Il regolamento generale sulla protezione dei dati (GDPR) prevede una disciplina ed una tutela in continua evoluzione. Uno dei temi che negli ultimi tempi ha ricevuto molta attenzione è certamente il risarcimento del danno da violazione del GDPR e, più in particolare, se tale diritto si applichi solo al danno effettivamente subito o se la violazione del GDPR senza danni concreti fa sorgere questo diritto. Nella sua sentenza del 4 maggio 2023 nella causa UI/Österreichische Post AG, la Corte di giustizia europea ha risposto alla questione se una parte abbia diritto al risarcimento del danno morale. La Corte di giustizia ha stabilito che la mera violazione del GDPR non crea il diritto al risarcimento. Ha inoltre rilevato che non si applica alcuna soglia specifica affinché una parte abbia diritto al risarcimento del danno morale.
L’articolo 82 del GDPR conferisce a chiunque abbia subito un danno materiale o morale a seguito di una violazione del GDPR il diritto di ottenere dal titolare del trattamento o dal responsabile del trattamento il risarcimento del danno subito. Una violazione del GDPR, un danno materiale o morale e un nesso di causalità tra la violazione e il danno subito sono quindi condizioni necessarie per il risarcimento.
L’attribuzione del diritto al risarcimento ai sensi del GDPR differisce dal regime abitualmente applicato nei Paesi Bassi, per cui un atto illecito imputabile fa sorgere l’obbligo per risarcire il danno subito. Questo danno può essere materiale o immateriale. Il GDPR, invece, non richiede che il danno sia imputabile al soggetto in questione. Sebbene l’articolo 82 del GDPR non faccia espresso riferimento al diritto nazionale, è evidente che gli Stati membri applicano le loro norme nazionali in materia di risarcimento dei danni a tale riguardo. È ancora molto dibattuto in dottrina e giurisprudenza circa le situazioni in cui un danno morale derivante da una violazione del GDPR può far sorgere un diritto al risarcimento. In particolare, non era chiaro se una violazione del GDPR in sé e per sé potesse far sorgere tale diritto.
I sostenitori dell’idea che a determinate condizioni una violazione del GDPR comporti automaticamente un danno risarcibile si oppongono a un’interpretazione autonoma e ampia dell’articolo 82 del GDPR. Una limitazione significativa che fanno è che solo una violazione sostanziale può dar luogo a un danno risarcibile, come la perdita di controllo da parte dell’interessato sui propri dati personali. Il controllo sui dati personali è uno degli obiettivi del GDPR e la perdita di tale controllo è indicata nei considerando del GDPR come possibile danno e gli oppositori di questo punto di vista ritengono che il risarcimento ai sensi dell’articolo 82 si concentri solo sul danno effettivo subito. Pertanto, tale articolo dovrebbe essere interpretato nel senso che ha solo una funzione risarcitoria piuttosto che punitiva che può essere trovata prima negli articoli 83 e 84 del GDPR, che trattano delle sanzioni che possono essere imposte dalle autorità di controllo. Inoltre, non tutti i danni morali, indipendentemente dalla loro gravità, sono risarcibili: il “fastidio” derivante da una violazione del GDPR non può comportare un risarcimento.
La Corte di giustizia europea ha rilevato che il concetto di danno, sia materiale che immateriale, deve essere interpretato in modo autonomo ai sensi del GDPR. Secondo la Corte di giustizia, la mera violazione del GDPR non crea diritto al risarcimento e per poter beneficiare del risarcimento ai sensi del GDPR, devono essere soddisfatte tre condizioni cumulative:
– violazione del GDPR;
– danni materiali o morali;
– il nesso di causalità tra la violazione e il danno.
Tuttavia, il termine “danno” deve essere interpretato in senso lato: di fatto il GDPR non contiene una soglia di rilevanza per la gravità richiesta del danno. Secondo la Corte, un’eventuale limitazione di questo tipo nel diritto nazionale sarebbe in contrasto con l’ampia nozione di «danno» utilizzata dal legislatore dell’Unione. Allo stesso tempo, una persona interessata da una violazione del GDPR che ha effetti dannosi per lui o lei dovrebbe comunque dimostrare che tali effetti costituiscono un danno morale ai sensi dell’articolo 82 del GDPR. Dunque non sussiste alcun diritto al risarcimento se non viene subito alcun danno: la Corte di giustizia non impone ulteriori elementi in caso di danno morale per quanto riguarda la gravità di tale danno.
Da parte della Corte è stato infine osservato che il GDPR non contiene norme per determinare l’importo del risarcimento. Spetta agli Stati membri adottare ulteriori norme sull’applicazione dei diritti degli interessati ai sensi del GDPR. In questo modo, gli Stati membri dovrebbero prestare particolare attenzione ai criteri per determinare l’importo dell’indennizzo dovuto, nel rispetto dei principi di equivalenza ed effettività. La Corte di giustizia ha osservato che ciò è in linea con la funzione risarcitoria del diritto al risarcimento ai sensi del GDPR, che mira a conseguire il pieno ed effettivo risarcimento del danno subito.
Scrivi un commento
Devi accedere, per commentare.