L’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) ha rappresentato una pietra miliare per la protezione dei dati personali nell’Unione Europea e nel mondo. Oltre a fornire regole rigorose per il trattamento dei dati, il GDPR riconosce infatti ai cittadini europei il diritto di ottenere un risarcimento in caso di violazione delle norme, come sancito dall’articolo 82 del Regolamento[1]. In questo contesto, la Corte di Giustizia dell’Unione Europea (CGUE) continua a giocare un ruolo cruciale nel definire i contorni di tale previsione normativa.
Attraverso sentenze recenti, i giudici di Lussemburgo sembrano avere consolidato i criteri per ottenere il risarcimento, plasmando un quadro giuridico sull’argomento che, a distanza di sei anni dall’entrata in vigore del GDPR, sta facendo emergere finalmente un orientamento definito.
Risarcimento danni da violazione del GDPR: i pronunciamenti della CGUE
Più in particolare, nei tempi recenti, la CGUE ha avuto l’occasione di pronunciarsi in merito al risarcimento dei danni derivanti dalla violazione del GDPR in diversi casi, definendo i limiti e le condizioni per la concessione dello stesso. Tra queste decisioni, come vedremo, le sentenze C-300/21 del 2023 e C-687/21, C-507/23 del 2024, si sono distinte per il loro impatto sul panorama giuridico europeo.
Sentenza C-300/21 (2023)
Nel 2023, la Corte ha affrontato il tema del risarcimento per danni immateriali derivanti da violazioni del GDPR, interpretando l’articolo 82 del Regolamento in modo restrittivo[2]. Il caso riguardava un cittadino austriaco, che citava in giudizio la Österreichische Post AG (principale operatore postale in Austria) per aver trattato dati relativi alle sue affinità politiche senza il suo consenso. La Società aveva utilizzato un algoritmo per dedurre le affinità politiche dei cittadini austriaci, e il ricorrente, che non aveva autorizzato il trattamento, aveva così chiesto un risarcimento di 1.000 euro per il disagio emotivo derivante dalla violazione della sua privacy. In questa emblematica occasione, la Corte di Giustizia dell’Unione Europea ha stabilito che: i) la mera violazione del GDPR non comporta automaticamente il diritto a un risarcimento, posto che secondo l’articolo 82 del Regolamento, lo stesso si concretizza solo in presenza di un danno concreto, materiale o immateriale, che l’interessato deve dimostrare; ii) il danno immateriale, per essere risarcibile, deve essere effettivo e non puramente temporaneo o insignificante. In questo senso, la Corte ha rigettato la richiesta del ricorrente, in quanto il suo disagio emotivo non è stato ritenuto sufficientemente grave da giustificare un risarcimento. La sentenza ha chiarito dunque che un semplice senso di contrarietà o disagio non supera la soglia di gravità necessaria per ottenere il risarcimento ai sensi del GDPR. È essenziale invece, a parere della Corte, dimostrare il nesso di causalità tra la violazione e il danno subito.
Questa decisione ha iniziato a mettere in evidenza l’approccio rigoroso della CGUE nell’interpretazione del risarcimento per danni immateriali, sottolineando specificamente che non tutte le violazioni del GDPR danno diritto automaticamente allo stesso, poiché deve sussistere un danno concreto, che sia peraltro conseguenza diretta della violazione.
