La CGUE sulla funzione del risarcimento del danno privacy

La Corte di Giustizia dell’Unione Europea accoglie le osservazioni proposte dall’avvocato Generale (testo in calce) Campos Sànchez-Bordona lo scorso 25 maggio 2023 e, nella causa C-667/21, con sentenza 21 dicembre 2023 (testo in calce), ricostruisce la funzione del risarcimento del danno ai sensi dell’articolo 82 del GDPR.

GDPR e Normativa Privacy Commentario, di Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale (d.lgs. n. 101/2018). Scarica gratuitamente l'estratto

1. I fatti e le questioni pregiudiziali

La vicenda ha luogo in Germania e vede coinvolti il MDK Nordhrein (“MDK”), un organismo di diritto pubblico che, in qualità di servizio medico delle casse di assicurazione malattia, redige perizie sull’inabilità al lavoro degli assicurati, anche relative ai propri dipendenti – in qualità di titolare del trattamento – e ZQ, amministratore di sistema del reparto IT di MDK – interessato.

Per policy interna, nei casi di necessaria perizia nei confronti dei propri lavoratori, MDK affida l’incarico ai “membri dell’unità organizzativa casi particolari”, che trattano i dati dei dipendenti seguendo procedure ad hoc e implementando specifiche misure di sicurezza per tutelare la riservatezza degli interessati.

Per motivi di salute, ZQ viene collocato in stato di inabilità al lavoro per motivi di salute. Così la cassa di assicurazione malattia cui egli era affidato chiede al MDK di redigere una perizia relativa a ZQ, che svolge l’istruttoria coinvolgendo il medico curante dell’interessato e, infine, archivia la perizia nel sistema elettronico. ZQ, scoperta l’esistenza di una istruttoria dal proprio medico curante, contatta una collega del reparto IT del MDK chiedendole di fotografare la perizia e inviargliela.

ZQ propone ricorso dinanzi al tribunale del lavoro chiedendo un risarcimento per il danno subito come conseguenza della violazione di dati personali. Il giudice di prima cure respinge le domande del ricorrente che vengono altresì respinte in appello. Così, ZQ propone ricorso dinanzi alla Corte Federale del Lavoro, che sottopone alla Corte di Giustizia dell’Unione Europea alcune questioni pregiudiziali.

Di queste, ai fini della disamina ivi proposta, rilevano la quarta e la quinta con le quali il Giudice del rinvio chiede se il diritto al risarcimento previsto all’articolo 82, paragrafo 1, GDPR, svolga una mera funzione compensativa, o se, al contrario, debba essere interpretato nel senso che assolva pure una funzione punitiva e/o dissuasiva; in secondo luogo, se l’esistenza e/o la prova di una colpa costituiscano condizioni richieste ai fini del sorgere della responsabilità del titolare del trattamento e quale ripercussione possa avere il grado di colpa di quest’ultimo sulla valutazione concreta del risarcimento da riconoscere a titolo del danno immateriale subito.

2. La risarcibilità del danno

La Corte di Giustizia dell’Unione Europea, sulla quarta questione pregiudiziale proposta dal Giudice del rinvio, avvia l’interpretazione ricordando il disposto dell’art. 82, paragrafo 1, del GDPR.

Ai sensi di tale norma “chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento medesimo ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento” o dal responsabile del trattamento.

La Corte, in primis, afferma che la violazione del GDPR è condizione necessaria, ma non sufficiente all’insorgenza del diritto al risarcimento del danno, concorrendo, infatti, altri due requisiti: l’esistenza di un danno che sia stato “subito” dall’interessato e il nesso di causalità tra il danno e la violazione.

Tale strumento ha la funzione di garantire un pieno ed effettivo risarcimento per il danno subito, che i giudici nazionali devono stimare applicando, in forza del principio di autonomia processuale, le norme interne di ciascuno Stato membro (non contenendo, il GDPR, disposizioni relative alla valutazione del risarcimento).

Da ciò, la CGUE conclude che a differenza degli articoli 83 e 84 del GDPR – i quali svolgono una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni – l’articolo 82 del GDPR “svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva”.

Pertanto, poiché l’importo fissato a titolo di risarcimento non può essere stabilito ad un livello che vada oltre la piena compensazione del danno, la gravità della violazione del regolamento che ha causato il danno non può incidere sull’importo del risarcimento concesso in base a tale disposizione, anche qualora si tratti di un danno non materiale.

Relativamente alla quinta questione pregiudiziale avanzata dal Giudice del rinvio, la CGUE indaga se l’articolo 82 del GDPR debba essere interpretato nel senso che il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo e se il grado di tale colpa debba essere preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione.

Come anticipato, l’articolo 82 del GDPR subordina il risarcimento alla presenza di tre elementi: l’esistenza di una violazione del Regolamento, il danno subito e il nesso di causalità tra questi.

Il paragrafo 3 del menzionato articolo 82 sancisce che il titolare è esonerato da responsabilità se riesce a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

Da ciò la CGUE ne deriva che l’onere della prova è posta a carico non della persona che ha subito il danno, ma del titolare del trattamento.

Questa interpretazione trova confronto nei considerando dal 4 a 8 del Regolamento, che palesano l’obiettivo perseguito dal GDPR stesso: quello di consentire lo sviluppo dell’economia digitale garantendo al contempo un elevato livello di tutela delle persone.

Da ciò, secondo la CGUE, “un meccanismo di responsabilità per colpa, accompagnato da un’inversione della prova, consente proprio di garantire tale obiettivo”. Infatti, tanto ritenere che debbano essere gli interessati a farsi carico dell’onere della prova dell’esistenza della violazione, del danno, e del nesso causale, quanto applicare un regime di responsabilità oggettivo, sarebbe contrario a tale primario obiettivo.

Pertanto, la CGUE risponde alla quinta questione pregiudiziale dichiarando che l’articolo 82 del GDPR debba essere interpretato nel senso che “da un lato, il sorgere della responsabilità del titolare del trattamento è subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento riconosciuto a titolo di danno immateriale in base a tale disposizione”.

3. Conclusioni

È ormai assodato che il risarcimento di cui all’articolo 82 del GDPR è volto a compensare il danno subito dall’interessato.

La CGUE ricorda anche il GDPR rinvia agli Stati Membri la possibilità di determinare le modalità di computo del risarcimento in base alle normative interne.

Inoltre, come ben sintetizzato dall’avvocato generale della causa, “Per la vittima è indifferente che nella causazione del danno vi sia stata o meno colpa dell’autore: l’elemento determinante è che il gestore del trattamento abbia causato alla vittima il danno, materiale o morale, conseguente alla violazione del RGPD dallo stesso commessa”.

IN COLLABORAZIONE CON

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!