I parametri per la valutazione del danno da violazione del GDPR

Massima

La violazione delle norme del GDPR non fa sorgere automaticamente un diritto al risarcimento del danno, che deve essere provato dall'interessato sia con riferimento all'esistenza e alla entità, sia con riferimento al nesso causale con la violazione. Per quanto concerne la risarcibilità dello stesso non esistono soglie minime al di sotto delle quali il danno non deve essere risarcito.

Il caso

Una società di diritto austriaco, che si occupa della vendita di indirizzi, raccoglie informazioni sulle affinità politiche della popolazione austriaca e crea, attraverso l'utilizzo di algoritmi, dei “gruppi di destinatari” che vende a diverse organizzazioni per invii pubblicitari mirati. Uno di questi soggetti, non avendo rilasciato alcun consenso al trattamento dei propri dati personali e sentendosi offeso per l'attribuzione di una certa affinità politica, chiede la cessazione del trattamento dei dati personali e il risarcimento del danno immateriale subito. Sia in primo grado, il Tribunale del Land in materia civile di Vienna, sia in appello, il Tribunale superiore del Land, hanno imposto alla società di cessare il trattamento dei dati personali ed hanno respinto la domanda risarcitoria.

È stata quindi adita la Suprema Corte austriaca.

La questione

La Corte Suprema austriaca, investita della questione, ha deciso di sospendere il giudizio e sottoporre alla Corte di Giustizia europea tre differenti questioni pregiudiziali ossia, 1) se ai fini del risarcimento ai sensi dell'art. 82 GDPR sia sufficiente la violazione delle disposizioni del GDPR o debba essere stato prodotto un danno, 2) se, per il calcolo del risarcimento, esistano altre prescrizioni oltre ai principi di effettività e di equivalenza ed, infine, 3) se il danno debba avere un certo peso e debba andare oltre l'irritazione provocata dalla violazione stessa.

Le soluzioni giuridiche

La Corte di Giustizia affronta, in primo luogo, la questione relativa alla possibilità che la mera violazione delle disposizioni del RGPD sia di per sé sufficiente per conferire all'interessato un diritto al risarcimento. Dal tenore letterale dell'art. 82 GDPR emerge chiaramente che siano richieste tre condizioni cumulative per il risarcimento del danno derivante da un trattamento illecito di dati personali, ossia l'esistenza di un danno, la violazione delle disposizioni del RGPD e un nesso causale tra violazione e danno lamentato.

Che non si tratti di un danno in re ipsa, che quindi faccia automaticamente sorgere un diritto risarcitorio, emerge non solo dal tenore letterale dell'art. 82, ma anche dal contesto in cui si inserisce lo stesso. Il combinato disposto del paragrafo 2 dello stesso articolo e dei considerando 75, 85 e 146, infatti, fa emergere chiaramente che la realizzazione di un danno nell'ambito di un trattamento illecito di dati è solo potenziale.

La Corte prosegue nella propria analisi esaminando anche gli artt. 77 e 78 GDPR. Tali disposizioni, che prevedono i mezzi di ricorso presso o nei confronti di un'autorità di controllo, sono norme che non menzionano la necessità, per la proposizione di tali ricorsi, dell'esistenza di un danno a carico dell'interessato e tale mancata indicazione, quindi, sottolinea ulteriormente il legame del danno alla sola previsione dell'art. 82, e non già all'intero l'impianto normativo del Regolamento.

Anche gli artt. 83 e 84 GDPR, che hanno una finalità punitiva, non sono subordinati all'esistenza di un danno individuale, ma al contrario, si applicano in maniera del tutto autonoma, confermando, ancora una volta, l'interconnessione tra il danno e l'art. 82 GDPR.

Sulla base di queste considerazioni la Corte sottolinea come l'art. 82, par. 1, GDPR debba essere interpretato nel senso che la mera violazione delle disposizioni del Regolamento non sia sufficiente per conferire un diritto al risarcimento all'interessato.

La Corte affronta, poi, la questione attinente alla soglia di gravità che deve ricoprire il danno per poter essere risarcito, giungendo alla conclusione che il disposto dell'art. 82 deve ritenersi incompatibile con qualsiasi norma o prassi nazionale che subordini il risarcimento del danno immateriale subito dall'interessato al raggiungimento di un certo grado di gravità.

