Home

Abuso del diritto di accesso e risarcimento nel GDPR

La Redazione
26 Marzo 2026

La sentenza del 19 marzo 2026 nella causa C‑526/24, Brillen Rottler GmbH & Co. KG / TC, offre importanti chiarimenti sistematici su abuso del diritto di accesso ai dati personali, condizioni per il rifiuto della richiesta e diritto al risarcimento del danno ex art. 82 GDPR. 

Il caso origina dalla condotta di un interessato che, dopo essersi iscritto alla newsletter di un’impresa di ottica, presenta – a soli tredici giorni di distanza – una richiesta di accesso ex art. 15 GDPR, cui l’azienda oppone rifiuto qualificandola come abusiva ai sensi dell’art. 12, par. 5. L’impresa agisce poi dinanzi all’Amtsgericht Arnsberg per far accertare l’assenza di diritto al risarcimento, sostenendo che l’interessato utilizza sistematicamente il meccanismo delle richieste di accesso al solo scopo di attivare pretese risarcitorie.

Prima richiesta di accesso e “richiesta eccessiva”

La Corte afferma, in linea con l’interpretazione letterale e sistematica dell’art. 12, par. 5, che anche una prima richiesta di accesso può, in linea di principio, essere qualificata come “eccessiva”. L’assenza di carattere ripetitivo non esclude di per sé l’eccessività, che va valutata in chiave qualitativa e alla luce del principio generale di divieto di abuso del diritto. 

La nozione di richiesta eccessiva costituisce eccezione all’obbligo del titolare di agevolare l’esercizio dei diritti dell’interessato e, pertanto, è di stretta interpretazione. Il titolare può invocarla solo in via eccezionale, dimostrando rigorosamente l’esistenza di un intento abusivo. 

L’elemento oggettivo dell’abuso richiede che, pur nel rispetto formale delle condizioni del GDPR, l’obiettivo di tutela degli interessati non sia in realtà perseguito; quello soggettivo richiede la volontà di creare artificiosamente le condizioni per ottenere un vantaggio (ad esempio, un risarcimento) derivante dalla normativa. 

In questo quadro, la Corte ammette che informazioni pubblicamente accessibili sulla sistematicità di richieste di accesso e domande risarcitorie da parte del medesimo soggetto possano essere considerate indizi di intento abusivo, purché corroborate da altri elementi (modalità di conferimento dei dati, tempistica, comportamento complessivo dell’interessato).

Diritto al risarcimento per violazione del diritto di accesso

Sul piano rimediale, la Corte chiarisce che l’art. 82, par. 1, GDPR attribuisce all’interessato un diritto al risarcimento per i danni (materiali o immateriali) derivanti da qualsiasi violazione del regolamento, e non solo da trattamenti illeciti in senso stretto. Ne discende che anche la violazione del diritto di accesso ex art. 15, par. 1, può fondare un diritto al risarcimento. 

La Corte ribadisce che le condizioni sono tre e cumulative:

  1. violazione del GDPR;
  2. (ii) esistenza di un danno (anche minimo);
  3. (iii) nesso causale tra la violazione e il danno. Il danno non è presunto: l’interessato deve provarne l’effettività e la differenza rispetto alla mera violazione formale. 

Rilevante, per la pratica contenziosa, la precisazione che il danno immateriale include la perdita di controllo sui dati personali o l’incertezza circa l’esistenza di un trattamento, purché tali conseguenze siano effettivamente subite e non integralmente riconducibili al comportamento dell’interessato (ad esempio, alla scelta consapevole di creare artificiosamente le condizioni per un’azione risarcitoria). In tal caso, il comportamento dell’interessato può interrompere il nesso causale