Commento a Corte di Giustizia dell’Unione Europea causa C-590/22
Avv. Barbara Maria Grana
Il 20 giugno 2024, la Corte di Giustizia dell’Unione Europea ha emesso una sentenza significativa nella causa C-590/22, stabilendo principi fondamentali riguardanti la risarcibilità dei danni derivanti da violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). La questione centrale era se una mera violazione delle norme del GDPR potesse giustificare di per sé un risarcimento per danni, oppure se fossero necessarie ulteriori condizioni.
Il caso è stato sollevato dall’Amtsgericht Wesel in Germania e coinvolgeva una controversia tra AT e BT e PS GbR, una società di consulenza fiscale. AT e BT avevano richiesto un risarcimento per la divulgazione non autorizzata dei loro dati personali, avvenuta a causa dell’invio errato della loro dichiarazione dei redditi a un vecchio indirizzo. La dichiarazione conteneva dati sensibili, e i nuovi residenti dell’indirizzo errato avevano aperto per errore la posta.
Le domande pregiudiziali poste alla Corte di Giustizia riguardavano diversi aspetti dell’articolo 82 del GDPR:
Se una violazione del GDPR possa giustificare un risarcimento per danni immateriali senza necessità di dimostrare un danno significativo secondo il diritto tedesco.
Se il timore di accesso non autorizzato ai dati personali possa costituire un danno risarcibile.
Se i criteri per le sanzioni amministrative del GDPR possano essere applicati al risarcimento per danni immateriali.
Se il risarcimento debba avere un effetto dissuasivo per garantire il rispetto del GDPR.
Se la violazione simultanea del GDPR e del diritto tedesco influisca sul calcolo del risarcimento.
La Corte di Giustizia ha stabilito che per ottenere un risarcimento ai sensi dell’articolo 82 del GDPR non è sufficiente dimostrare semplicemente una violazione del regolamento. È necessario provare che la violazione ha causato un danno reale, sia esso materiale o immateriale, sebbene non sia richiesto che il danno raggiunga un certo grado di gravità. Pertanto, anche danni minori e timori debitamente provati possono giustificare un risarcimento.
Inoltre, la Corte ha chiarito che il timore non provato di divulgazione dei dati a terzi può essere sufficiente per ottenere un risarcimento, purché il timore e le sue conseguenze negative siano adeguatamente dimostrati. I criteri per determinare l’importo del risarcimento non devono essere gli stessi previsti per le sanzioni amministrative pecuniarie, e il risarcimento deve servire esclusivamente a compensare il danno subito, senza scopo dissuasivo o punitivo.
Infine, la Corte ha specificato che non è necessario considerare le violazioni simultanee di norme nazionali non direttamente collegate al GDPR nella determinazione del risarcimento.
Questa sentenza rappresenta un’importante evoluzione nella giurisprudenza sulla protezione dei dati personali, evidenziando la protezione dei diritti degli interessati e stabilendo un equilibrio tra la necessità di dimostrare il danno e la protezione effettiva dei diritti. I titolari del trattamento dei dati devono essere più cauti nel rispettare le norme del GDPR, poiché anche danni minori o timori possono dare luogo a richieste di risarcimento.
Copyright 2024© Associazione culturale non riconosciuta Nuove Frontiere del Diritto Via Guglielmo Petroni, n. 44 00139 Roma, Rappresentante Legale avv. Federica Federici P.I. 12495861002. Nuove frontiere del diritto è rivista registrata con decreto n. 228 del 9/10/2013, presso il Tribunale di Roma, Direttore responsabile avv. Angela Allegria, Proprietà: Nuove Frontiere Diritto. ISSN 2240-726X
