La sentenza con cui la Corte di giustizia UE ha sancito che violare la normativa sulla data protection non fonda di per sé il diritto al risarcimento dei danni, può essere considerata storica o quanto meno interessante dal momento che, sostanzialmente, da un lato si discosta dal più consueto orientamento dell’Autorità Garante, dall’altro adotta, come vedremo, un approccio diverso dall’orientamento costante della Corte di Cassazione, e dall’altro ancora si pone in linea di continuità con alcune pronunce che già hanno escluso la necessità di una “… particolare soglia di tolleranza”, rievocando il caso data scraping Facebook.
Indice degli argomenti
Violazione al GDPR: il caso
Al centro della vicenda ci sono le Poste austriache, le quali schedavano, con algoritmi, gli utenti, “clusterizzandoli” per orientamento politico; ed ecco che un utente senza che gli venisse chiesto alcun consenso, veniva schedato tra i simpatizzanti di un certo partito al quale non voleva essere assolutamente accostato. Per questi motivi, questo cittadino austriaco intentava una causa per violazione della privacy.
Nella fattispecie, chiedeva 1000,00 euro di risarcimento danni non patrimoniali affermando che “che l’affinità politica […] attribuita è offensiva e infamante, nonché lesiva della sua immagine”.
Non solo, come si legge nel comunicato stampa dello scorso 4 maggio 2023, il cittadino coinvolto sosteneva di “… aver provato una grave contrarietà, una perdita di fiducia, nonché un sentimento di umiliazione a causa della particolare affinità che era stata stabilita con il partito in questione”.
La Corte suprema austriaca chiamata a decidere non ha esitato a dubitare circa la “portata del diritto al risarcimento che il regolamento generale sulla protezione dei dati prevede in caso di danno materiale o immateriale derivante da una violazione di tale regolamento” cd GDPR; e da qui, la pronta devoluzione della questione ai giudici lussemburghesi.
In effetti, a ben guardare, il GDPR è abbastanza laconico sul punto dal momento che non esplicita in modo chiaro se per il risarcimento dei danni basti una mera violazione dell’attuale normativa privacy, né se per essere risarciti occorra o meno il superamento di una soglia limite; tanto meno si preoccupa di prevedere come calcolare l’eventuale importo, a titolo di ristoro dei danni/pregiudizi lamentati.
La sentenza, con i suoi tre principi di diritto
Con la causa C-300/21 relativa al caso Österreichische Post generato per aver raccolto, specifichiamolo meglio, dal 2017, informazioni circa le affinità politiche dell’intera popolazione austriaca grazie a un algoritmo, definiva “…indirizzi di gruppi destinatari, secondo taluni criteri sociali e demografici”, la Corte di giustizia Ue ha stabilito sostanzialmente che:
- il diritto al risarcimento previsto dal GDPR è subordinato a tre condizioni da intendersi in maniera cumulativa purché i) sussista una violazione del Regolamento – GDPR, ii) qualunque tipo di danno (materiale o immateriale) sia conseguenza della violazione, iii) sia dimostrato il nesso di causa tra il danno e la violazione;
- il diritto al risarcimento vale anche per i micro-danni;
- spetta a ciascun Stato membro determinare i criteri a garanzia dei diritti in materia di protezione dati.
Risarcimento non automatico
Innanzitutto, violare il GDPR non dà diritto ipso iure al risarcimento del danno. Perché ciò accada devono verificarsi, come anticipato, quelle tre condizioni cumulativamente intese.
Ecco perché “la mera violazione del RGPD non fonda un diritto al risarcimento” come reca il titolo del comunicato stampa citato.
D’altra parte, una differente interpretazione sarebbe in evidente contrasto con la formulazione del dettato normativo e gli stessi “… considerando del RGPD riguardanti specificamente il diritto al risarcimento, la sua violazione non comporta necessariamente un danno”, come si legge in sentenza.
Ne più e né meno come impone il nostro sistema civilistico: per ottenere un risarcimento non basta solo lamentare un pregiudizio, ma occorre anche dimostrarlo (art. 1218 Cod. Civ.).
Risarcimento anche per i piccoli/lievi danni
In secondo luogo, la Corte di giustizia evidenzia che il diritto al risarcimento non deve essere riservato ai soli danni ingenti/gravi nel senso di oltre una certa soglia di gravità.
D’altronde, non è scritto da nessuna parte un simile requisito, e come sottolineano giustamente i giudici lussemburghesi “una tale restrizione sarebbe in contraddizione con l’ampia concezione delle nozioni di «danno» o di «pregiudizio», adottata dal legislatore dell’Unione. Per giunta, subordinare il risarcimento di un danno immateriale ad una determinata soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal RGPD”.
Con il rischio, peraltro, di rimettere alla mera valutazione di merito (a seconda) dei giudici aditi, l’eventuale “graduazione da cui dipenderebbe la possibilità o meno di ottenere il risarcimento”.
Criteri per l’entità del risarcimento rimessi al singolo Stato membro
In terzo e ultimo luogo, la Corte di giustizia osserva come il GDPR sulla valutazione del risarcimento nulla dica al riguardo. Anzi, rimanda al singolo Stato membro l’esigenza di “fissare le modalità delle azioni intese a garantire la salvaguardia dei diritti derivanti per i singoli dal RGPD” precisando “…i criteri che consentono di determinare l’entità del risarcimento dovuto in tale contesto, fatto salvo il rispetto dei principi di equivalenza e di effettività”.
Perfetto, e al computo chi ci pensa? Se non diversamente stabilito così come appare, per il calcolo del quantum da risarcire, ogni Paese potrà dire la sua generando non poche possibili disparità, o per lo meno andando in controtendenza allo spirito del GDPR che è da sempre, invece, quello di uniformare il più possibile, dettando principi valevoli per tutti i Paesi UE.
Le possibili ricadute future, anche in Italia
La sentenza della CGUE è storica anche perché da altro angolo visuale apre di fatto le porte a possibili class action in materia di data protection.
A maggior ragione in considerazione dei principi espressi che, evidentemente sono valevoli anche per il nostro Paese e i nostri giudici, i quali dovranno uniformarvisi.
