La Corte di Giustizia UE con la sentenza n. C-667/21 depositata il 21 dicembre 2023, intervenuta sulla natura ed entità dell’indennizzo previsto dall’art. 82 del regolamento Ue sulla privacy n. 2016/679, ha stabilito che lo stesso debba essere interpretato nel senso che “… da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione. …”

La vicenda ha riguardato un dipendente di un organismo pubblico tedesco, incaricato di accertare mediante perizie mediche l’idoneità al lavoro dei lavoratori subordinati, in merito al risarcimento del danno che ritiene di aver subito a causa di un trattamento di dati relativi alla sua salute illecitamente effettuato dal datore di lavoro. In particolare il dipendente contestava una violazione della privacy derivante dalla conoscenza del suo stato di salute da parte dei suoi colleghi e del suo datore di lavoro, sostenendo che la perizia avrebbe dovuto essere eseguita da un soggetto terzo. Il lavoratore, nella ricorso alle autorità giudiziarie,  chiedeva il risarcimento del danno da violazione della privacy. Per il giudice tedesco vi erano dubbi sulla corretta interpretazione dell’articolo 82 del Gdpr, il quale disciplina il diritto al risarcimento, pertanto disponeva il rinvio alla Corte di giustizia UE

Il giudice ha posto alla Corte di Giustizia UE cinque quesiti tra cui quello se la norma prevista all’articolo 82, paragrafo 1, del RGPD abbia carattere dissuasivo o punitivo, oltre alla sua funzione compensativa e, se del caso, se occorra tenere conto di detto carattere nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale, segnatamente in considerazione dei principi di effettività, di proporzionalità e di equivalenza sanciti in altri ambiti del diritto dell’Unione.

La Corte di Giustizia UE ha ritenuto che il risarcimento, di cui all’art. 82, ha una funzione ripristinatoria. I giudici UE hanno ricordato che “… l’articolo 82, paragrafo 1, dell’RGPD, dispone che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del regolamento medesimo ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». …” ed inoltre che la Corte ha già interpretato “… l’articolo 82, paragrafo 1, dell’RGPD, dispone che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del regolamento medesimo ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». …”

Per la Corte UE “… dato che il RGPD non contiene disposizioni intese a definire le norme relative alla valutazione del risarcimento danni dovuto a titolo del diritto al risarcimento sancito all’articolo 82 di tale regolamento, i giudici nazionali devono a tal fine applicare, in forza del principio di autonomia processuale, le norme interne di ciascuno Stato membro sulla portata del risarcimento pecuniario, a condizione che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione, come definiti dalla giurisprudenza costante della Corte [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 53, 54 e 59]. …”

I giudici della Corte di Giustizia UE hanno sottolineato“… che l’articolo 82 del RGPD riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute al capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che svolgono, quanto ad essi, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. L’articolazione tra le norme sancite in detto articolo 82 e quelle sancite nei suddetti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 38 e 40].

[…]

Poiché il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD non svolge una funzione dissuasiva, o addirittura punitiva, come prospettato dal giudice del rinvio, la gravità della violazione di tale regolamento che ha causato il danno di cui trattasi non può incidere sull’importo del risarcimento concesso in base a tale disposizione, anche qualora si tratti di un danno non materiale bensì immateriale. Ne consegue che tale importo non può essere stabilito ad un livello che vada oltre la piena compensazione di tale danno. …”

Inoltre la Corte UE nel rispondere al quinto quesito, volta a stabilire, da un lato, se l’esistenza e/o la prova di una colpa costituiscano condizioni richieste ai fini del sorgere della responsabilità del titolare del trattamento o del responsabile del trattamento e, dall’altro, quale ripercussione possa avere il grado di colpa del titolare del trattamento o del responsabile del trattamento sulla valutazione concreta del risarcimento da riconoscere a titolo del danno immateriale subito, del giudice del rinvio ha statuito che “… l’articolo 82 del RGPD deve essere interpretato nel senso che, da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione. …”

Per cui la sentenza interpreta prevede che  la valutazione del “danno ai sensi del GDPR” va eseguita alla luce di tre elementi chiave quali:

  1. la presenza di un nesso di causalità diretto tra la violazione e il danno subito dall’individuo;
  2. la responsabilità è presunta (ma può essere dimostrato il contrario) per il titolare del trattamento (o per il responsabile) del trattamento coinvolti nella violazione;
  3. il GDPR stabilisce un regime di responsabilità per colpa (presunta appunto).

Infine i giudici UE hanno precisato che il grado di colpa non rileva per la quantificazione del danno.