È recente (del 21 dicembre scorso, pubblicata in data odierna) la sentenza della Corte di Giustizia dell’Unione Europea (con avv. generale M. Campos Sánchez-Bordona), relativa al caso C-667/21. E potrebbe rivelarsi una pietra miliare per il diritto della privacy e la protezione dei dati personali: la decisione, che verte sull’interpretazione del GDPR in relazione al trattamento dei dati personali relativi alla salute e al risarcimento del danno relativo, chiarisce meglio le prospettive in materia di responsabilità e tutela dei diritti individuali.
Ovvero enfatizzando, in particolare, la funzione compensativa del risarcimento, piuttosto che una funzione dissuasiva o punitiva, e il regime di colpa presunta a carico del titolare (o responsabile).
Indice degli argomenti
Risarcimento dei danni privacy: la sentenza della CGUE
Il cuore della questione è la nozione di “danno” nel contesto del GDPR, trattata all’art. 82 ove laconicamente si afferma che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Tradizionalmente, il concetto di danno in ambito privacy è stato interpretato in maniera ristretta, limitato perlopiù a perdite finanziarie dirette o a danni tangibili.
Tuttavia, la visione esposta in questa causa ha ampliato questa prospettiva, riconoscendo che il danno non è solo una questione di perdita economica, ma include anche aspetti immateriali come lo stress psicologico, la violazione della dignità personale o la perdita del controllo sui propri dati personali.
Con questa nuova interpretazione, i titolari devono essere pronti a confrontarsi con una gamma più ampia di richieste di risarcimento, che potrebbero comprendere danni psicologici o morali derivanti da una gestione inappropriata dei dati personali.
Una nuova valutazione del danno privacy
La sentenza interpreta e specifica finalmente tre elementi chiave di valutazione del “danno ai sensi del GDPR”:
- deve esserci un nesso di causalità diretto tra la violazione e il danno subito dall’individuo;
- la responsabilità è presunta (ma può essere dimostrato il contrario) per il titolare del trattamento (o per il responsabile) del trattamento coinvolti nella violazione;
- il GDPR stabilisce un regime di responsabilità per colpa (presunta appunto).
Peraltro, la CGUE precisa che il grado di colpa non rileva per la quantificazione del danno.
Tutto ciò ribalta l’ordinario onere della prova, spostandolo dal soggetto danneggiato al titolare (o responsabile) del trattamento dei dati in caso di violazione. Il danneggiato deve solo provare violazione e danno, il titolare (o responsabile) deve provare di non essere imputabile di quanto accaduto.
Nuove regole per il calcolo del risarcimento
Oltre a ciò, la Corte ha statuito che il risarcimento previsto dal GDPR ha una funzione prettamente e solo compensativa: ciò significa che l’importo del risarcimento dovrebbe essere calcolato sulla base del danno effettivamente subito dalla persona danneggiata.
Onde ristabilire la situazione che sarebbe esistita se non ci fosse stata la violazione del GDPR, senza includere elementi punitivi o dissuasivi (le cui veci sono invece rappresentate dalle possibili sanzioni amministrative pecuniarie di cui agli artt. 83 e 84 GDPR).
Per quanto riguarda il calcolo del risarcimento, il GDPR lascia agli Stati membri la discrezione di applicare le proprie normative nazionali, purché rispettino i principi di equivalenza ed effettività del diritto dell’Unione.
Questo significa che il calcolo del risarcimento può variare da uno Stato membro all’altro, a seconda delle leggi nazionali applicabili.
Cosa cambia per il trattamento dei dati particolari
Più marginali e secondarie le ulteriori risultanze della sentenza sul trattamento di dati particolari, ribadendo assodate conclusioni sull’applicabilità della base giuridica “combinata” dell’art. 6 GDPR e dell’art. 9 GDPR per questi trattamenti.
In merito, si è ritenuta applicabile la base giuridica dell’art. 9.2.h GDPR (trattamento “necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”) alle situazioni in cui un organismo di controllo medico tratti dati relativi alla salute di un dipendente non in qualità di datore di lavoro, bensì di servizio medico, per valutare la capacità lavorativa del dipendente del titolare.
