscere che questa impostazione comporta un rischio sistematico rilevante. Se il diritto di accesso può essere negato ogni volta che il titolare ritiene che lo scopo effettivo dell’istanza si discosti dalla finalità normativa, il diritto soggettivo perde la sua certezza applicativa e diventa dipendente da una valutazione discrezionale del titolare che — come si vedrà nella sezione 5 — è strutturalmente in una posizione di potenziale conflitto di interessi. La Corte è consapevole di questo rischio e lo argina richiamando il carattere eccezionale del rifiuto e la necessità di un’interpretazione restrittiva dell’art. 12, par. 5.
Rimane, tuttavia, aperta la questione di quali strumenti il titolare possa legittimamente utilizzare per accertare l’intento e con quale grado di certezza debba farlo.
L’eccessività dell’istanza: dall’interpretazione quantitativa a quella funzionale
L’art. 12, par. 5, GDPR stabilisce che il titolare può rifiutare di dar seguito alle richieste dell’interessato qualora siano «manifestamente infondate o eccessive, in particolare a causa del loro carattere ripetitivo». La struttura sintattica della norma è stata al centro di un dibattito interpretativo che la sentenza in commento risolve in modo netto.
L’interpretazione prevalente nella prassi applicativa delle autorità di controllo tendeva a leggere il riferimento alla «ripetitività» come elemento qualificante del concetto di «eccessività»: una prima istanza non potrebbe essere eccessiva per definizione, giacché non vi è ancora nessuna serie di comportamenti rispetto alla quale misurare l’eccesso. Questa lettura ha il vantaggio della prevedibilità, ma presenta un limite dogmatico fondamentale che la Corte individua con precisione: essa considera «eccessivo» solo ciò che è quantitativamente oltre misura, ignorando la dimensione qualitativa dell’eccesso.
La Corte adotta, invece, un’interpretazione fondata sul significato autonomo del termine «eccessivo» nel diritto dell’Unione, inteso — nel linguaggio corrente — come ciò che supera la misura ordinaria e ragionevole sia sul piano quantitativo sia su quello qualitativo. Il sintagma «in particolare a causa del loro carattere ripetitivo» assume, in questa lettura, il carattere di un’esemplificazione non esaustiva, coerentemente con la funzione dell’avverbio «in particolare» nella tecnica redazionale degli atti dell’Unione. Si ritiene che questa interpretazione sia filologicamente corretta e sistematicamente coerente con il principio di effetto utile, che impone di non ridurre la portata di una norma a un sottoinsieme dei casi che essa mira a regolare.
La transizione dall’interpretazione quantitativa a quella funzionale non è, tuttavia, priva di implicazioni. Essa implica che il concetto di «eccessività» non possa più essere determinato mediante la semplice verifica della storia delle istanze presentate dall’interessato, ma richieda una valutazione complessiva delle circostanze del caso, includendo finalità, tempistiche, comportamento pregresso rilevabile da fonti pubbliche e ogni altro elemento pertinente. Questa valutazione è di natura squisitamente fattuale e impone al titolare un giudizio prognostico sull’intenzione dell’interessato: un’operazione epistemicamente complessa, alla quale si dedica la sezione 5.
Va segnalato, altresì, che la stessa impostazione era già stata anticipata dalla sentenza CGUE del 9 gennaio 2025 (Österreichische Datenschutzbehörde), nella quale la Corte aveva richiamato il principio generale di diritto dell’Unione secondo cui le norme europee non possono essere invocate fraudolentemente o abusivamente. La sentenza in commento inserisce quel principio generale nel perimetro specifico dell’art. 12, par. 5, GDPR, compiendo un passaggio che la dottrina aveva auspicato, ma che nessun giudice nazionale aveva ancora tentato con questa esplicitezza sistematica.
Il principio di divieto di abuso del diritto nell’ordinamento europeo e la sua proiezione sulla protezione dei dati
Il divieto di abuso del diritto costituisce un principio generale dell’ordinamento europeo, riconosciuto dalla Corte di Giustizia con costanza almeno dalla sentenza Halifax (C-255/02) e applicato in settori che vanno dal diritto tributario al diritto societario, dal diritto doganale alle libertà fondamentali. La sua struttura logica è sufficientemente consolidata: vi è abuso quando il soggetto realizza formalmente il fatto costitutivo di una norma che gli attribuisce un vantaggio, ma persegue uno scopo che si pone in contrasto con l’obiettivo di quella stessa norma, ricavando un beneficio che l’ordinamento non intendeva attribuire.
