Chi subisce una violazione dei propri dati personali non può pretendere automaticamente un risarcimento, anche se ciò causa danni materiali o morali.
A stabilirlo è la Corte di Giustizia Europea la quale, con una recente sentenza, afferma un principio di per sé non innovativo, ma che rinnova l’attenzione su di una questione importante: non si può pensare di chiedere il risarcimento del danno morale, senza dimostrare la violazione di legge, il danno e il nesso causale.
In questo schema, che per i giuristi è assai banale, in realtà si afferma un principio valevole per tutti: no al risarcimento dei danni d’emblée perché si è perso il controllo dei propri dati.
Non solo, oltre a confermare questo principio, la CGUE ha fugato ogni dubbio in merito alla responsabilità che le Organizzazioni hanno e devono assumersi, senza potersi esimere, “scaricandole” su altri, nel caso in cui un danno sia cagionato a seguito di un errore umano o per negligenza di un collaboratore/dipendente.
Ma scendiamo nel merito, analizzando la pronuncia in ogni sua parte.
Indice degli argomenti
No al risarcimento del danno morale per violazione GDPR
Con la sentenza dell’11 aprile 2024, la Corte di Giustizia dell’Unione Europea (CGUE) afferma un principio secondo il quale una violazione del GDPR non determina, né giustifica ipso iure una richiesta di risarcimento danni immateriali cioè “morali”.
La CGUE ritiene, nel merito, che una violazione del GDPR da sé sola non soddisfi automaticamente i requisiti per il ristoro di un danno non materiale.
Del resto, per poter avanzare una richiesta di risarcimento danni morali occorrono, anche in termini di prova, una violazione di legge, un danno (materiale o morale) e un nesso causale tra i due. Né più né meno ripercorrendo la stessa ratio dei nostri due articoli 2043 e 2059 del Cod. Civile la lex aquilia de damno: la responsabilità aquiliana, principio tipico di tutti gli Ordinamenti.
Ma non è tutto, la CGUE nel caso di specie si è trovata a dover dipanare la questione se le organizzazioni possano ritenersi esonerate dalla responsabilità per una richiesta danni cagionati da un errore umano o per negligenza dei suoi dipendenti. Assolutamente no, come vedremo nel merito.
La sentenza in commento che si pone in perfetta linea di continuità con quelle pronunce della Corte di Giustizia che chiariscono le norme in materia di risarcimento ex art. 82 GDPR, quindi è degna di nota perché ribadisce i paletti e scardina eventuali automatismi, affermando come non basti violare una norma dell’intero impianto del GDPR affinché scatti ex se una richiesta di risarcimento del danno morale, bensì occorre una prova, talvolta “… diabolica”.
La CGUE affronta poi la questione, come anticipavamo, se le organizzazioni possano essere esonerate dal risarcimento, qualora la violazione sia stata causata da un errore umano o dalla negligenza di dipendenti/collaboratori.
La risposta della Corte è netta nel respingere questa ipotesi, affermando a chiare lettere che ciò non è né possibile né altrimenti accettabile. D’altronde, sono le organizzazioni a dover (dimostrare di) garantire che le loro istruzioni siano applicate correttamente dai dipendenti.
La sentenza in parola offre, ancora, chiarimenti importanti e spunti di riflessione circa le richieste di risarcimento in caso di violazioni del GDPR, precisando come i criteri per il calcolo delle sanzioni non possono essere applicati tout court al computo del risarcimento dei danni.
Se, infatti, le sanzioni amministrative hanno carattere “punitivo”, i risarcimenti invece rivestono una funzione tipicamente “compensativa” o meglio risarcitorio. Quindi non può applicarsi il “criterio del cumulo” cioè a dire tante sono le violazioni commesse e maggiori saranno i danni.
I fatti che hanno portato alla sentenza della CGUE
La vicenda fattuale ha origine a inizio novembre 2018, allorché il ricorrente dopo aver appreso che i suoi dati personali erano stati utilizzati anche per finalità di marketing diretto, revocava tutti i suoi consensi, opponendosi a qualsiasi attività di trattamento che lo riguardasse, salvo che per l’invio delle newsletter.
Ciononostante, a gennaio 2019, il medesimo riceveva ancora della pubblicità quindi i suoi dati continuavano a essere trattati per finalità di marketing diretto, in spregio al suo esercizio del diritto di opposizione e, per l’effetto, richiedeva un risarcimento del danno immateriale, invocando l’art. 82 del GDPR.
