X

Homepage

  • Fisco
  • Lavoro
  • Contabilità
  • Impresa
  • Finanziamenti
  • Mondo Digitale
  • Speciali
  • Info dagli ordini
  • Podcast
  • Video
  • Rassegna stampa
  • Archivio ultime edizioni
  • Il mio archivio

Scopri i nostri servizi esclusivi

Registrati alla Newsletter

Iscriviti al canale WhatsApp

Segui il canale Spotify

  • Fisco
  • Lavoro
  • Contabilità
  • Impresa
  • Finanziamenti
  • Mondo Digitale
  • Speciali
Altro
  • Fisco
  • Lavoro
  • Contabilità
  • Impresa
  • Finanziamenti
  • Mondo Digitale
  • Speciali
  • ARGOMENTI
  • Privacy
Altro

martedì 09/05/2023 • 06:00

Impresa Dalla CGUE

Sempre risarcibili i danni immateriali per violazione del GDPR

La CGUE ha chiarito che i danni immateriali derivanti dalla lesione di diritti tutelati dal GDPR sono sempre risarcibili e che il giudice non deve in alcun modo effettuare condizionarne il riconoscimento al superamento di una soglia minima di gravità del disagio subito dall'interessato.

di Ivana Genestrone - Avvocato, esperta privacy, cybersecurity, compliance e contrattualistica

+ -
  • Tempo di lettura 1 min.
  • Ascolta la news 5:03

  • caricamento..

La CGUE (Corte di Giustizia dell'Unione Europea) si è appena pronunciata su un caso di violazione dei diritti protetti dal GDPR (il regolamento UE in materia di protezione dei dati personali), stabilendo che i danni immateriali vanno risarciti anche quando possano considerarsi lievi.

La questione ha preso le mosse da un avvocato austriaco (di cui conosciamo solo le iniziali, UI), ricorrente nei confronti della società Österreichische Post AG, che fornisce servizi postali e logistici in Austria.  

Tra le attività della Österreichische Post AG, fin dal 2017, c'era anche la raccolta di indirizzi e la produzione di informazioni sul possibile orientamento politico degli elettori austriaci, estrapolate da analisi statistiche effettuate con un algoritmo, costruito su criteri socio-demografici. In base alle informazioni così formate, venivano poi effettuate delle campagne politiche mirate.

UI, avendo scoperto di essere stato assimilato ai simpatizzanti di un determinato partito politico, si è definito arrabbiato ed offeso dall'informazione prodotta su di lui da Österreichische Post AG e l'ha citata in giudizio, asserendo che, anzitutto, il comportamento era da ritenersi illecito, in quanto UI non aveva mai prestato il consenso al trattamento dei suoi dati personali.

Ma c'è di più: l'accostamento a quella data area politica è stata percepita da UI come un insulto, nonché come un grave danno alla sua personale reputazione. Da qui, il lamentato disagio emotivo, dovuto alla contrarietà, alla perdita di fiducia e ad un sentimento di umiliazione suscitati dall'accaduto. Per questa specifica ragione, UI ha sostenuto che il comportamento illecito Österreichische Post AG gli aveva provocato danni immateriali, come previsi dall'art. 82, GDPR, richiedendo un risarcimento per 1000 €.

Nei primi gradi di giudizio, i magistrati hanno confermato che c'era stata una violazione dei diritti ai sensi del GDPR ed hanno dichiarato illegittimo il trattamento dei dati finalizzato a porre in essere delle campagne politiche (oltretutto ordinando ad Österreichische Post AG di porre fine a tale attività). Tuttavia, la richiesta di risarcimento dei danni immateriali, prevista dall'art. 82, GDPR, è sempre stata respinta.

La questione è giunta così alla Corte Suprema austriaca, che, in forma di domanda pregiudiziale, ha richiesto alla CGUE di esprimersi sui temi seguenti:

- la semplice violazione del GDPR è sufficiente per integrare il diritto al risarcimento del danno?

-  il risarcimento del danno immateriale va riconosciuto anche nel caso in cui non si possa considerare raggiunto una soglia minima di gravità?

- come va quantificato il danno immateriale?

LA CGUE ha subito chiarito che, per interpretare correttamente le questioni relative al GDPR, il giudice del singolo Stato membro deve tenere a mente che i concetti di “danno immateriale” e di “risarcimento del danno” corrispondono a nozioni di diritto UE, tenuto conto del fatto che il GDPR è un regolamento europeo direttamente applicabile in tutti gli Stati membri, e che esso non prevede alcun tipo di rinvio ai legislatori dei singoli Stati per precisarne oltre portata e significato.

Per decidere sulla richiesta in questione, pertanto, la richiesta di risarcimento di “danno immateriale”, deve muovere dal suo inquadramento come definizione autonoma e uniforme, propria del diritto dell'Unione

Ciò, a differenza di quanto operato dai giudici austriaci, che invece, proprio sulla base del diritto austriaco, avevano considerato che una violazione delle norme di protezione dei dati personali non comporterebbe automaticamente un danno immateriale, dando origine al diritto di risarcimento soltanto nel caso in cui venisse raggiunta una certa soglia di gravità del disagio subito dall'interessato (evidentemente non raggiunta nel nostro caso).

