La CGUE, con due sentenze del 20 giugno, ha dettato le “linee guida” per individuare e quantificare il danno immateriale da violazione del GDPR nei casi di furti d’identità catfishing o di un mero errore del titolare del trattamento.
L'articolo 82 §.1 GDPR, letto alla luce dei considerando 75 e 85, dev'essere interpretato nel senso che per configurarsi e far sorgere il diritto al risarcimento del danno immateriale, la nozione di «furto d'identità» implica che l'identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo. Tuttavia, il risarcimento di un danno immateriale causato dal furto di dati personali, ai sensi di detta disposizione, non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati abbia successivamente dato luogo ad un furto o ad un'usurpazione d'identità. «In generale poi per determinare l'importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell'importo delle sanzioni amministrative pecuniarie previsti all'articolo 83 di tale regolamento e, dall'altro, non si deve conferire a tale diritto al risarcimento una funzione dissuasiva. Inoltre per determinare l'importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento» neretto, nda C-590/22 . I due casi esaminati dalla Corte È quanto stabilito dalla CGUE in due sentenze del 20 giugno EU C 2024 531 e 536, C-182 e 590/22 in cui si dettano le “linee guida” per individuare e quantificare il danno immateriale da violazione del GDPR nei casi di furti d'identità catfishing o di un mero errore del titolare del trattamento come nella seconda sentenza che si occupa del caso di dati personali, contenuti nelle dichiarazioni dei redditi dei ricorrenti che erano stati comunicati a terzi perché la società di consulenza fiscale, di cui erano clienti, aveva spedito le dichiarazioni al vecchio indirizzo di casa anzichè al nuovo. Nella C-182/22 invece una società tedesca che gestisce un'applicazione di trading sulla quale i ricorrenti nel procedimento principale avevano aperto un conto, versando migliaia di euro, ha subito un furto di dati da parte di terzi rimasti ancora ignoti. Questi, perciò, sono entrati in possesso dei dati dei ricorrenti quali, tra l'altro, il nome, la data di nascita, l'indirizzo postale, l'indirizzo e-mail e una copia digitale della loro carta d'identità. Allo stato attuale non risulta che i dati siano stati usati da chi li ha sottratti, anche se gli interessati hanno il terrore che possano essere usati per rubare le loro identità. Hanno dunque adito la giustizia per essere risarciti per il danno immateriale subito per il furto dei loro dati ed il giudice di rinvio, nutrendo dubbi sull'an ed il quantum del risarcimento, ha sollevato una pregiudiziale per avere lumi dalla CGUE. L'indennizzo ex articolo 82 GDPR ha funzione compensativa Come esplicato chiaramente anche nella C-590/22 l'articolo 82 si distingue nettamente dagli articolo 83 e 84 GDPR che hanno funzione punitiva e dissuasiva prevedendo infatti sanzioni amministrative e di altro tipo. Tra queste norme però c'è un rapporto complementare. La prassi costante della CGUE riconosce all'articolo 82 una funzione meramente compensativa in quanto l'indennizzo deve compensare integralmente il danno subito dall'interessato EU C 2024 288 . «Inoltre, la funzione esclusivamente compensativa del diritto al risarcimento previsto all'articolo 82, paragrafo 1, del GDPR, esclude che sia preso in considerazione il carattere eventualmente doloso della violazione di tale regolamento, che si presume commessa dal titolare del trattamento, nel calcolare l'importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a detta disposizione. Tale importo deve tuttavia essere fissato in modo da compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento» EU C 2024 72 neretto, nda . Come si individua il danno immateriale? La C-590/22 è molto chiara sul punto e riprende la prassi costante della CGUE in materia «il timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato. … Una violazione di tale regolamento non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione. L'interessato deve altresì dimostrare l'esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità» neretto, nda . La C-182/22 ribadisce che in assenza di norme analoghe all'articolo 82 GDPR il giudice interno dovrà applicare