Danno immateriale ex articolo 82 GDPR: la Corte espande la nozione di danno e conferma l’eliminazione delle soglie minime

Massima

La nozione di «danno immateriale» contenuta nell'art. 82 GDPR «include sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l'insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva di questi ultimi o da un pregiudizio alla sua reputazione, purché detto interessato dimostri che prova sentimenti siffatti, con le loro conseguenze negative, a causa della violazione de qua del regolamento suddetto». Il risarcimento «assolve una funzione esclusivamente compensativa» e l'art. 82 «osta a che il grado di gravità dell'illecito commesso dal titolare del trattamento venga preso in considerazione ai fini della valutazione del risarcimento». L'ottenimento di azioni inibitorie non può «ridurre l'entità del risarcimento pecuniario di un danno immateriale» né «prendere il posto di tale risarcimento».

Il caso 

Il danno asseritamente subito dall'interessato si sostanzia nelle inquietudini sorte dal fatto che almeno una terza persona del medesimo settore professionale era stata messa in condizione di trasmettere tali dati riservati ad ex datori di lavoro o a potenziali datori di lavoro, di conseguire vantaggi concorrenziali e di percepire l'umiliazione derivante dall'esposizione del fallimento delle trattative.

Il giudice di primo grado del Landgericht Darmstadt, Tribunale del Land, Darmstadt, aveva condannato la Quirin Privatbank sia all'astensione dalle condotte contestate sia al versamento di EUR 1.000 a titolo di risarcimento del danno. L'Oberlandesgericht Frankfurt, Tribunale superiore del Land, Francoforte sul Meno, ha parzialmente riformato la decisione riconoscendo il diritto all'astensione ex art. 17 GDPR, ma respingendo la domanda risarcitoria ex art. 82, sul rilievo che la prova di un danno concreto non era stata fornita e che l'eventuale umiliazione non poteva essere qualificata come danno immateriale.

Il ricorrente e la Quirin Privatbank hanno entrambi proposto ricorso per Revision contro la sentenza d'appello dinanzi al Bundesgerichtshof, Corte federale di giustizia. IP ha ribadito le proprie pretese iniziali, chiedendo sia l'astensione da future violazioni sia il risarcimento del danno immateriale, mentre la banca ha concluso per il rigetto integrale delle domande.

Il Bundesgerichtshof, ritenendo necessario un chiarimento interpretativo delle disposizioni europee per la risoluzione del caso, ha sospeso il procedimento e sottoposto alla Corte di giustizia dell'Unione europea le questioni pregiudiziali relative all'interpretazione degli articoli 17, 18, 79, 82 e 84 del GDPR.

La questione

Il rinvio pregiudiziale del Bundesgerichtshof, Corte federale di giustizia tedesca, solleva sei questioni interpretative che investono aspetti fondamentali del sistema di tutele delineato dal GDPR. Le questioni si articolano secondo una progressione logica che dal generale procede verso il particolare, toccando i nodi interpretativi più controversi dell'applicazione del regolamento europeo.

Le prime tre questioni concernono l'esistenza nel sistema GDPR di azioni inibitorie preventive: se gli artt. 17 (diritto alla cancellazione) o 18 (diritto alla limitazione del trattamento) conferiscano all'interessato il diritto di ottenere un'ingiunzione di astensione da future violazioni anche senza richiedere la cancellazione dei dati; se tale diritto presupponga necessariamente un rischio di reiterazione della condotta illecita; e se, in caso di risposta negativa, gli artt. 79 (ricorso giurisdizionale effettivo) e 84 (sanzioni) GDPR consentano comunque ai giudici nazionali di riconoscere tale forma di tutela sulla base delle disposizioni di diritto interno.

Il nucleo problematico centrale è rappresentato dalla quarta questione e attiene alla delimitazione semantica della nozione di “danno immateriale” ex art. 82 GDPR. Il giudice del rinvio pone la questione in termini particolarmente significativi: se sono sufficienti semplici sentimenti negativi, come «rabbia, contrarietà, insoddisfazione, inquietudine e paura», che di per sé rientrano nel rischio inerente alla normale esperienza di vita, oppure sia necessario un pregiudizio sofferto dalla persona fisica interessata che vada oltre tali sentimenti ordinari. La questione tocca il cuore del bilanciamento tra tutela effettiva dei diritti dell'interessato ed evitare un'eccessiva proliferazione di azioni risarcitorie.

