Una prima richiesta di accesso ai dati personali ai sensi dell'art. 15 Regolamento UE 2016/679 (c.d. «GDPR») può essere considerata abusiva e respinta, se presentata al solo scopo di chiedere successivamente il risarcimento dei danni per una presunta violazione dello stesso regolamento privacy europeo. Questo il principio stabilito dalla Corte di giustizia dell'Unione europea nella sentenza Brillen Rottler del 19 marzo 2026 (C-526/24).
LA MASSIMA
Privacy - Rinvio pregiudiziale - Protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento (UE) 2016/679 - Articolo 12, paragrafo 5 - Articolo 15, paragrafo 1 - Diritto di accesso dell'interessato ai dati personali che lo riguardano - Diritto del titolare del trattamento di rifiutare di soddisfare la richiesta di accesso - Carattere eccessivo della richiesta - Abuso del diritto - Prima richiesta di accesso - Diritto al risarcimento e responsabilità - Articolo 82, paragrafo 1 - Azione fondata sulla violazione del diritto di accesso - Danno immateriale - Perdita del controllo dei dati personali.
L'articolo 12, paragrafo 5, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: una prima richiesta di accesso ai dati personali presentata dall'interessato al titolare del trattamento ai sensi dell'articolo 15 di tale regolamento può essere considerata «eccessiva», ai sensi di detto articolo 12, paragrafo 5, qualora tale titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso di specie, che, nonostante il rispetto formale delle condizioni previste da tali disposizioni, detta richiesta è stata presentata dall'interessato non già per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei diritti che gli derivano da detto regolamento, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento. Il fatto che, secondo informazioni accessibili al pubblico, l'interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l'esistenza di un siffatto intento abusivo. 2) L'articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: esso conferisce all'interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all'articolo 15, paragrafo 1, di tale regolamento. 3) L'articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: il danno immateriale subito dall'interessato include la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se i suoi dati siano stati oggetto di trattamento, purché sia dimostrato, in particolare, che tale interessato ha effettivamente subito un siffatto danno e che il suo comportamento non ha costituito la causa determinante di tale danno.
Una prima richiesta di accesso ai dati personali ai sensi dell'art. 15 Regolamento UE 2016/679 (c.d. «GDPR») può essere considerata abusiva e respinta, se presentata al solo scopo di chiedere successivamente il risarcimento dei danni per una presunta violazione dello stesso regolamento privacy europeo.
Questo il principio stabilito dalla Corte di giustizia dell'Unione europea nella sentenza Brillen Rottler del 19 marzo 2026 (C-526/24), la prima in assoluto in materia di abuso del diritto...
