Trattamento illecito dei dati: CGUE sul risarcimento danno

Scarica PDF Stampa

Con la sentenza sul caso C-741/21 in data 11 aprile 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata sul risarcimento del danno in caso di trattamento illecito dei dati personali, in particolare sull’analisi ed applicazione degli articoli 82, paragrafi 1 e 3, del Regolamento Generale sulla Protezione dei Dati (GDPR), in combinato disposto con gli articoli 29 e 83 ed alla luce dei considerando 85 e 146. Per approfondimenti sul trattamento illecito di dati si consiglia il volume: La Responsabilità Civile per Illecito Trattamento dei dati ex Art 82 GDPR

Indice

1. Il caso: trattamento illecito dati


La controversia trae origine dalla disputa tra un individuo, identificato come GP, e l’azienda Juris GmbH, con sede in Germania.
GP sosteneva di aver subìto danni a causa di multiple violazioni della propria privacy derivanti da trattamento illecito dei suoi dati per fini di marketing diretto, nonostante avesse chiaramente ritirato il consenso al trattamento. Il ricorrente, in particolare, affermava di aver formalmente revocato ogni consenso concesso alla juris GmbH per il ricevimento di comunicazioni via e-mail o telefoniche, fatta eccezione per la ricezione di newsletter, di suo interesse. Nonostante ciò, aveva continuato a ricevere materiale pubblicitario indirizzato personalmente al suo indirizzo professionale. In risposta, aveva richiesto un indennizzo alla juris GmbH per i danni subiti a seguito dell’invio di tali materiali promozionali senza consenso, e dunque senza adeguata base giuridica. Per far valere le sue ragioni, l’interessato si rivolgeva al Landgericht Saarbrücken (il Tribunale del suo Land), il quale, di fronte alla complessità del quadro normativo europeo in questione, sceglieva di interrompere il procedimento per deferire alla Corte di Giustizia dell’Unione Europea quattro questioni fondamentali per l’interpretazione del GDPR. Per approfondimenti sul trattamento illecito di dati si consiglia il volume: La Responsabilità Civile per Illecito Trattamento dei dati ex Art 82 GDPR

FORMATO CARTACEO

La Responsabilità Civile per Illecito Trattamento dei dati ex Art 82 GDPR

Il volume fornisce al lettore un quadro complessivo e utile del Regolamento Dimitri De Rada europeo sui dati personali. Dopo aver ripercorso l’evoluzione del diritto alla privacy e la sua trasformazione in un insieme di regole per disciplinare i dati personali.L’autore si concentra sulla qualificazione dei dati, sul loro valore, sulla loro configurazione giuridica. Viene evidenziato come Il GDPR europeo ha applicazione anche extra UE ed aspira a diventare un modello globale, pur scontrandosi con ordinamenti che privilegiano la libertà di mercato a discapito dei diritti individuali.Il testo affronta poi in profondità la disciplina della responsabilità civile per il trattamento dei dati personali. Secondo l’articolo 82 del Regolamento, chi subisce un danno a causa di una violazione ha il diritto di ottenere il risarcimento dal titolare o dal responsabile del trattamento.Tuttavia, la responsabilità dipende dal rispetto degli obblighi previsti dal Regolamento e dalla conformità alle istruzioni legittime del titolare. Si pone quindi il dilemma se la colpa sia presunta o se la responsabilità sia oggettiva o attenuata.Si esaminano quindi approfonditamente le problematiche relative alla prova del danno ed alla risarcibilità dei danni non patrimoniali.Infine viene presentata una rassegna della giurisprudenza straniera (Germania, Austria, Olanda, Regno Unito), evidenziando le diverse interpretazioni e applicazioni del Regolamento mostrando come le disposizioni del Regolamento abbiano dato origine a interpretazioni divergenti che richiedono una correzione per raggiungere gli scopi che il GDPR si propone.Dimitri De Radaavvocato, ha conseguito la laurea in Giurisprudenza presso l’Università degli studi di Pavia ed ha conseguito la Laurea in marketing e comunicazione presso l’Università LUMSA di Roma. Ha compiuto studi di specializzazione presso diverse accademie internazionali ed è stato visiting researcher presso la Fordham University a New York. È stato professore a contratto al Politecnico di Milano e docente nel Master di I livello Real Estate Finance and Development. È docente all’Università degli Studi La Sapienza di Roma nel Master di secondo livello di Diritto Privato Europeo. È membro del consiglio scientifico del Centro Dipartimentale di studi Giuridici, storici e sociali in tema di ambiente e gestione del territorio istituito presso l’Università degli studidi Pavia.

