La Corte di Giustizia dell’Unione Europea nella causa C-741/2021 depositata l’ 11 aprile 2024 GP contro juris GmbH, intervenuta per l’interpretazione dell’art. 82 del RGPD (regolamento generale sulla protezione dei dati) ai fini del risarcimento del danno, ha statuito che “… 1) L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:
una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.
2) L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che:
non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento.
3) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che:
per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, non si deve tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento. …”
La richiesta di pronuncia pregiudiziale alla Corte di Giustizia Europea nasce dalla richiesta del risarcimento danni di un cittadino tedesco, che esercita in proprio la professione di avvocato, nei confronti di una società con sede in Germania che gestisce una banca dati giuridica. Il cittadino tedesco adiva al Tribunale (Landgericht Saarbrücken) affinché venisse condannata la società al pagamento del danno subito a causa di diversi trattamenti dei suoi dati personali operati per finalità di marketing diretto, nonostante le opposizioni che aveva rivolto a detta società. L’avvocato aveva revocato , per iscritto, tutti i suoi assensi a ricevere dalla società informazioni per posta elettronica o per telefono, e si era opposto a qualsiasi trattamento di tali dati salvo per l’invio delle newsletter di cui desiderava continuare ad essere destinatario. La società che gestiva la banca dati giuridica, nonostante la suddetta revoca, continuo ad inviare a ricevere comunicazioni pubblicitarie Il giudice adito al fine di poter decidere sulla richieste ritenne necessario sottoporre alla Corte Europea quattro quesiti pregiudiziali in tema di interpretazione della normativa europea sulla tutela dei dati personali.
L’articolo 82 GDPR, intitolato “Diritto al risarcimento e responsabilità”, recita: “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2…”
I giudici unionali hanno riaffermato che “… la mera violazione del suddetto regolamento non è sufficiente per conferire un diritto al risarcimento, in quanto l’esistenza di un «danno», materiale o immateriale, che sia stato «subito», costituisce una delle condizioni del diritto al risarcimento previsto da tale articolo 82, paragrafo 1, così come l’esistenza di una violazione di detto regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 58 e giurisprudenza ivi citata].
(…) Pertanto, la persona che chiede il risarcimento di un danno immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un siffatto danno (v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punti 60 e 61 nonché giurisprudenza ivi citata). …”
Inoltre, sempre sulla prima questione pregiudiziale, ribadiscono che “… dall’articolo 79, paragrafo 1, del RGPD risulta che ogni interessato ha diritto a un ricorso giurisdizionale effettivo, contro il titolare del trattamento o un eventuale responsabile del trattamento qualora ritenga che i «diritti di cui gode a norma del [suddetto] regolamento siano stati violati a seguito di un trattamento».
(…) Tuttavia, tale disposizione si limita a conferire un diritto di ricorso alla persona che si ritiene vittima di una violazione dei diritti conferitile dal RGPD, senza dispensare quest’ultima dall’obbligo, ad essa incombente conformemente all’articolo 82, paragrafo 1, di tale regolamento, di provare di aver effettivamente subito un danno materiale o immateriale.
(…) Ne consegue che la violazione di disposizioni del RGPD che conferiscono diritti all’interessato non è sufficiente, di per sé, a fondare un diritto sostanziale ad ottenere un risarcimento ai sensi di tale regolamento, il quale richiede che siano soddisfatte anche le altre due condizioni di tale diritto menzionate al punto 34 della presente sentenza. …”
Sulla seconda questione pregiudiziale la Corte Unionale richiamando i propri precedenti affermano che “… da un’analisi combinata dei paragrafi 2 e 3 di tale articolo 82 risulta che quest’ultimo prevede un regime di responsabilità per colpa, nel quale si presume che il titolare del trattamento abbia partecipato al trattamento che costituisce la violazione del RGPD di cui trattasi, cosicché l’onere della prova grava non sulla persona che ha subito un danno, bensì sul titolare del trattamento (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti da 92 a 94).
