L’ampia opera di chiarimento interpretativo della Corte
Si è recentemente registrata una vera e propria accelerazione alla precisazione dei presupposti per il risarcimento del danno da violazione della normativa sulla protezione dei dati personali. La Corte di giustizia è infatti intervenuta sul tema nel maggio 2023 con l’arresto C-300/21 e poi ben tre volte in dicembre, fissando i concetti essenziali. Qui di seguito, si fanno considerazioni relativamente all’ultima di queste pronunce, del 21.12.2023, causa Krankenversicherung Nordrhein, C-667/21.
L’art. 82 GDPR, ai parr. 1 e 3, dispone rispettivamente che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
[…]
Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
I due punti di maggior interesse della pronuncia
La CGUE con la sentenza del 21 dicembre 2023 ha deciso la causa C-667/21, afferente al trattamento dei dati personali relativi alla salute e al risarcimento del relativo danno, precisando in merito al risarcimento del danno privacy di cui all’art. 82 GDPR due punti fondamentali:
- il risarcimento del danno ha funzione compensativa e non dissuasiva o punitiva, aspetto quest’ultimo rimesso agli artt. 83 e 84 GDPR che prevedono sanzioni anche pecuniarie;
- la colpevolezza del titolare del trattamento è presunta e si intende integrata senza necessità che l’interessato danneggiato dimostri il grado di colpevolezza del titolare (o del responsabile del trattamento, se questo è il caso).
Resta in ogni caso evidente la complementarità esistente tra il risarcimento del danno e l’osservanza del Regolamento generale sui dati: ottenere un risarcimento integrale, chiarisce la Corte, si pone in termini di incentivo a rispettare il GDPR. Ne risulta infatti rafforzata l’operatività delle norme di protezione previste dal regolamento e si scoraggia la reiterazione di comportamenti illeciti.
La Corte, richiamando il considerando 146 nella parte in cui dispone che “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”, ha dichiarato che “l’articolo 82, paragrafo 1, del RGDP deve essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva”. In tal senso, la pronuncia in esame si pone in linea con le precedenti in tema di risarcimento del danno da violazione della protezione dei dati personali, danno da intendere in senso lato, e integrale. Significativo il parallelo con Cass., I sez., ord. 12 maggio 2023, n. 13073.
Le tre condizioni per l’esistenza del danno
La mera violazione del Regolamento non è sufficiente a riconoscere un diritto al risarcimento del danno ma, come precisa la Corte, sono necessari tre elementi cumulativi:
- una violazione del Regolamento, appunto;
- un danno subìto (dunque un danno-conseguenza);
- il nesso di causalità tra danno e violazione.
Inoltre, poiché il GDPR non contiene disposizioni relative alle modalità per pervenire in sede processuale alla quantificazione del risarcimento, i giudici nazionali devono applicare, in forza del principio di autonomia processuale, le norme interne dello Stato, fermo restando che tali previsioni non devono nuocere ai principi di effettività ed equivalenza del diritto dell’Unione.
La valutazione della responsabilità di titolare e responsabile del trattamento
Come già notato, la Corte chiarisce che l’articolo 82 in commento prevede un regime di responsabilità per colpa con inversione dell’onere della prova, che dunque è posta a carico non di chi ha subito il danno ma di chi ha commesso la violazione, quindi il titolare o il responsabile del trattamento. La responsabilità, è opportuno precisarlo, non è quindi oggettiva, tuttavia vige una presunzione (relativa) di colpevolezza, che ricorda quella prevista in ambito nazionale dall’art. 2050 c.c.. Si osserva in sostanza una linea di continuità rispetto al regime a suo tempo previsto dall’abrogato art. 15 cod. privacy. È dunque onere del titolare o del responsabile dimostrare che l’evento dannoso non è loro “in alcun modo imputabile”.
Proprio in virtù della funzione compensativa del risarcimento privacy, l’art. 82 non chiede che il livello di gravità della violazione sia preso in considerazione nella valutazione del risarcimento riconosciuto, ma “esige che tale importo [del risarcimento] sia fissato in modo da compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento” (CGUE, C-667/21, 21.12.2023).
In conclusione
La Corte ha ritenuto che “l’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che, da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione”
E che:
- l’articolo 82 GDPR svolge una funzione compensativa nel senso che il “risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento”, mentre gli aspetti dissuasivi e punitivi sono rimessi agli articoli 83 e 84 del Regolamento;
- per il calcolo del risarcimento trovano applicazione le norme nazionali, purché rispettino i principi di equivalenza ed effettività dell’Unione.