CGUE: risarcimento del danno da violazione in materia di data protection

di Pietro Maria Mascolo

 

 

L’Avvocato Generale della Corte di giustizia dell’Unione europea, rispetto ad un rinvio pregiudiziale proposto dalla Corte Suprema austriaca con riferimento all’applicazione dell’art. 82 GDPR, ha concluso che, ai fini del riconoscimento di un risarcimento per danni subiti in conseguenza di una violazione del Regolamento, non è sufficiente, di per sé, la violazione della norma, se essa non è accompagnata dal relativo danno, materiale o immateriale. Al contempo, il risarcimento del “danno immateriale” ex art. 82 GDPR non può estendersi sino a ricomprendere la mera irritazione che l’interessato possa provare a causa della violazione, spettando, in ogni caso, ai giudici nazionali stabilire quando tale sensazione soggettiva di malessere possa ergersi a voce autonoma di danno.

Il caso di specie e le questioni pregiudiziali.

Il caso in esame prende le proprie mosse dall’illecito trattamento di dati personali perpetrato da una società austriaca, rea di aver raccolto, prescindendo da un adeguato consenso, una serie informazioni sulle affinità della popolazione in relazione ai partiti politici.

Un cittadino sottoposto al descritto trattamento, appresane l’illiceità, agiva in giudizio richiedendo che la società titolare fosse condannata al risarcimento di una somma pari ad € 1.000,00, volta a ristorare la lesione dell’immagine subita (conseguente all’affinità politica attribuitagli, “asseritamente infamante”) e la forte irritazione derivatane.

Tale richiesta risarcitoria veniva rigettata sia in primo grado che in appello, sulla scorta dell’assenza di rilevanza dei danni lamentati per il diritto interno.

A seguito dell’impugnazione dell’interessato dinanzi alla Corte Suprema austriaca, quest’ultima sottoponeva alla Corte di Giustizia dell’Unione Europea (“CGUE”) le seguenti questioni pregiudiziali:

  1. a) se, ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 GDPR, occorra, oltre a una violazione delle disposizioni di legge, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente il verificarsi della predetta violazione;
  2. b) se, ai fini del riconoscimento di un danno immateriale ex art 82 GDPR, è compatibile con il diritto dell’Unione la tesi per cui sarebbe richiesta la sussistenza di un effetto/conseguenza che vada oltre l’irritazione provocata dalla violazione stessa;
  3. c) se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.

Il rapporto tra violazione, danno e risarcimento ai sensi dell’art. 82 GDPR.

A mente dell’Avvocato Generale (“AG”), una risposta affermativa alla prima delle questioni pregiudiziali sottoposte (i.e. se possa sussistere un diritto al risarcimento nonostante dalla violazione non derivi alcun danno per l’interessato) solleverebbe evidenti difficoltà sotto il profilo del tenore letterale dell’articolo 82 GDPR, che, espressamente richiama il concetto di “danno” (materiale e/o immateriale). Resta pur vero che, tuttavia, l’ordinamento giuridico di uno Stato membro potrebbe prevedere il pagamento di un risarcimento a titolo “punitivo” (cc.dd. punitive damages) per quanto facoltà non espressamente contemplata con il GDPR e che potrebbe stridere con gli ulteriori meccanismi approntati dal Regolamento a tutela degli interessati.

Tale questione consente di interrogarsi altresì riguardo alla valutazione se una violazione delle disposizioni del GDPR provochi necessariamente un danno che faccia sorgere il diritto al risarcimento (c.d. danno in re ipsa).

Sul punto, l’AG anzitutto rileva che quando il legislatore ha ritenuto, in altri settori del diritto dell’Unione, che dalla violazione di una norma derivi automaticamente il diritto al risarcimento, non ha esitato a stabilirlo (cfr. in particolare per quanto riguarda i diritti dei passeggeri in materia di trasporti). Al contrario, una siffatta impostazione non sarebbe ravvisabile nell’impianto del GDPR, derivandone che quando l’interessato non presta il consenso ad un trattamento e quest’ultimo viene effettuato senza un’altra base giuridica legittima, non per questo egli deve ottenere una compensazione economica per la perdita del controllo sui suoi dati, dovendosi altresì stabilirsi se, in aggiunta, egli abbia subito o meno un danno (che dovrà essere dimostrato).

Soglia di gravità e criteri di calcolo.

Ulteriormente, si pone la questione se gli Stati membri possano subordinare il risarcimento del danno immateriale all’entità delle conseguenze derivanti dalla violazione, prendendo in considerazione solo quelle che superino una determina soglia di gravità.

Come noto, il considerando 146 GDPR afferma che il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di giustizia ma l’AG sul punto rileva che la Corte non ha elaborato una definizione generale di «danno» applicabile indistintamente in qualsiasi ambito. Tanto premesso, l’AG ritiene che alla questione sottoposta dovrebbe rispondersi positivamente dal momento che un risarcimento dovuto per la mera sensazione di malessere di fronte all’altrui inosservanza della legge sarebbe destinato a confondersi con l’ipotesi – già esclusa in precedenza – di un risarcimento senza danno. Sarà, pertanto, rimesso alle corti nazionali il difficile compito di delimitare, nella prassi, il confine tra la mera irritazione (non risarcibile) e il vero e proprio danno immateriale (risarcibile).

Da ultimo, per quanto riguarda i criteri di calcolo del risarcimento di cui all’ulteriore questione sottoposta, stante l’assenza di indicazioni da parte dell’art. 82 GDPR, l’AG apre alla possibilità che il risarcimento richiesto a titolo di danno immateriale includa componenti diverse da quella meramente pecuniaria, ad esempio: riconoscimento dell’avvenuta violazione (con il quale viene data una certa soddisfazione morale al ricorrente); condanna a titolo di rivendicazione di un diritto (pagamento di un risarcimento simbolico) o di neutralizzazione di un vantaggio indebito (restituzione di quanto ottenuto senza causa).