L’introduzione del Regolamento Generale per la Protezione dei Dati (General Data Protection Regulation, “GDPR”) in Europa è stata una pietra miliare per la difesa e la tutela dei dati personali. Non è un caso, infatti, che tale normativa sia stata negli anni presa come benchmark anche in altre parti del mondo sulla scia del noto Brussels Effect[1].
D’altra parte, non si può negare come spesse volte vi sia il rischio che il GDPR venga chiamato in causa in maniera “distorta”. Si è infatti diffusa a macchia di leopardo una pratica particolarmente sgradevole per cui le società vengono contattate da persone che, al solo fine di “estorcere” del denaro, lamentano violazioni della loro privacy, a fronte di asserite mancanze sulla base del GDPR (si pensi ad esempio all’invio di una newsletter ad un soggetto che non dovesse avere fornito il suo consenso[2]).
Da più parti, si è affermato come vi sarebbe la necessità di mettere un freno a tali condotte e che le Corti Nazionali (o le Autorità Competenti) non dovrebbero assecondare richieste di questo tipo basate su violazioni (ritenute) “minori” o estemporanee[3] del GDPR.
Su questo tema è ora intervenuta un’importante sentenza della Corte di Giustizia dell’Unione Europea (European Court of Justice, “ECJ”) che potrebbe fornire delle guideline a riguardo.
Questo contributo la esaminerà in dettaglio per verificare, infine, quali conclusioni si possano trarre e quali possano essere le future prospettive future in questo ambito.
Il casus belli
Questi i fatti che hanno dato fuoco alle “polveri”.
A partire dal 2017, la Österreichische Post AG (“Österreichische Post”) aveva raccolto informazioni sulle affinità politiche della popolazione austriaca, cedendo, contro un corrispettivo, i dati così generati a diverse organizzazioni per consentire loro di effettuare invii pubblicitari mirati.
Poiché, nell’ambito della sua attività, la Österreichische Post aveva trattato dati che, per estrapolazione statistica, l’avevano indotta a dedurre una sua elevata affinità con un determinato partito politico austriaco, un cittadino austriaco, che non aveva acconsentito al trattamento dei suoi dati personali, aveva proposto dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale del Land in materia civile di Vienna) un ricorso diretto, da un lato, ad ingiungere alla Österreichische Post di cessare il trattamento dei dati personali in questione e, dall’altro, a che tale società fosse condannata a versargli un importo pari a circa 1.000 euro a titolo di risarcimento del danno immateriale che egli affermava di aver subito.
Con decisione in seguito confermata anche in appello, tale giudice aveva accolto la domanda inibitoria ma non quella di risarcimento. Adito da entrambe le parti, e alla luce della necessità di interpretare la normativa europea rilevante in materia, pertanto, l’Oberster Gerichtshof (Corte suprema austriaca; il “giudice del rinvio”) ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia alcune questioni pregiudiziali[4]. Di seguito verranno menzionati i principi di diritto espressi dalla Corte di Giustizia in questo caso.
I requisiti dell’azione
In primo luogo, va registrata un orientamento chiaro che ha preso la ECJ.
Si è infatti chiarito[5] che dalla formulazione dell’articolo 82 del GDPR emerge che vi potrebbe esserci risarcimento del danno laddove si sia in presenza di tre requisiti: (i) violazione del GDPR stesso; (ii) esistenza di un danno; e (iii) nesso di causalità tra tale danno e l’asserita violazione[6].
Di conseguenza, non si può ritenere che qualsiasi violazione delle disposizioni del GDPR conferisca, di per sé, il diritto al risarcimento a favore dell’interessato[7].
Questo principio apparirebbe indubbiamente un filtro importante verso la presentazione di domande di risarcimento danni per violazioni del GDPR.
Sembra infatti che non possano più essere premiate fishing expedition di coloro i quali si limitino ad allegare al giudice nazionale una violazione del GDPR senza poi dare conto di aver effettivamente patito un danno e che quel danno sia conseguenza diretta dell’asserita violazione.
Qualsiasi danno derivante da violazione del GDPR è risarcibile in linea di principio
Vi sono però due ulteriori principi espressi dalla ECJ che meritano specifica menzione.
