Sempre risarcibili i danni immateriali per violazione del GDPR

La CGUE (Corte di Giustizia dell'Unione Europea) si è appena pronunciata su un caso di violazione dei diritti protetti dal GDPR (il regolamento UE in materia di protezione dei dati personali), stabilendo che i danni immateriali vanno risarciti anche quando possano considerarsi lievi.

La questione ha preso le mosse da un avvocato austriaco (di cui conosciamo solo le iniziali, UI), ricorrente nei confronti della società Österreichische Post AG, che fornisce servizi postali e logistici in Austria.  

Tra le attività della Österreichische Post AG, fin dal 2017, c'era anche la raccolta di indirizzi e la produzione di informazioni sul possibile orientamento politico degli elettori austriaci, estrapolate da analisi statistiche effettuate con un algoritmo, costruito su criteri socio-demografici. In base alle informazioni così formate, venivano poi effettuate delle campagne politiche mirate.

UI, avendo scoperto di essere stato assimilato ai simpatizzanti di un determinato partito politico, si è definito arrabbiato ed offeso dall'informazione prodotta su di lui da Österreichische Post AG e l'ha citata in giudizio, asserendo che, anzitutto, il comportamento era da ritenersi illecito, in quanto UI non aveva mai prestato il consenso al trattamento dei suoi dati personali.

Ma c'è di più: l'accostamento a quella data area politica è stata percepita da UI come un insulto, nonché come un grave danno alla sua personale reputazione. Da qui, il lamentato disagio emotivo, dovuto alla contrarietà, alla perdita di fiducia e ad un sentimento di umiliazione suscitati dall'accaduto. Per questa specifica ragione, UI ha sostenuto che il comportamento illecito Österreichische Post AG gli aveva provocato danni immateriali, come previsi dall'art. 82, GDPR, richiedendo un risarcimento per 1000 €.

Nei primi gradi di giudizio, i magistrati hanno confermato che c'era stata una violazione dei diritti ai sensi del GDPR ed hanno dichiarato illegittimo il trattamento dei dati finalizzato a porre in essere delle campagne politiche (oltretutto ordinando ad Österreichische Post AG di porre fine a tale attività). Tuttavia, la richiesta di risarcimento dei danni immateriali, prevista dall'art. 82, GDPR, è sempre stata respinta.

La questione è giunta così alla Corte Suprema austriaca, che, in forma di domanda pregiudiziale, ha richiesto alla CGUE di esprimersi sui temi seguenti:

- la semplice violazione del GDPR è sufficiente per integrare il diritto al risarcimento del danno?

-  il risarcimento del danno immateriale va riconosciuto anche nel caso in cui non si possa considerare raggiunto una soglia minima di gravità?

- come va quantificato il danno immateriale?

LA CGUE ha subito chiarito che, per interpretare correttamente le questioni relative al GDPR, il giudice del singolo Stato membro deve tenere a mente che i concetti di “danno immateriale” e di “risarcimento del danno” corrispondono a nozioni di diritto UE, tenuto conto del fatto che il GDPR è un regolamento europeo direttamente applicabile in tutti gli Stati membri, e che esso non prevede alcun tipo di rinvio ai legislatori dei singoli Stati per precisarne oltre portata e significato.

Per decidere sulla richiesta in questione, pertanto, la richiesta di risarcimento di “danno immateriale”, deve muovere dal suo inquadramento come definizione autonoma e uniforme, propria del diritto dell'Unione

Ciò, a differenza di quanto operato dai giudici austriaci, che invece, proprio sulla base del diritto austriaco, avevano considerato che una violazione delle norme di protezione dei dati personali non comporterebbe automaticamente un danno immateriale, dando origine al diritto di risarcimento soltanto nel caso in cui venisse raggiunta una certa soglia di gravità del disagio subito dall'interessato (evidentemente non raggiunta nel nostro caso).

La Corte ha precisato che il ragionamento dei giudici austriaci non può essere accettato, in quanto il criterio della necessità di superare un limite minimo del disagio dell'interessato, addotto per respingere la richiesta di UI, non è affatto contemplato dal GDPR che, piuttosto, prevede un concetto di danno molto ampio, che non tollera soglie minime di gravità. Si tratta di una scelta precisa del legislatore europeo per assicurare che il suo sistema sanzionatorio rispecchi pienamente gli obiettivi del regolamento.

Più precisamente, l'art. 82, GDPR si limita ad enunciare in modo esplicito che le violazioni del GDPR possono dare diritto al risarcimento per i danni materiali così come per quelli immateriali, e questo senza prevedere o menzionare una qualsiasi livello minimo di patimento.

Di conseguenza, la concezione ampia della nozione di danno (sia materiale sia immateriale) privilegiata dal legislatore UE verrebbe contraddetta nel caso in cui il giudice di uno Stato membro intendesse invece limitarla, condizionandone l'applicabilità al superamento di una soglia di gravità.

Ciò, comporterebbe una minaccia per la parità di trattamento tra cittadini europei.

Infatti, le disposizioni del GDPR mirano ad assicurare un livello coerente ed elevato di protezione dei dati personali in tutta l'Unione Europea, cosa strettamente collegata ad un'applicazione altrettanto coerente ed omogena delle previsioni in materia Privacy (come già affermato dalla CGUE in importanti sentenze precedenti).

Detto questo, la Corte ha anche chiarito che il diritto al risarcimento del danno (materiale o immateriale) per violazione del GPDR sorge soltanto se la violazione è stata accertata e se tale violazione ha provocato i danni lamentati dall'interessato. In sostanza: il diritto al risarcimento del danno va accordato purché sia provato il nesso di causalità tra violazione e danno. Pertanto, per rispondere ai giudici austriaci, la semplice violazione del GDPR non è sufficiente a far sorgere il diritto al risarcimento del danno.

Con riferimento al terzo quesito posto dai magistrati d'oltralpe, la Corte ha precisato che il GDPR non contiene previsioni per stabilire la quantificazione del danno e che spetta così al sistema giuridico del singolo Stato membro individuare tali criteri, a patto che siano rispettati i principi di equivalenza (va evitato che casi analoghi siano trattati con modalità meno favorevoli tra uno Stato membro e l'altro) e di effettività (l'esercizio dei diritti non deve essere reso impossibile, di fatto, o eccessivamente difficile).

La portata di questa sentenza potrebbe essere dirompente.

Tra gli addetti ai lavori è già stato commentato che una decisione del genere potrebbe produrre degli impatti significativi, soprattutto, sui “giganti del tech” che trattano dati personali di milioni di persone, ora che lo sviluppo di intelligence sui dati può essere accelerato con l'utilizzo dell'intelligenza artificiale.

Sulla posizione netta della CGUE potrebbero, infatti, essere fondate delle class actions dagli esiti (e dalle cifre) imprevedibili, nel caso in cui si facesse valere il diritto al risarcimento del danno immateriale, anche lieve, derivante da un trattamento illecito di dati ai sensi del GDPR.

Fonte: CGUE 4 maggio 2023 n. 300/21