Danno da illecito trattamento dei dati personali, per il Tribunale europeo non occorre che la lesione sia grave
Nel caso al vaglio della Corte è la stessa Commissione europea ad essere sanzionata per il trasferimento -senza garanzie - di dati personali verso un paese terzo
Con la recente sentenza dell’8 gennaio 2025, emessa nella causa T‐354/22, il Tribunale dell’Unione europea ha condannato la Commissione europea a pagare a un cittadino tedesco la somma di EUR 400 a titolo di risarcimento del danno morale subìto a seguito del trasferimento non autorizzato dei suoi dati personali negli Stati Uniti da parte della Commissione stessa.
Al di là della modesta entità economica della vicenda, il caso è interessante per un duplice ordine di ragioni.
In primo luogo, perché offre un’interpretazione sulla risarcibilità del danno non patrimoniale derivante dalla lesione del diritto alla protezione dei dati personali di particolare favore per l’interessato, meno rigorosa di quella abbracciata dalla giurisprudenza italiana.
In secondo luogo, perché consente di riflettere sulla complessa articolazione della disciplina in materia di protezione dei dati personali, spesso di difficile applicazione pratica, soprattutto nei trattamenti di dati personali in Internet, tanto che la stessa Commissione europea è stata sanzionata per avere violato la disciplina in materia di protezione dei dati personali.
Venendo al caso di specie, un soggetto residente in Germania lamentava la violazione da parte della Commissione europea del diritto alla protezione dei propri dati personali, in occasione della consultazione del sito internet gestito dalla Commissione europea sulla Conferenza sul futuro dell’Europa 1, negli anni 2021 e 2022.
In particolare, l’interessato si era registrato nel citato sito, utilizzando il servizio di autenticazione “EU Login” della Commissione e scegliendo l’opzione di autenticarsi tramite il proprio account Facebook, della società americana Meta Platforms.
Così facendo, alcuni dati personali dell’interessato (e in particolare: indirizzo IP, informazioni sul browser e sul terminale) sarebbero stati trasferiti negli Stati Uniti, e in particolare alla società americana Meta Platforms.
Considerato che all’epoca dei fatti gli Stati Uniti non avevano un livello di protezione adeguato, a parere dell’l’interessato, il trasferimento dei dati personali avrebbe dato luogo ad un rischio di accesso ai propri dati da parte dei servizi americani di sicurezza e di intelligence, in violazione dell’art. 46 del regolamento 2018/1725 (secondo cui qualunque trasferimento di dati personali verso un paese terzo solo rispettando alcune condizioni, ad esempio sulla base di una decisione di adeguatezza, o sussistendo garanzie adeguate).
Una volta accertata la violazione di legge e il nesso causale tra la violazione e l’evento dannoso, il Tribunale dell’Unione europea era chiamato a valutare la domanda di risarcimento del danno morale avanzata dall’interessato.
Secondo la giurisprudenza italiana, il danno non patrimoniale derivante dalla lesione al diritto alla protezione dei dati personali non è mai automatico, ma richiede sempre la prova della “gravità della lesione” e della “serietà del danno” (si vedano pronunce della Corte di Cassazione n. 11020/2021 e n. 29323/2022).
Nel caso di specie esaminato dal Tribunale, invece, viene affermato che spetta all’interessato il risarcimento del danno morale (consistente nella perdita del controllo dei suoi dati e in una privazione dei suoi diritti e delle sue libertà), “senza che sia necessario dimostrare una qualsivoglia soglia di gravità”.
Secondo il Tribunale, inoltre, il danno morale invocato dall’interessato deve essere considerato reale e certo, in quanto il trasferimento è stato effettuato in violazione dell’articolo 46 del regolamento 2018/1725, ponendo l’interessato “in una situazione di incertezza quanto al trattamento dei suoi dati personali, in particolare del suo indirizzo IP”, con conseguente condanna della Commissione europea al pagamento del risarcimento richiesto di 400 euro.
Si tratterà ora di comprendere se l’orientamento della giurisprudenza europea sarà recepito dalla giurisprudenza italiana.
Resta in ogni caso una considerazione sullo sfondo, e cioè di quanto possa risultare complesso mettere in pratica le regole in materia di protezione dei dati personali in Internet, in un contesto applicativo in cui i dati personali degli interessati sono frequentemente destinati a essere trasferiti al di fuori dell’Unione europea. Tanto complesso che, stando alla sentenza del Tribunale in esame, neppure la Commissione europea è riuscita, nel caso di specie, a rispettare quelle regole che l’Europa stessa si è data.
_______
*Alessandro Candini. Studio Legale Finocchiaro
