La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata su un tema chiave per la gestione del trattamento dei dati personali: l’esercizio del diritto di accesso e il suo possibile utilizzo abusivo.
Indice degli argomenti
La sentenza Brillen Rottler: una prima nel panorama GDPR
La sentenza Brillen Rottler del 19 marzo 2026 (causa C‑526/24) rappresenta la prima pronuncia che qualifica come eccessiva anche la prima richiesta di accesso ai dati ai sensi dell’art. 15 GDPR, nell’eventualità in cui sia dimostrato un intento fraudolento. Questa decisione si inserisce in un filone giurisprudenziale avviato nel 2025 con il caso Österreichische Datenschutzbehörde (C‑416/23), che ha sottolineato come l’eccessività delle richieste non dipenda soltanto dalla loro numerosità ma dalla volontà abusiva del richiedente.
Da tenere a mente, comunque, che nella sentenza del 2025 la CGUE aveva dato ragione alla persona fisica accusata dallo stesso Garante Privacy austriaco di aver azionato il proprio diritto di accesso in maniera sproporzionata.
Cosa prevede l’art. 15 del GDPR: trasparenza e controllo
Come noto l’articolo 15 del GDPR riconosce all’interessato il diritto di ottenere conferma dell’esistenza di un trattamento dei propri dati e di ricevere copia e informazioni dettagliate sugli scopi, le categorie di dati e i destinatari. Tale diritto costituisce uno strumento essenziale per la trasparenza e il controllo del trattamento e rappresenta uno dei cardini della compliance privacy europea.
Viene comunque concesso al Titolare di rifiutare o addebitare i costi del reperimento delle informazioni, qualora la richiesta risulti manifestamente infondata o eccessiva.
Le linee guida EDPB: interpretazione restrittiva e valutazione caso per caso
Le Linee guida EDPB 01/2022 ribadiscono che le nozioni di “manifestamente infondata” ed “eccessiva” vanno interpretate in modo restrittivo, per non compromettere il principio di gratuità dei diritti: ogni richiesta deve essere valutata caso per caso e il Titolare deve essere in grado di spiegare e dimostrare le ragioni del rifiuto sia al richiedente sia all’autorità di controllo. Nella sezione dedicata all’eccessività, il documento precisa che non esiste una definizione uniforme di richiesta eccessiva e che la valutazione dipende da fattori quali la frequenza delle modifiche dei dati, la natura dei dati e il contesto specifico del settore.
Il caso concreto: un “ricorrente seriale” e il rifiuto del titolare
Tornando alla sentenza che ci occupa oggi, un cittadino austriaco si iscrive alla newsletter di un’ottica tedesca e, dopo tredici giorni, presenta una richiesta di accesso. Il titolare rifiuta, sostenendo che l’interessato è un “ricorrente seriale” noto per iscriversi a servizi allo scopo di generare contenziosi risarcitori. Il giudice tedesco chiede alla CGUE se una prima richiesta possa essere considerata “eccessiva” e se il diniego dia diritto a un risarcimento.
Sulla scorta di quanto già affermato nel 2025, la CGUE ribadisce che l’eccessività di una richiesta deve essere valutata qualitativamente non quantitativamente: in altri termini anche una prima istanza di accesso può essere ritenuta eccessiva, nel momento in cui il Titolare dimostri che l’interessato ha agito con un’intenzione abusiva (ad esempio per creare artificialmente le condizioni per ottenere un risarcimento). La Corte chiarisce che l’accertamento dell’abuso richiede sia un elemento oggettivo (consistente nella deviazione della ratio della norma pur in osservanza formale della stessa) sia un elemento soggettivo (intento del richiedente di trarre vantaggio indebito).
Onere della prova: spetta interamente al titolare
Interessante anche il proseguimento del ragionamento della Corte sul punto, secondo il quale è possibile utilizzare informazioni pubbliche per dimostrare un comportamento seriale, purché suffragate da elementi probatori processualmente validi.
In tal senso, in un’interpretazione restrittiva e procedurale dell’art. 12 del GDPR, la sentenza chiarisce che l’onere probatorio relativo all’eccessività della domanda di accesso grava integralmente sul Titolare.
Risarcimento del danno immateriale: il nesso causale è determinante
Infine la Corte si è poi pronunciata sulla richiesta di risarcimento del danno immateriale, da parte dell’interessato, per aver perso il controllo dei dati personali o per l’incertezza in merito all’essere o meno oggetto di trattamento. L’interessato deve dimostrare non solo la violazione delle disposizioni del GDPR, ma anche il danno effettivamente subito e il nesso di causalità.
Il mero timore dell’interessato legato alla perdita di controllo dei propri dati o ad un futuro loro utilizzo abusivo non è sufficiente: il giudice nazionale, deve quindi verificare che il timore possa essere fondato. Nel caso di specie il risarcimento è stato negato proprio in virtù del fatto che il nesso causale è stato rotto dal comportamento attivo (e abusivo) dell’interessato.
Implicazioni per le imprese: processi di valutazione e onere della prova
Le conseguenze di questa sentenza per le imprese, pur non impattando in maniera eclatante i processi di gestione delle richieste degli interessati, si traducono in una maggiore perimetrazione del concetto di eccessività della richiesta e di onere della prova.
In particolare, potrebbe essere utile stabilire fin da subito, soprattutto per i business ad alta percentuale di richieste di accesso, un processo di valutazione della fondatezza delle richieste, basato sui criteri stabiliti dalla CGUE.
Verso un equilibrio tra tutela dei diritti e prevenzione degli abusi
La sentenza Brillen Rottler si inserisce in una più ampia evoluzione giurisprudenziale volta a garantire un equilibrio tra tutela dei diritti degli interessati e prevenzione di abusi.
Rimane quindi fondamentale per le imprese tracciare al meglio le richieste e il flusso di dati, con l’obiettivo di trovarsi pronti per eventuali contestazioni – tenendo presente il vincolo dell’onere probatorio – e fissando dei processi di accesso standard che assicurino la massima trasparenza e flessibilità.