Parimenti rilevanti sono la quinta e sesta questione, che completano il quadro sistematico delle forme di tutela GDPR. La quinta questione concerne i criteri di quantificazione del risarcimento: se il grado di colpevolezza del titolare del trattamento costituisca criterio pertinente per determinare l'entità del danno immateriale, con implicazioni decisive sulla natura compensativa o anche deterrente del risarcimento. La sesta questione, infine, riguarda i rapporti tra diverse forme di tutela: se l'ottenimento di un'ingiunzione di astensione possa essere considerato nella valutazione del quantum risarcitorio, riducendo l'importo del risarcimento secondo una logica di compensazione tra strumenti di protezione diversi.

Le soluzioni giuridiche

La Corte risolve le questioni pregiudiziali secondo una metodologia ermeneutica che combina analisi testuale, interpretazione sistematica e valutazione teleologica delle disposizioni del GDPR.

Sulle questioni prima, seconda e terza, la Corte inquadra la problematica nel sistema costituzionale europeo, ricordando che il GDPR «è fondato sull'esistenza di un diritto riconosciuto a qualsiasi persona fisica di beneficiare di una protezione con riguardo al trattamento dei dati personali», diritto fondamentale sancito dall'art. 8, par. 1, della Carta (pt. 38-40).

Sul piano testuale, la Corte stabilisce che il GDPR «non contiene alcuna disposizione che preveda, esplicitamente o implicitamente, che l'interessato benefici» di un diritto ad ottenere preventivamente un'ingiunzione di astensione da future violazioni (pt. 43). L'analisi del capo VIII conferma che nessuna disposizione «obbliga gli Stati membri a prevedere un ricorso preventivo» di tal genere (pt. 45).

Tuttavia, la Corte chiarisce che il legislatore dell'Unione «non ha inteso procedere ad un'armonizzazione esaustiva dei mezzi di ricorso esperibili». La clausola dell'art. 79, par. 1, che riconosce il diritto di ricorso «fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile», conferma che «agli Stati membri non è precluso prevedere un siffatto ricorso preventivo» nel rispetto dei principi di equivalenza ed effettività (pt. 47-48).

Infatti, le disposizioni del GDPR «non prevedono, a beneficio della persona interessata dal trattamento illecito di dati personali, nell'ipotesi in cui questa non chieda la cancellazione dei propri dati, un mezzo di ricorso giurisdizionale che permetta a tale persona di ottenere, a titolo preventivo, che al titolare del trattamento venga ingiunto di astenersi dall'effettuare in futuro un nuovo trattamento illecito. Tuttavia, tali disposizioni non impediscono agli Stati membri di prevedere un siffatto mezzo di ricorso nei loro rispettivi ordinamenti giuridici» (pt. 52).

La quarta questione riceve una soluzione che opera una significativa espansione della nozione di danno immateriale rispetto agli orientamenti restrittivi di talune giurisprudenze nazionali. La Corte chiarisce preliminarmente ai punti 55-56 che la nozione di «danno immateriale» ex art. 82 GDPR «deve ricevere una definizione autonoma e uniforme, specifica del diritto dell'Unione» e che «L'esistenza di un ‘danno', materiale o immateriale, che sia stato subìto, di una violazione di disposizioni del suddetto regolamento, nonché di un nesso di causalità tra tale danno e detta violazione costituiscono le tre condizioni cumulative, necessarie e sufficienti, di tale diritto al risarcimento».

                 

L'argomentazione della Corte si sviluppa attraverso quattro passaggi sistematici. In primo luogo, viene confermato che l'art. 82 GDPR «osta ad una norma o ad una prassi nazionale che subordini il ristoro di un ‘danno immateriale' alla condizione che il pregiudizio subìto dalla persona interessata abbia raggiunto un certo grado di gravità», eliminando così ogni «soglia di rilevanza» (pt. 58).

In secondo luogo, la Corte richiama che situazioni quali «pregiudizio alla reputazione» e «perdita del controllo» sui dati figurano esplicitamente tra gli esempi dei considerando 75 e 85GDPR. Una «semplice ‘perdita del controllo' sui propri dati personali» può essere «sufficiente per causare un ‘danno immateriale'», purché l'interessato dimostri «di aver effettivamente subìto un danno di tal genere, fosse pure minimo» (pt. 59-60). 

        

In terzo luogo, al punto 61, viene precisato che «il timore, provato dall'interessato, che i suoi dati personali siano oggetto di utilizzazione abusiva in futuro» costituisce di per sé «un ‘danno immateriale'», «a condizione che tale timore, con le sue conseguenze negative, sia debitamente dimostrato».

