Con sentenza emessa il 21 dicembre 2023, nella causa C-667/21, la Corte di giustizia dell’Unione Europea (“CGUE”) afferma un importante principio, ossia che il risarcimento danni per violazioni del GDPR non può avere una funzione punitiva, ma al massimo compensativa.
I fatti della causa di fronte alla CGUE
La vicenda nasce a seguito del ricorso di un dipendente tedesco dinanzi al Arbeitsgericht Düsseldorf (Tribunale del lavoro, Düsseldorf, Germania) il quale lamentava un illegittimo trattamento dei suoi dati personali da parte del suo datore di lavoro. Segnatamente, il dipendente contestava una violazione del GDPR in quanto dettagli relativi al suo stato di salute erano conosciuti dal suo datore di lavoro, nonché da altri colleghi, mentre, queste informazioni avrebbero dovuto essere trattate unicamente da un soggetto terzo ed esterno all’ambiente lavorativo. Per tale ragione, il dipendente chiedeva un risarcimento per i danni subiti ai sensi dell’art. 82 del GDPR di EUR 20.000,00.
Tuttavia, il giudice tedesco, non certo della corretta interpretazione dell’art. 82 del GDPR ha posto una serie di questioni pregiudiziali alla CGUE, tra cui:
- (i) “Se l’articolo 82, paragrafo 1, del GDPR abbia carattere preventivo speciale o generale e se tale circostanza debba essere presa in considerazione, a carico del titolare del trattamento o del responsabile del trattamento, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base del succitato articolo”, e
- (ii) “Se, nel determinare l’ammontare del danno immateriale che deve essere risarcito sulla base dell’articolo 82, paragrafo 1, del RGPD, rilevi il grado di colpa del titolare del trattamento o del responsabile del trattamento. In particolare, se il fatto che il titolare del trattamento o il responsabile del trattamento abbiano agito senza colpa o con colpa lieve possa essere preso in considerazione a loro favore”.
Interpretazione della CGUE dell’art. 82 del GDPR
Secondo la CGUE, l’art. 82 GDPR non può avere una funzione punitiva, ma invero solamente una funzione di tipo riparatoria. Affermano infatti i giudici UE:
“[…] L’articolo 82 del GDPR riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute al capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che svolgono, quanto ad essi, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. L’articolazione tra le norme sancite in detto articolo 82 e quelle sancite nei suddetti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il GDPR, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti.
[…] Poiché il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del GDPR non svolge una funzione dissuasiva, o addirittura punitiva, come prospettato dal giudice del rinvio, la gravità della violazione di tale regolamento che ha causato il danno di cui trattasi non può incidere sull’importo del risarcimento concesso in base a tale disposizione, anche qualora si tratti di un danno non materiale bensì immateriale. Ne consegue che tale importo non può essere stabilito ad un livello che vada oltre la piena compensazione di tale danno.”.
Per quanto poi attiene al grado di colpa del titolare e se questo sia una condizione essenziale ai fini del sorgere della responsabilità dello stesso, che riguardava un altro quesito posto dalla Corte tedesca, la CGUE si è espressa ritenendo che l’art. 82 del GDPR non richiede la prova dell’esistenza della responsabilità dello stesso, essendo questa presunta, e aggiungendo poi che il grado di colpa non rileva nel calcolo dell’importo del risarcimento riconosciuto a titolo di danno immateriale.
Main takeaways della decisione della CGUE sul risarcimento dei danni da violazione del GDPR
Per quanto attiene all’art. 82 GDPR, i giudici UE hanno pertanto enucleato i seguenti principi di diritto che possono essere riassunti come segue:
- Ai sensi dell’art. 82 del GDPR, il risarcimento danni per violazioni della normativa privacy non può avere una funzione punitiva, ma solo compensativa;
- La responsabilità è presunta per il titolare o il responsabile; e
- Il grado di colpa del titolare o del responsabile non è rilevante per il prodursi della responsabilità dell’uno o dell’altro, né per quantificare l’importo dei danni immateriali da risarcire ai sensi dell’art. 82, del GDPR.
Su un simile argomento può essere interessante il seguente articolo “La comunicazione dei destinatari dei dati nelle richieste privacy di diritto di accesso è obbligatoria secondo la CGUE”