Sentenza C-687/21 (2024)
Nel 2024, la Corte ha poi affrontato un caso di trasmissione errata di dati personali che ha sollevato importanti questioni sull’applicazione dell’articolo 82 del GDPR[3]. In questa occasione, il ricorrente si era recato in un negozio della catena “Saturn” per acquistare un elettrodomestico. Durante il processo di acquisto, i suoi dati personali, inclusi nome, indirizzo, dati relativi alla professione e coordinate bancarie, erano stati inseriti nel sistema informatico della Società. Tuttavia, a causa di un errore del personale, un altro cliente aveva ricevuto per sbaglio sia l’elettrodomestico acquistato dal ricorrente, sia i documenti che contenevano i suoi dati personali. L’errore era stato scoperto rapidamente, e i documenti erano stati restituiti al legittimo proprietario in appena mezz’ora, ma il ricorrente aveva comunque avviato l’azione legale chiedendo un risarcimento per il danno immateriale subito, in particolare per il rischio percepito di una perdita di controllo sui suoi dati. Da qui, la Corte ha stabilito che la semplice violazione del GDPR attraverso la consegna errata dei dati non è sufficiente per ottenere un risarcimento: a tali fini, infatti, è necessario dimostrare non solo che vi sia stata una violazione del Regolamento, ma anche che tale violazione abbia causato un danno concreto. Nel caso del ricorrente, la Corte ha rilevato che, poiché il cliente che aveva ricevuto i documenti non era venuto a effettiva conoscenza dei dati e li aveva restituiti rapidamente, non era stato dimostrato alcun danno concreto. Il semplice timore che i dati potessero essere stati letti o utilizzati impropriamente, in assenza di prove, non è sufficiente per giustificare un risarcimento. La Corte ha inoltre sottolineato che il risarcimento per danni immateriali ai sensi del GDPR ha una funzione puramente compensativa e non punitiva, il che significa che il danno subito deve essere reale e provato. Nel caso in esame, la rapidità con cui l’errore è stato corretto e l’assenza di un uso effettivo dei dati da parte di terzi hanno portato la Corte a negare il risarcimento.
Questa sentenza, sul solco della precedente, ha dunque confermato l’approccio restrittivo della CGUE in materia di risarcimento per danni immateriali, ribadendo che una violazione del GDPR, seppur esistente, non comporta automaticamente il diritto a un risarcimento se non viene dimostrato un danno concreto e reale.
Sentenza C-507/23 (2024)
Ad avvalorare gli orientamenti della Corte, è intervenuta da ultimo una recente pronuncia dell’ottobre 2024, che sembra quasi “esasperare” la non automaticità del diritto al risarcimento: nella sentenza C-507/23, l’unico “risarcimento” che è stato riservato ad un interessato, a fronte di una violazione della sua privacy, sono infatti state le scuse pubbliche[4]. Più particolarmente, quest’ultimo, noto in Lettonia come giornalista esperto nel settore automobilistico, aveva lamentato l’imitazione del suo personaggio (senza che lui ne avesse dato il consenso) in un video diffuso dal Centro per la Protezione dei Consumatori (meglio noto come PTAC) in Lettonia. Nonostante l’opposizione del giornalista, il video era rimasto online, portandolo a richiedere la cessazione della violazione dei suoi dati personali e un risarcimento per il danno immateriale subito.
Il tribunale amministrativo lettone, in primo grado, aveva riconosciuto l’illiceità del trattamento dei dati personali, ordinando al PTAC di interrompere la diffusione del video, oltre alla presentazione pubblica di scuse. La questione è stata portata davanti alla CGUE, in quanto il ricorrente sosteneva che le sole scuse pubbliche non avrebbero potuto essere considerate come una forma adeguata di risarcimento per danni immateriali, ai sensi dell’articolo 82 del GDPR. A riguardo, la CGUE ha invece confermato che, sebbene la violazione del GDPR in esame costituisca una lesione del diritto alla protezione dei dati personali, ciò non comporta automaticamente il diritto a un risarcimento in assenza di un danno dimostrabile. La conferma che le scuse pubbliche possano costituire una forma adeguata di risarcimento per un danno immateriale, purché esse siano in grado di compensare integralmente il danno subito, sembra dunque evidenziare come la Corte stia cercando di sradicare, pronuncia dopo pronuncia, l’idea che ogni minima violazione del GDPR possa dar luogo automaticamente a un risarcimento, respingendo così tout court la risarcibilità di un danno “bagatellare” da GDPR.