le norme nazionali sulla portata del risarcimento pecuniario nel rispetto, però, dei principi di equivalenza ed effettività. La CGUE però rileva «da un lato, che il sorgere della responsabilità del titolare del trattamento ai sensi dell'articolo 82 del RGPD è subordinato all'esistenza della colpa di quest'ultimo, che è presunta, a meno che egli non dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall'altro, che tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l'importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione» neretto, nda . Perciò, in analogia con l'altra sentenza esaminata, la CGUE ha concluso che il diritto al risarcimento del danno immateriale «non richiede che il livello di gravità e l'eventuale carattere doloso della violazione di tale regolamento commessa dal titolare del trattamento siano presi in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione». Come si liquida il danno immateriale? Dato che l'articolo 82 non indica i criteri di valutazione del danno né le modalità procedurali, si dovranno applicare, come sopra detto, le norme interne di ciascun Stato EU C 2023 370 . In sintesi la CGUE ha concluso che «nell'ambito della determinazione dell'importo del risarcimento dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali non sia, per sua natura, meno grave di una lesione personale» neretto, nda , perché altrimenti si snaturerebbe il fine dell'indennizzo pieno ed effettivo e quindi la natura compensativa dell'articolo 82. In ogni caso, come evidenziato anche dalla C-590/22, per poter ottenere l'indennizzo si deve dimostrare la violazione di una norma del GDPR, il danno subito, materiale od immateriale ed il nesso etiologico tra i due l'onere della prova spetta a chi chiede il risarcimento. Orbene visto che i criteri di valutazione del danno sono rimessi ai singoli ordinamenti interni e che l'articolo 82 non prevede nessuna soglia de minimis per far sorgere il diritto al risarcimento nulla vieta che i giudici interni possano liquidare un risarcimento forfettario minimo, purchè il danno non sia particolarmente grave e soprattutto lo compensi integralmente. Liquidazione del danno in caso di furto o sottrazione d'identità «La nozione di furto d'identità non è definita nel GDPR. Tuttavia, il «furto» o «l'usurpazione» d'identità sono menzionati al considerando 75 di tale regolamento come parte di un elenco non esaustivo delle conseguenze di un trattamento di dati personali suscettibile di cagionare danni fisici, materiali o immateriali. Al considerando 85 di detto regolamento, il «furto» o «l'usurpazione» d'identità sono nuovamente menzionati insieme in un elenco di danni fisici, materiali o immateriali che possono essere provocati da una violazione dei dati personali. Come rilevato dall'avvocato generale al paragrafo 29 delle sue conclusioni, le diverse versioni linguistiche dei considerando 75 e 85 del RGPD menzionano i termini «furto d'identità», «usurpazione d'identità», «frode d'identità», «abuso d'identità» e «sottrazione d'identità» che sono ivi utilizzati indistintamente. Di conseguenza, le nozioni di «furto» e di «usurpazione» d'identità sono intercambiabili e non può essere operata alcuna distinzione tra di esse. Queste ultime due nozioni danno luogo alla presunzione di una volontà di appropriarsi dell'identità di una persona i cui dati personali sono stati precedentemente rubati» neretto, nda . In ogni caso la CGUE ribadisce che la perdita del controllo o l'impedimento all'esercizio dello stesso sui propri dati anche se sono ben distinti dal furto e dall'usurpazione dell'identità potrebbero essere assimilati a questi. Infatti è ragionevole pensare che chi ruba i dati personali potrebbe anche rubare l'identità della persona cui li hanno sottratti, stante l'alto aumento dei casi di catfishing e dei gravi danni, anche economici, che provocano alle vittime di queste frodi. «In altri termini, il furto di dati personali non costituisce, di per sé, un furto o un'usurpazione d'identità», ma, se ricorrono le tre condizioni sopra indicate, dà diritto al risarcimento per danno immateriale come esplicato anche in epigrafe.
CGUE, Terza Sezione, sent. 20 giugno 2024, cause riunite C‑182/22 e C‑189/22 CGUE, Terza Sezione, sent. 20 giugno 2024, causa C‑590/22