Ed infatti[8], la Corte si è trovata anche a valutare se possa essere messo una sorta di “tetto” di valore minimo al danno per violazioni del GDPR al di sotto del quale non potrebbe essere allocato alcun risarcimento (nel caso specifico la richiesta di 1.000 Euro era stata considerata talmente “risibile” dal ricorrente da non dover nemmeno essere presa in considerazione).
E qua, l’ECJ ha però rilevato che il GDPR non definisce la nozione di “danno”, limitandosi ad enunciare in modo esplicito che può dare diritto ad un risarcimento non solo un danno materiale, e bensì anche un danno immateriale, senza che venga menzionata una qualsivoglia soglia di gravità[9].
In dettaglio, la Corte[10] ha inoltre ricordato che, in mancanza di norme europee in materia, spetta all’ordinamento giuridico interno di ciascuno Stato Membro stabilire le modalità procedurali dei ricorsi giurisdizionali destinati a garantire la salvaguardia dei diritti dei singoli, a condizione tuttavia che esse non siano meno favorevoli rispetto a quelle relative a situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività)[11].
I principi sopra esposti sembrano dunque aprire la piena possibilità di avanzare danni per violazioni del GDPR anche per poche decine o centinaia di euro (purché ovviamente si sia poi in grado di allegare la prova che vi sia nesso di causalità tra il danno e l’asserita violazione del GDPR che si lamenta). Anzi, gli Stati Membri devono garantire che tutti siano in grado di poter perseguire tali claim senza difficoltà qualora ritengano che un loro diritto sia stato violato.
Conclusioni
Alla luce di tutto quanto sopra si possono trarre alcune conclusioni di massima.
La sentenza della Corte di Giustizia non sembra chiudere la porta (come forse molti avrebbero sperato) alla possibilità di instaurare contenziosi per violazioni del GDPR anche per danni quantificabili in cifre modeste.
Tali claim anzi sono da considerarsi pienamente legittimi (ed accoglibili) nella misura in cui sia fornita prova che il danno subito dipenda direttamente dall’asserita violazione del GDPR.
Con ciò è facile immaginare che, nei prossimi anni, vi sarà una vera e propria proliferazione di domande giudiziali nei confronti delle società a fronte di asserite violazioni in materia GDPR.
Si pensi ad esempio alla mancata risposta ad una richiesta di accesso presentata da un interessato, all’invio di una newsletter a soggetti che non abbiano fornito il proprio consenso, a data breach in cui vengano esposti meri dati di contatto (come nome e cognome di persone fisiche) a terze parti. In tutti queste eventualità, gli interessati potranno a pieno diritto avanzare richiesta di danni se ritengono di aver subito un danno effettivo.
Sulla base di tutto quanto sopra, sembra si possano trarre due indicazioni di massima:
In primo luogo, le società dovranno apprestare sempre più attenzione a tutti gli adempimenti GDPR previsti dalla normativa e anche a quelli che sembrerebbero di natura più “formale”. Ed infatti, non si può escludere che, a fronte di violazioni ritenute a prima vista di poco conto, si possa poi dover fronteggiare plurimi contenziosi.
Inoltre, nel momento in cui si riceve una richiesta di risarcimento danni in via stragiudiziale da un determinato soggetto che lamenta violazioni privacy (che seppure a prima vista possano sembrare pretestuose), occorre comunque non sottovalutare l’episodio. Se non si gestisce il “file” subito in maniera sollecita e costruttiva si può infatti correre il rischio di dover affrontare richieste di risarcimento danni presentate presso le Autorità Competenti in un secondo momento.
[1] https://geopolitique.eu/en/articles/the-european-union-in-a-globalised-world-the-brussels-effect/
[2] Sul punto non si vuole generalizzare. In questa sede ci si limita a constatare come non sia raro che vi siano dei veri e propri tentativi di raggiro da parte di individui che utilizzano ad esempio il seguente schema: (i) verificano tutte le comunicazioni pubblicitarie e-mail che gli arrivano, (ii) scrivono “a pioggia” a tutte le società coinvolte asserendo di non avere mai prestato il consenso per invio delle comunicazioni (sia questo dato di fatto vero oppure no); e (iii) avanzano nei confronti di queste società in maniera seriale una richiesta di risarcimento per violazioni di normativa privacy (pur non avendo subito alcun danno effettivo) e sperando che la “pesca a strascico” funzioni.
[3] Riprendendo l’esempio di cui sopra, non si può ad esempio escludere che una società molto attenta alla gestione dei consensi per gli invii della sua newsletter possa incappare in un errore saltuario e recapitarla anche ad un soggetto che non avesse fornito consenso.
[4] In data 4 maggio 2023, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-300/21, UI contro Österreichische Post AG, sull’interpretazione dell’articolo 82 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR) in combinato disposto con i principi di equivalenza e di effettività. Tale domanda era stata presentata nell’ambito di una controversia tra UI e la Österreichische Post AG (“Österreichische Post”) in merito al ricorso proposto dal primo e diretto ad ottenere il risarcimento del danno immateriale che egli affermava di aver subito a causa del trattamento da parte di tale società di dati relativi alle affinità politiche di persone residenti in Austria, in particolare egli stesso, pur non avendovi acconsentito.
[5] Con la prima questione, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che la mera violazione delle sue disposizioni sia sufficiente per conferire un diritto al risarcimento.
[6] Con la prima questione, il giudice del rinvio si riferiva all’articolo 82, paragrafo 1. L’articolo 82 GDPR, intitolato “Diritto al risarcimento e responsabilità”, al paragrafo 1 dispone: “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento…”. Veniva dunque chiesto se il GDPR debba essere interpretato nel senso che la mera violazione delle sue disposizioni sia sufficiente per conferire un diritto al risarcimento.
[7] Ciò trova conferma, da un lato, nel contesto in cui si inserisce tale disposizione. L’articolo 82 GDPR al paragrafo 2 dispone infatti che: “… Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento…”. Inoltre ciò sembra confermato anche facendo un confronto con le altre disposizioni contenute nel capo VIII di tale regolamento (Si vedano gli articoli 77-78 e 83-84 GDPR) che disciplinano in particolare, i diversi mezzi di ricorso che consentono di tutelare i diritti dell’interessato in caso di trattamento dei suoi dati personali asseritamente contrario alle disposizioni di detto regolamento.
[8] Il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che esso osta ad una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.
[9] Il contesto in cui si inserisce l’articolo 82 del GDPR, inoltre, tende ad indicare che il diritto al risarcimento non è subordinato al fatto che il danno di cui trattasi raggiunga una certa soglia di gravità, ciò che viene confermato anche dalle finalità del regolamento stesso. Più particolarmente, le disposizioni di quest’ultimo mirano ad assicurare un’applicazione coerente ed omogenea delle norme a protezione delle libertà e dei diritti fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione (cfr. CGUE 12.01.2023, Causa C 154/21, Österreichische Post (Informazioni relative ai destinatari di dati personali), punto 44; CGUE 16.07.2020, Causa C 311/18, Facebook Ireland e Schrems, punto 101). Di conseguenza, subordinare il risarcimento di un danno immateriale ad una certa soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal GDPR, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere tale risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi.
[10] Con la seconda questione, infine, il giudice del rinvio chiedeva se l’articolo 82 del GDPR debba essere interpretato nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto sancito in tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato Membro relative all’entità del risarcimento pecuniario, non solo nel rispetto dei principi di equivalenza e di effettività del diritto dell’Unione.
[11] Cfr. in particolare, CGUE 15.07.2022, Causa C 18/21, Uniqa Versicherungen, punto 36; CGUE 13.12.2017, Causa C 403/16, El Hassani, punto 26. Più particolarmente, per quanto riguarda il principio di equivalenza la Corte non dispone di alcun elemento tale da destare un dubbio sulla conformità di una normativa nazionale applicabile nel caso concreto e, pertanto, tale da indicare che tale principio potrebbe avervi una concreta incidenza. Per quanto riguarda, invece, il principio di effettività, spetta al giudice del rinvio stabilire se le modalità previste nel diritto austriaco per la determinazione giudiziale del risarcimento dovuto in base al diritto sancito dall’articolo 82 del GDPR non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti da tale regolamento. Nello specifico, un risarcimento pecuniario fondato su tale disposizione deve essere considerato pieno ed effettivo se consente di compensare integralmente il danno concretamente subito a causa della violazione del GDPR, senza che sia necessario, ai fini di una tale compensazione integrale, imporre il versamento di un risarcimento punitivo.