L’estensione di questo principio al diritto della protezione dei dati presenta, tuttavia, alcune specificità che meritano attenzione. A differenza del diritto tributario o del diritto societario — dove il vantaggio abusivamente perseguito è tipicamente economico e dove il soggetto che abusa è sovente più forte dell’ordinamento normativo che tenta di aggirare — nel contesto del GDPR la situazione è strutturalmente asimmetrica in senso inverso. Il principio di abuso viene invocato da un titolare del trattamento — soggetto che il GDPR, presuppondolo in una posizione di forza rispetto all’interessato, ha obbligato a proteggerlo da sé stesso — per opporre un rifiuto a un soggetto che esercita un diritto attribuitogli proprio per riequilibrare quella asimmetria.
Questa inversione strutturale non rende il principio inapplicabile, ma impone una calibrazione particolarmente rigorosa delle condizioni del suo riconoscimento. Si sostiene che il principio di divieto di abuso del diritto possa essere applicato al diritto di accesso solo quando siano soddisfatte cumulativamente due condizioni: che l’elemento oggettivo dell’abuso sia accertato con un grado di certezza elevato — e non per mere presunzioni — e che l’elemento soggettivo sia individuabile con sufficiente precisione attraverso dati oggettivi verificabili. La sentenza in commento indica che il titolare può avvalersi di fonti pubblicamente accessibili per raccogliere tali dati, ma non dice nulla sulla soglia probatoria che deve essere raggiunta per fondare il rifiuto.
Questa lacuna è rilevante. L’abuso del diritto nel contesto europeo richiede, nella giurisprudenza della Corte, la dimostrazione di entrambi gli elementi — oggettivo e soggettivo — senza che sia sufficiente la mera plausibilità dell’uno o dell’altro. Nel diritto della protezione dei dati, tuttavia, il titolare che valuta il carattere abusivo di un’istanza si trova di fronte a un paradosso: deve formarsi un convincimento sull’intenzione dell’interessato senza poterlo interrogare direttamente — il che richiederebbe un ulteriore trattamento di dati personali — e senza disporre degli strumenti procedurali tipici del processo. Il risultato è una decisione che, dal punto di vista epistemico, si avvicina più a un giudizio probabilistico che a un accertamento in senso tecnico. Ciò con tutte le conseguenze del caso in merito ad eventuali mancanze in relazione, appunto, all’obbligo di protezione dei dati personali.
Il problema dell’accertamento dell’intento abusivo: profili epistemici e allocazione del rischio
La questione dell’accertamento dell’intento abusivo è, probabilmente, la più delicata tra quelle sollevate dalla sentenza. Non si tratta soltanto di un problema pratico, ma di una questione che investe la struttura cognitiva della decisione del titolare del trattamento e le conseguenze giuridiche dell’errore.
Quando un titolare riceve un’istanza di accesso ai dati, dispone di un insieme limitato di informazioni: i dati identificativi dell’interessato, la data dell’istanza, eventualmente la data di iscrizione al servizio, e quanto la ricerca su fonti pubbliche può rivelare. La sentenza in commento autorizza il ricorso a queste ultime, aprendo la strada a una forma di profilazione dell’istante che è, di per sé, un trattamento di dati personali. Non è irrilevante notare che il titolare, per valutare se l’interessato stia abusando del proprio diritto di accesso, deve raccogliere e analizzare ulteriori informazioni su di lui: si tratta di un trattamento supplementare che il GDPR non disciplina espressamente in questo contesto e che potrebbe, a sua volta, sollevare questioni di liceità non risolte.
Più in profondità, il problema è quello della struttura della decisione. Il titolare deve determinare l’intenzione soggettiva dell’istante sulla base di indizi comportamentali: la brevità del tempo trascorso dall’iscrizione al servizio, il fatto che l’istante abbia in precedenza presentato analoghe richieste seguite da pretese risarcitorie, la circostanza che l’interessato conoscesse già i dati cui chiedeva di accedere. Ciascuno di questi indizi è compatibile con più spiegazioni, e qualificarli come prova di intento abusivo richiede un’inferenza che va oltre la mera raccolta dei fatti.
