La mera violazione del GDPR non dà diritto ipso iure ad un risarcimento del danno, dovendosi verificare tre condizioni cumulative una deroga al GDPR, un danno materiale od immateriale subito dall’interessato/danneggiato ed un nesso di causalità tra violazione e danno. Tale risarcimento per il danno immateriale, però, non è vincolato al raggiungimento di una soglia di particolare gravità.
È quanto deciso dalla EU C 2023 370, C-300/21 del 4 maggio che, sotto certi aspetti, conferma, con largo anticipo, le Conclusioni dell'AG su un analogo caso di presunzione di colpa del responsabile del trattamento in caso di attacco informatico C-340/12, v. la news L'Avvocato Generale sulla presunzione di colpa del titolare del trattamento dei dati in caso di attacchi informatici . Ciò è integrato dalle massime delle EU C 2023 373, C-60/22 sulla trasmissione elettronica di fascicoli sulle richieste d'asilo dall'ufficio amministrativo a quello giudiziario escluso un danno da trattamento illecito per il mancato accordo sulla contitolarità degli uffici amministrativi e giudiziari dei dati relativi ai richiedenti asilo e sull'assenza di un preventivo consenso dell'interessato al loro trattamento per fini giudiziari e dalla EU C 2023 369, C-487/21 sull'esegesi delle nozioni di copia ed informazioni ex articolo 15 GDPR, entrambe del 4 maggio. Nella fattispecie in esame una società di diritto austriaco aveva raccolto informazioni sulle affinità politiche della popolazione e tramite un algoritmo che teneva conto di vari criteri sociali e demografici, ha definito indirizzi di gruppi target . Aveva poi venduto i dati, così generati, a diverse organizzazioni per la profilazione a fini di marketing e l'invio di comunicazioni pubblicitarie . L'algoritmo aveva attribuito un' affinità del ricorrente ad un certo partito politico e sebbene, queste informazioni non fossero state cedute a terzi e stante il mancato consenso a tale trattamento, l'interessato si è sentito offeso dal fatto che gli fosse attribuita un'affinità con la parte in questione. Il fatto che i dati relativi alle sue presunte opinioni politiche fossero stati conservati all'interno di tale società gli avrebbe causato grave fastidio, perdita di fiducia e un sentimento di umiliazione . Dalla decisione di rinvio risulta che non è stato riscontrato alcun danno diverso da tali attacchi temporanei ed emotivi neretto, nda . Il giudice di rinvio avendo dubbi se il semplice patema d'animo per la violazione della privacy dell'interessato ricorrente legittimasse o meno un risarcimento danni chiedeva delucidazioni alla CGUE che ha fissato linee guida in materia. Condizioni cumulative per il riconoscimento del diritto al risarcimento. Il GDPR non fa alcun riferimento al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui all'articolo 82 di tale regolamento, in particolare per quanto riguarda le nozioni di danno materiale o morale e di risarcimento del danno subito . Ne consegue che tali clausole devono essere considerate, ai fini dell'applicazione di tale regolamento, come costitutive di nozioni autonome del diritto dell'Unione , che devono essere interpretate in modo uniforme in tutti gli Stati membri neretto,nda . Dal contesto in cui è inserito l'articolo 82 e dalla sua esegesi letterale si ricava che la mera violazione non costituisce ipso iure un diritto all'indennizzo dovendo ricorrere le suddette tre condizioni cumulative. Ogni altra interpretazione sarebbe contraria a questa letterale. Infatti dagli artt. 75, 78, 146 e dal capo VIII del GDPR si ricava che anche il pregiudizio alla privacy ed un danno potenziale , se ricorrono anche le altre condizioni, fanno sorgere il diritto al risarcimento. Inoltre la fattispecie ex articolo 82, relativa alla richiesta di risarcimento esercitata dal singolo interessato è ben distinta da altre forme di ricorso ex artt. 77 e 78 che prevedono di ricorrere al Garante in caso di violazione del GDPR generalizzata