Infine, in quarto luogo, sebbene i sentimenti negativi «possano peraltro far parte dei rischi inerenti alla normale esperienza di vita», essi «sono suscettibili di costituire un ‘danno immateriale' […] purché […] la persona interessata dimostri che prova sentimenti siffatti, con le loro conseguenze negative, proprio in ragione della violazione» del regolamento. Il requisito essenziale è dunque la dimostrazione del nesso causale specifico tra la violazione e le conseguenze negative subite.

                            

Tale interpretazione risulta conforme al tenore letterale dell'art. 82, par. 1, letto alla luce dei considerando 85 e 146GDPR, che «invitano ad adottare un'accezione ampia della nozione di ‘danno immateriale'», ed è corroborata dall'obiettivo del regolamento di «assicurare un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali» (pt. 63).

Con le questioni quinta e sesta, la Corte affronta, congiuntamente, i profili relativi ai criteri di quantificazione del risarcimento e ai rapporti tra tutela risarcitoria e preventiva, consolidando un approccio interpretativo già delineato nella giurisprudenza precedente.

Innanzitutto, la Corte stabilisce una chiara separazione funzionale tra la disciplina del risarcimento (art. 82) e quella delle sanzioni amministrative (art. 83). La problematica nasce dalla circostanza che il diritto tedesco prevede, per il risarcimento del danno immateriale, criteri che tengono conto del grado di colpevolezza dell'autore del danno, in quanto tale ristoro pecuniario soddisfa, al tempo stesso, una funzione di compensazione del pregiudizio subìto dal soggetto leso e una funzione di soddisfazione dovuta al danneggiato da parte dell'autore del danno, in conformità alla giurisprudenza.

Il risarcimento ex art. 82, tuttavia, «assolve una funzione esclusivamente compensativa, in quanto un ristoro pecuniario fondato sul citato articolo 82 deve permettere di compensare integralmente il pregiudizio concretamente subìto in conseguenza della violazione di detto regolamento, e non anche una funzione dissuasiva o punitiva». L'obiettivo è assicurare un ristoro «pieno ed effettivo» del danno subito, come indicato nel considerando 146 GDPR (pt. 69-70).

Tale distinzione comporta conseguenze decisive sui criteri di quantificazione: «la funzione esclusivamente compensativa del diritto al risarcimento […] osta a che il grado di gravità e l'eventuale carattere intenzionale della violazione […] vengano presi in considerazione ai fini del risarcimento». Infatti, mentre «l'insorgere della responsabilità […] è subordinata all'esistenza di una condotta illecita», l'art. 82 «non esige che il grado di colpevolezza sotteso a tale condotta venga preso in considerazione all'atto della fissazione dell'importo del risarcimento». A differenza delle sanzioni amministrative, i cui criteri dell'art. 83 non sono applicabili mutatis mutandis, il risarcimento persegue finalità esclusivamente riparatorie (pt. 71-72).

Infine, relativamente all'ultima questione, la Corte si esprime su quanto affermato dal giudice del rinvio, il quale osserva che secondo il diritto tedesco l'ottenimento di un'ingiunzione di astensione può essere considerato per diminuire o escludere l'indennizzo pecuniario del danno immateriale, secondo una logica di compensazione tra diverse forme di tutela.

Tuttavia, secondo la Corte, «un risarcimento dovuto a titolo dell'articolo 82 […] non può essere concesso sotto forma, in tutto o in parte, di un'ingiunzione di astensione, in quanto il diritto al risarcimento […] soddisfa una funzione esclusivamente compensativa […] mentre un'ingiunzione di astensione […] ha una finalità puramente preventiva». La diversità ontologica delle finalità esclude ogni forma di compensazione reciproca: l'ingiunzione «mira ad impedire la reiterazione di comportamenti che hanno causato dei danni […] ma essa non risarcisce quelli che sono già stati subiti dalla persona interessata» (pt. 82).

                                         

Di conseguenza, l'art. 82 «osta a che la circostanza che la persona interessata abbia ottenuto […] un'ingiunzione di astensione […] venga presa in considerazione al fine di ridurre l'entità del risarcimento pecuniario di un danno immateriale […] o, a fortiori, al fine di prendere il posto di tale risarcimento» (pt. 83).

La soluzione consolida il sistema bifasico del GDPR, che distingue nettamente tra strumenti preventivi (volti ad impedire future violazioni) e strumenti riparatori (volti a compensare integralmente danni già subiti), assicurando l'effettività di entrambe le forme di tutela senza interferenze reciproche.

Osservazioni

La pronuncia in esame aggiunge un tassello importante al quadro interpretativo di cui all'art. 82 GDPR delineato dalla recente giurisprudenza europea, consolidando il ruolo sempre più incisivo del diritto dell'Unione nella disciplina della responsabilità civile da trattamento illecito dei dati personali.

Sul piano sostanziale, la sentenza opera una espansione della nozione di “danno immateriale”, stabilendo che anche sentimenti negativi di modesta entità possono configurare pregiudizi risarcibili. La Corte chiarisce infatti che «sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l'insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva di questi ultimi o da un pregiudizio alla sua reputazione» costituiscono danno immateriale (pt. 64), purché causalmente collegati alla violazione.

                                                  

Tale interpretazione amplia dunque il perimetro della tutela risarcitoria, includendo nel concetto di “danno immateriale” anche stati emotivi che, pur facendo «parte dei rischi inerenti alla normale esperienza di vita», assumono rilevanza giuridica quando derivino specificamente da una violazione GDPR.

L'impatto di questa evoluzione giurisprudenziale sui sistemi giuridici nazionali risulta particolarmente significativo per quegli ordinamenti, come quello italiano e tedesco, che avevano sviluppato orientamenti giurisprudenziali restrittivi, che richiedevano pregiudizi eccedenti la soglia della normale tollerabilità sociale. La giurisprudenza nazionale aveva infatti stabilito che “Il danno non patrimoniale risarcibile ai sensi dell'art. 15 del d.lgs. n. 196 del 2003 non si sottrae alla verifica della ‘gravità della lesione' e della ‘serietà del danno', in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato” (v. Cass. Civ. n. 17383/2020). Tale orientamento, seppur fondato su principi costituzionali nazionali, appare ora incompatibile con l'interpretazione europea dell'art. 82 GDPR.

                           

Relativamente a questo aspetto, la ratio della interpretazione della Corte risiede infatti nell'esigenza di evitare che «la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi» (v. Corte di giustizia UE, C-300/21, pt. 51), pregiudicando così l'uniformità applicativa del GDPR.

L'aspetto centrale di sfondo che emerge dalla sentenza è pertanto la conferma dell'autonomia concettuale delle nozioni di “danno materiale o immateriale” e “risarcimento del danno” nel sistema GDPR, che devono essere interpretate in modo uniforme in tutti gli Stati membri senza rinvii ai diritti nazionali. Infatti, il GDPR «non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui all'articolo 82» (v. Corte di giustizia UE, C-300/21, pt. 30).

Tale concetto trova solido fondamento sistematico nei considerando 75 e 85GDPR, che «invitano ad adottare un'accezione ampia della nozione di ‘danno immateriale'» e includono espressamente tra i possibili pregiudizi la «perdita del controllo» sui dati personali, anche in assenza di concreto utilizzo abusivo. Come precisato dalla giurisprudenza europea, «una siffatta perdita del controllo può essere sufficiente per causare un ‘danno immateriale' […] purché l'interessato dimostri di aver effettivamente subìto un danno di tal genere, fosse pure minimo» (v. Corte di giustizia UE, C-200/23, pt. 145 e 150).

Tuttavia, è importante precisare che l'espansione della nozione di danno non elimina l'onere probatorio a carico dell'interessato di dimostrare l'esistenza effettiva del danno e il nesso causale con la violazione. Come chiarito dalla giurisprudenza europea, «l'interessato è tenuto a dimostrare che le conseguenze di tale violazione che asserisce di aver subito costituiscono un danno che si differenzia dalla semplice violazione delle disposizioni di detto regolamento» e che sussistano «tre condizioni cumulative: l'esistenza di un ‘danno', di una violazione del RGPD e di un nesso di causalità tra tale danno e tale violazione» (v. Corte di giustizia UE, C-300/21, pt. 14 e 23).

                                        

Dal punto di vista operativo-processuale, all'interessato «deve essere riconosciuto il diritto a un ‘pieno ed effettivo risarcimento per il danno subito'» (considerando n. 146 GDPR). Coerentemente con questa impostazione, l'espansione della nozione di danno si accompagna al consolidamento della funzione esclusivamente compensativa del risarcimento nel sistema GDPR, finalizzata a garantire la piena riparazione del danno concretamente subito, senza necessità di ricorrere a meccanismi di carattere punitivo o sanzionatorio.

Conseguentemente, la pronuncia in commento stabilisce che deve essere esclusa la rilevanza del grado di colpevolezza nella quantificazione del risarcimento. Tale principio riflette l'architettura normativa del GDPR che, attraverso il principio di accountability (art. 5, par. 2, GDPR), responsabilizza i titolari indipendentemente dall'elemento psicologico della condotta. Questa impostazione, combinata con l'espansione della nozione di danno precedentemente illustrata, incentiva l'adozione di misure preventive più rigorose, poiché anche violazioni apparentemente minori possono generare responsabilità risarcitoria.