In teoria dell’evidenza — e in particolare nella tradizione bayesiana applicata alla decisione giuridica, elaborata tra gli altri da Twining e Tillers — questo tipo di inferenza richiede di assegnare probabilità condizionate e di confrontare ipotesi alternative. La questione non è se l’abuso sia possibile, ma se sia più probabile dell’esercizio legittimo, e con quale margine di sicurezza il titolare possa concludere in un senso anziché nell’altro. Il GDPR non fornisce alcun criterio esplicito per questa valutazione, e la sentenza in commento non colma la lacuna, limitandosi a indicare che il carattere eccessivo va accertato «tenendo conto di tutte le circostanze del caso».
Si ritiene che questa lacuna generi un rischio di over-deterrence del tutto simmetrico e opposto al rischio di abuso che la sentenza mira a reprimere. Se i titolari del trattamento percepiscono la pronuncia come un’autorizzazione a rifiutare le istanze di accesso ogni volta che circostanze ambigue suggeriscono un possibile intento abusivo, il risultato sarà una riduzione dell’esercizio effettivo del diritto di accesso ben al di là dei casi di reale abuso e/o un aumento ulteriore del contenzioso in merito. L’asimmetria strutturale tra titolare e interessato, che il GDPR mira a correggere, ne risulterebbe rafforzata anziché attenuata.
La soluzione corretta, sul piano sistematico, è quella che il diritto processuale conosce come allocazione del rischio dell’errore: il titolare che rifiuta un’istanza di accesso assume il rischio di essere ritenuto inadempiente se la valutazione si rivela errata e tale rischio deve essere sufficientemente elevato da indurlo alla prudenza. L’art. 82 GDPR fornisce, in astratto, questo incentivo, giacché il rifiuto illegittimo dell’accesso dà luogo a responsabilità risarcitoria. Nella pratica, tuttavia, il deterrente funziona solo se il livello del danno risarcibile è proporzionato alla gravità del rifiuto e su questo punto — come si vedrà — la giurisprudenza rimane non del tutto coerente.
La risarcibilità del danno ex art. 82 GDPR in assenza di trattamento: verso un’autonomia del rimedio
La sentenza affronta anche una questione di diritto sostanziale che ha implicazioni sistematiche di grande rilievo: se il rifiuto del diritto di accesso — qualificato dalla Corte come violazione del GDPR — possa fondare una domanda risarcitoria ai sensi dell’art. 82 GDPR anche in assenza di un trattamento di dati personali.
L’art. 82, par. 1, GDPR stabilisce che chiunque subisce un danno materiale o immateriale causato da una violazione del Regolamento ha diritto di ottenere il risarcimento dal titolare o dal responsabile del trattamento. La norma non condiziona esplicitamente la responsabilità all’esistenza di un trattamento: richiede soltanto che vi sia una violazione del Regolamento e un danno causalmente connesso. Eppure, l’intero impianto del GDPR è costruito attorno al concetto di trattamento, definito dall’art. 4, n. 2, come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali».
La Corte scioglie il nodo affermando che una violazione del GDPR può dar luogo a responsabilità risarcitoria anche quando non vi è stato un trattamento in senso stretto, poiché il Regolamento mira a garantire la protezione dei diritti degli interessati nella loro totalità, non soltanto in relazione alle fasi attive del trattamento. A sostegno, la Corte richiama il considerando 11, che prevede un’adeguata protezione dei dati personali anche attraverso la tutela dell’esercizio dei diritti, nonché le disposizioni degli artt. 26 e 30 GDPR, la cui violazione — per definizione avulsa da operazioni di trattamento in senso stretto — è ritenuta idonea a fondare una domanda risarcitoria.
Si sostiene che questa interpretazione sia corretta sul piano sistematico, ma produca una trasformazione dogmatica rilevante della natura dell’art. 82 GDPR. Nella sua lettura prevalente fino alla sentenza in commento, la norma era concepita come un rimedio per i danni derivanti da condotte che il GDPR vieta nelle fasi di raccolta, conservazione, condivisione o cancellazione dei dati. Nell’interpretazione estensiva della Corte, invece, l’art. 82 diventa un rimedio per qualsiasi violazione del Regolamento che produca un danno, indipendentemente dall’esistenza di un trattamento: si trasforma, cioè, in una norma generale di responsabilità per lesione dei diritti soggettivi conferiti dal GDPR.
Questa trasformazione non è priva di conseguenze pratiche. Il titolare del trattamento — che già rispondeva per i danni derivanti da trattamenti illeciti, da violazioni di sicurezza e da inosservanza dei principi dell’art. 5 — risponde ora anche per il rifiuto illegittimo di istanze di accesso, per l’omessa o tardiva risposta, per il mancato aggiornamento del registro dei trattamenti ex art. 30 e per la violazione delle disposizioni sulla contitolarità ex art. 26. Lo spettro della responsabilità si amplia in modo significativo, con riflessi che meritano di essere attentamente considerati sul piano della compliance aziendale e della valutazione del rischio legale.
