Con sentenza del 25 gennaio 2024, relativa alla causa C-687/21, la terza sezione della Corte di Giustizia dell’Unione europea si è soffermata sull’interpretazione degli articoli 5, 24, 32 e 82 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 («GDPR») in merito a trasmissioni di dati a terzi non autorizzati a causa di errori commessi da dipendenti del titolare.

Anzitutto, la Corte ha rammentato che l’art. 24 del GDPR prevede l’obbligo generale a carico del responsabile del trattamento dei dati personali di mettere in atto misure tecniche e organizzative idonee a garantire e poter dimostrare, nei casi concreti, il rispetto del regolamento comunitario. L’art. 32 specifica, da parte sua, gli obblighi del titolare e dei responsabili del trattamento di salvaguardare un livello di sicurezza adeguato ai rischi legati a detto trattamento, derivanti in particolare dalla distruzione, perdita, alterazione, divulgazione non autorizzata di dati personali, o accesso non autorizzato ai dati in modo accidentale o illecito.

Tale interpretazione letterale è corroborata da una lettura combinata dei suddetti artt. 24 e 32 con l’art. 5 par. 2 e l’art. 82 del regolamento, letti alla luce dei considerando 74, 76 e 83 dello stesso, da cui discende, in particolare, che il titolare del trattamento è tenuto ad attenuare i rischi di violazione dei dati personali e non ad impedire qualsiasi violazione degli stessi. La Corte aveva già stabilito che una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’art. 4, punto 10 del regolamento, non sono sufficienti, di per sé, a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non siano state «adeguate», in virtù degli artt. 24 e 32. La circostanza che i dipendenti del titolare del trattamento consegnino erroneamente ad un terzo non autorizzato un documento contenente dati personali è idonea a rivelare che le misure tecniche e organizzative adottate dal titolare del trattamento non sono «adeguate», ai sensi dei sopra citati artt. 24 e 32. In particolare, tale circostanza può derivare da negligenza o da un difetto nell'organizzazione del titolare, che non tiene quindi conto, concretamente, dei rischi connessi al trattamento dei dati in questione.

Alla luce dell’art. 5, par. 1, lett. f) e dell’art. 32, nell'ambito di un'azione risarcitoria fondata sull'art. 82 di detto regolamento, spetta al titolare del trattamento l’onere di dimostrare che i dati personali sono trattati in modo da garantire un’adeguata sicurezza, mediante elementi di prova che devono essere presi in considerazione dal giudice nel determinare, contestualmente ad un’azione di risarcimento del danno, se sussista o meno una violazione di un obbligo previsto dal GDPR.

La Corte si è pronunciata, in seguito, sulla natura della disposizione di cui all’art. 82, GDPR, statuendo che tale disposto normativo non svolge una funzione dissuasiva e neppure punitiva, bensì risarcitoria, contrariamente ad altre disposizioni del regolamento (artt. 83 e 84). Ciò significa che la gravità della violazione che ha cagionato il danno non può influenzare l'importo del risarcimento riconosciuto ai sensi dell’art. 82, anche quando si tratti di un danno non materiale ma morale, sicché tale importo non può essere fissato ad un livello superiore al risarcimento integrale del pregiudizio effettivamente subito a causa della violazione stessa.

Ai sensi dell’art. 82, par. 1, «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». Dal tenore letterale della disposizione risulta che una semplice violazione del GDPR non è sufficiente per attribuire un diritto al risarcimento. Infatti, l’esistenza di un «danno» o di un «danno» «subito» costituisce una delle condizioni per il diritto al risarcimento previsto dall’art. 82, par. 1, proprio come l’esistenza di una violazione della norma e di un nesso di causalità tra il danno e la violazione in questione, essendo queste tre condizioni cumulative tra loro. Per quanto concerne più in particolare il danno morale, la Corte ha altresì dichiarato che l’art. 82, par. 1 del GDPR osta ad una norma o prassi nazionale che preveda il risarcimento del danno morale, ai sensi di tale disposizione, alla condizione che il danno subito dall'interessato, così come definito all'art. 4, punto 1 del regolamento, abbia raggiunto un certo grado di gravità. A tal proposito, la Corte ha chiarito che il soggetto leso da una violazione del GDPR che abbia prodotto conseguenze negative nei suoi confronti è tenuto in ogni caso a dimostrare che tali conseguenze costituiscono un danno morale (o materiale), ai sensi dell'art. 82 di tale regolamento, poiché la semplice violazione delle disposizioni della stessa non sono sufficienti per conferire un diritto al risarcimento.

Infine, la Corte ha precisato che, nel caso in cui un documento contenente dati personali venga consegnato ad un terzo non autorizzato (che, si accerti, non ne sia già stato a conoscenza), il «danno morale», ai sensi dell’art. 82, non è costituito dal semplice fatto che l'interessato teme che - a seguito di tale comunicazione non autorizzata e che abbia consentito di produrre copie del documento prima della sua restituzione - si potrà verificare, in futuro, una diffusione o anche un utilizzo abusivo dei suoi dati. La perdita del controllo sui dati personali per un breve periodo di tempo può causare all’interessato un «danno morale», che ai sensi dell’art. 82, par. 1 del GDPR dà diritto ad un risarcimento, a condizione che detto soggetto dimostri di aver effettivamente subito un tale danno, per quanto minimo esso sia. Un rischio puramente ipotetico di utilizzo abusivo da parte di un terzo non autorizzato non può dar luogo a risarcimento.

ESPORTA IN PDF
LA NEWS

ESPORTA IN PDF
LA NEWS