In un parere del 6 ottobre scorso, l’Avvocato Generale presso la Corte di Giustizia Ue ha assunto una posizione che sta facendo discutere riguardo alla risarcibilità dei pregiudizi non materiali connessi con una violazione della normativa a presidio dei dati personali.
La questione è di particolare momento perché è evidente che nel caso di violazione della disciplina GDPR nella stragrande maggioranza dei casi il danno che un soggetto può lamentare è di tipo non materiale (in particolare parliamo di danno morale) e quindi un intervento che restringa le maglie di questa risarcibilità avrà senz’altro degli impatti di rilievo.
La questione riguarda, in particolare, l’introduzione di un discrimine fra “turbamento” e vero e proprio danno, in un contesto come quello del danno morale dai contorni già di per sé sfumati e fondato su criteri equitativi nella liquidazione del danno, che rischia di creare una breccia nella tutela fornita dal GDPR.
Risarcimento danni per violazione del GDPR, ecco chi paga e quanto
Indice degli argomenti
La questione all’esame della Corte di Giustizia UE
Il procedimento in cui l’Avvocato Generale della CGUE ha reso il proprio parere vede contrapporsi un cittadino austriaco e le Poste del paese, che hanno portato avanti una campagna di profilazione illecita dei cittadini, arrivando ad includere dati sensibili (in particolare l’orientamento politico) inferiti da altri dati a disposizione delle Poste.
Stiamo parlando quindi di una situazione in cui la violazione della normativa in tema di dati personali è sufficientemente acclarata, ma la resistenza giudiziale delle Poste si concentra invece sul fatto che il cittadino non può lamentare un danno risarcibile, consistendo questo al più in un forte turbamento emotivo dovuto al sapere che era stato associato ad un partito politico (per di più a lui sgradito) da un ente in cui avrebbe invece voluto poter riporre fiducia.
La linea difensiva delle Poste austriache ha dato i suoi frutti, ed infatti il cittadino che ha agito per ottenere risarcimento ha visto la sua pretesa respinta in primo e in secondo grado e si è quindi rivolto all’omologo austriaco della Corte di Cassazione, organo di ultima istanza che prima di decidere ha ritenuto di rivolgersi alla Corte di Giustizia UE chiedendo una risposta ai seguenti tre quesiti:
(1) La concessione di un risarcimento ai sensi dell’articolo 82 GDPR richiede, oltre alla violazione delle disposizioni del GDPR, che l’interessato abbia subito un danno, o la violazione delle disposizioni del GDPR è di per sé è sufficiente per l’assegnazione del risarcimento?
(2) La valutazione della misura dell’indennizzo dipende da ulteriori requisiti di diritto dell’UE oltre ai principi di effettività ed equivalenza?
(3) È compatibile con il diritto dell’Unione ritenere che la concessione del risarcimento del danno morale presuppone l’esistenza di una conseguenza della violazione di almeno un certo peso che vada al di là del mero turbamento emotivo causato da tale violazione?
Le conclusioni dell’Avvocato generale
La Corte di Giustizia UE si pronuncerà sulla questione entro breve tempo, ma nel frattempo l’Avvocato Generale ha già rassegnato le proprie conclusioni, di impatto tranchant.
In primo luogo, l’Avvocato Generale esclude (correttamente) che il GDPR preveda la liquidabilità in favore degli interessati che abbiano subito un pregiudizio dei c.d. “danni punitivi”, istituto che vediamo spesso applicato nel diritto statunitense ma che non è proprio degli ordinamenti europei, dove il danno non può andare oltre il ripristino dello status quo ante all’ingiusto pregiudizio patito dalla vittima.
Dell’aspetto “sanzionatorio” non ne possono invece giovare i privati, perché altrimenti si cadrebbe vittime di una sorta di “privatizzazione” delle potestà pubbliche di sorveglianza e controllo.
Quanto alla seconda domanda l’Avvocato generale si limita ad osservare che il Considerando 146 del GDPR prescrive che agli interessati sia garantito “pieno ed effettivo risarcimento per il danno subito”, lasciando comunque spazio a rimedi propri dei singoli stati membri, pur se non in contrasto con la normativa GDPR.
Venendo infine alla terza domanda l’Avvocato Generale risponde in senso affermativo, proponendo quindi l’introduzione di una “soglia” oltre la quale il danno da lesione dei dati personali è risarcibile, mentre al di sotto di tale soglia il danno (triviale) non sarebbe meritevole di tutela risarcitoria.
La posizione dell’Avvocato Generale quindi è chiara, ci sono delle violazioni alla disciplina GDPR, anche gravi, che però meritano solo sanzione amministrativa perché per quanto allarmanti siano non hanno causato un danno significativo all’interessato, e ci sono invece casi in cui questa soglia è superata e oltre alla sanzione amministrativa si deve aggiungere la tutela risarcitoria.
Il problema è che l’introduzione apertis verbis di un discrimine fra “turbamento” e vero e proprio danno, in un contesto come quello del danno morale dai contorni già di per sé sfumati e fondato su criteri equitativi nella liquidazione del danno, rischia di creare una breccia nella tutela fornita dal GDPR suscettibile di estensione ben superiore rispetto alle intenzioni del legislatore comunitario.