Nella fattispecie, come si legge in sentenza, il ricorrente sosteneva di “aver subito una perdita di controllo sui propri dati personali, […] nonostante le sue opposizioni, e di poter ottenere un risarcimento a tale titolo, senza dover dimostrare gli effetti o la gravità della lesione dei suoi diritti, garantiti dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea”.
La tesi difensiva, in pratica, intende sostenere che per il solo fatto di aver subito rectius perso il controllo (Considerano 85 – GDPR) del trattamento dei suoi dati personali, ha subito un danno morale e quindi gli spetta un risarcimento, nel quantum non meglio definito in sentenza.
Per contro, l’Organizzazione nel resistere alla richiesta danni del ricorrente, sosteneva che la tardiva presa in considerazione delle opposizioni fatte dal medesimo era dovuta al fatto che uno dei dipendenti non aveva rispettato le istruzioni impartite, provando di fatto a scaricare le proprie responsabilità direttamente sul dipendente.
La sentenza della CGUE e le ragioni in diritto
La CGUE affronta quattro questioni pregiudiziali e in particolare se:
- la nozione di “danno immateriale” ex art. 82, par. 1, GDPR debba essere intesa nel senso che esso comprenda qualsiasi pregiudizio, a prescindere dai suoi eventuali ulteriori effetti e dalla gravità di tale pregiudizio;
- la responsabilità per danni ex art. 82, par. 3, GDPR risulta esclusa dal fatto che la violazione della norma è ricondotta a un errore umano sul quale ricade l’autorità del titolare/responsabile del trattamento, come previsto dall’art. 29 GDPR;
- sia consentito oppure necessario basare la quantificazione dei danni morali sui criteri di determinazione previsti dall’art. 83 del GDPR;
- il risarcimento dei danni debba essere stabilito per ogni singola violazione oppure “se più violazioni – quantomeno analoghe – vengano sanzionate con un indennizzo complessivo che non è determinato dalla somma dei singoli importi, bensì risulti da una valutazione globale”, come si legge testualmente in sentenza.
Trattiamole separatamente.
Condizioni per l’esercizio del diritto al risarcimento
La prima questione verte circa le “condizioni richieste per l’esercizio del diritto al risarcimento” (art. 82). Il quesito, in sostanza, consiste nel chiedersi se la richiesta di risarcimento danni debba essere interpretata nel senso che “una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata sia sufficiente, di per sé, a costituire un danno immateriale […], indipendentemente dal grado di gravità del danno subito da tale persona”.
L’art. 82, al par. 1, del GDPR dispone che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Per orientamento costante della CGUE la mera violazione del GDPR non è sufficiente a conferire un diritto al risarcimento de plano. Occorre un nesso di causalità tra il danno e la violazione, trattandosi di “condizioni cumulative” (in senso conforme, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 58).
Ne consegue, dunque, che una violazione di una qualsiasi disposizione del GDPR non basta di per sé a fondare un diritto sostanziale ad ottenere un risarcimento, con quanto per conseguenza.
Ecco che la CGUE così risponde alla prima questione, dichiarando come l’art. 82, par. 1, del GDPR debba essere interpretato nel senso che una violazione dei diritti alla persona interessata “non è di per sé sufficiente a costituire un danno immateriale, indipendentemente dal grado di gravità del danno subito da tale persona”.
Ancora una precisazione: il Considerando 85 del GDPR menziona espressamente la “perdita del controllo” quella stessa invocata dal ricorrente, come su anticipato. Ebbene questa rientra tra i danni causati da una violazione di dati personali.
Al riguardo, la CGUE dichiara che “la perdita di controllo su tali dati, anche per un breve lasso di tempo, può costituire un danno immateriale” fonte quindi di un diritto al risarcimento, purché ne venga poi fornita processualmente la prova.
È possibile l’esonero di responsabilità da parte del titolare?
Sulla seconda questione la CGUE è secca nel ribadire che il titolare del trattamento non possa essere in alcun modo esonerato dalla responsabilità (ex art. 82, par. 3) quand’anche faccia valere che il danno sia stato causato da un errore (umano) di un suo dipendente/collaboratore, a meno che questo non sia causato con dolo tale da interrompere il nesso causale. In quest’ultimo caso, il datore di lavoro non potrà rispondere per un fatto del dipendente.
L’art. 82 prevede infatti un regime di responsabilità per colpa presuntiva, che ricade pacificamente sul titolare del trattamento, e solo su quest’ultimo incombe l’onere della prova.
