Con la sentenza C-526/24 del 19 marzo 2026 la Corte di giustizia ha stabilito che anche la prima richiesta di accesso ai dati personali può essere rifiutata come “abuso” se inoltrata dall’interessato solo per finalità risarcitoria. Una pronuncia che introduce un freno al fenomeno degli accessi strumentali, salvaguardando il vero diritto alla protezione dei dati.
Con la sentenza del 19 marzo, la Corte di Giustizia dell’Unione Europea è intervenuta per chiarire i limiti del diritto di accesso ai sensi del GDPR in caso di utilizzo “strumentale” del rimedio. Il caso trae origine dalla richiesta di accesso di un cliente a un’impresa di ottica tedesca, respinta dal titolare come eccessiva e motivata da intenti di lucro. Il riferimento (C-526/24, Brillen Rottler GmbH & Co. KG c. TC) è pervenuto tramite un tribunale tedesco che ha posto alla Corte tre questioni pregiudiziali: i) Se una richiesta di accesso possa essere considerata “infondata eccessiva” anche quando si tratta della prima richiesta (l’art. 12 par. 5 prosegue specificando “in particolare per il suo carattere ripetitivo”); ii) se la stessa disposizione consenta al titolare del trattamento di rifiutare una richiesta di accesso quando l’interessato la presenta con l’intento di creare i presupposti per future azioni di risarcimento nei confronti del titolare; iii) possano essere presi in considerazione elementi pubblicamente disponibili (ad esempio informazioni che mostrano che l’interessato in molti casi analoghi invoca sistematicamente il risarcimento per violazioni della protezione dei dati) per giustificare il rifiuto della richiesta di accesso
La vicenda di fatto
Nel caso di specie, un cittadino austriaco si era iscritto alla newsletter online della società ottica Brillen Rottler (Arnsberg, Germania), inserendo i suoi dati personali nel modulo di registrazione. Trascorsi appena 13 giorni, lo stesso interessato ha esercitato il suo diritto di accesso ai dati in possesso della Brillen Rottler. L’azienda ha rigettato la richiesta di accesso qualificandola come “abusiva”: dispone informazioni pubbliche (articoli di stampa, blog legali) dal quale risulterebbe che il richiedente è solito iscriversi ripetutamente a varie newsletter ed esercitare puntualmente il diritto di accesso, per poi chiedere un risarcimento di presunti danni da GDPR violato. Il soggetto contesta la valutazione e invoca un risarcimento di almeno €1.000 per danno immateriale subito a causa del rifiuto. Il tribunale tedesco, chiamato a giudicare sulla legittimità del rifiuto, ha chiesto alla Corte di interpretare l’art. 12(5) GDPR in presenza di un simile comportamento reiterato, ponendo l’accento sull’eventualità che anche una prima istanza possa essere “manifestamente infondata o eccessiva”.
L’art. 12(5) GDPR e l’abuso del diritto di accesso
Il caso ruota dunque attorno all’interpretazione dell’art. 12(5) del GDPR, comma 1 secondo capoverso, il quale consente al titolare di rifiutare una richiesta manifestamente infondata o eccessiva. Tali eccezioni erano state pensate per filtrare richieste manifestamente strumentali o sproporzionate, come indicato dai paragrafi normativi concernenti i diritti degli interessati). Secondo la Corte UE, non è necessario che l’interessato abbia già presentato altre domande prima della controversa: contano invece il contesto e le motivazioni sottese alla richiesta. Se il titolare dimostra che la richiesta è stata presentata non per conoscere i propri dati (nonostante fossero formali le condizioni di accesso) ma con l’intento abusivo di creare le condizioni per una domanda risarcitoria, allora la richiesta può essere rifiutata come eccessiva. In altri termini, il GDPR stesso riconosce implicitamente il principio dell’abuso del diritto di accesso: quando il dato dell’interessato non è realmente a rischio, il fine colto può essere quello di ingenerare artificiosamente un pregiudizio da cui scaturirebbe la pretesa di compensazione.
Quali finalità per gli abusi dell’accesso?
Perché si verificano casi di abuso del diritto di accesso? La sentenza chiarisce anche le ragioni opportunistiche che possono spingere a tali condotte: l’interessato in Brillen Rottler mirava a ingiustificato guadagno economico. L’intento era quello di far fallire la richiesta formale (ottenendo il rifiuto), per poi agire giudizialmente contro l’azienda con una domanda di risarcimento di danni immateriali. Questo modus operandi (segnalato anche da informazioni pubblicamente reperibili) è finalizzato ad ottenere compensazioni monetarie piuttosto che tutelare un diritto reale. In sintesi, i soggetti che abusano del diritto di accesso cercano di trasformare un’attività amministrativa gratuita in un oggetto di lucro. La Corte sottolinea però che, ai sensi dell’art. 82 GDPR, il risarcimento può essere ottenuto solo se l’interessato dimostra di aver subito effettivamente un danno materiale o immateriale a causa di una violazione del regolamento.
Conclusioni
Come rilevato da molteplici commentatori, la sentenza Brillen Rottler segnala un limite all’uso strumentale del diritto di accesso già codificato nella disciplina del GDPR. La Corte ha affermato che anche “una prima richiesta di accesso può, in determinate circostanze, essere considerata eccessiva” e quindi rifiutata. Questa soluzione pragmatica serve a evitare abusi sistematici del diritto, che di fatto danneggerebbero il bilanciamento della normativa sulla protezione dei dati. La decisione è significativa perché riconosce implicitamente il principio dell’abuso del diritto, un concetto di matrice civilistica, nel contesto del GDPR. Il risultato auspicabile è quello di un rafforzamento della coerenza complessiva del sistema: da un lato tutelare gli interessati “onestamente” azionati concedendo loro strumenti; dall’altro penalizzare lo sfruttamento degli stessi per finalità meramente risarcitorie.
