Categoria: CGUE

Pubblicato il

GDPR – Risarcibilità del danno “privacy” – tutte le novità

L’ampia opera di chiarimento interpretativo della Corte

Si è recentemente registrata una vera e propria accelerazione alla precisazione dei presupposti per il risarcimento del danno da violazione della normativa sulla protezione dei dati personali. La Corte di giustizia è infatti intervenuta sul tema nel maggio 2023 con l’arresto C-300/21 e poi ben tre volte in dicembre, fissando i concetti essenziali. Qui di seguito, si fanno considerazioni relativamente all’ultima di queste pronunce, del 21.12.2023, causa Krankenversicherung Nordrhein, C-667/21.

L’art. 82 GDPR, ai parr. 1 e 3, dispone rispettivamente che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

[…]

Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

I due punti di maggior interesse della pronuncia

La CGUE con la sentenza del 21 dicembre 2023 ha deciso la causa C-667/21, afferente al trattamento dei dati personali relativi alla salute e al risarcimento del relativo danno, precisando in merito al risarcimento del danno privacy di cui all’art. 82 GDPR due punti fondamentali:

  • il risarcimento del danno ha funzione compensativa e non dissuasiva o punitiva, aspetto quest’ultimo rimesso agli artt. 83 e 84 GDPR che prevedono sanzioni anche pecuniarie;
  • la colpevolezza del titolare del trattamento è presunta e si intende integrata senza necessità che l’interessato danneggiato dimostri il grado di colpevolezza del titolare (o del responsabile del trattamento, se questo è il caso).

Resta in ogni caso evidente la complementarità esistente tra il risarcimento del danno e l’osservanza del Regolamento generale sui dati: ottenere un risarcimento integrale, chiarisce la Corte, si pone in termini di incentivo a rispettare il GDPR. Ne risulta infatti rafforzata l’operatività delle norme di protezione previste dal regolamento e si scoraggia la reiterazione di comportamenti illeciti.

La Corte, richiamando il considerando 146 nella parte in cui dispone che “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”, ha dichiarato che “l’articolo 82, paragrafo 1, del RGDP deve essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva”. In tal senso, la pronuncia in esame si pone in linea con le precedenti in tema di risarcimento del danno da violazione della protezione dei dati personali, danno da intendere in senso lato, e integrale. Significativo il parallelo con Cass., I sez., ord. 12 maggio 2023, n. 13073.

Le tre condizioni per l’esistenza del danno

La mera violazione del Regolamento non è sufficiente a riconoscere un diritto al risarcimento del danno ma, come precisa la Corte, sono necessari tre elementi cumulativi:

  • una violazione del Regolamento, appunto;
  • un danno subìto (dunque un danno-conseguenza);
  • il nesso di causalità tra danno e violazione.

Inoltre, poiché il GDPR non contiene disposizioni relative alle modalità per pervenire in sede processuale alla quantificazione del risarcimento, i giudici nazionali devono applicare, in forza del principio di autonomia processuale, le norme interne dello Stato, fermo restando che tali previsioni non devono nuocere ai principi di effettività ed equivalenza del diritto dell’Unione.

La valutazione della responsabilità di titolare e responsabile del trattamento

Come già notato, la Corte chiarisce che l’articolo 82 in commento prevede un regime di responsabilità per colpa con inversione dell’onere della prova, che dunque è posta a carico non di chi ha subito il danno ma di chi ha commesso la violazione, quindi il titolare o il responsabile del trattamento. La responsabilità, è opportuno precisarlo, non è quindi oggettiva, tuttavia vige una presunzione (relativa) di colpevolezza, che ricorda quella prevista in ambito nazionale dall’art. 2050 c.c.. Si osserva in sostanza una linea di continuità rispetto al regime a suo tempo previsto dall’abrogato art. 15 cod. privacy. È dunque onere del titolare o del responsabile dimostrare che l’evento dannoso non è loro “in alcun modo imputabile”.

Proprio in virtù della funzione compensativa del risarcimento privacy, l’art. 82 non chiede che il livello di gravità della violazione sia preso in considerazione nella valutazione del risarcimento riconosciuto, ma “esige che tale importo [del risarcimento] sia fissato in modo da compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento” (CGUE, C-667/21, 21.12.2023).

In conclusione

La Corte ha ritenuto che “l’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che, da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione

E che:

  • l’articolo 82 GDPR svolge una funzione compensativa nel senso che il “risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento”, mentre gli aspetti dissuasivi e punitivi sono rimessi agli articoli 83 e 84 del Regolamento;
  • per il calcolo del risarcimento trovano applicazione le norme nazionali, purché rispettino i principi di equivalenza ed effettività dell’Unione.
Pubblicato il

Google deve rimuovere i contenuti diffamatori anche in mancanza di accertamento giudiziale

Di che parla la nuova normativa DSA-DMA e che cosa ha stabilito di recente la Corte di giustizia, sentenza C-460/20, in merito alla rimozione di contenuti diffamatori?