Va, altresì, segnalato che la Corte mantiene fermi i presupposti già elaborati nella giurisprudenza anteriore per il risarcimento del danno immateriale: la violazione del GDPR non è di per sé sufficiente, essendo necessario che il richiedente dimostri di aver effettivamente subito un danno e che sussista un nesso causale tra la violazione e il danno stesso. Il pregiudizio non può ridursi al mero timore astratto che in futuro possano verificarsi conseguenze negative. Questo requisito assume particolare importanza nel contesto delle istanze abusive, perché esclude che l’interessato possa costruire artificialmente il proprio danno attraverso la presentazione di un’istanza di accesso al solo scopo di vedersela rifiutare per poi richiedere un risarcimento.
La riforma dell’art. 12 GDPR nel Digital Omnibus Package: codificazione necessaria o ridondanza normativa?
In concomitanza con lo sviluppo giurisprudenziale descritto, la Commissione europea ha presentato la proposta denominata Digital Omnibus Package, che include tra le misure di semplificazione normativa una modifica dell’art. 12 GDPR volta a rafforzare le ipotesi di rifiuto del diritto di accesso e a introdurre nel testo del Regolamento il concetto esplicito di «abuso del diritto».
La proposta pone una domanda di teoria della legislazione che merita di essere affrontata direttamente: ha senso codificare un principio che la Corte di Giustizia ha già riconosciuto in via interpretativa come parte integrante del diritto vigente? La risposta dipende dalla funzione che si attribuisce alla codificazione legislativa rispetto all’interpretazione giurisprudenziale, e non è univoca.
Un primo argomento a favore della codificazione riguarda la certezza del diritto. La sentenza in commento afferma un principio, ma non definisce criteri operativi precisi per la sua applicazione. I titolari del trattamento che vogliano avvalersi della facoltà di rifiuto devono navigare in un territorio interpretativo ampio, esposti al rischio di vedere la loro valutazione giudicata errata da un’autorità di controllo o da un giudice. Una norma testuale che elencasse, sia pure in termini non esaustivi, gli indici rilevanti per la qualificazione dell’istanza come abusiva ridurrebbe l’incertezza applicativa e consentirebbe una compliance più prevedibile.
Un secondo argomento riguarda, invece, il rischio di cristallizzazione interpretativa. La giurisprudenza della Corte di Giustizia è flessibile per definizione: si adatta ai casi concreti, sviluppa i principi progressivamente e consente alla norma di evolversi con la realtà che regola. La codificazione legislativa fissa il diritto in un testo che, per quanto articolato, non può anticipare tutti i casi futuri e che — una volta adottato — richiede procedure di modifica complesse e lente. Se il concetto di «abuso del diritto» viene codificato con criteri rigidi, il rischio è che l’applicazione si irrigidisca proprio nei casi atipici in cui la tutela dell’interessato richiede, invece, una maggiore elasticità.
Si ritiene che il Digital Omnibus Package possa apportare un contributo utile non tanto nella direzione della codificazione del principio — già riconosciuto dalla Corte — quanto in quella della previsione di procedure specifiche che il titolare deve seguire prima di opporre il rifiuto: obblighi di motivazione analiticamente definiti, termini per la comunicazione, forme di contraddittorio con l’interessato, e raccordo con l’autorità di controllo nelle ipotesi dubbie. Questi aspetti procedurali — assenti sia nel testo vigente sia nella sentenza in commento — costituirebbero la vera innovazione normativa rilevante, perché trasformerebbero la valutazione di abuso da decisione unilaterale e incontrollata del titolare a procedimento giuridicamente strutturato.
Le due questioni ancora aperte
L’analisi condotta nelle sezioni precedenti consente di formulare alcune tesi conclusive e di indicare le questioni ancora aperte.
Vi sono questioni che l’analisi giuridica può avvicinarsi a formulare con precisione, senza per questo poterle risolvere. Appartengono a quella zona in cui il diritto non tace, ma parla con un linguaggio che lascia intendere più di quanto dica. La sentenza C-526/24 ne solleva due che meritano di essere esposte per quello che sono; non certo lacune da colmare con un’interpretazione più raffinata, piuttosto aporie che riflettono tensioni strutturali del sistema.
