In caso di violazione del GDPR, questa da sola, può comportare il risarcimento del danno per il soggetto leso?
Con l’importante sentenza del 4 maggio 2023 C-300/21, la Corte di Giustizia dell’Unione europea ha affermato alcuni principi in materia di risarcimento del danno connesso al trattamento di dati personali ai sensi del Regolamento (UE) 2016/679 sulla protezione dei dati (GDPR).
Con la sentenza in argomento la Corte prende posizione in merito all’interpretazione dell’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), in combinato disposto con i principi di equivalenza e di effettività.
In merito il considerando 75 del RGPD prevede che “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche“.
Ed ancora il considerando 85 statuisce che “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata“.
Ebbene La Corte di Giustizia giunge ad affermare il principio per cui la mera violazione delle norme del GDPR non comporta un diritto al risarcimento per il titolare dei dati. “Infatti, l’articolo 82, paragrafo 2, del RGPD, che precisa il regime di responsabilità il cui principio è stabilito al paragrafo 1 di tale articolo, riprende le tre condizioni necessarie per far sorgere il diritto al risarcimento, ossia un trattamento di dati personali effettuato in violazione delle disposizioni del RGPD, un danno o un danno subito dall’interessato, e un nesso di causalità tra tale trattamento illecito e tale danno“.
Al Contempo, però, i giudici affermano che “il RGPD non definisce la nozione di «danno», ai fini dell’applicazione di tale strumento. L’articolo 82 di quest’ultimo si limita ad enunciare in modo esplicito che può dare diritto a un risarcimento non solo un «danno materiale», ma anche un «danno immateriale», senza che venga menzionata una qualsivoglia soglia di gravità“. Sicché, la configurazione del diritto al risarcimento del danno prescinde dal superamento di una certa soglia di gravità.
Ed ancora, nella sentenza si osserva che il GDPR non contiene disposizioni relative alla valutazione del risarcimento. Pertanto, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire le modalità per far valere i diritti dei singoli derivanti dal GDPR ed, in particolare, i criteri per determinare l’ammontare del risarcimento dovuto, a condizione che siano rispettati i principi di equivalenza e di effettività.
In definitiva, con la pronuncia in argomento i Giudici della Corte di Giustizia, stabiliscono che il diritto al risarcimento previsto dal RGPD dipende in modo univoco da tre condizioni che devono essere soddisfatte insieme: la violazione del GDPR, la presenza di un danno, materiale o immateriale causato da tale violazione e l’esistenza di un nesso causale tra il danno e la violazione. Ciò significa che una violazione del GDPR da sola non è sufficiente per ottenere il risarcimento.