Privacy, risarcimento da violazione del regolamento europeo se c'è il danno

---

Condividi l'articolo:

---

La mera violazione delle disposizioni del regolamento generale europeo sulla privacy non è sufficiente per fondare un diritto al risarcimento dei danni.

Il risarcimento a tale titolo, in ogni caso, non può essere soggetto alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.

Per determinare l’importo del risarcimento dovuto, i giudici nazionali sono tenuti ad applicare le norme interne di ciascuno Stato membro, a patto che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.

E' quanto puntualizzato dalla Corte di giustizia dell'Unione europea con sentenza del 4 maggio 2023, causa C-300/21, pronunciata in riferimento a una domanda pregiudiziale che verteva sull’interpretazione dell’articolo 82 del regolamento Ue 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR), in combinato disposto con i principi di equivalenza e di effettività.

Domanda, questa, presentata nel contesto del giudizio che vedeva coinvolti un cittadino austriaco e un'azienda, in merito al ricorso proposto dal primo, diretto ad ottenere il risarcimento del danno immateriale che affermava di aver subito a causa del trattamento, da parte della società di diritto privato, di dati relativi alle affinità politiche, compreso egli stesso, anche se non aveva acconsentito al trattamento.

Nella decisione, i giudici europei hanno richiamato la lettera dell'articolo 82 menzionato, il cui paragrafo 1 prevede che chi subisce un danno materiale o immateriale a causa di una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Violazioni privacy: diritto al risarcimento in presenza di danno e nesso causale

Dalla formulazione di tale disposizione - ha precisato la Corte - è chiaro che l’esistenza di un danno subito costituisce una delle condizioni del diritto al risarcimento, così come l’esistenza di una violazione del Regolamento e di un nesso di causalità tra tale danno e tale violazione: si tratta di tre condizioni cumulative.

Di conseguenza, le violazioni del GDPR, da sole, non danno diritto al risarcimento a favore dell’interessato, occorrendo sempre anche che si sia prodotto un danno e che vi sia un nesso causale tra quest'ultimo e la violazione.

Privacy: no a soglie di risarcimento, principi di equivalenza ed effettività da rispettare

Secondo la Corte di giustizia, ciò premesso, risulta poi incompatibile con il diritto unionale una norma o prassi nazionale che subordini il risarcimento di un danno immateriale alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.

Per determinare l’importo del risarcimento dovuto a tale titolo, devono essere applicate, dall'organo giudicante, le norme interne di ciascuno Stato membro sull’entità del risarcimento pecuniario, "purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione".