Corte di Giustizia dell’Unione Europea: anche i micro-danni dovranno essere risarciti

Il 4 maggio 2023 la Corte di Giustizia dell’Unione Europea (CGUE) si è pronunciata sul tema del risarcimento per danno immateriale come conseguenza di una violazione del Regolamento Europeo in materia di Protezione dei Dati Personali (GDPR), come previsto, nello specifico, dall’Articolo 82 dello stesso. I fatti riguardavano l’Österreichische Post, principale operatore postale austriaco che, a partire dal 2017, ha raccolto informazioni sulle preferenze politiche della popolazione. Grazie ad un algoritmo, infatti, la società ha creato specifici gruppi di destinatari, i quali dati sono stati trasmessi a varie organizzazioni per consentire loro di inviare pubblicità mirata. In particolare, un cittadino austriaco che non aveva dato il consenso al trattamento dei suoi dati personali è stato avvicinato in maniera automatica, presunta e non verificata ad uno specifico partito politico nazionale. Ciò ha suscitato nell’interessato un forte disagio emotivo, riportato dallo stesso come un “sentimento di umiliazione”, configurabile in quella categoria di danni definiti come non patrimoniali (es. danno morale) autonomamente degni di essere risarciti a seguito di una domanda giudiziale. Il cittadino ha pertanto presentato ricorso presso un tribunale austriaco, chiedendo un risarcimento di 1.000 euro per il danno morale subìto. 

I giudici nazionali hanno interrogato la CGUE con tre diverse domande: i) per ottenere un risarcimento è sufficiente la sola violazione di disposizioni del GDPR o occorre che il ricorrente abbia subìto un danno? ii) Per riconoscere un danno immateriale è necessario il superamento di una specifica soglia? iii) Esistono prescrizioni per quanto riguarda il calcolo del risarcimento?

La Corte, ricevuto il rinvio del Tribunale Austriaco, si pronuncia sulle domande stabilendo che il danno è risarcibile se si verificano complessivamente tre diverse condizioni:

1) la violazione del Regolamento;

2) il danno materiale o immateriale effettivamente subìto;

3) un nesso causale tra i due, ovvero una violazione che è causa diretta e consequenziale del danno.

Dopodiché, la Corte passa ad analizzare alcuni profili in merito all’entità del danno e, con una decisione estremamente innovativa, stabilisce che non è necessario raggiungere una specifica soglia di gravità per ottenere il risarcimento in seguito ad un danno immateriale. Ciò sancisce quindi un precedente di grandissima rilevanza, ovvero che qualunque danno non patrimoniale è potenzialmente risarcibile. Per quanto riguarda invece l’ammontare del ristoro, la Corte rimanda all’ordinamento giuridico nazionale, stabilendo comunque che l’importo debba corrispondere ad un “pieno ed effettivo risarcimento”.

Tale decisione apre quindi importanti nuovi scenari in tema di risarcimento del danno per violazione del GDPR. Infatti, le imprese si trovano ora in una posizione più complessa e delicata, dato che chiunque potrebbe intraprendere azioni legali per vedersi riconoscere un risarcimento a seguito di una violazione subìta, qualsiasi sia l’ammontare del ristoro richiesto, anche se di esigua entità.

Un’altra importante conferma in questo senso arriva dal nostro Giudice nazionale. In una recente ordinanza, infatti, la Corte di Cassazione (13073/2023) si è pronunciata in relazione ad una decisione presa dal Tribunale di Roma che aveva condannato un Comune a risarcire una dipendente dopo la pubblicazione online di suoi dati contabili riguardanti un pignoramento. La Corte ha sottolineato che la “piccolezza” del danno, risolto dopo poco, non può essere considerata come un elemento in grado di circoscrivere il risarcimento, che deve pertanto essere comunque pienamente riconosciuto.

Ancora una volta, il principio di accountability cristallizzato nel Regolamento UE viene evidenziato: il Titolare (nel caso in specie l’Ente) ha la piena responsabilità per ogni evento dannoso riguardante i dati personali e per le misure idonee atte ad evitarli. In caso di violazioni, diviene pienamente responsabile del dovere risarcitorio nei confronti degli interessati lesi, qualsiasi sia l’entità del danno subìto.

Non rischiare azioni legali per violazioni del Regolamento Europeo sul Trattamento dei Dati personali, clicca qui sotto e richiedi una consulenza gratuita per scoprire come essere in regola in maniera facile, semplice e veloce.