Si sottolinea, infatti, che il Regolamento non fornisce alcuna definizione di danno e l'art. 82, in particolare, non menziona nessuna soglia minima di danno per la sua risarcibilità. Anche il contesto in cui si inserisce la disposizione normativa e gli obiettivi cui tende il RGPD sono incompatibili con una previsione di una soglia al di sotto della quale il danno, e nello specifico quello immateriale, non sia risarcibile.

Viene in ogni caso ribadito che la mancanza di tale soglia minima non dispensa, comunque, l'interessato dal dimostrare che le conseguenze negative che lamenta costituiscano un danno immateriale. In altre parole, spetta comunque all'interessato dimostrare il danno subito e il nesso causale con la violazione del GDPR, ma qualunque danno fosse dimostrato risulterebbe comunque risarcibile. Sul quantum del risarcimento, invece, la Corte stabilisce che i giudici nazionali debbano applicare le norme interne di ciascuno Stato membro, purché vengano rispettati i principi di equivalenza e di effettività del diritto dell'Unione.

Qualora, quindi, manchino, come nel caso di specie, norme dell'Unione che regolino la materia, in questo caso sui criteri di quantificazione del danno, i giudici nazionali dovranno applicare, in virtù del principio di autonomia processuale di ciascuno Stato membro, le proprie norme interne, purchè venga garantito, come detto, il rispetto dei predetti principi di equivalenza e di effettività.

In questo contesto la Corte richiama, infine, il considerando 146 che specifica che gli interessati, a fronte di un trattamento illecito di dati, dovrebbero ottenere un “pieno ed effettivo risarcimento per il danno subito”. Tenuto conto, quindi, della funzione compensativa del diritto al risarcimento previsto dall'art. 82, si stabilisce che il risarcimento pecuniario deve essere considerato pieno ed effettivo qualora consenta di compensare integralmente il danno concretamente subito a causa della violazione, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo.

Osservazioni

Le questioni affrontate dalla Corte permettono, oggi, di delineare le modalità con le quali un soggetto che lamenti la violazione dei dati personali possa chiedere ed ottenere il risarcimento dei danni, anche morali, subiti.

Se da un lato viene ribadito che non siamo in presenza di una fattispecie di danno in re ipsa e che, quindi, non tutte le violazioni del RGPD producono automaticamente danni a carico degli interessati, dall'altro la sentenza in esame sottolinea le tre condizioni necessarie per far sorgere il diritto al risarcimento, ossia l'esistenza di un trattamento illecito di dati personali, l'esistenza di un danno subito dall'interessato e, infine, il nesso di causalità tra trattamento illecito e danno.

L'elemento che maggiormente interessa, tuttavia, anche per il contrasto con l'orientamento della Suprema Corte di Cassazione, è quello attinente alla risarcibilità del danno.

La Cassazione recentemente (si veda Cass. civ., Sez. 1, Ord., 12 maggio 2023, n. 13073) ha stabilito che il diritto al risarcimento del danno derivante dalla violazione dei dati personali non possa sottrarsi alla verifica della gravità della lesione patita dall'interessato e della serietà del danno verificatosi. La Suprema Corte sostiene infatti che la lesione effettiva del diritto debba essere valutata a seguito del bilanciamento con il principio di solidarietà imposto dall'art. 2 Cost., che viene indicato come una conseguenza del principio di tolleranza della lesione minima. In altre parole, la Cassazione ritiene che la violazione delle norme del RGPD dia origine a un danno risarcibile solo nell'ipotesi in cui, eseguito il procedimento di bilanciamento con il principio di solidarietà, il danno lamentato venga riconosciuto come meritevole di risarcimento in relazione al grado di gravità raggiunto.

Impostazione, questa, opposta a quella della Corte di Giustizia che afferma la risarcibilità di qualsiasi danno, indipendentemente dalla gravità dello stesso, sulla base del principio secondo cui una diversa valutazione contrasterebbe con le norme del RGPD, le quali si limitano a prevedere la possibilità di risarcire il danno, che, vale la pena ribadirlo, viene identificato solo come potenziale, senza prevedere alcuna soglia minima di gravità.

Per quanto attiene, invece al quantum del danno, la Corte stabilisce che, non essendo previsti dal Regolamento criteri specifici di quantificazione, tale determinazione spetta ai giudici nazionali che dovranno operare sulla base delle norme interne, purché vengano rispettati i principi di equivalenza ed effettività del diritto dell'Unione.