Danni morali di lieve entità per violazione GDPR: sono risarcibili?

danni morali e privacy

Danni morali di lieve entità per violazione GDPR: sono risarcibili?


 

Danni morali e privacy: I fatti della causa principale

Al centro della vicenda, da cui trae origine il rinvio pregiudiziale innanzi alla Corte di Giustizia, si trovano le Poste austriache che avevano classificato con un algoritmo la popolazione austriaca per orientamento politico. I dati generati erano poi venduti a società che li utilizzavano per inviare pubblicità mirata.

Un cittadino austriaco, che non aveva acconsentito al trattamento dei suoi dati personali, sentendosi offeso per essere stato accostato a un partito politico, adiva il Tribunale regionale austriaco. Il ricorrente lamentava che quelle presunte opinioni politiche che gli erano state attribuite gli avevano provocato grave turbamento, perdita di fiducia e sentimento di umiliazione. Il soggetto in questione chiedeva a titolo di risarcimento per i danni morali sofferti la somma di mille euro oltre la cessazione del trattamento illecito.

Pur accogliendo la richiesta di imporre l’interruzione del trattamento, il giudice respingeva la domanda risarcitoria che veniva esaminata in seconda battuta dalla Corte di appello austriaca.

Il giudice di secondo grado osservava che la violazione delle norme sulla protezione dei dati personali non determina automaticamente un danno morale. Il diritto al risarcimento sorge quando il danno non patrimoniale supera una certa soglia di gravità. Per questi motivi, il giudice dell’appello rigettava la questione risarcitoria e il caso veniva sottoposto all’attenzione della Corte suprema austriaca che sospendeva il procedimento per interrogare i giudici di Lussemburgo sulla corretta interpretazione dell’art. 82 del GDPR.


Danni morali e privacy: le questioni pregiudiziali e le risposte della Corte

La sentenza del 4 maggio 2023 nella causa (C-300/21) ha dato risposta alle questioni pregiudiziali avanzate,

Il giudice del rinvio sottoponeva alla Corte tre questioni pregiudiziali:

  • Il risarcimento del danno (patrimoniale o morale) consegue alla mera violazione di una disposizione del GDPR?
  • Il danno morale può essere risarcito anche se è di lieve entità e non supera la soglia di gravità?
  • Quali sono i parametri da valutare, in sede di quantificazione del danno, oltre ai principi di effettività e di equivalenza?

Con riguardo al primo quesito, il meccanismo del risarcimento – precisa la Corte – non può essere automatico e non può scaturire da una semplice violazione.

L’art. 82, par. 1, del GDPR recita: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere dal titolare o dal responsabile”.

Risulta chiaramente dalla lettera della disposizione che uno dei presupposti per attivare la richiesta di risarcimento è l’esistenza e la prova del “danno subito” conseguente a una violazione del GDPR.

Ma non basta.

Occorre altresì dimostrare il nesso causale tra il danno e la violazione. In sostanza, ai fini della risarcibilità del danno servono tre condizioni:

un trattamento illecito che violi il regolamento;

la prova del danno subito dall’interessato;

il nesso di causalità tra la violazione e il danno.

Sempre rifacendosi alla interpretazione letterale dell’art. 82 del GDPR, la Corte risponde al secondo quesito affermando che il danno morale è sempre risarcibile a prescindere che abbia raggiunto a meno una certa soglia di gravità. La Corte dunque statuisce che deve essere riconosciuto il giusto ristoro anche ai danni morali che abbiano cagionato una micro lesione.

Tale tesi è corroborata dal considerando 146 del GDPR secondo il quale: “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di Giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”. La nozione di danno riceve una definizione autonoma e uniforme propria del diritto dell’Unione Europea che è funzionale al raggiungimento degli obiettivi del GDPR, tra i quali vi è quello di garantire un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Di conseguenza, limitare la risarcibilità ai soli danni morali di lieve entità significherebbe svilire il concetto di danno e non riconoscere un’adeguata tutela ai diritti degli interessati.

Sul terzo quesito, la Corte di giustizia ammette che il GDPR non dà indicazioni precise sul calcolo dell’importo del risarcimento, che è rimesso alle norme interne di ciascun Stato membro. In altri termini, spetta all’ordinamento di ciascun Stato membro determinare la disciplina sul quantum del risarcimento a condizione però che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.

La Corte sottolinea infine che l’importo deve garantire un ristoro pieno ed effettivo del danno.
 

Danni morali e privacy: conclusioni

La sentenza in commento, che sancisce il principio della risarcibilità del danno morale di lieve entità, produrrà i suoi effetti anche in Italia dove i giudici dovranno abbandonare il consolidato orientamento giurisprudenziale che subordina il risarcimento del danno non patrimoniale alla gravità della lesione e alla serietà del danno.

Ma vi è di più. Se, da un lato, la pronuncia della Corte va a rafforzare la protezione dei soggetti con riguardo al trattamento dei dati personali, dall’altro le imprese potrebbero essere esposte a filoni di cause o di class action promosse da una moltitudine di soggetti anche per importi non rilevanti con conseguente aggravio del carico di lavoro per la giustizia italiana.

Privacy: record di sanzioni ma a chi servono?

Il diritto degli influencer, professione senza freni?

Oggetti connessi, Internet of Things e altre diavolerie informatiche

ChatGPT, privacy e Copyright. Problemi e opportunità

Crowdfunding: nuova possibilità per le srl

PIVA IT02230331205

Avvertenze   Privacy Policy

Credits webit.it