Violazioni GDPR e risarcimento danni: la sentenza della corte di giustizia UE ha sancito che violare il Regolamento non fonda di per sé il diritto al risarcimento del danno.

Violazioni GDPR e risarcimento danni: tutto inizia in Austria

La vicenda che ha portato alla pronuncia della Corte di Giustizia UE ha inizio in Austria. Le poste austriache schedavano gli utenti e li profilavano suddividendoli in gruppi per orientamento politico. Tutto senza aver ottenuto alcun consenso da parte degli interessati.

Un utente ha così scoperto che, senza il suo consenso, le Poste austriache lo avevano schedato come simpatizzante di un partito politico a lui profondamente avverso. Da qui la decisione di intentare causa contro le poste austriache per violazione della privacy. L'utente ha richiesto, in dettaglio, 1000 euro di risarcimento danni non patrimoniali perchè ha ritenuto "offensivo e infamante, nonché lesivo della sua immagine" l'accostamento a quel dato partito politico.

Il caso è finito poi sul tavolo della Suprema Corte Austriaca, chiamata a decidere rispetto al risarcimento del danno richiesto. Così la Corte ha espresso il dubbio riguardo la “portata del diritto al risarcimento che il GDPR prevede in caso di danno materiale o immateriale derivante da una violazione di tale Regolamento”.
Il problema sta nel fatto che il GDPR non è chiaro sul punto risarcimento danni. Non esplicita cioè se una violazione della normativa privacy porti con sé il diritto al risarcimento della parte offesa. Nè specifica se vi siano soglie limite, come calcolare l'eventuale importo del risarcimento ecc...

Ed ecco che entra in gioco la Corte di Giustizia UE.

La mera violazione delle previsioni del GDPR non comporta il diritto al risarcimento

La sentenza per la causa in oggetto, la C-300/21, è arrivata il 4 Maggio 2023. Con questa la Corte di Giustizia UE afferma una serie di principi in fatto di risarcimento danni conseguenti al trattamento di dati personali. Principi che saranno utili a definire e dirimere cause future, andando a "diradare" le nebbie sul tema.

Il prima battuta la Corte UE ha affermato il principio secondo cui la mera violazione delle previsioni del GDPR non comporta il diritto al risarcimento per il titolare dei dati. Il diritto al risarcimento dipende da tre condizioni che devono sussistere contemporaneamente ovvero:

1. violazione del GDPR;
2. presenza di danni materiali o immateriali causati da tale violazione;
3. esistenza di un nesso causale tra violazione e danno.

Qui la Corte traccia una forte differenza con altri strumenti di ricorso previsti dal GDPR. Se per il risarcimento occorre dimostrare l'esistenza di un danno individuale, così non è nel caso di sanzioni amministrative. Una sanzione amministrativa infatti può essere comminata anche senza dimostrazione del danno.

Non è un caso che il comunicato stampa della Corte Europea si intitoli proprio:

"La mera violazione del GDPR non fonda il diritto al risarcimento".

Per saperne di più > Violazioni al GDPR: chi paga i danni?

Quando sussiste, il diritto al risarcimento copre anche danni di lievi entità

Un altro dettaglio fornito dalla Corte di Giustizia è che il risarcimento del danno non deve essere riservato ai soli danni ingenti / gravi.

“una tale restrizione sarebbe in contraddizione con l’ampia concezione delle nozioni di «danno» o di «pregiudizio», adottata dal legislatore dell’Unione. Per giunta, subordinare il risarcimento di un danno immateriale ad una determinata soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal GDPR”

affermano i giudici.

Sulla valutazione del risarcimento i giudici, preso atto che il GDPR non contiene disposizioni sul tema, hanno specificato che spetta all'ordinameno giuridico dello Stato membro stabilire le modalità e i critieri per determinare l'ammontare. Fermi, ovviamente, i principi di equivalenza ed effettività. 

Qui è disponibile il testo completo della sentenza

Per approfondire > GDPR: Chi paga i danni? Il rischio di cause strumentali