Il valore compensativo del risarcimento
Vi è chiaramente un fil rouge tra le sentenze sopra esposte. Dalle recenti pronunce della CGUE, emerge infatti con chiarezza un principio fondamentale: il risarcimento previsto dall’articolo 82 del GDPR ha una funzione esclusivamente compensativa e non punitiva. Tale impostazione si inserisce nel contesto più ampio della responsabilità civile europea, e mira a garantire che il risarcimento serva a compensare integralmente il danno subito dall’interessato, senza che ciò sfoci in un sistema risarcitorio automatico o sproporzionato. La funzione compensativa implica, peraltro, che il risarcimento possa essere concesso solo laddove vi sia un danno effettivo, che può essere sia materiale che immateriale. Tuttavia, è necessario che tale danno sia concreto e dimostrato: il semplice fatto che vi sia stata una violazione del GDPR non basta per giustificare una pretesa risarcitoria, poiché l’interessato deve provare di aver subito un pregiudizio reale, e il nesso di causalità tra la violazione del Regolamento e il danno deve essere chiaro e inequivocabile. La Corte stabilisce in questo modo un argine importante per evitare che ogni minima violazione del GDPR possa automaticamente portare a richieste risarcitorie, evitando qualsiasi impostazione punitiva o deterrente[5].
Un maggiore pragmatismo nell’applicazione del Gdpr
La linea giurisprudenziale sopra ricordata, in conclusione, sembra voler dotare il GDPR di un maggior pragmatismo nella sua applicazione, focalizzandosi sul caso concreto e rifuggendo da automatismi. Più nello specifico, le pronunce della Corte indicano la volontà di “stoppare” qualsiasi uso strumentale delle previsioni del Regolamento. Sembra infatti che sia stato lanciato un chiaro segnale per cui deve essere lasciato spazio solamente alla difesa delle situazioni meritevoli di tutela.
A distanza di qualche anno dalla sua entrata in vigore, il GDPR sta dunque evolvendo, da Regolamento di difficile cifratura (specie per le aziende), a organismo normativo completo, capace di adattarsi a un contesto digitale in costante espansione, nonché di bilanciare correttamente i diritti fondamentali e gli interessi coinvolti[6]. Si auspica che tale approccio costituisca un faro e un punto fermo anche nell’interpretazione e applicazione di tutti gli ulteriori strumenti legislativi (e.g. Artificial Intelligence Act, Digital Service Act, Data Act) che si stanno affacciando nella galassia normativa europea e che sono destinati a regolare (unitamente al GDPR) lo spazio digitale dell’Unione Europea per i prossimi decenni.
Note
A dimostrazione di ciò, ex multis, si può fare riferimento alla sentenza C-768/21, del 26 settembre 2024, che seppur riferibile al diverso tema del data breach, incarna lo stesso spirito delle pronunce precedentemente trattate. In tale caso, infatti, la Corte ha chiarito che in situazioni di violazione dei dati personali, qualora l’azienda abbia adottato tutte le misure tecniche e organizzative necessarie per garantire la sicurezza dei dati e la violazione sia stata sanata tempestivamente, l’autorità di controllo non è obbligata ad adottare misure correttive o sanzioni automatiche. La discrezionalità dell’autorità di controllo viene preservata per evitare di penalizzare in maniera sproporzionata le aziende che, pur trovandosi in situazioni di violazione, abbiano agito con diligenza nel prevenire e risolvere l’evento. La CGUE ha dunque rigettato il concetto di responsabilità oggettiva e ha invece sottolineato che l’intervento correttivo deve essere proporzionato e calibrato al singolo caso, riducendo – anche qui – il rischio di automatismi, questa volta nell’irrogazione di sanzioni. ↑
L’articolo 82, paragrafo 1, del GDPR prevede che “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento [GDPR] ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento …”. ↑
Causa C-300/21, UI contro Österreichische Post AG, sentenza del 4 maggio 2023, ECLI:EU:C:2023:370. ↑
Causa C-687/21, BL contro MediaMarktSaturn Hagen-Iserlohn GmbH, sentenza del 25 gennaio 2024, ECLI:EU:C:2024:72. ↑
Causa C-507/23, A contro Patērētāju tiesību aizsardzības centrs, sentenza del 4 ottobre 2024, ECLI:EU:C:2024:854. ↑
Al contrario, le sanzioni amministrative pecuniarie si presentano con una finalità sostanzialmente punitiva. Si veda, ad esempio, il punto 47 della sentenza C-687/21, per cui “… la Corte ha dichiarato che l’articolo 82 del RGPD riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute al capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che svolgono, dal canto loro, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. L’articolazione tra le norme sancite in detto articolo 82 e quelle sancite in detti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti …”. ↑