Il 4 settembre 2025, la Corte di giustizia dell’Unione europea (CGUE) ha pronunciato un’importante sentenza nella causa C-655/23, IP c. Quirin Privatbank AG, in materia di risarcibilità dei danni non patrimoniali ai sensi del Regolamento (UE) 2016/679 (“GDPR”).
La decisione fornisce chiarimenti fondamentali sui criteri e i presupposti per l’ottenimento del risarcimento ai sensi dell’articolo 82 GDPR, precisando cosa possa integrare un danno non patrimoniale risarcibile e quali condizioni debbano sussistere per ottenerne la compensazione.
I fatti
Il ricorrente aveva presentato domanda di assunzione presso una banca tramite una piattaforma professionale di networking. Nel corso della procedura di selezione, un dipendente della banca inviava erroneamente a un terzo – non coinvolto nel processo di assunzione – un messaggio destinato unicamente al candidato. Il terzo, che conosceva il ricorrente per precedenti rapporti professionali, gli inoltrava il messaggio ricevuto.
A seguito di tale violazione, il ricorrente adiva i giudici tedeschi chiedendo un’ingiunzione per impedire ulteriori comunicazioni illecite dei propri dati personali e il risarcimento del danno non patrimoniale subito.
I giudici tedeschi riconoscevano la violazione del GDPR e concedevano l’ingiunzione, ma respingevano la domanda risarcitoria, ritenendo che il ricorrente non avesse provato in misura sufficiente l’esistenza del danno non patrimoniale. In sede di impugnazione, il Bundesgerichtshof (Corte federale di giustizia) deferiva alla CGUE alcune questioni pregiudiziali sull’interpretazione dell’articolo 82 GDPR.
La motivazione della Corte
La Corte ha chiarito che il danno non patrimoniale non deve necessariamente tradursi in conseguenze materiali tangibili, purché l’interessato dimostri che lo stesso si sia effettivamente verificato e sia stato causato dalla divulgazione illecita dei propri dati personali.
In particolare, la Corte ha precisato che:
- Anche danni psicologici come ansia o turbamento emotivo quale conseguenza della divulgazione illecita dei dati personali possono costituire danno risarcibile.
- Non è richiesto un livello minimo di gravità per il danno non patrimoniale: anche un pregiudizio lieve, purché debitamente dimostrato, è risarcibile.
- La gravità o l’intenzionalità della condotta del titolare non possono essere utilizzate per ridurre l’ammontare del risarcimento, che deve essere “pieno ed effettivo”;
- La concessione di un’ingiunzione volta a prevenire future violazioni non può ridurre né sostituire il risarcimento del danno non patrimoniale già subito; i due rimedi sono distinti e cumulativi.
La Corte ha dunque adottato un’interpretazione ampia della nozione di danno non patrimoniale, in linea con la finalità del GDPR.
Tuttavia, tale pronuncia va letta in coordinamento con le norme nazionali regolanti l’onere della prova. In particolare, sebbene il danno non patrimoniale sia in linea di principio risarcibile, l’interessato dovrà comunque – con le dovute specificità legate all’ordinamento di riferimento – provare:
- l’effettiva esistenza del danno lamentato;
- la violazione del GDPR da parte del danneggiante; e
- il nesso causale tra la violazione e il danno reclamato.
Ne consegue che, considerata la difficoltà insita nel provare stati soggettivi come l’ansia o il turbamento emotivo, l’onere probatorio per gli interessati resta particolarmente gravoso, rendendo dunque complesso l’ottenimento della compensazione per danni immateriali.
Conclusione
La sentenza conferma l’approccio estensivo della CGUE in tema di risarcibilità del danno non patrimoniale, chiarendo i presupposti per il riconoscimento del danno.
Sebbene il soggetto interessato rimanga comunque tenuto a dimostrare l’esistenza del danno e il nesso diretto con la violazione del GDPR, la decisione risulta di interesse per le imprese, in quanto evidenzia il rischio di ricevere, oltre a sanzioni regolatorie, anche azioni risarcitorie da parte degli individui come conseguenza diretta del trattamento illecito dei dati personali.
