Con l’interessante sentenza del 19 marzo 2026, nella causa C-526/24, la Corte di giustizia dell’Unione Europea ha applicato il principio del divieto di abuso del diritto alla normativa in materia di protezione dei dati personali.
Come è noto, il citato principio, di matrice giurisprudenziale e da tempo applicato in ambito fiscale e civile, preclude al titolare di un diritto di esercitarlo in modo abusivo e distorto, al solo fine di ottenere vantaggi incompatibili con la ratio della norma istitutrice di quel diritto.
Nel caso di specie, una persona fisica si era iscritta alla newsletter di una società di ottica, conferendo i propri dati personali sul relativo sito Internet e prestando il relativo consenso al trattamento. Soltanto tredici giorni dopo, l’utente aveva esercitato il diritto di accesso ai propri dati previsto dall’articolo 15 del GDPR. La società aveva respinto la richiesta, reputandola abusiva, in quanto l’interessato era noto su Internet per esercitare sistematicamente il proprio diritto di accesso ai dati personali al fine di domandare un risarcimento economico per il mancato o asseritamente inadeguato riscontro.
La questione finiva in Tribunale, ove l’utente domandava un risarcimento di 1.000 euro.
Il Tribunale rimetteva la causa alla Corte di Giustizia Europea, al fine di delimitare gli ambiti applicativi delle citate norme nelle ipotesi in cui, come in questo caso, la richiesta dell’utente sembri strumentale e svolta in mala fede.
Condivisibilmente, la Corte di Giustizia ha ritenuto che anche una prima richiesta di accesso può, in via eccezionale, essere qualificata come “eccessiva”, benché l’art. 12 del GDPR sembri riferirsi soltanto alle istanze ripetitive dell’interessato.
La nozione di eccessività, osserva la Corte, ha una dimensione non soltanto quantitativa, riferita al numero di richieste effettuate, ma anche qualitativa, e deve essere applicata nel rispetto del principio generale del divieto di abuso del diritto dell’Unione.
Secondo la sentenza in esame, dunque, il titolare del trattamento può rifiutare l’accesso solo se prova, con onere probatorio a suo carico, che la richiesta dell’interessato non è stata presentata per consentire all’interessato di verificare la liceità del trattamento o di esercitare gli ulteriori diritti previsti dal GDPR, ma con un intento abusivo e in mala fede, al fine di creare le condizioni per avanzare pretese risarcitorie.
La Corte conclude infine la sentenza con una importante, ulteriore, precisazione, e cioè che la violazione del diritto di accesso ai propri dati personali può essere fonte del diritto al risarcimento del danno per l’interessato.
Anche in questo caso, come già affermato in numerose pronunce, il danno da lesione del diritto alla protezione dei dati personali non è mai automatico, e non si sottrae alla previa verifica, da parte del giudice, della serietà del danno e della gravità della lesione.
______
*Avv. Alessandro Candini, Studio Legale Finocchiaro