In data 20 giugno 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Cause riunite C‑182/22 e C‑189/22, JU e SO contro Scalable Capital GmbH, sull’interpretazione dell’articolo 82 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tali domande erano state presentate nell’ambito di due controversie tra, da un lato, JU e SO e, dall’altro, la Scalable Capital GmbH (“Scalable”) in merito al risarcimento del danno immateriale che essi affermano di aver subito a causa del furto, da parte di terzi la cui identità è sconosciuta, dei loro dati personali registrati su un’applicazione di trading gestita da tale società.
Questi i fatti.
JU e SO avevano aperto un conto sull’applicazione di trading della Scalable, salvando alcuni dati personali sui loro rispettivi conti e versando un importo di diverse migliaia di euro necessario all’apertura di questi ultimi. Nel corso del 2020, tuttavia, i dati personali nonché quelli relativi al portafoglio di titoli di JU e SO erano stati carpiti da terzi la cui identità rimane sconosciuta, di talché gli stessi avevano adito l’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera; il “giudice del rinvio”) con un ricorso volto ad ottenere il risarcimento del danno immateriale subito a causa del furto dei loro dati personali. Alla luce della necessità di interpretare la normativa europea rilevante in materia, pertanto, il giudice del rinvio aveva deciso di sospendere i procedimenti e di sottoporre alla Corte di Giustizia cinque questioni pregiudiziali.
Con la prima questione e la prima parte della seconda questione, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1[2], del GDPR debba essere interpretato nel senso che il diritto al risarcimento ivi previsto svolge una funzione compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito a causa della violazione di tale regolamento, oppure anche una funzione punitiva volta, in particolare, a soddisfare gli interessi individuali dell’interessato.
La Corte ha preliminarmente ricordato che l’articolo 82 del GDPR riveste una funzione compensativa, contrariamente ad altre disposizioni di tale regolamento, quali gli articoli 83[3] e 84[4], che perseguono una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni[5]. Di conseguenza, un risarcimento pecuniario fondato sull’articolo 82, paragrafo 1, del GDPR deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva[6].
Tenuto conto della risposta fornita alla prima questione e alla prima parte della seconda questione, la Corte ha ritenuto non necessario rispondere alla seconda parte della seconda questione, con la quale il giudice del rinvio chiedeva se ai fini della quantificazione del diritto al risarcimento del danno immateriale debba ritenersi che la funzione compensativa abbia, rispetto a quella satisfattiva, una priorità strutturale o almeno derivante dal rapporto tra regola ed eccezione e se ciò implichi che quest’ultima sia ipotizzabile solo in caso di lesioni caratterizzate da dolo o colpa grave.
Con la terza parte della seconda questione, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso di richiedere che il livello di gravità e l’eventuale carattere doloso della violazione di tale regolamento commessa dal titolare del trattamento siano presi in considerazione ai fini del risarcimento di un danno sulla base di tale disposizione.
In assenza di una disposizione relativa alla valutazione del risarcimento eventualmente dovuto ai sensi del GDPR, i giudici nazionali devono applicare le norme interne di ciascuno Stato Membro sulla portata del risarcimento pecuniario, a condizione che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione[7]. Il sorgere della responsabilità del titolare del trattamento ai sensi dell’articolo 82 del GDPR, tuttavia, è subordinato all’esistenza della colpa di quest’ultimo, che è presunta, a meno che egli non dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile. Tale articolo, inoltre, non richiede che il grado della colpa o il carattere eventualmente doloso della violazione siano presi in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione[8].
Con la terza questione, invece, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che, nell’ambito della determinazione dell’importo del risarcimento dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali sia, per sua natura, meno grave di una lesione personale.
La Corte ha preliminarmente rilevato che poiché il GDPR non contiene disposizioni intese a definire le norme relative alla valutazione del risarcimento danni che un interessato può pretendere, in forza dell’articolo 82, qualora una violazione di tale regolamento gli abbia causato un danno, spetta all’ordinamento giuridico di ciascuno Stato Membro stabilire le modalità delle azioni intese a garantire la tutela dei diritti spettanti ai singoli e, in particolare, i criteri che consentono di determinare l’entità del risarcimento dovuto in tale ambito, fatto salvo il rispetto dei principi di equivalenza e di effettività[9]. Di conseguenza, spetta al giudice del rinvio stabilire se le modalità previste nel diritto tedesco per la determinazione giudiziale del risarcimento dovuto in base al diritto sancito all’articolo 82 del GDPR non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione.
A tale riguardo, tenuto conto della funzione esclusivamente compensativa del diritto previsto all’articolo 82, paragrafo 1, GDPR, un risarcimento pecuniario fondato su tale disposizione deve essere considerato pieno ed effettivo se consente di compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento. Più particolarmente, il GDPR prevede diverse circostanze che possono essere qualificate come “danni fisici, materiali o immateriali” senza operare alcuna gerarchia tra di esse né indicare che le lesioni derivanti da una violazione di dati sono, per loro natura, meno gravi delle lesioni personali. Di conseguenza, supporre che una lesione personale sia, per sua natura, più grave di un danno immateriale rischierebbe di rimettere in discussione il principio di un risarcimento pieno ed effettivo del danno subito.
