Negli ultimi anni, diversi tribunali austriaci e tedeschi hanno respinto le azioni di risarcimento di danni immateriali da violazione del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR)[1], poiché i soggetti che avevano avanzato la pretesa non erano riusciti a provare di aver subito effettivamente un danno. Significativamente, la Corte costituzionale tedesca (Bundesverfassungsgericht, BVerfG), con la sua decisione[2] del 14 gennaio 2021, in una causa che aveva ad oggetto il risarcimento del danno morale derivante dall’invio di un solo messaggio di posta elettronica, aveva sconfessato la pronuncia del tribunale locale di Goslar (Amtsgericht, AG; Germania), stabilendo che il giudice avrebbe al riguardo dovuto sottoporre alla Corte di Giustizia dell’Unione Europea (CGUE) delle opportune questioni pregiudiziali in merito ai danni da violazioni del GDPR prima di decidere la causa.
Pur non concordando con la decisione del BVerfG tedesco, in data 15 aprile 2021, la Corte di Cassazione austriaca (Oberster Gerichtshof, OGH) ha ritenuto di rinviare alla CGUE diverse questioni pregiudiziali aventi ad oggetto l’interpretazione delle norme relative al risarcimento dei danni derivanti da violazioni del GDPR al fine di assicurare l’applicazione uniforme del diritto dell’Unione.
Sarà la prima volta in cui la Corte di Giustizia avrà modo di pronunciarsi su un argomento destinato ad avere negli anni a venire uno sviluppo esponenziale.
Questi, i fatti e le premesse normative.
L’articolo 82[3] del GDPR prevede la possibilità per chiunque abbia subito un danno materiale o immateriale da una violazione del GDPR di richiedere il risarcimento del danno dal titolare o rappresentante del trattamento. Più particolarmente, una delle parti della causa pervenuta dinanzi all’OGH, la società per azioni “Ö.”, è titolare di una licenza commerciale in qualità di broker di indirizzi ed è stata attiva per dieci anni permettendo ai suoi clienti di offrire servizi di pubblicità mirata. A partire dal 2017, ha raccolto informazioni sugli orientamenti politici della popolazione austriaca, utilizzando a tal scopo i risultati di sondaggi anonimi sulla pubblicità elettorale condotti dagli appositi istituti.
La società aveva successivamente assemblato le informazioni raccolte mediante le statistiche dei risultati elettorali per definire, utilizzando un algoritmo, gli indirizzi dei gruppi target ai quali, in base alle caratteristiche sociodemografiche, erano state attribuite più di cento persone. Inoltre, a seconda di diversi criteri, quali luogo di residenza, età e genere, le singole persone erano state assegnate ad ulteriori gruppi e classificazioni di marketing. Oltre ad avere acquistato dati relativi agli indirizzi anche da rivenditori terzi e dagli archivi delle imprese, la società aveva infine ceduto a pagamento tali dati a diverse organizzazioni.
La parte attrice nella causa di merito, il Dott. O., che non aveva acconsentito al trattamento dei suoi dati, aveva contestato l’affinità politica a lei attribuita con il Partito della Libertà Austriaco (Freiheitliche Partei Österreichs, FPÖ), caratterizzato da un posizionamento marcatamente di destra dal quale si sentiva distante. Per tale ragione, aveva adito il Tribunale di primo grado, che aveva accolto una domanda di inibitoria, rigettando però quella di condanna al risarcimento del danno morale.
Successivamente, la Corte d’appello aveva confermato la sentenza di primo grado, affermando inoltre, in relazione alla domanda di danno, che è risarcibile soltanto il danno morale che si sia effettivamente verificato sotto forma di danno emotivo negativo, quale paura, stress o sofferenza. Più particolarmente, la menomazione della personalità (Persönlichkeitsbeeinträchtigung) deve andare oltre i sentimenti che automaticamente si sviluppano ogniqualvolta si verifichi la violazione di una legge che sia a svantaggio della persona. Peraltro, seppur ogni violazione della protezione dei dati evoca nelle persone interessate almeno brevemente sentimenti negativi, il danno morale non accompagna automaticamente ogni violazione[4].
Tuttavia, ai sensi del considerando 146[5] del GDPR, il concetto di danno deve essere interpretato in senso lato alla luce della giurisprudenza della CGUE, in modo tale da rispecchiare pienamente gli obiettivi del regolamento ed è risarcibile soltanto il danno [immateriale] che si è effettivamente verificato. Inoltre, nonostante il considerando 85[6] del GDPR fornisca esempi di danni non materiali derivanti da una violazione della normativa in materia di dati personali, secondo la Corte d’appello austriaca, tali esempi si riferiscono a dati pubblicati e pertanto, non si applicano al caso concreto poiché i dati non erano stati pubblicati. Neppure il considerando 75[7] del GDPR poteva venire invocato per la determinazione del danno nel caso concreto. Infatti, ai sensi di esso, si conferma che il trattamento dei dati personali può presentare rischi per i diritti e le libertà delle persone fisiche, che a loro volta possono cagionare danni, sia materiali che immateriali, senza però nulla prevedere in merito al loro risarcimento.
Il Dott. O. aveva allora proposto ricorso contro la decisione di secondo grado dinanzi all’OGH, il quale aveva deciso di sospendere il procedimento avanti a sé e di porre alla Corte di Giustizia le seguenti questioni pregiudiziali: i) se una violazione delle disposizioni del GDPR sia di per sé sufficiente a dare origine al riconoscimento di un danno risarcibile; ii) se, oltre ai principi di efficacia ed equivalenza, vi siano al riguardo ulteriori requisiti del diritto dell’Unione di cui i giudici nazionali devono tener conto nel valutare la sussistenza di un danno risarcibile; ed infine, iii) se il riconoscimento del danno immateriale richiede che la violazione abbia delle conseguenze di una certa rilevanza, vale a dire, che vadano oltre un effetto di disagio o fastidio.
Ci si può, a questo punto, domandare come potrebbe decidere la Corte di Giustizia sul rinvio pregiudiziale dell’OGH a quali implicazioni ne potrebbero derivare.
Pur trattandosi di un caso nuovo, vale la pena di osservare che, negli anni recenti, i Giudici del Lussemburgo tendono a pronunciarsi nel senso di una tutela forte dei dati personali. Nondimeno, la decisione della Corte sul rinvio pregiudiziale dell’OGH austriaco sembra destinata ad influire sui procedimenti in corso e quelli futuri in merito all’azione di risarcimento danni ai sensi dell’articolo 82 del GDPR. In primo luogo, i Giudici nazionali potrebbero concedere una sospensione dei procedimenti in corso, qualora la loro decisione dipendesse dalle questioni pregiudiziali sottoposte dall’OGH alla Corte. Inoltre, la pronuncia della Corte potrebbe incoraggiare i consumatori e le loro associazioni ad instaurare azioni risarcitorie, provocando in tal modo un incremento ulteriore delle controversie legate alle violazioni del GDPR.
Ad ogni modo, la pronuncia della Corte di giustizia stabilirà un orientamento giurisprudenziale che influenzerà in maniera sostanziale l’attuazione pratica del GDPR.
[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GUUE L 119 del 4.5.2016.
[2] BVerfG, 14.01.2021 – 1 BvR 2853/19.
[3] L’articolo 82 del GDPR, intitolato “Diritto al risarcimento e responsabilità”, dispone: “… 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
- Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
- Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
- Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
- Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
- Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2…”.
[4] Si veda il punto 9 della sentenza BVerfG, 14.01.2021 – 1 BvR 2853/19.
[5] Il considerando 146 del GDPR dispone: “… Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento.
(…)
Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito…”.
[6] Il considerando 85 del GDPR dispone: “… Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo…”.
[7] Il considerando 75 del GDPR dispone: “… I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati…”.