La mera violazione del GDPR non dà diritto al risarcimento del danno, ma non è necessario che il danno subito raggiunga una certa soglia di gravità per produrre un diritto al compenso. Sono queste le conclusioni a cui è giunta la Corte di Giustizia dell’Unione europea (CGUE) in una sentenza del 4 maggio 2023.
La vicenda da cui ha avuto origine la pronuncia riguarda la società di diritto austriaco Österreichische Post, operante nel settore della vendita di indirizzi e che nello svolgimento della propria attività ha raccolto dati relativi all’affinità politica di alcuni cittadini. I dati trattati sono stati utilizzati per creare pacchetti di indirizzi con particolari caratteristiche sociali e demografiche, che poi sono stati venduti a terzi per lo svolgimento di pubblicità mirata.
Un cittadino austriaco, che non aveva acconsentito al trattamento dei suoi dati politici, ha citato in giudizio la società lamentando di essersi sentito offenso dal fatto che gli sia stata attribuita un’affinità con un particolare partito politico. É emerso che tale dato non sia mai stato oggetto di trasmissione a terzi e che, pertanto, il danno arrecato sia unicamente di carattere emotivo.
Riguardo al procedimento in questione la Corte Suprema austriaca ha sollevato tre questioni davanti alla Corte di Giustizia dell’Unione europea (“CGUE”):
- Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 del Regolamento (UE) 679/2016 (“GDPR”) occorra anche che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la semplice violazione del Regolamento;
- Se per calcolare l’ammontare del risarcimento esistano altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza;
- Se l’irritazione provocata dalla violazione stessa sia di per sè sufficiente per il riconoscimento di un danno immateriale o se, invece, è necessario che sussista una conseguenza o un effetto della violazione di un diritto avente almeno un certo peso per poter determinare il danno.
Sulla prima questione la CGUE ha chiarito che non ogni mera violazione del GDPR dà luogo al diritto a ottenere un risarcimento e ogni diversa interpretazione sarebbe contraria alla chiara formulazione del Regolamento stesso. Per poter ottenere un risarcimento del danno è necessario che sussistano tre condizioni cumulative: (i) la violazione; (i) il danno morale o materiale; e (iii) il nesso di causalità. La Corte ha, inoltre, chiarito che alla luce dei considerando al Regolamento deve sussistere un nesso causale tra la violazione in questione e il danno subito per fondare il diritto al risarcimento.
Sulla seconda questione la Corte ha evidenziato che il GDPR non contiene alcuna norma che disciplini la valutazione dei danni. Spetta pertanto all’ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni volte a salvaguardare i diritti che le persone traggono dal GDPR e, in particolare, i criteri per la valutazione del danno.
Sulla terza questione la Corte ha rilevato che «subordinare il risarcimento di un danno immateriale a una certa soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal RGPD, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi». Pertanto, si deve concludere che non esiste nessuna soglia per il riconoscimento del danno all’interno del GDPR e per questo qualsiasi violazione del GDPR può in potenza generare un obbligo di risarcimento.
Le conclusioni a cui è giunta la Corte sono rilevanti alla luce di alcune pratiche processuali che avvengono negli Stati membri. Molti tribunali hanno respinto richieste di risarcimento per danni sulla base del fatto che sia sempre necessario il raggiungimento di una certa soglia di gravità del danno per poter ottenere un compenso. Ciò conformemente all’interpretazione di danno fornita dal diritto interno dello Stato in questione e differentemente da quella di diritto dell’Unione. La CGUE ha tuttavia chiarito che «la nozione di “danno” e, più specificamente, nel caso di specie, la nozione di “danno immateriale”, ai sensi dell’articolo 82 del RGPD, devono ricevere, tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri, una definizione autonoma e uniforme, propria del diritto dell’Unione».
Questa sentenza comporta un importante precedente in materia di risarcimento del danno da violazione del GDPR. È atteso un importante aumento del contenzioso, soprattutto in materia di ricorsi collettivi. Numerosi ricorsi su questo argomento sono ancora pendenti di fronte alla Corte di Giustizia, per questo sono attesi ulteriori sviluppi della vicenda.
Sul tema può essere di interesse il seguente articolo: “La Corte di Cassazione si pronuncia sulla rilevanza del danno da violazione della normativa privacy”.