Home Data Protection & CybersecurityQuando può essere rifiutata una richiesta di accesso GDPR? La Corte di Giustizia dell’UE traccia una linea chiara

Quando può essere rifiutata una richiesta di accesso GDPR? La Corte di Giustizia dell’UE traccia una linea chiara

31 Marzo 2026 by

Con la sentenza Brillen Rottler (C-526/24), la Corte di Giustizia dell’Unione Europea (CJEU) ha chiarito che, in determinate circostanze, un titolare del trattamento può rifiutare una richiesta di accesso – anche se si tratta della prima presentata dall’interessato.

Questo rappresenta il vero punto di svolta della decisione.

Il principio chiave: le richieste di accesso possono essere rifiutate se abusive

La Corte ha confermato esplicitamente che una richiesta ai sensi dell’articolo 15 GDPR può essere considerata “eccessiva” e quindi rifiutata ai sensi dell’articolo 12, comma 5, del GDPR, quando è abusiva.

Elemento importante: ciò non riguarda solo richieste ripetitive.

  • Anche una prima richiesta di accesso può essere rifiutata
  • Il fattore decisivo non è la frequenza, ma la finalità

Secondo la Corte, una richiesta è abusiva quando viene presentata:

  • non per comprendere come vengono trattati i dati personali;
  • ma per creare artificialmente le condizioni per richiedere un risarcimento ai sensi del GDPR.

Questo chiarimento amplia significativamente la possibilità pratica di rifiutare richieste di accesso.

Dalla conformità formale a una valutazione basata sulla finalità

La decisione introduce una valutazione sostanziale dell’intento.

Finora, i titolari del trattamento erano generalmente tenuti a soddisfare le richieste di accesso, salvo che fossero manifestamente infondate o ripetitive. La Corte chiarisce ora che la conformità formale ai requisiti del GDPR non è sufficiente se la finalità sottostante è abusiva.

Ciò significa che le aziende possono:

  • valutare il contesto complessivo della richiesta;
  • considerare eventuali schemi di comportamento;
  • basarsi su elementi che suggeriscono una strategia sistematica di contenzioso.

Ad esempio, la Corte ha riconosciuto che richieste ripetute seguite da richieste di risarcimento nei confronti di più organizzazioni possono indicare un intento abusivo.

Ma la soglia resta elevata

Sebbene la sentenza apra alla possibilità di rifiutare richieste di accesso, non abbassa il livello di tutela.

L’onere della prova resta a carico del titolare del trattamento.

Ciò crea una situazione delicata:

  • rifiutare una richiesta senza prove sufficienti può costituire a sua volta una violazione del GDPR;
  • soddisfare richieste abusive può esporre le aziende a pretese opportunistiche.

In pratica, il rifiuto deve rimanere un’eccezione, non la regola.

Risarcimento: nessun diritto automatico

La Corte ribadisce inoltre che il risarcimento ai sensi del GDPR richiede un danno effettivo.

Per ottenere un risarcimento, l’interessato deve dimostrare:

  • una violazione del GDPR;
  • un danno reale (materiale o immateriale);
  • un nesso causale tra i due.

Elemento cruciale: non è dovuto alcun risarcimento se il danno è causato dal comportamento dello stesso interessato.

Questo è particolarmente rilevante nei casi in cui le richieste di accesso vengano utilizzate strategicamente per generare pretese risarcitorie.

Impatto operativo: un nuovo dilemma di compliance

La sentenza ha implicazioni pratiche immediate.

Le aziende dovrebbero ora rivedere le proprie procedure di gestione delle richieste di accesso, soprattutto in presenza di:

  • richieste ripetute o strutturate;
  • brevi intervalli tra la fornitura dei dati e nuove richieste;
  • segnali di comportamento orientato al contenzioso.

Allo stesso tempo, le organizzazioni devono implementare processi interni robusti per:

  • documentare eventuali elementi di abuso;
  • garantire coerenza nelle decisioni;
  • coinvolgere i team legali nei casi più rischiosi.

Un’evoluzione più ampia nell’applicazione del GDPR?

La possibilità di rifiutare una richiesta di accesso in caso di abuso riflette un’evoluzione più ampia del diritto europeo in materia di protezione dei dati.

Il GDPR è stato concepito per tutelare gli individui – ma non per consentire uno sfruttamento sistematico dei suoi meccanismi.

La Corte invia ora un messaggio chiaro:

I diritti degli interessati sono fondamentali, ma non sono illimitati quando vengono esercitati in mala fede.

Cosa succede ora?

La decisione Brillen Rottler rappresenta un chiarimento cruciale: le richieste di accesso GDPR non sono assolute – possono essere rifiutate se abusive.

Per le aziende, ciò comporta sia un’opportunità sia un rischio:

  • un’opportunità di contrastare usi strumentali;
  • un rischio di valutare erroneamente l’intento e incorrere in non conformità.

La vera sfida sarà operativa: Come possono le organizzazioni identificare con sicurezza le richieste abusive senza compromettere i diritti legittimi degli interessati?

Autore: Giulio Coraggio

(Visited 1 times, 1 visits today)

About the Author:

Giulio Coraggio è un partner e location head del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper in Italia

Related Posts

Gli identificatori dei cookie pubblicitari sono dati personali? Una decisione del Consiglio di Stato francese solleva interrogativi per l’Ad Tech e l’addestramento dell’AI

Una recente decisione sugli identificatori dei cookie pubblicitari del Conseil d’État ha riacceso un...

La definizione di dato personale rimane invariata: impatto del Digital Omnibus sull’addestramento dell’IA

La definizione di dato personale rimane invariata nel quadro del Digital Omnibus. Cosa significa questo per...

Indagine di EIOPA su GenAI e assicurazioni: a che punto siamo?

Il 2 febbraio 2026 EIOPA ha pubblicato la sua indagine a livello UE sull’adozione dell’Intelligenza...

Close Search Window