I sentimenti negativi provati dall’interessato a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, così come il timore di un potenziale utilizzo abusivo degli stessi, rientrano nella nozione di danno immateriale risarcibile ai sensi dell’art. 82 par. 1 del GDPR.
È questo l’orientamento della Corte di Giustizia dell’Unione Europea (CGUE) che estende il concetto di danno immateriale anche a tali emozioni, di per sé intangibili. Tuttavia, ai fini della risarcibilità, occorre che l’interessato “dimostri che prova sentimenti siffatti, con le loro conseguenze negative, a causa della violazione de qua del regolamento suddetto”.
Andiamo ora a ripercorrere brevemente i fatti oggetto della sentenza del 4 settembre 2025, con la quale la CGUE definisce la causa C-655/23. Il procedimento trae origine da un data breach, più precisamente, dalla violazione della riservatezza dei dati personali di un interessato: il riscontro ad una candidatura professionale (vertente soprattutto sugli aspetti salariali) comunicato dall’impiegata della società offerente ad un soggetto terzo, estraneo al procedimento di selezione che, per di più, conosceva il candidato (in quanto ex collega di lavoro).
L’interessato ricorreva in giudizio al fine di ottenere, da un lato, la condanna della società all’astensione da qualsiasi trattamento non autorizzato dei dati personali che lo riguardavano in relazione alla sua candidatura, e, dall’altro lato, il risarcimento del danno immateriale derivato da tale evento (le inquietudini provocate dal fatto che “almeno una terza persona che lo conosceva e lavorava nel suo stesso settore professionale era stata messa in condizione di trasmettere tali dati riservati ad ex datori di lavoro o a potenziali datori di lavoro, di beneficiare di un vantaggio rispetto a lui in una possibile situazione di concorrenza per un’assunzione, e di percepire l’umiliazione da lui provata in occasione del fallimento delle sue trattative salariali”).
Ecco i punti fondamentali precisati dalla CGUE:
- La nozione di danno immateriale di cui all’art. 82 GDPR include i sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo (timore, insoddisfazione derivanti dalla perdita di controllo sui dati, pregiudizio reputazionale ecc…), “purché detto interessato dimostri che prova sentimenti siffatti, con le loro conseguenze negative, a causa della violazione de qua del regolamento suddetto”.
- Anche in passato la Corte riconosceva il danno immateriale dell’interessato che “consisterebbe nel timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento”. Tuttavia, ancora una volta, imponeva all’interessato di dimostrare di avere sofferto tali preoccupazioni “a causa dell’esistenza di una siffatta violazione” del Regolamento, spettando poi al giudice nazionale adito verificarne la fondatezza (Sentenza della CGUE del 14 dicembre 2023, C-340/21).
- Ai fini della risarcibilità del danno immateriale, non occorre il superamento di una certa soglia di gravità dell’illecito.
- Un’ingiunzione di astensione dalla reiterazione di una violazione del GDPR, opponibile al titolare del trattamento e ottenuta dal giudice nazionale, ha natura meramente preventiva e non riduce né esclude il risarcimento ex art. 82 GDPR, avente carattere compensativo.
In conclusione, così come emerge dall’orientamento della Corte, il concetto di danno immateriale ben può ricomprendere anche le emozioni intangibili dell’interessato conseguenti alla violazione dei dati personali, tuttavia, è esclusa una risarcibilità del danno ex se ed automatica: incombe sull’interessato l’onere probatorio del nesso causale tra violazione e danno sofferto.