La Corte ha precisato che il ragionamento dei giudici austriaci non può essere accettato, in quanto il criterio della necessità di superare un limite minimo del disagio dell'interessato, addotto per respingere la richiesta di UI, non è affatto contemplato dal GDPR che, piuttosto, prevede un concetto di danno molto ampio, che non tollera soglie minime di gravità. Si tratta di una scelta precisa del legislatore europeo per assicurare che il suo sistema sanzionatorio rispecchi pienamente gli obiettivi del regolamento.

Più precisamente, l'art. 82, GDPR si limita ad enunciare in modo esplicito che le violazioni del GDPR possono dare diritto al risarcimento per i danni materiali così come per quelli immateriali, e questo senza prevedere o menzionare una qualsiasi livello minimo di patimento.

Di conseguenza, la concezione ampia della nozione di danno (sia materiale sia immateriale) privilegiata dal legislatore UE verrebbe contraddetta nel caso in cui il giudice di uno Stato membro intendesse invece limitarla, condizionandone l'applicabilità al superamento di una soglia di gravità.

Ciò, comporterebbe una minaccia per la parità di trattamento tra cittadini europei.

Infatti, le disposizioni del GDPR mirano ad assicurare un livello coerente ed elevato di protezione dei dati personali in tutta l'Unione Europea, cosa strettamente collegata ad un'applicazione altrettanto coerente ed omogena delle previsioni in materia Privacy (come già affermato dalla CGUE in importanti sentenze precedenti).

Detto questo, la Corte ha anche chiarito che il diritto al risarcimento del danno (materiale o immateriale) per violazione del GPDR sorge soltanto se la violazione è stata accertata e se tale violazione ha provocato i danni lamentati dall'interessato. In sostanza: il diritto al risarcimento del danno va accordato purché sia provato il nesso di causalità tra violazione e danno. Pertanto, per rispondere ai giudici austriaci, la semplice violazione del GDPR non è sufficiente a far sorgere il diritto al risarcimento del danno.

Con riferimento al terzo quesito posto dai magistrati d'oltralpe, la Corte ha precisato che il GDPR non contiene previsioni per stabilire la quantificazione del danno e che spetta così al sistema giuridico del singolo Stato membro individuare tali criteri, a patto che siano rispettati i principi di equivalenza (va evitato che casi analoghi siano trattati con modalità meno favorevoli tra uno Stato membro e l'altro) e di effettività (l'esercizio dei diritti non deve essere reso impossibile, di fatto, o eccessivamente difficile).

La portata di questa sentenza potrebbe essere dirompente.

Tra gli addetti ai lavori è già stato commentato che una decisione del genere potrebbe produrre degli impatti significativi, soprattutto, sui “giganti del tech” che trattano dati personali di milioni di persone, ora che lo sviluppo di intelligence sui dati può essere accelerato con l'utilizzo dell'intelligenza artificiale.

Sulla posizione netta della CGUE potrebbero, infatti, essere fondate delle class actions dagli esiti (e dalle cifre) imprevedibili, nel caso in cui si facesse valere il diritto al risarcimento del danno immateriale, anche lieve, derivante da un trattamento illecito di dati ai sensi del GDPR.

Fonte: CGUE 4 maggio 2023 n. 300/21

Contenuto riservato agli abbonati.
Vuoi consultarlo integralmente? Abbonati o contatta il tuo agente di fiducia.
Se invece sei già abbonato, effettua il login.
Quotidianopiù è anche su WhatsApp! Clicca qui per iscriverti gratis e seguire tutta l'informazione real time, i video e i podcast sul tuo smartphone.

© Copyright - Tutti i diritti riservati - Giuffrè Francis Lefebvre S.p.A.

Approfondisci con


Le nuove linee guida sui cookie e altri strumenti di tracciamento

Il 9 gennaio 2022 è decorso il termine di sei mesi concesso dal Garante per la protezione dei dati personali per adeguare i siti internet alle disposizioni contenute nel provvedimento n. 231 del 10 giugno 2021, contenen..

di

Antonio Valentini

Registrati gratis

Per consultare integralmente tutte le news, i podcast e i video in materia di fisco, lavoro, contabilità, impresa, finanziamenti e mondo digitale, la rassegna stampa del giorno e ricevere quotidianamente la tua newsletter

Iscriviti alla Newsletter

Rimani aggiornato sulle ultime notizie di fisco, lavoro, contabilità, impresa, finanziamenti, professioni e innovazione

Funzionalità riservata agli abbonati

Per fruire di tutte le funzionalità e consultare integralmente tutti i contenuti abbonati o contatta il tuo agente di fiducia.

Trovi interessante questo video?

Per continuare a vederlo e consultare altri contenuti esclusivi abbonati a QuotidianoPiù,
la soluzione digitale dove trovare ogni giorno notizie, video e podcast su fisco, lavoro, contabilità, impresa, finanziamenti e mondo digitale.
Abbonati o contatta il tuo agente di fiducia.
Se invece sei già abbonato, effettua il login.

Ricerca Vocale

Clicca sul microfono per cominciare a registrare il messaggio.

“ ”