In data 11 aprile 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-741/21, GP contro juris GmbH, sull’interpretazione dell’articolo 82, paragrafi 1 e 3, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1] in combinato disposto con gli articoli 29 e 83 di tale regolamento nonché alla luce dei suoi considerando 85 e 146. Tale domanda era stata presentata nell’ambito di una controversia tra GP e la juris GmbH (“juris”), società con sede in Germania, in merito al risarcimento dei danni che GP sosteneva di aver subito a causa di diversi trattamenti dei suoi dati personali operati per finalità di marketing diretto nonostante le sue ripetute opposizioni.
Più particolarmente, GP aveva revocato, per iscritto, tutti i suoi assensi a ricevere dalla juris informazioni per posta elettronica o per telefono, e si era opposto a qualsiasi trattamento di tali dati salvo per l’invio delle newsletter di cui desiderava continuare ad essere destinatario. Ciononostante, GP aveva successivamente ricevuto due prospetti pubblicitari inviati nominativamente al suo indirizzo professionale, e pertanto aveva inviato una lettera alla juris chiedendo il risarcimento del danno causato dalla creazione di tali prospetti[2]. Avendo tuttavia ricevuto un nuovo prospetto pubblicitario, GP aveva adito il Landgericht Saarbrücken (Tribunale del Land Saarbrücken; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia quattro questioni pregiudiziali.
Con la prima questione, il giudice del rinvio chiedeva se l’articolo 82[3], paragrafo 1, del GDPR debba essere interpretato nel senso che una violazione delle disposizioni di tale regolamento che conferiscono diritti alla persona interessata sia sufficiente, di per sé, a costituire un “danno immateriale”, ai sensi della suddetta disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.
La Corte ha preliminarmente ricordato che la mera violazione del GDPR non è sufficiente per conferire un diritto al risarcimento, in quanto l’esistenza di un danno, materiale o immateriale, che sia stato subito costituisce solo una delle condizioni del diritto al risarcimento previsto dall’articolo 82, paragrafo 1, così come l’esistenza di una violazione e di un nesso di causalità tra quest’ultima e il danno in questione[4]. Di conseguenza, la persona che chiede il risarcimento di un danno immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni del GDPR, e bensì anche che la stessa le ha causato un danno del genere[5], e pertanto la violazione di disposizioni del GDPR che conferiscono diritti all’interessato non è sufficiente, di per sé, a fondare un diritto sostanziale ad ottenere un risarcimento ai sensi di tale regolamento.
Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 82 del GDPR debba essere interpretato nel senso che è sufficiente che il titolare del trattamento, per essere esonerato dalla responsabilità conformemente al paragrafo 3 di tale articolo, faccia valere che il danno in questione è stato causato dall’errore di una persona che agisce sotto la sua autorità, ai sensi dell’articolo 29[6] di tale regolamento.
La Corte ha preliminarmente ricordato che, ai sensi del GDPR, le persone che agiscono sotto l’autorità del titolare del trattamento, come i suoi dipendenti, e che hanno accesso a dati personali possono, in linea di principio, trattare tali dati solo su sue istruzioni e conformemente alle stesse[7]. Il titolare del trattamento, inoltre, deve adottare misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità, e abbia accesso a tali dati, non li tratti se non su sua istruzione, a meno che non vi sia obbligata dal diritto europeo o nazionale[8]. Poiché un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto la sua autorità, pertanto, spetta al titolare stesso assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti, non potendo sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del GDPR semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità. Al contrario, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, detto titolare potrà beneficiare dell’esonero da responsabilità unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati ad esso incombente e il danno subito dall’interessato[9].
Con le questioni terza e quarta, infine, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, occorre, da un lato, applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83[10] di tale regolamento e, dall’altro, tener conto del fatto che più violazioni riconducibili ad una stessa operazione di trattamento riguardano la persona che richiede il risarcimento.
La Corte ha preliminarmente ricordato che poiché il GDPR non contiene disposizioni relative alla valutazione del risarcimento danni dovuto ai sensi del suo articolo 82, i giudici nazionali devono applicare le norme interne di ciascuno Stato Membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività previsti dal diritto dell’Unione[11]. L’articolo 82 del GDPR, infatti, riveste una funzione compensativa, contrariamente ad altre disposizioni quali l’articolo 83 che perseguono una finalità sostanzialmente punitiva, in quanto consentono di infliggere sanzioni amministrative pecuniarie e di altra natura. La gravità della violazione del GDPR che ha causato l’asserito danno materiale o immateriale, inoltre, non può incidere sull’importo del risarcimento concesso ai sensi dell’articolo 82, che pertanto non può essere fissato ad un livello che vada oltre la piena compensazione di tale danno[12].
Di conseguenza, non si può ritenere che i criteri di valutazione specificamente enunciati dall’articolo 83 del GDPR siano applicabili mutatis mutandis nell’ambito dell’articolo 82, sebbene i mezzi di ricorso previsti da queste due disposizioni siano effettivamente complementari per garantire il rispetto del medesimo regolamento. La circostanza che più violazioni siano state commesse dal titolare del trattamento nei confronti dello stesso interessato, inoltre, non può costituire un criterio rilevante ai fini della valutazione del danno da riconoscere a quest’ultimo ai sensi dell’articolo 82 del GDPR, in quanto solo il danno concretamente subito deve essere preso in considerazione per determinare l’importo del risarcimento pecuniario dovuto a titolo di compensazione.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.
L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, non si deve tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento”.
[1] GUUE L 119 del 04.05.2016.
[2] Ciascuno dei prospetti in questione conteneva un codice personale di prova che consentiva di accedere, sul sito internet della juris, ad un modulo d’ordine dei suoi prodotti contenente menzioni relative a GP.
[3] L’articolo 82 GDPR, intitolato “Diritto al risarcimento e responsabilità”, dispone: “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2…”.
[4] CGUE 25.01.2024, Causa C‑687/21, MediaMarktSaturn, punto 58.
[5] Ibidem, punti 60-61.
[6] L’articolo 29 GDPR, intitolato “Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento”, dispone: “… Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri…”.
[7] CGUE 22.06.2023, Causa C‑579/21, Pankki S, punti 73-74.
[8] L’articolo 32 GDPR, intitolato “Sicurezza del trattamento”, al paragrafo 4 dispone: “… Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri…”.
[9] CGUE 14.12.2023, Causa C‑340/21, Natsionalna agentsia za prihodite, punto 72.
[10] L’articolo 83 GDPR, intitolato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, al paragrafo 2 dispone: “… Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione…”.
[11] CGUE 25.01.2024, Causa C‑687/21, MediaMarktSaturn, punto 53; CGUE 21.12.2023, Causa C‑667/21, Krankenversicherung Nordrhein, punti 83 e 101.
[12] CGUE 21.12.2023, Causa C‑667/21, Krankenversicherung Nordrhein, punto 86.