Home
Network ALL-IN
Quotidiano
Specializzazioni
Rubriche
Strumenti
Fonti
4 maggio 2023
La sola violazione del GDPR non basta per far sorgere il diritto al risarcimento del danno
La CGUE ricorda che il diritto al risarcimento previsto dal GDPR è subordinato a tre condizioni cumulative: una violazione del regolamento, un conseguente danno materiale o immateriale e un nesso di causalità tra la violazione e il danno.
di La Redazione
Un operatore postale austriaco, a partire dal 2017, ha raccolto informazioni sull'affinità politiche della popolazione dello stesso paese, tramite l'ausilio di un algoritmo, per poi stabilire con quale partito politico ha affinità ogni singolo cittadino con uno; informazioni che non sono mai stati trasferiti a terzi. Uno dei cittadini convolti, che non ha prestato consenso al trattamento dei suoi dati personali, ha affermato di aver provato un sentimento di umiliazione a causa della affinità che è stata per lui stabilita, motivo per cui ha chiesto il risarcimento del danno immateriale per la somma di mille euro.
 
Nutrendo dubbi in merito alla portata del diritto al risarcimento in caso di danno materiale o immateriale derivante da una violazione del GDPR, la Corte suprema austriaca rimette la questione al Giudice comunitario domandando:
  1. se la mera violazione del RGPD è sufficiente per conferire il suddetto diritto;
  2. se il risarcimento è possibile solo oltre un determinato grado di gravità del danno immateriale subito;
  3. quali sono i requisiti del diritto dell'Unione in ordine alla determinazione dell'importo del risarcimento. 

Con la sentenza nella causa C-300/21 del 4 maggio, la CGUE ricorda innanzitutto che il diritto al risarcimento previsto dal GDPR è riconosciuto in presenta di tre condizioni cumulative:
  • una violazione del regolamento;
  • un danno materiale o immateriale derivante da tale violazione; 
  • un nesso di causalità tra il danno e la violazione. 
Va da sé che, la mera violazione del GDPR, da sola, non dà diritto al risarcimento del danno. L'azione risarcitoria, infatti, si distingue da altri mezzi di ricorso previsti dall'atto comunitario, come quelli che consentono di infliggere ammende amministrative per le quali l'esistenza di un danno individuale non è stata dimostrata.
 
In secondo luogo, va evidenziato che il diritto al risarcimento non è subordinato da una determinata soglia di gravità. Il GDPR, infatti, non fa nessuna menzione al riguardo, ma anzi, affermando l'opposto si potrebbe determinare un contrasto con l'ampia nozione di «danno» o di «pregiudizio» adottate dal legislatore dell'Unione, nonché una lesione della coerenza del regime istituito dal regolamento, in quanto la valutazione dipenderebbe esclusivamente dai singoli giudici aditi.
 
Da ultimo, con riferimento alle norme relative alla valutazione del risarcimento, la Corte osserva che il GDPR non contiene disposizioni aventi tale oggetto. È dunque compito dell'ordinamento giuridico di ciascuno Stato membro fissare le modalità delle azioni intese a garantire la salvaguardia dei diritti derivanti per i singoli dal regolamento a tal riguardo e, in particolare, i criteri che consentono di determinare l'entità del risarcimento dovuto in tale contesto, fatto salvo il rispetto dei principi di equivalenza e di effettività.