D’altronde, ai sensi dell’art. 32, par. 4, del GDPR, è chiaramente previsto che il titolare del trattamento adotti misure di sicurezza atte a garantire che “qualsiasi persona fisica che agisca sotto la sua autorità e abbia accesso a tali dati, non li tratti, se non su istruzione del titolare del trattamento, a meno che non vi sia obbligata dal diritto dell’Unione o degli Stati membri”.
In ogni caso, spetta al titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti.
Di conseguenza, il titolare del trattamento non può mai sottrarsi alla propria responsabilità semplicemente, invocando una negligenza o un inadempimento di una persona che, scrivono i giudici “agisce sotto la sua autorità”, salvo che non dimostri l’assenza di qualunque nesso eziologico l’eventuale violazione dell’obbligo di protezione dei dati e il danno subito dall’interessato.
I criteri per il calcolo della sanzione
Le restanti questioni, terza e quarta, sono state affrontate dalla CGUE, in modo congiunto, per ragioni di opportunità, dal momento che sono strettamente correlate.
Infatti, se da un lato l’art. 82, par. 1, del GDPR prevede che, per determinare l’importo dovuto a titolo di risarcimento di un danno, occorra applicare i cd “criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie” previsti dal successivo art. 83, dall’altro, bisogna tener conto del fatto che “più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento” possano anche riguardare la stessa persona la quale avanzi la pretesa di risarcimento, ma ciò non significa anche che tante violazioni diano diritto ipso iure a un risarcimento del danno.
È interessante notare ancora che, con riferimento a queste due ultime questioni, la Curia abbia sottolineato come “l’art. 82 del GDPR rivesta una funzione non punitiva né dissuasiva, bensì compensativa” o meglio “risarcitoria” onde evitare possibili ambiguità.
Ne discende una netta differenza tra queste due categorie di disposizioni normative, con la conseguenza che, concludono i giudici della CGUE, “i criteri di valutazione specificamente enunciati in tale articolo 83 siano applicabili mutatis mutandis nell’ambito di detto articolo 82, sebbene i mezzi di ricorso previsti da queste due disposizioni siano effettivamente complementari per garantire il rispetto del medesimo regolamento”.
Quindi, non si possono adoperare gli stessi criteri per il computo del risarcimento del danno da un lato, e la sanzione amministrativa dall’altro.
Non solo, ciascun Stato membro è tenuto a (dover) “fissare i criteri che consentono di determinare l’importo del risarcimento, fatto salvo il rispetto dei principi di effettività e di equivalenza del diritto dell’Unione”.
Cosa impariamo dalla sentenza della CGUE
Da questa sentenza, per quanto essa, come abbiamo potuto apprezzare, non abbia una portata particolarmente innovativa nel suo costrutto in diritto, siamo tutti invitati a riflettere in ordine al fatto che certi meccanismi non sono affatto né ovvi né automatici.
Posto che, in linea di principio, il risarcimento del danno morale in caso di violazione del GDPR (ex art. 82) non sia escluso di per sé, poiché non si sono ancora formati filoni giurisprudenziali che forniscano un’interpretazione univoca e definitiva circa la risarcibilità del danno morale in questo specifico contesto, è bene richiamare all’attenzione come la CGUE abbia affermato che il danno morale possa essere risarcito in caso di violazione del GDPR, purché provato in modo adeguato e concreto.
A proposito eloquente è stata la causa C-293/20, Schrems II e un richiamo è d’obbligo a quando il nostro Garante GPDPha riconosciuto la risarcibilità del danno morale, anche se con criteri e modalità differenti. Del resto, l’art. 82 del GDPR si concentra principalmente sul danno materiale e il risarcimento del danno morale è ammesso solo in casi eccezionali e gravi.
Senza dubbio, tra i fattori da considerare occorre tenere ben a mente:
- la gravità della violazione e le sue conseguenze negative per l’interessato quali elementi chiave per la valutazione del danno morale;
- il danno concreto subito va dimostrato e deve essere quantificabile e quantificato;
- una sofferenza emotiva e il relativo turbamento di natura psicologica.
Ecco perché possiamo trarre qualche insegnamento e spunto di riflessione.
Conclusioni
Come noto, l’obiettivo primario del GDPR è quello di tutelare i diritti degli interessati in relazione ai loro dati personali.
Con particolare riferimento ai danni materiali subiti a causa di violazioni si tratteggia, anche attraverso questa sentenza, un quadro in cui in definitiva la questione del risarcimento del danno morale in caso di violazione del GDPR risulta, ancora oggi, oggetto di dibattito e la sua concreta ammissibilità di fatto dipende dalle specifiche circostanze del caso e dall’orientamento che il Giudice adito caso per caso esprime.