Dimitri De Rada | Maggioli Editore 2023

2. Le questioni poste all’attenzione della Corte


La Corte di Giustizia dell’Unione Europea ha affrontato quattro questioni pregiudiziali.
La prima riguarda la natura del danno nel contesto del GDPR.
Il quesito sollevato dal giudice del rinvio riguarda l’articolo 82, paragrafo 1 del GDPR, ed in particolare si pone il quesito se la semplice inosservanza delle sue disposizioni, che attribuiscono diritti agli individui, possa di per sé costituire un “danno immateriale”.
La Corte ha chiarito con autorevolezza che non è la violazione in sé a garantire il diritto al risarcimento, ma è essenziale che ci sia la prova di un pregiudizio effettivo, sia esso di natura patrimoniale o non patrimoniale. Essenzialmente, la vittima di una inosservanza del GDPR deve provare non solo che i suoi diritti sono stati violati, ma anche che questa violazione ha avuto come conseguenza un danno diretto. Questo implica che l’entità del danno deve essere dimostrabile e non può essere assunta a priori semplicemente sulla base della violazione delle norme. Pertanto, per stabilire un diritto concreto al risarcimento, occorre che il reclamante fornisca prove dell’effettivo pregiudizio subito come risultato diretto della non conformità al regolamento: non sussiste il danno in re ipsa
Con la seconda questione, invece, il giudice del rinvio chiede se l’articolo 82 del GDPR debba essere interpretato nel senso che è sufficiente che il titolare del trattamento, per essere esonerato dalla responsabilità conformemente al paragrafo 3 di tale articolo, faccia valere che il danno in questione è stato causato dall’errore di una persona che agisce sotto la sua autorità, ai sensi dell’articolo 29 del regolamento. La Corte ha preliminarmente ricordato che, ai sensi del GDPR, le persone che agiscono sotto l’autorità del titolare del trattamento, come i suoi dipendenti, e che hanno accesso a dati personali possono, in linea di principio, trattare tali dati solo su sue istruzioni e conformemente alle stesse. Il titolare del trattamento, inoltre, deve adottare misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità, e abbia accesso a tali dati, non li tratti se non su sua istruzione, a meno che non vi sia obbligata dal diritto europeo o nazionale. Poiché un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto la sua autorità, pertanto, spetta al titolare stesso assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti, non potendo sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del GDPR semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità. Al contrario, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, il titolare potrà beneficiare dell’esonero da responsabilità unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati ad esso incombente e il danno subito dall’interessato.
Nella terza e quarta questioni poste, il cuore del dibattito si è concentrato sulla corretta interpretazione dell’articolo 82, paragrafo 1, del GDPR per quanto concerne il calcolo del risarcimento dovuto per i danni subiti a seguito di violazioni normative. Si discuteva se, per stabilire la somma risarcitoria, dovessero essere considerati i criteri utilizzati per la determinazione delle multe amministrative di cui all’articolo 83 del regolamento, e se il giudice dovesse tenere conto del fatto che multiple violazioni potrebbero essere state compiute nell’ambito di una medesima operazione di trattamento.
La Corte ha osservato che il GDPR non fornisce linee guida specifiche per la valutazione dei danni; pertanto, spetta ai giudici nazionali fare riferimento alle leggi interne, rispettando però i principi di equivalenza e effettività del diritto dell’Unione. A differenza dell’articolo 83, che ha uno scopo punitivo attraverso l’applicazione di sanzioni, l’articolo 82 ha una funzione compensativa, mirata a riparare il danno subito dall’individuo senza superare il principio di piena compensazione. Di conseguenza, i metodi di calcolo delle sanzioni non sono trasferibili direttamente all’ambito risarcitorio.
La giurisprudenza chiarisce ulteriormente che la presenza di multiple violazioni da parte del titolare del trattamento non dovrebbe automaticamente influenzare la quantità del risarcimento concesso. Invece, è il danno specifico e personale subito dall’individuo a dover essere valutato per determinare l’adeguato ammontare del risarcimento, in linea con l’intento riparatorio del GDPR.

Potrebbero interessarti anche:

3. Massima della sentenza


L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.
L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento. 
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, non si deve tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento”.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento