Il Regolamento Generale sulla Protezione dei Dati dell'Unione Europea 2016/679 (“GDPR” o “Regolamento”) è il punto di riferimento essenziale per la protezione dei dati personali e per la tutela della riservatezza. Ciò non toglie che, ai fini di una corretta attuazione delle disposizioni del Regolamento, si renda necessario sciogliere, in via preliminare, alcune questioni interpretative e procedurali, la cui competenza è rimessa all’intervento chiarificatore della Corte di Giustizia dell’Unione Europea (“CGUE”). Proprio come nel caso ECLI:EU:C: 2024:288, recentemente sottoposto all’attenzione dei giudici europei da parte del tribunale del Land, Saarbrücken, (Germania), il quale ha sollevato diverse questioni pregiudiziali, funzionali a riconoscere la sussistenza e le forme del diritto al risarcimento del danno derivante dalla violazione delle disposizioni del GDPR.
Il caso
Un avvocato chiamava in giudizio innanzi al tribunale del Land Saarbrücken, la “Juris GmbH” - società con sede in Germania specializzata nella gestione di banche dati giuridiche - accusando la stessa di aver utilizzato i propri dati personali per finalità di marketing diretto, nonostante il suo espresso diniego a ricevere informazioni di tal natura, eccezion fatta per l’invio della newsletter di cui, invece, desiderava essere destinatario; il ricorrente chiedeva, - tramite apposito reclamo – il risarcimento del danno materiale subito, ai sensi dell’articolo 82, paragrafo 1, del GDPR e del danno immateriale patito, sostenendo, di fatto, di aver perso il controllo sui propri dati personali. Di contro, la società respingeva le accuse mosse: a sostegno della liceità della propria condotta, rappresentava, innanzitutto, di aver istituito apposito sistema volto a gestire le richieste di opposizione alla ricezione di comunicazioni con finalità di marketing diretto; nel caso di specie, la tardiva presa in considerazione della richiesta di opposizione avanzata dal ricorrente era da attribuirsi ad un errore umano di uno dei dipendenti della società, che non aveva rispettato le istruzioni impartite circa tale operazione. A tanto, la società aggiungeva che la mera violazione dell’obbligo di cui all’art. 21, paragrafo 3, del GDPR, di per sé, non può costituire un «danno»,come statuito dall’articolo 82, paragrafo 1, del Regolamento.
Le questioni pregiudiziali sollevate innanzi alla CGUE
Il giudice di prime cure, esaminati i fatti, rilevava diversi aspetti meritevoli di risoluzione interpretativa ad opera della CGUE, con particolare riferimento alla possibilità di inquadrare o meno la violazione delle disposizioni del GDPR quale presupposto a fondamento della richiesta di risarcimento del danno.
i)La prima questione sollevata concerne la nozione di “danno”, così come delineata dall’articolo 82, paragrafo 1, del GDPR e, in particolar modo, il suo inquadramento alla luce dei Considerando 85 e 146, terzo periodo, del Regolamento; nozione, dunque, da intendersi comprensiva di qualsiasi pregiudizio alla posizione giuridica protetta, indipendentemente da ulteriori effetti e dalla gravità del pregiudizio sofferto, come tale bastevole a giustificare un risarcimento. La CGUE ha chiarito, tuttavia, che la mera violazione del Regolamento non è di per sé sufficiente a legittimare la richiesta di risarcimento del danno: è necessario dimostrare l’esistenza della violazione del Regolamento; la circostanza che tale violazione abbia causato concretamente un danno materiale o immateriale e che esista un nesso di causalità tra il danno e la violazione: tali condizioni sono cumulative per la richiesta di risarcimento del danno. Da ciò consegue che la sola violazione delle disposizioni del GDPR – nel caso di specie, quelle che riconoscono i diritti agli interessati – non è sufficiente a fondare il diritto sostanziale ad ottenere un risarcimento ai sensi del Regolamento, dovendo, per converso, ricorrere anche le altre due condizioni.
