L’introduzione del Regolamento Generale per la Protezione dei Dati (General Data Protection Regulation, “GDPR”) in Europa è stata una pietra miliare per la difesa e la tutela dei dati personali. Non è un caso, infatti, che tale normativa sia stata negli anni presa come benchmark anche in altre parti del mondo sulla scia del noto Brussels Effect[1].
D’altra parte, non si può negare come spesse volte vi sia il rischio che il GDPR venga chiamato in causa in maniera “distorta”. Si è infatti diffusa a macchia di leopardo una pratica particolarmente sgradevole per cui le società vengono contattate da persone che, al solo fine di “estorcere” del denaro, lamentano violazioni della loro privacy, a fronte di asserite mancanze sulla base del GDPR (si pensi ad esempio all’invio di una newsletter ad un soggetto che non dovesse avere fornito il suo consenso[2]).
Da più parti, si è affermato come vi sarebbe la necessità di mettere un freno a tali condotte e che le Corti Nazionali (o le Autorità Competenti) non dovrebbero assecondare richieste di questo tipo basate su violazioni (ritenute) “minori” o estemporanee[3] del GDPR.
Su questo tema è ora intervenuta un’importante sentenza della Corte di Giustizia dell’Unione Europea (European Court of Justice, “ECJ”) che potrebbe fornire delle guideline a riguardo.
Questo contributo la esaminerà in dettaglio per verificare, infine, quali conclusioni si possano trarre e quali possano essere le future prospettive future in questo ambito.
Il casus belli
Questi i fatti che hanno dato fuoco alle “polveri”.
A partire dal 2017, la Österreichische Post AG (“Österreichische Post”) aveva raccolto informazioni sulle affinità politiche della popolazione austriaca, cedendo, contro un corrispettivo, i dati così generati a diverse organizzazioni per consentire loro di effettuare invii pubblicitari mirati.
Poiché, nell’ambito della sua attività, la Österreichische Post aveva trattato dati che, per estrapolazione statistica, l’avevano indotta a dedurre una sua elevata affinità con un determinato partito politico austriaco, un cittadino austriaco, che non aveva acconsentito al trattamento dei suoi dati personali, aveva proposto dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale del Land in materia civile di Vienna) un ricorso diretto, da un lato, ad ingiungere alla Österreichische Post di cessare il trattamento dei dati personali in questione e, dall’altro, a che tale società fosse condannata a versargli un importo pari a circa 1.000 euro a titolo di risarcimento del danno immateriale che egli affermava di aver subito.
Con decisione in seguito confermata anche in appello, tale giudice aveva accolto la domanda inibitoria ma non quella di risarcimento. Adito da entrambe le parti, e alla luce della necessità di interpretare la normativa europea rilevante in materia, pertanto, l’Oberster Gerichtshof (Corte suprema austriaca; il “giudice del rinvio”) ha deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia alcune questioni pregiudiziali[4] . Di seguito verranno menzionati i principi di diritto espressi dalla Corte di Giustizia in questo caso.
I requisiti dell’azione
In primo luogo, va registrata un orientamento chiaro che ha preso la ECJ.
Si è infatti chiarito[5] che dalla formulazione dell’articolo 82 del GDPR emerge che vi potrebbe esserci risarcimento del danno laddove si sia in presenza di tre requisiti: (i) violazione del GDPR stesso; (ii) esistenza di un danno; e (iii) nesso di causalità tra tale danno e l’asserita violazione[6] .
Di conseguenza, non si può ritenere che qualsiasi violazione delle disposizioni del GDPR conferisca, di per sé, il diritto al risarcimento a favore dell’interessato[7] .
Questo principio apparirebbe indubbiamente un filtro importante verso la presentazione di domande di risarcimento danni per violazioni del GDPR.
