Per poter comprendere la portata di questa decisione occorre innanzitutto analizzare le disposizioni relative al risarcimento del danno previste dal Regolamento 679/2016.
Indice
Il Diritto al risarcimento del danno nel GDPR
La possibilità di fare valere tale diritto in via giurisdizionale esisteva già nella normativa precedente, sebbene fosse poco esercitata. Infatti, è con l’entrata in vigore del Regolamento che le azioni di risarcimento del danno per violazioni del GDPR hanno assunto maggiore rilevo.
Il principio cardine sul Diritto al risarcimento e responsabilità è contenuto nell’articolo 82 del GDPR che dispone che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Il senso è ovviamente quello di attribuire all’interessato il diritto ad essere risarcito per ogni tipo di danno che quest’ultimo possa subire dalla lesione dalla violazione dei suoi dati personali. Viene così riconosciuta espressamente l’ammissibilità anche del danno immateriale che risponde all’obiettivo, sancito dal Considerando 146, ossia quello di garantire agli interessati di ottenere un pieno ed effettivo risarcimento per il danno subito (vedi anche Il risarcimento del danno da trattamento illecito di dati dall’art 15 del codice privacy all’art 82 gdpr e I danni da trattamento illecito dei dati come tutelarsi ).
Queste disposizioni lasciano però spazio a diversi interrogativi.
La persona offesa deve aver effettivamente subito un danno o la semplice violazione del GDPR è sufficiente per ottenere un risarcimento?
In quale misura può essere risarcibile il danno e con quali parametri va calcolato?
Nella sentenza in oggetto, la Corte di giustizia fornisce una risposta a questi quesiti.
ll caso C-300/21
Il caso in esame vede come protagonista l’Österreichische Post (uno dei principali operatori postali austriaci) è il titolare del trattamento coinvolto che ha raccolto informazioni sulle affinità politiche della popolazione austriaca. Sulla base di un algoritmo che tiene conto di vari criteri sociali e demografici, la società ha definito “indirizzi di gruppi target”. Nel contesto della sua attività, i dati raccolti hanno permesso all’Österreichische Post di stabilire che un soggetto aveva una forte affinità con un partito politico austriaco.
L’interessato, che non aveva dato il consenso al trattamento dei suoi dati personali, sostiene di aver provato un grave disagio, una perdita di fiducia e un senso di umiliazione a causa della determinazione di un’affinità particolare con il partito austriaco in questione. Lo stesso interessato, quindi, chiede la somma di 1.000 euro a titolo di risarcimento danni immateriali (disagio interiore) davanti ai tribunali austriaci.
Ma la richiesta risarcitoria, mette la Corte suprema austriaca di fronte agli stessi dubbi di applicazione sul principio del risarcimento danni, sopra riportato, rivolgendosi ai giudici del Lussemburgo che hanno fornito indicazioni applicabili a tutte le richieste di risarcimento danno.
È sufficiente la mera violazione del GDPR per integrare il diritto al risarcimento?
La Corte chiarisce che il titolare del trattamento o il responsabile del trattamento sono chiamati a risarcire i danni cagionati agli utenti (persone fisiche, definiti come soggetti interessati) ma che una mera violazione del GDPR non sia di per sé sufficiente a conferire tale diritto.
Per la Corte, infatti, il diritto al risarcimento deve dipendere da tre condizioni che devono sussistere contemporaneamente:
- una violazione del GDPR;
- danni materiali o immateriali derivanti da tale violazione;
- un nesso di causalità tra la violazione e il danno.
Pertanto, qualsiasi violazione del GDPR, da sola, non dà diritto al risarcimento.
Tale interpretazione, peraltro, è in linea con i considerando del GDPR sul diritto al risarcimento.
Possono essere risarciti anche i microdanni o serve superare una soglia di gravità?
Una delle questioni chiave è quella relativa alla risarcibilità del danno immateriale e sull’esistenza di una soglia minima di gravità.
La Corte ha osservato che il GDPR non fa riferimento ad alcuna soglia di gravità; pertanto, poste le condizioni di cui sopra, qualunque danno non patrimoniale è risarcibile, anche se di lieve entità.
D’altronde come chiarisce la Corte, subordinare il risarcimento di un danno immateriale ad una determinata soglia di gravità può nuocere alla coerenza del regime istituito dal GDPR, poiché la possibilità di ottenere o meno un risarcimento danni potrebbe variare in funzione della valutazione dei giudici competenti.
Come si calcola l’importo per il risarcimento dovuto?
La Corte ammette che il GDPR nulla dice circa il calcolo dell’importo risarcibile, essendo la questione devoluta alle leggi dei singoli stati. La sentenza richiama, però, al fatto che l’entità del risarcimento pecuniario, dev’essere effettuata rispetto ai principi di equivalenza e di effettività del diritto dell’Unione.
Conclusioni
La recente sentenza pone nuove basi per il sistema di risarcimento danni in materia di GDPR. Come abbiamo visto, l’indennizzo non è automatico occorre che coesistano le condizioni indicate alla Corte:
- una violazione del GDPR;
- la presenza di danni materiali o immateriali derivanti da tale violazione;
- e un nesso di causalità tra la violazione e il danno.
Una volta accertata le presenza delle stesse allora andrà risarcito anche il danno immateriale seppur di minima entità.
La tesi della Corte chiaramente appesantisce la posizione delle imprese, esponendole a filoni di cause o class action o azioni rappresentative, anche per importi irrisori potenzialmente vantati da ciascuna delle parti in causa.
Per essere pronti a rispondere ad eventuali richieste di risarcimento quali sono le misure che possono adottare i Titolari del trattamento?
Giova ricordare che l’imputabilità del titolare e del responsabile dovrà essere necessariamente “interpretata” alla luce del principio di responsabilizzazione o accountability che permea il GDPR (artt. 23- 25 del Regolamento EU) (vedi anche Privacy by design e privacy by default )
Tale principio si trasformerà in responsabilità civile quando si verificherà un danno e sarà quindi necessario accertare l’imputabilità dell’evento dannoso al titolare e al responsabile, i quali dovranno dimostrare di aver predisposto tutte le misure idonee a prevenire il danno; quindi, che tale danno si è verificato per un fatto che non poteva essere prevenuto (e quindi previsto) poiché esulava dal loro controllo (caso fortuito o forza maggiore).
Quindi la risposta per i Titolari del trattamento ancora una volta è l’accountability.
Diverse sono le evidenze che permettono di dimostrare che il danno non poteva essere ricondotto al controllo del titolare e del responsabile:
- l’adesione a codici di condotta approvati;
- la regolare tenuta di un registro delle attività di trattamento;
- rispettare il principio di trasparenza fornendo informative complete e puntuali dei trattamenti in essere agli interessati;
- la stesura di procedure per la corretta gestione dei data breach;
- il ricorrere a responsabili del trattamento con comprovata conoscenza specialistica per approntare le misure tecnico e organizzative richieste dal GDPR.
Tali “elementi” però non saranno da soli sufficienti, occorrerà infatti dimostrare che a monte sono state effettuate le opportune valutazioni rispetto ai trattamenti posti in essere. Quali ad esempio l’analisi dei rischi e la valutazione di impatto (DPIA) per i trattamenti ad alto rischio e che le misure di azzeramento o diminuzione del rischio implementate fossero proporzionali al grado di rischio che il trattamento presentava in origine.