(…) Per quanto riguarda la questione se il titolare del trattamento possa essere esonerato dalla sua responsabilità, in virtù dell’articolo 82, paragrafo 3, del RGPD, per il solo motivo che tale danno è stato causato dal comportamento colposo di una persona che agisce sotto la sua autorità, conformemente all’articolo 29 del regolamento di cui trattasi, da un lato, da detto articolo 29 risulta che le persone che agiscono sotto l’autorità del titolare del trattamento, come i suoi dipendenti, che hanno accesso a dati personali, possono, in linea di principio, trattare tali dati solo su istruzione di detto titolare e conformemente alle stesse (v., in tal senso, sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punti 73 e 74).
(…) D’altro lato, l’articolo 32, paragrafo 4, del RGPD, relativo alla sicurezza del trattamento dei dati personali, prevede che il titolare del trattamento adotti misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità e abbia accesso a tali dati, non li tratti, se non su istruzione del titolare del trattamento, a meno che non vi sia obbligata dal diritto dell’Unione o degli Stati membri.
(…) Orbene, un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità.
(…) A tal riguardo, va sottolineato che le circostanze dell’esonero di cui all’articolo 82, paragrafo 3, del RGPD devono essere strettamente limitate a quelle in cui il titolare del trattamento è in grado di dimostrare, da parte sua, la mancanza di imputabilità del danno (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 70). Pertanto, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, detto titolare può beneficiare di tale esonero unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati, ad esso incombente in forza degli articoli 5, 24 e 32 di tale regolamento, e il danno subito dall’interessato (v., per analogia, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 72).
(…) Pertanto, affinché il titolare del trattamento possa essere esonerato dalla sua responsabilità, in forza dell’articolo 82, paragrafo 3, del RGPD, non può essere sufficiente che egli dimostri di aver dato istruzioni alle persone che agiscono sotto la sua autorità, a norma dell’articolo 29 di tale regolamento, e che una di dette persone sia venuta meno al suo obbligo di seguire tali istruzioni, cosicché essa ha contribuito al verificarsi del danno di cui trattasi. …”
In ordina alla terza e quarta questione la Corte GUE, nel ribadire quanto affermato nelle precedenti sentenza, statuisce che “… per quanto riguarda un’eventuale presa in considerazione dei criteri enunciati all’articolo 83 del RGPD al fine di valutare l’importo del risarcimento dovuto in virtù dell’articolo 82 di quest’ultimo, è pacifico che queste due disposizioni perseguono obiettivi diversi. Infatti, mentre l’articolo 83 del regolamento in parola determina le «[c]ondizioni generali per infliggere sanzioni amministrative pecuniarie», l’articolo 82 di detto regolamento disciplina il «[d]iritto al risarcimento e [la] responsabilità».
(…) Ne consegue che i criteri enunciati all’articolo 83 del RGPD al fine di determinare l’importo delle sanzioni amministrative pecuniarie, che sono a loro volta menzionati al considerando 148 di tale regolamento, non possono essere utilizzati per valutare l’importo del risarcimento danni in forza dell’articolo 82 di quest’ultimo.
(…) Come già evidenziato dalla Corte, il RGPD non contiene disposizioni relative alla valutazione del risarcimento danni dovuto a titolo del diritto al risarcimento sancito dall’articolo 82 di tale regolamento. Pertanto, ai fini della suddetta valutazione, i giudici nazionali devono applicare, in forza del principio di autonomia processuale, le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione, quali definiti dalla giurisprudenza costante della Corte (v., in tal senso, sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 83 e 101 nonché giurisprudenza ivi citata, e del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 53).
(…) il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD non svolge una funzione dissuasiva, o addirittura punitiva, la Corte ha dedotto che la gravità della violazione di tale regolamento che ha causato l’asserito danno materiale o immateriale non può incidere sull’importo del risarcimento concesso ai sensi di tale disposizione. Ne consegue che tale importo non può essere fissato ad un livello che vada oltre la piena compensazione di tale danno (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 86).
(…) Tenuto poi conto della funzione non punitiva ma compensativa dell’articolo 82 del RGPD, richiamata ai punti 60 e 61 della presente sentenza, la circostanza che più violazioni siano state commesse dal titolare del trattamento, nei confronti dello stesso interessato, non può costituire un criterio rilevante ai fini della valutazione del danno da riconoscere a tale interessato ai sensi del suddetto articolo 82. Infatti, solo il danno concretamente subito da quest’ultimo deve essere preso in considerazione per determinare l’importo del risarcimento pecuniario dovuto a titolo di compensazione. …”