Serietà del danno e gravità della lesione nell'illecito trattamento dei dati personali
Le conclusioni dell'Avvocato Generale della Corte di Giustizia europea sono coerenti con la giurisprudenza italiana in materia
In data 6 ottobre 2022 l'Avvocato Generale presso la Corte di Giustizia europea ha presentato le proprie conclusioni nella causa C-300/21, avente ad oggetto la risarcibilità dei danni non patrimoniali in conseguenza ad una violazione del diritto alla protezione dei dati personali.
La vicenda ha origine in Austria, dove una società editrice aveva raccolto dati personali sulle preferenze politiche di una parte di cittadini. In particolare, tramite un algoritmo, essa individuava gli indirizzi di gruppi di destinatari della pubblicità elettorale dei partiti stessi.
Uno degli interessati destinatari delle comunicazioni ricorreva in Tribunale dolendosi di non aver prestato il consenso al trattamento dei propri dati, domando un risarcimento equitativo di euro 1.000 a titolo di danni non patrimoniali subiti in conseguenza dell'illecito trattamento dei dati stessi.
Nei primi due gradi di giudizio la domanda dell'interessato era respinta.
Giunti al terzo grado di giudizio, la Suprema Corte austriaca domandava alla Corte di Giustizia europea di pronunciarsi in via pregiudiziale per stabilire se la mera violazione delle disposizioni del Regolamento europeo 679/2016 (c.d. GDPR) desse diritto a un risarcimento per così dire automatico, a prescindere dalla circostanza che si fosse verificato un danno.
La Corte di Giustizia è quindi chiamata ad accertare se la violazione delle disposizioni del GDPR provochi necessariamente un danno che fa sorgere il diritto al risarcimento, oppure se il danno debba essere dimostrato, raggiungendo una soglia minima di lesività.Nelle proprie conclusioni l'Avvocato Generale ha condivisibilmente rilevato che ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del GDPR non è sufficiente la mera violazione della norma, se essa non è accompagnata dall'allegazione del relativo danno, patrimoniale o non patrimoniale.
Il risarcimento del danno disciplinato dal GPDR non si estenderebbe, dunque, alla mera irritazione o fastidio che l'interessato possa provare.
Sotto questo profilo la posizione dell'Avvocato Generale è coerente con la giurisprudenza italiana.
La Corte di Cassazione afferma da tempo (recentemente, con l'ordinanza 16402/2021) che il danno da violazione del diritto alla protezione dei dati personali non sussiste in re ipsa, dacché il pregiudizio risarcibile non s'identifica con la mera lesione del diritto tutelato dall'ordinamento, bensì con le conseguenze pregiudizievoli causate dalla lesione stessa, le quali devono essere allegate e dimostrate dalla vittima dell'illecito, raggiungendo una soglia di lesività seria ed effettiva.
Identificare la nozione di "violazione" con quella di "risarcimento" in assenza di danno, non sarebbe conforme al testo dell'articolo 82 del GDPR, in materia di diritto al risarcimento e responsabilità, che opera espresso riferimento all'esistenza del danno, e neppure alle rationes del GDPR.Sotto quest'ultimo profilo, infatti, due sono gli obiettivi del GDPR, enunciati fin dal suo titolo: i) da un lato, la protezione delle persone fisiche con riguardo al trattamento dei dati personali; ii) dall'altro, che tale protezione si articoli in modo che la libera circolazione di tali dati all'interno dell'Unione non sia né vietata né limitata.
Ci si potrebbe tuttavia domandare se vi sia spazio, in quegli ordinamenti che lo consentono, di ritenere che la risarcibilità del danno alla protezione dei dati personali possa avere carattere punitivo, prescindendo dall'esistenza di un danno.
Ebbene, nelle conclusioni dell'Avvocato Generale si è giustamente rilevato come il GDPR non contenga alcun riferimento alla natura sanzionatoria del risarcimento dei danni patrimoniali o non patrimoniali, né al fatto che il calcolo del suo ammontare debba riflettere tale natura o che detto risarcimento debba essere dissuasivo (qualità che esso attribuisce invece alle sanzioni penali e alle sanzioni amministrative pecuniarie). Dal punto di vista letterale, pertanto, il GDPR non consentirebbe di prevedere un risarcimento di carattere punitivo.
Le considerazioni dell'Avvocato Generale sono pienamente condivisibili, e riflettono l'orientamento prevalente in dottrina e in giurisprudenza nazionale.
Del resto, la prospettiva di ottenere un risarcimento indipendentemente da qualsiasi danno stimolerebbe la proliferazione di controversie civili strumentali, disincentivando l'attività stessa di trattamento e di conseguenza quella circolazione dei dati che il legislatore europeo ha inteso assicurare.
*a cura dell' Avv. Alessandro Candini, DigitalMediaLaws