Sembra infatti che non possano più essere premiate fishing expedition di coloro i quali si limitino ad allegare al giudice nazionale una violazione del GDPR senza poi dare conto di aver effettivamente patito un danno e che quel danno sia conseguenza diretta dell’asserita violazione.
Qualsiasi danno derivante da violazione del GDPR è risarcibile in linea di principio
Vi sono però due ulteriori principi espressi dalla ECJ che meritano specifica menzione.
Ed infatti[8] , la Corte si è trovata anche a valutare se possa essere messo una sorta di “tetto” di valore minimo al danno per violazioni del GDPR al di sotto del quale non potrebbe essere allocato alcun risarcimento (nel caso specifico la richiesta di 1.000 Euro era stata considerata talmente “risibile” dal ricorrente da non dover nemmeno essere presa in considerazione).
E qua, l’ECJ ha però rilevato che il GDPR non definisce la nozione di “danno”, limitandosi ad enunciare in modo esplicito che può dare diritto ad un risarcimento non solo un danno materiale, e bensì anche un danno immateriale, senza che venga menzionata una qualsivoglia soglia di gravità[9] .
In dettaglio, la Corte[10] ha inoltre ricordato che, in mancanza di norme europee in materia, spetta all’ordinamento giuridico interno di ciascuno Stato Membro stabilire le modalità procedurali dei ricorsi giurisdizionali destinati a garantire la salvaguardia dei diritti dei singoli, a condizione tuttavia che esse non siano meno favorevoli rispetto a quelle relative a situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività)[11].
I principi sopra esposti sembrano dunque aprire la piena possibilità di avanzare danni per violazioni del GDPR anche per poche decine o centinaia di euro (purché ovviamente si sia poi in grado di allegare la prova che vi sia nesso di causalità tra il danno e l’asserita violazione del GDPR che si lamenta). Anzi, gli Stati Membri devono garantire che tutti siano in grado di poter perseguire tali claim senza difficoltà qualora ritengano che un loro diritto sia stato violato.
Conclusioni
Alla luce di tutto quanto sopra si possono trarre alcune conclusioni di massima.
La sentenza della Corte di Giustizia non sembra chiudere la porta (come forse molti avrebbero sperato) alla possibilità di instaurare contenziosi per violazioni del GDPR anche per danni quantificabili in cifre modeste.
Tali claim anzi sono da considerarsi pienamente legittimi (ed accoglibili) nella misura in cui sia fornita prova che il danno subito dipenda direttamente dall’asserita violazione del GDPR.
Con ciò è facile immaginare che, nei prossimi anni, vi sarà una vera e propria proliferazione di domande giudiziali nei confronti delle società a fronte di asserite violazioni in materia GDPR.
Si pensi ad esempio alla mancata risposta ad una richiesta di accesso presentata da un interessato, all’invio di una newsletter a soggetti che non abbiano fornito il proprio consenso, a data breach in cui vengano esposti meri dati di contatto (come nome e cognome di persone fisiche) a terze parti. In tutti queste eventualità, gli interessati potranno a pieno diritto avanzare richiesta di danni se ritengono di aver subito un danno effettivo.
Sulla base di tutto quanto sopra, sembra si possano trarre due indicazioni di massima:
In primo luogo, le società dovranno apprestare sempre più attenzione a tutti gli adempimenti GDPR previsti dalla normativa e anche a quelli che sembrerebbero di natura più “formale”. Ed infatti, non si può escludere che, a fronte di violazioni ritenute a prima vista di poco conto, si possa poi dover fronteggiare plurimi contenziosi.
Inoltre, nel momento in cui si riceve una richiesta di risarcimento danni in via stragiudiziale da un determinato soggetto che lamenta violazioni privacy (che seppure a prima vista possano sembrare pretestuose), occorre comunque non sottovalutare l’episodio. Se non si gestisce il “file” subito in maniera sollecita e costruttiva si può infatti correre il rischio di dover affrontare richieste di risarcimento danni presentate presso le Autorità Competenti in un secondo momento.
