La mera violazione delle disposizioni del regolamento generale europeo sulla privacy non è sufficiente per fondare un diritto al risarcimento dei danni.
Il risarcimento a tale titolo, in ogni caso, non può essere soggetto alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.
Per determinare l’importo del risarcimento dovuto, i giudici nazionali sono tenuti ad applicare le norme interne di ciascuno Stato membro, a patto che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.
E' quanto puntualizzato dalla Corte di giustizia dell'Unione europea con sentenza del 4 maggio 2023, causa C-300/21, pronunciata in riferimento a una domanda pregiudiziale che verteva sull’interpretazione dell’articolo 82 del regolamento Ue 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR), in combinato disposto con i principi di equivalenza e di effettività.
Domanda, questa, presentata nel contesto del giudizio che vedeva coinvolti un cittadino austriaco e un'azienda, in merito al ricorso proposto dal primo, diretto ad ottenere il risarcimento del danno immateriale che affermava di aver subito a causa del trattamento, da parte della società di diritto privato, di dati relativi alle affinità politiche, compreso egli stesso, anche se non aveva acconsentito al trattamento.
Nella decisione, i giudici europei hanno richiamato la lettera dell'articolo 82 menzionato, il cui paragrafo 1 prevede che chi subisce un danno materiale o immateriale a causa di una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Dalla formulazione di tale disposizione - ha precisato la Corte - è chiaro che l’esistenza di un danno subito costituisce una delle condizioni del diritto al risarcimento, così come l’esistenza di una violazione del Regolamento e di un nesso di causalità tra tale danno e tale violazione: si tratta di tre condizioni cumulative.
Di conseguenza, le violazioni del GDPR, da sole, non danno diritto al risarcimento a favore dell’interessato, occorrendo sempre anche che si sia prodotto un danno e che vi sia un nesso causale tra quest'ultimo e la violazione.
Secondo la Corte di giustizia, ciò premesso, risulta poi incompatibile con il diritto unionale una norma o prassi nazionale che subordini il risarcimento di un danno immateriale alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.
Per determinare l’importo del risarcimento dovuto a tale titolo, devono essere applicate, dall'organo giudicante, le norme interne di ciascuno Stato membro sull’entità del risarcimento pecuniario, "purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione".
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".