Partiamo con ordine. Le piattaforme social, es. Twitter, Instagram, Facebook, TikTok, i motori di ricerca (il pensiero va innanzitutto a Google), i marketplace sono tecnicamente “intermediari della società dell’informazione”. Non sono gli unici esponenti della categoria, ne sono certamente i più rappresentativi, quelli cioè che determinano in concreto la forma dei flussi di informazioni e incidono sulla comunicazione e sul successo di attività imprenditoriali online, ma anche semplicemente sulla formazione culturale del Paese. Perché?

Perché l’intermediario è così determinante?

Bloccare una pagina per un’impresa o un professionista ha ripercussioni evidenti sulla capacità di stare sul mercato. Collocare un sito in una posizione sfavorevole nella lista dei risultati di un motore vuol dire sottrargli visibilità e potenziali clienti. Incidere sulla presenza di notizie in rete, favorire una determinata tipologia di contenuti, indurre le persone a cedere dati personali e dare dunque visibilità a spazi privati, talvolta intimi, tutto questo vuol dire esercitare una profonda influenza sociale, plasmante dei modi di pensare, di esprimersi, di prestare o non prestare attenzione a stimoli. Mettere a disposizione dati personali per rendere micro-mirate (micro-targeting) campagne politiche, come si è visto (ma solo per citare uno dei tantissimi esempi) nello scandalo Cambridge Analytica, ha effetti di dirottamento delle scelte elettorali, pertanto conseguenze dirompenti sulla tenuta stessa dell’assetto democratico.

L’intermediario è dunque chi sta in mezzo tra coloro che immettono contenuti e coloro che ne fruiscono (ruoli spesso interscambiabili), è chi regola il flusso delle informazioni, chi decide attraverso decisioni automatizzate quali informazioni vanno promosse e come estrarre intelligenza dalle informazioni, determinando per esempio l’incentivazione o la disincentivazione di contenuti, si pensi ai sistemi cd. di “raccomandazione” algoritmica.

Disciplinare gli intermediari: il DSA e il DMA

Il grande protagonistica dell’era dell’informazione è dunque l’intermediario, è nell’intermediario che si concentra il potere.

Finora questo potere è stato ampiamente lasciato all’autoregolamentazione, alle condizioni generali di servizio, dunque all’autodeterminazione privatistica, e a una manciata di articoli nella direttiva 2000/31.

Oggi il quadro giuridico cambia, almeno in parte, e il diritto interviene in maniera più pregnante a stabilire regole, disciplinare gli intermediari e i loro doveri di diligenza. Il corpo principale della nuova normativa è costituito, com’è noto, dalla coppia DSA (Digital Services Act) e DMA (Digital Markets Act). Il primo è maggiormente focalizzato sulla libertà di espressione, sulla trasparenza, sui reclami, su profili limitrofi alla protezione dei dati personali, sulle regole di due diligence da osservare per limitare i contenuti illeciti, il secondo è diretto alla costruzione di un sistema di regole di mercato, alla tutela della concorrenza, alla protezione delle parti deboli, alla limitazione dei poteri dei gatekeeper, alla lettera “guardiani dei cancelli”, ossia le grandi società che dominano il mercato, stabilendo chi sta dentro e chi sta fuori.

La sentenza CGUE C-460/20

Non bisogna però attendere il 17 febbraio 2024 e il 2 maggio 2023-25 giugno 2023,ossia le date in cui rispettivamente il DSA e il DMA avranno piena e completa applicabilità. Strumenti giuridici di rilevante efficacia sono già forniti dal GDPR. Prendiamo il caso di cui si è occupata la Corte di giustizia dell’Unione (CGUE) nella vicenda Google, C-460/20, decisa con sentenza dell’8 dicembre 2022.

Due interessati si dolevano del fatto che Google proponesse contenuti lesivi della loro reputazione, il diritto alla protezione dei dati personali è infatti legato (come tutela dell’immagine) anche al diritto alla reputazione e all’onore. Si trattava di notizie che presentavano, secondo gli interessati, elementi di inesattezza, ne chiedevano pertanto al motore di ricerca la rimozione dalla lista dei risultati ai sensi dell’art. 17 GDPR.

Questa norma infatti, di regola associata al diritto all’oblio, riconosce in senso più ampio il diritto alla cancellazione di dati che non appaiano conformi alla normativa.