ii)La seconda questione si concentra sul tema dell’esonero della responsabilità per danni del titolare del trattamento, come delineata dall’articolo 82, paragrafo 3, del GDPR: più precisamente, se la stessa possa considerarsi esclusa, in quanto la violazione è riconducibile all’errore umano di un soggetto che aveva agito difformemente alle istruzioni impartite dal titolare del trattamento (la società tedesca). Sul punto, la Corte di Giustizia ha chiarito che, considerato il combinato dispostodei paragrafi 2 e 3 dell’art. 82, il titolare del trattamento può sottrarsi alle proprie responsabilità solo se fornisca adeguata prova della mancata sussistenza di un nesso di causalità tra violazione e danno; viceversa, invocare l’errore dei propri dipendenti circa l’inesatta esecuzione delle istruzioni impartite non esonera il titolare del trattamento dalle proprie responsabilità, dal momento che egli è tenuto ad assicurarsi che le proprie direttive siano correttamente applicate dai lavoratori. Dunque,nel caso in esame, il principio di esonero della responsabilità del titolare del trattamento di cui all’articolo 82, paragrafo 3, del Regolamento, non trova applicazione.
iii) Le ultime questioni sollevate innanzi alla Corte di Giustizia hanno ad oggetto le criticità sul quantum per il risarcimento del danno. Più nel dettaglio: a) se, ai sensi dell’art. 82 paragrafo 1, possano trovare applicazione i criteri di fissazione degli importi previsti per le sanzioni amministrative pecuniarie di cui all’art. 83 del Regolamento; b) se il risarcimento del danno debbaesser stabilito tenendo in considerazione ogni singola violazione perpetrata oppure se più violazioni – quantomeno analoghe – siano sanzionabili (e oggetto di risarcimento) tramite una somma determinata e complessiva, essendo le stesse riconducibili ad un’unica operazione di trattamento. Sulla prima questione, i giudici hanno pacificamente riconosciuto che le due disposizioni in esame (artt. 82 e 83) perseguono obiettivi diversi; mentre l’articolo 83 del Regolamento enuclea le «condizioni generali per infliggere sanzioni amministrative pecuniarie», l’articolo 82 disciplina il «diritto al risarcimento e la responsabilità». Ne consegue che i criteri enunciati all’articolo 83 del GDPR non possono essere utilizzati per valutare l’importo del risarcimento del danno in forza dell’articolo 82. Dunque, la Corte, nel ribadire come il GDPR non contenga di fatto disposizioni relative alla valutazione del risarcimento del danno dovuto, rimette la valutazione in esame ai giudici nazionali, i quali devono applicare, in forza del principio di autonomia processuale, le norme interne a ciascuno Stato membro e relative all’entità del risarcimento, fermi restando iprincipi di equivalenza e di effettività del diritto dell’Unione. Sulla seconda questione, la CGUE, constatata la funzione non punitiva ma compensativa dell’art. 82 del GDPR, conclude affermando che, pur riconosciuta sussistente la circostanza per cui più violazioni siano state commesse dal titolare del trattamento nei confronti dell’interessato, nel contesto del medesimo trattamento, essa non integra comunque un criterio rilevante ai fini della valutazione del danno da riconoscere, ai sensi del suddetto articolo 82; di fatti, solo il danno concretamente subito dall'interessato deve essere preso in considerazione per determinare l’importo del risarcimento dovuto a titolo di compensazione.
Conclusioni
In conclusione, le risposte alle questioni pregiudiziali sollevate dal giudice tedesco forniscono importanti chiarimenti sull’applicazione del diritto al risarcimento in caso di violazione delle norme del GDPR. I dati personali e i diritti connessi devono esser tutelati ma, affinché questo avvenga concretamente, occorre applicare adeguatamente le norme, mediante criteri di interpretazione letterale e sistematica che tengano conto, altresì, delle disposizioni adottate dai singoli Stati membri.
Avv. Rossella Bucca e Dott.ssa Rossella Taddei
Newsletter
Iscriviti per ricevere i nostri aggiornamenti