e quindi senza che sia menzionata alcuna specifica persona come nei casi ex articolo 82. Ciò è corroborato dagli artt. 83 e 84 che prevedono l'inflizione di ammende amministrative ed altre sanzioni con finalità punitiva che esulano dal danno individuale sotto questa tipologia si può sussumere la fattispecie del citato C-60/22 . Sono norme che, pur regolando fattispecie diverse ed autonome tra loro, hanno una funzione complementare nel prevenire, scoraggiare e reprimere comportamenti contrari al GDPR al fine di rafforzarne le tutele in esso disciplinate. Lo stesso articolo 146 precisa che le norme previste dal RGPD si applicano fatte salve eventuali azioni di risarcimento del danno fondate sulla violazione di altre norme del diritto dell'Unione o degli Stati membri . Si noti la rilevanza del sopra menzionato C-487/21 che rientra nei casi di danno ex articolo 82 e che impone al titolare dei dati non solo di dare accesso a tutti i dati dell'interessato per consentirgli di esercitare i suoi diritti all'oblio , alla rettifica ed alla cancellazione degli stessi, ma chiarisce l'ampia portata della nozione di informazioni deve essere consegnata all'interessato copia fedele ed intellegibile di tutti i dati in possesso dal titolare documenti, informazioni ricavabili con ricerca libera o su frasi specifiche online tramite motori di ricerca, estratti di database, archivi anche online etc. . Inoltre enuncia il leitmotiv di tutte queste sentenze qui analizzate l'interessato deve avere e gli deve essere consentito il pieno esercizio dei diritti, delle libertà e delle tutele previste dal GDPR senza che ciò gli sia reso difficile od impossibile. Nessuna soglia di gravità. La CGUE pur ammettendo una certa flessibilità nel determinare ciò che possa o meno essere considerato danno da parte dei giudici nazionali, ribadisce che subordinare il danno/pregiudizio subito dall'interessato ad una soglia di gravità snaturerebbe la ratio del GDPR e delle sue tutele. Si ricordi che l'AG nelle Conclusioni al caso C-340/21 ha chiarito che la mera irritazione per il furto dei dati od il loro uso illecito non sarebbe risarcibile, mentre lo può essere la oggettivizzazione di un disagio, seppur lieve ma comprovabile, alla propria sfera fisica o psichica o alla propria vita di relazione la natura dei dati personali coinvolti e la rilevanza che essi ricoprono nella vita dell'interessato e forse anche la percezione che, in quel momento, abbia la società di quello specifico disagio connesso alla violazione dei dati neretto,nda . Come si calcola l'importo dell'indennizzo? Per stabilire l'importo di detto danno ex articolo 82 i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all'entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell'Unione . Infatti secondo costante giurisprudenza, in mancanza di una disciplina dell'Unione in materia , spetta all'ordinamento giuridico interno di ciascuno Stato membro stabilire gli aspetti procedurali dei ricorsi giurisdizionali diretti a garantire la tutela dei diritti dei singoli, conformemente al principio dell'autonomia procedurale , purché, tuttavia, tali regimi non siano, in situazioni disciplinate dal diritto dell'Unione, meno favorevoli di quelli che disciplinano situazioni analoghe disciplinate dal diritto nazionale principio di equivalenza e non rendano praticamente impossibile o eccessivamente difficile l'esercizio dei diritti conferiti dall'ordinamento giuridico dell'Unione principio di effettività neretto, nda . Spetta, perciò, al giudice di rinvio, tenuto conto della funzione risarcitoria dell'articolo 82 e dell'onere di concedere un indennizzo pieno ed effettivo del danno subito dall'interessato ex articolo 146 GDPR , quantificarne l'importo, alla luce di quanto sinora esplicato e senza che sia necessario imporre ulteriori danni puniti.
CGUE, sentenza 4 maggio 2023, C-300/21 CGUE, sentenza 4 maggio 2023, C-60/22 CGUE, sentenza 4 maggio 2023, C-487/21