La presupposizione dell’asimmetria nel GDPR
La prima riguarda la presupposizione su cui il GDPR è interamente costruito ossia che il titolare del trattamento sia il soggetto forte del rapporto e l’interessato quello debole. Su questa presupposizione si regge l’asimmetria normativa dell’intero regolamento — gli obblighi unilaterali del titolare, l’inversione degli oneri probatori, la struttura dell’art. 12, par. 5, che colloca sul titolare la prova del carattere eccessivo della richiesta. È una presupposizione politicamente fondata, storicamente giustificata e per la maggior parte dei casi descrittivamente accurata. La sentenza, tuttavia, ha reso visibile un caso in cui quella presupposizione non regge: quando l’interessato, conoscendo le regole meglio del titolare e usando quella conoscenza con sistematicità strategica, costruisce a proprio favore le condizioni dell’inadempimento, il titolare non è più il soggetto forte che la norma descrive. Si trova, anzi, in quella che si potrebbe definire una posizione di obbligo di protezione: è normalmente tenuto a proteggere l’interessato e, precisamente, questo obbligo lo espone quando il protetto diventa il proprio antagonista, sfruttando come arma procedurale il diritto che la norma gli ha conferito come garanzia — obbligandolo, in ultima analisi, a proteggere l’interessato finanche da sé stesso.
Si può, tuttavia, sostenere che questa inversione sia un caso limite e non una regola e che sarebbe intellettualmente avventuroso costruire su di essa una revisione della premessa fondativa del GDPR. La struttura asimmetrica del regolamento nasce da una constatazione che il contenzioso seriale non smentisce, infatti la condizione ordinaria dell’interessato è quella di un soggetto che non conosce i propri dati, che non dispone degli strumenti per verificare come vengano usati, e che dipende dall’adempimento spontaneo del titolare per esercitare in modo effettivo i diritti che la legge gli riconosce. Il GDPR non presuppone la forza del titolare in modo arbitrario, la presuppone perché il titolare detiene, strutturalmente, informazioni che l’interessato non ha. Che talvolta la situazione si inverta non altera la direzione generale della norma; semmai segnala che i criteri per identificare i casi di inversione devono essere sviluppati con precisione e che affidarli alla sola giurisprudenza, senza alcun presidio procedurale, è una soluzione fragile.
L’abuso simmetrico tra interessato e titolare
La seconda questione è, per certi versi, più difficile, perché si pone in un contesto in cui la distinzione tra abuso dell’interessato e abuso del titolare diventa radicalmente incerta. Nelle grandi piattaforme digitali, il diritto di accesso ex art. 15 GDPR è formalmente garantito e sostanzialmente svuotato: la copia dei dati che il titolare fornisce è spesso un documento di dimensioni tali da non poter essere letto, in formati tecnici che rendono incomprensibile qualsiasi tentativo di verifica. In questo contesto, la domanda che la sentenza non affronta è se il concetto di abuso possa applicarsi in modo simmetrico: non solo all’interessato che usa il diritto di accesso come trappola procedurale, ma al titolare che adempie all’obbligo in modo tale da renderlo inutilizzabile. La complessità del trattamento diventa, in questi casi, uno schermo dietro cui la trasparenza formale nasconde un’opacità sostanziale; e l’interessato che richiede l’accesso sapendo di non poter elaborare la risposta non abusa del diritto, ma reagisce a un sistema in cui quel diritto è già stato violato da chi lo deve garantire.
Si può, al contrario, ritenere che anche in questi contesti sia l’interessato a detenere il vantaggio strutturale: la possibilità di richiedere volumi enormi di dati, di attivare procedimenti costosi, di paralizzare la compliance del titolare con istanze tecnicamente irrisolvibili nei termini di legge, è un coltello affilato anche nelle mani di chi si presenta come parte debole. I limiti dell’art. 15 GDPR — tra cui la facoltà, prevista dall’art. 12, par. 5, di addebitare costi ragionevoli per richieste eccessive — non sono stati progettati per gestire questa asimmetria rovesciata e la giurisprudenza non ha ancora sviluppato strumenti adeguati a misurarla.
Bobbio ricordava che il compito del giurista non è eliminare le antinomie, ma imparare a conviverci con onestà intellettuale. Le due questioni che si lasciano aperte sono il segno che il diritto della protezione dei dati personali è ancora un ordinamento in formazione che si confronta con fenomeni la cui complessità eccede, per ora, la capacità degli strumenti che ha elaborato per governarli.
