Violazione del GDPR e risarcimento per danni immateriali: la sentenza della CGUE

29 Ott Violazione del GDPR e risarcimento per danni immateriali: la sentenza della CGUE

Posted at 16:46h in Privacy and Data Protection by ICTLC Italy

ICTinsider-CGEU-sentenza-GDPR

Autori: Lorenzo Covello, Andrea Strippoli

Background

Il 4 ottobre 2024, la Corte di Giustizia dell’Unione Europea ha emesso una sentenza cruciale per l’interpretazione dell’articolo 82 del Regolamento Generale sulla Protezione dei Dati 2016/679 (“GDPR”). Tale articolo regola il diritto al risarcimento dei danni derivanti da violazioni del GDPR. La questione pregiudiziale più rilevante affrontata in questa sentenza indaga se una violazione delle disposizioni del GDPR possa costituire automaticamente un danno, senza la necessità di dimostrare ulteriori pregiudizi.
La causa riguarda un cittadino lettone che ha accusato il Centro per la tutela dei diritti dei consumatori della Lettonia (Patērētāju tiesību aizsardzības centrs – di seguito, “PTAC”), di aver trattato i suoi dati personali senza autorizzazione. Egli ha chiesto il risarcimento per il danno immateriale subito, sollevando la questione della responsabilità del titolare del trattamento ai sensi del GDPR.

La prima questione pregiudiziale: La violazione è sufficiente per ottenere il risarcimento?

La domanda cruciale era se la sola violazione delle disposizioni del GDPR fosse sufficiente per configurare in re ipsa un danno immateriale, ai sensi dell’articolo 82 del GDPR. A tal riguardo, la Corte ha chiarito che la violazione di per sé non costituisce un danno. Non basta dimostrare che un titolare abbia posto in essere un trattamento di dati personali non in conformità con la disciplina vigente in materia, ma è necessario dimostrare che tale violazione abbia effettivamente causato un danno all’interessato.
In particolare, la Corte ha stabilito che, per ottenere il risarcimento ai sensi dell’articolo 82 del GDPR, devono essere soddisfatte tre condizioni cumulative:

1. 1. Violazione di una disposizione del GDPR: la prima condizione è che vi sia stata una violazione concreta di una disposizione del GDPR, quale l’articolo 6 disciplinante le condizioni di liceità del trattamento. Nel caso in esame, era stato rilevato un trattamento illecito dei dati personali del ricorrente da parte del PTAC e, pertanto, tale condizione poteva ritenersi soddisfatta.
  2. Esistenza di un danno: la seconda condizione è che l’interessato dimostri di aver subito un danno, sia materiale che immateriale. La Corte di Giustizia ha confermato che il danno immateriale deve essere concreto, e non ipotetico o astratto. Questo significa che il soggetto leso deve provare che la violazione ha avuto effetti negativi concreti, come un danno alla propria reputazione o alla propria privacy.
  3. Nesso di causalità tra violazione e danno: La terza condizione ha ad oggetto la dimostrazione di un nesso di causalità tra la violazione delle norme del GDPR e il danno subito. Non è sufficiente che l’esistenza e la constatazione di un danno e di una violazione; i due devono essere collegati in modo diretto e dimostrabile attraverso un rapporto di causa-effetto.

Osservazioni in merito a quanto stabilito dalla Corte di Giustizia

Da un punto di vista del titolare del trattamento, questa sentenza ha implicazioni molto importanti. La sentenza chiarisce che il risarcimento per danno immateriale non è automatico. Gli interessati devono dimostrare concretamente che il danno esiste e che è stato causato dalla violazione. Questa decisione riduce il rischio per le aziende di dover affrontare richieste di risarcimento ingiustificate, ma pone comunque un obbligo rigoroso di conformarsi al GDPR per evitare violazioni.

Di conseguenza, un titolare del trattamento, in un’ottica di applicazione del principio di accountability, dovrebbe sempre:

- - Monitorare attentamente la conformità dei propri trattamenti alla normativa vigente in materia e, in particolare, alle disposizioni del GDPR (ad esempio, garantire che i trattamenti di dati personali realizzati siano sempre supportati da un’adeguata base giuridica ex art. 6 del GDPR);
  - Documentare accuratamente eventuali violazioni e analizzare immediatamente i possibili impatti sugli interessati coinvolti al fine di limitare potenziali richieste di risarcimento del danno;
  - Agire rapidamente in caso di violazioni, offrendo misure correttive – che all’occorrere di determinate condizioni potrebbero perfino presentarsi come semplici scuse (si veda sul punto la terza questione pregiudiziale della sentenza in esame) – volte a prevenire potenziali escalation da cui potrebbero derivare possibili richieste di risarcimento del danno, immateriale o materiale.

Conclusioni

La sentenza della Corte di Giustizia del 4 ottobre 2024 stabilisce un importante precedente per il risarcimento dei danni immateriali derivante dalla violazione delle norme stabilite dal GDPR. Le imprese devono essere consapevoli che una semplice violazione non comporta automaticamente la responsabilità per danni, ma devono anche adottare misure preventive per evitare violazioni che potrebbero causare danni concreti agli interessati.

Tags:

CGEU, Corte di Giustizio dell'Unione Europea, gdpr, General Data Protection Regulation, ict insider, ICT Legal Consulting, ICTLC

ICTLC Italy

italy@ictlegalconsulting.com

INFO

Links

Informative