Con la quarta questione, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che, qualora si configuri un danno, un giudice nazionale può, in caso di non gravità di quest’ultimo, compensarlo accordando all’interessato un risarcimento minimo, che possa essere considerato simbolico.
La Corte ha preliminarmente ricordato che la mera violazione del GDPR non è sufficiente per conferire un diritto al risarcimento, in quanto l’esistenza di un danno, materiale o immateriale, che sia stato subito costituisce solo una delle condizioni del diritto al risarcimento previsto dall’articolo 82, paragrafo 1, così come l’esistenza di una violazione di tale regolamento e di un nesso di causalità quest’ultima e il danno in questione, essendo queste tre condizioni cumulative[10]. Di conseguenza, la persona che chiede il risarcimento di un danno immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni del GDPR, e bensì che la stessa le ha causato un siffatto danno, che non può dunque essere presunto a causa del suo semplice verificarsi[11].
Tutto ciò premesso, l’articolo 82, paragrafo 1, del GDPR non richiede che, a seguito di una violazione accertata di disposizioni di tale regolamento, il danno lamentato dall’interessato debba raggiungere una soglia de minimis per far sorgere il diritto al risarcimento[12]. Ciò, tuttavia, non esclude che i giudici nazionali possano concedere un risarcimento di importo poco elevato a condizione che lo stesso compensi integralmente il danno, circostanza che spetta al giudice del rinvio verificare.
Con la quinta questione, infine, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR, letto alla luce dei considerando 75[13] e 85[14] di quest’ultimo, debba essere interpretato nel senso che, per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi di detta disposizione, la nozione di “furto d’identità” implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo, oppure se un tale furto si configuri allorché detto terzo dispone di dati che consentono di identificare l’interessato.
La Corte ha preliminarmente rilevato che tra le diverse nozioni enunciate negli elenchi di cui ai considerando 75 e 85 del GDPR, la perdita del controllo o l’impedimento all’esercizio del controllo su dati personali si distinguono dal furto o dall’usurpazione d’identità, di talché l’accesso e l’acquisizione del controllo su tali dati, che potrebbero essere assimilati ad un furto di questi ultimi, non sono, di per sé, assimilabili ad un furto o ad un’usurpazione. Il risarcimento di un danno immateriale causato dal furto di dati personali, ai sensi dell’articolo 82, paragrafo 1, del GDPR, tuttavia, non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo ad un furto o a un’usurpazione d’identità. Il furto dei dati personali di un interessato, infatti, fa sorgere il diritto al risarcimento del danno immateriale subito, ai sensi dell’articolo 82, paragrafo 1, del RGPD, se si applicano le tre condizioni stabilite da tale disposizione, ossia un trattamento di dati personali effettuato in violazione delle disposizioni del GDPR, un danno subito dall’interessato, e un nesso di causalità quest’ultimo e il danno in questione[15].
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che il diritto al risarcimento previsto da tale disposizione svolge una funzione esclusivamente compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito.
L’articolo 82, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che esso non richiede che il livello di gravità e l’eventuale carattere doloso della violazione di tale regolamento commessa dal titolare del trattamento siano presi in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.
L’articolo 82, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che nell’ambito della determinazione dell’importo dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali non sia, per sua natura, meno grave di una lesione personale.
L’articolo 82, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che qualora si configuri un danno, un giudice nazionale può, in caso di non gravità di quest’ultimo, compensarlo accordando all’interessato un risarcimento minimo, a condizione che detto risarcimento sia tale da compensare integralmente il danno subito.
L’articolo 82, paragrafo 1, del regolamento 2016/679, letto alla luce dei considerando 75 e 85 di tale regolamento, dev’essere interpretato nel senso che per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi di detta disposizione, la nozione di «furto d’identità» implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo. Tuttavia, il risarcimento di un danno immateriale causato dal furto di dati personali, ai sensi di detta disposizione, non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo a un furto o a un’usurpazione d’identità”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 82 GDPR, intitolato “Diritto al risarcimento e responsabilità”, al paragrafo 1 dispone: “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento…”.
[3] L’articolo 83 GDPR, intitolato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, al paragrafo 1 dispone: “… Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive…”.
[4] L’articolo 84 GDPR, intitolato “Sanzioni”, al paragrafo 1 dispone: “… Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive…”.
[5] CGUE 11.04.2024, Causa C‑741/21, juris, punto 59; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 38-40.
[6] CGUE 11.04.2024, Causa C‑741/21, juris, punto 61; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 57-58.
[7] CGUE 25.01.2024, Causa C‑687/21, MediaMarktSaturn, punto 53; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 53-59.
[8] CGUE 25.01.2024, Causa C‑687/21, MediaMarktSaturn, punto 52; CGUE 21.12.2023, Causa C‑667/21, Krankenversicherung Nordrhein, punto 103.
[9] CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punto 54.
[10] CGUE 11.04.2024, Causa C‑741/21, juris, punto 34; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punto 32.
[11] CGUE 11.04.2024, Causa C‑741/21, juris, punto 35; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 42 e 50.
[12] CGUE 14.12.2023, Causa C-456/22, Gemeinde Ummendorf, punto 18.
[13] Il considerando 75 del GDPR dispone: “… I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati…”.
[14] Il considerando 85 del GDPR dispone: “… Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo…”.
[15] CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 32-36.