L’Avvocato Generale non si espone invece riguardo al caso specifico all’esame della giustizia austriaca, né dovrebbe farlo la Corte di Giustizia UE, ma è chiaro che la funzione di armonizzazione proprie del diritto comunitario gioverebbe da un esempio su un caso concreto (e pare di poter escludere l’intervento chiarificatore dell’European Data Protection Board visto che la questione della risarcibilità e liquidazione del danno non rientra tra le competenze dei garanti).
La giurisprudenza italiana
È però evidente che un discrimine fra un semplice “disturbo” non risarcibile e un vero e proprio danno deve esistere, altrimenti sarebbero risarcibili tutti gli stati emotivi, anche di minimo impatto, conseguenti ad una violazione della disciplina in tema di dati personali.
Ed infatti i concetti avanzati dall’Avvocato Generale nelle sue conclusioni sono presenti anche alla nostra giurisprudenza.
Proprio in tema di risarcimento del danno da lesione della privacy la Suprema Corte ha in più occasioni escluso la risarcibilità dei danni sotto una certa soglia di rilevanza. Ad esempio, anche con la recente ordinanza n. 17383 del 2020 la Corte di Cassazione ha ribadito che in tema di trattamento dei dati personali il danno non patrimoniale legittima il risarcimento solamente quando siano accertate la gravità della lesione, la serietà della stessa e la rilevanza del danno.
Il caso all’esame della Corte (che risaliva ad una data antecedente l’entrata in vigore del GDPR, sebbene non sembra ci siano elementi nella nuova normativa di stampo comunitario che possano giustificare una discontinuità rispetto a questo orientamento) riguardava una raccomandata contenente informazioni bancarie inviata in piego e non in busta presso uno studio professionale.
Il destinatario della busta lamentava che in questo modo tutti avrebbero potuto agevolmente vederne il contenuto (ovvero i suoi dati bancari) e che avrebbe quindi subito un danno derivante dalla lesione della sua riservatezza.
La Corte respinge però la lettura del ricorrente, smentisce la tesi del danno privacy in re ipsa e richiede anzi la verifica della sussistenza di un danno “serio” per poter accedere alla tutela risarcitoria.
Di fatto si tratta di una ricostruzione figlia del più generale principio della tolleranza, secondo cui il risarcimento del danno non si occupa del mero disagio o fastidio patito dalla vittima di una violazione, in quanto connaturali al vivere civile.
Violazione della privacy e risarcimento del danno: i paletti della Cassazione
Le critiche dell’associazione Noyb di Max Schrems
Nonostante, quindi, la posizione dell’Avvocato Generale della CGUE non faccia che ribadire principi condivisi da molti degli ordinamenti comunitari, questo parere ha suscitato preoccupazione fra gli operatori e in particolare l’associazione Noyb che fa capo a Max Schrems ne ha denunciato il portato allarmante, affermando che una simile posizione, ove fatta propria dalla Corte di Giustizia, potrebbe ridurre fortemente l’applicazione dei diritti privacy degli europei.
Le critiche in questo caso sembrano cogliere nel segno solo parzialmente. Quel che lamentano Schrems e la sua associazione (la NYOB) è il fatto che ragionando come fa l’Avvocato Generale un soggetto danneggiato nel suo diritto alla riservatezza rischierebbe di spendere decine di migliaia di euro in un contenzioso che non porta a liquidazione di un danno solo perché ritenuto “sotto soglia”.
Il problema che rappresenta Schrems è però più di accesso alla giustizia (e dei suoi costi) che di diritto alla privacy.
Altro profilo è quello relativo al fatto che l’Avvocato Generale fa riferimento alla possibilità in questi casi di riconoscere altre forme di “tutela” in vigore negli stati membri, quali “dichiarazioni, danni nominali (liquidazione di somme simboliche) o ingiunzioni”, in sostanza si tratta di pronunce che danno formalmente ragione al soggetto vittima di una violazione GDPR ma senza liquidazione alcuna di un danno a suo favore.
Se l’accenno dell’Avvocato Generale a questi rimedi non è molto confortante, ciò non toglie che l’impianto assunto dallo stesso appare corretto: deve esistere una soglia oltre la quale il danno è risarcibile e una soglia al di sotto della quale invece il danno è talmente triviale da non meritare risarcimento, altrimenti si sfocia nel danno punitivo.
Conclusioni
Quello su cui invece Schrems ha ragione è che il parere dell’Avvocato Generale di fatto comporta una implicita “licenza” di frammentazione a livello di singoli stati UE del danno non materiale considerato risarcibile, con alcuni stati che potrebbero individuare “soglie” più basse ed altri molto più alte.
Questo problema è in effetti rilevante se si pensa che l’intento di armonizzazione della disciplina privacy che era nelle idee del legislatore europeo passa senz’altro anche dall’effettiva tutela risarcitoria e che in questo senso sarebbe certo utile che le istituzioni giudiziarie europee si spingessero più in medias res declinando fin da ora cosa si può intendere con “soglia di trivialità” e soprattutto contribuendo a contenerne lo “sviluppo” incontrollato.
Altrimenti si rischia che ogni stato si comporti come predilige in un settore in cui invece il legislatore comunitario vuole una tutela il più possibile armonizzata, con futuri e spezzettati correttivi su contenziosi in cui il rinvio pregiudiziale si concentri sul caso specifico del diniego di risarcimento per mancato superamento di questa famosa “soglia” con cui gli operatori da oggi si dovranno inevitabilmente confrontare.