Google rifiutava di procedere all’eliminazione dei link, sul presupposto che mancava una pronuncia giudiziale di accertamento dell’illiceità dei contenuti. La Corte ha invece ritenuto che non si possa far carico all’interessato dei tempi e degli oneri necessari all’ottenimento di una pronuncia giudiziale. L’intermediario (la pronuncia è evidentemente esportabile all’intera categoria) è invece chiamato a una valutazione di massima sulla verosimiglianza delle allegazioni dell’interessato ed è tenuto ad applicare l’articolo 17 citato, pur senza essere tenuto a un ruolo attivo di indagine.

Certo, osserva la Corte, occorre esercitare particolare prudenza nella rimozione di contenuti dalla società dell’informazione e occorre evitare che scelte eccessivamente cautelative degli intermediari possano determinare una rimozione troppo facile di informazioni. Per approfondire questi temi, la diramazione concettuale che aprono e alcuni passaggi centrali della sentenza citata, mi permetto di rimandare al mio contributo dal titolo “La custodia dei contenuti nella società dell’informazione: osservazioni sulla sentenza CGUE C‑460/20” pubblicato sul numero 1-2023 della Rivista elettronica di diritto, economia, management, pp. 99-105.

Pubblicato il

Cause riunite WM e Sovim: una sentenza storica

Privacy e trasparenza: la Corte di Giustizia UE ne definisce il bilanciamento e i rispettivi confini, con la storica decisione cause riunite WM e Sovim, C‑37/20 e C‑601/20 del 22 novembre 2022.

In estrema sintesi, il Giudice europeo ha considerato in contrasto con il diritto dell’Unione l’accesso del grande pubblico a un registro dei titolari effettivi di società e altri enti giuridici, introdotto dalla quinta direttiva AML.

Non ha infatti ravvisato in questo accesso di massa alcuna finalità strettamente necessaria all’obiettivo di contrasto del riciclaggio e del finanziamento al terrorismo.

L’elemento di pregio sta propriamente nella ragionata costruzione che permette di pervenire a tale approdo. Perché dunque la sentenza è un landmark case? Almeno per le seguenti ragioni:

  • è una decisione scomoda, che abbatte (ancora una volta) una normativa di impatto emotivo marcato, fortemente voluta dagli attori politici;
  • si discosta, in passaggi decisivi, dall’opinione dell’avvocato generale;
  • ha evidente valore sistematico, offrendo l’occasione per precisazioni di ampio respiro sul metodo da seguire nella ponderazione di istituti fondamentali, costruendo a partire da precedenti noti e meno noti;
  • scioglie una malintesa nozione di trasparenza, ridefinendone il concetto. La trasparenza, evidenzia la Corte, è rimozione di ostacoli conoscitivi dei privati verso il settore pubblico e non dei privati verso i privati. Né può risolversi in un’arbitraria compressione della sfera personale da parte del potere pubblico.

I tre passaggi per il bilanciamento tra diritti fondamentali

In estrema sintesi, sono tre i passaggi da seguire in un bilanciamento:

  1. coerenza tra una determinata attività e l’obiettivo dichiarato;
  2. compressione di diritti antagonisti solo per ragioni di stretta necessità;
  3. proporzione: anche ove siano soddisfatti i due criteri precedenti, i vantaggi ottenuti dalla limitazione di un diritto devono essere superiori al pregiudizio.

Resta poi da tenere sempre presente il termine di escursione massima nella limitazione dei diritti, segnato dall’art. 52 della Carta dei diritti fondamentali dell’Unione, ossia quello del rispetto del “contenuto essenziale” del diritto che subisce limitazione.

Concentriamoci sul primo criterio: il principio di coerenza impone al legislatore una continenza inedita nel legiferare e costruisce, in particolare, un argine a derive di forte impatto propagandistico, ma disancorate dagli obiettivi ultimi. In ambito di protezione dei dati personali, lo stesso concetto è noto come principio di limitazione di finalità, riconosciuto dall’art. 5.1.b) GDPR.

Ugualmente decisivo è il criterio dello stretto necessario. Ciò che è solo utile non è strettamente necessario. Una trasparenza generalizzata, osserva la Corte, potrebbe anche avere una qualche utilità, ma non per questo essere strettamente necessaria. Tra più soluzioni, occorre scegliere quella a minore impatto possibile, non quella genericamente giovevole. E’ una riedizione, se si vuole, del metodo del rasoio di Occam.

Quanta normativa nazionale, in primis i trattamenti di dati personali in epoca Covid, sarebbero travolti dalla semplice applicazione dei due criteri appena enunciati?

Anche il terzo risulta fondamentale, perché applica un principio di ponderazione del beneficio, imponendo implicitamente al legislatore una valutazione d’impatto.

Sia permesso rimandare per maggiori e più ampie considerazioni all’articolo di commento scritto per Agenda Digitale: Trasparenza o privacy? La sentenza WM e Sovim è una vera svolta: ecco perché.