L’entrata in vigore del Regolamento generale sulla protezione dei dati (Gdpr)
Non vi è dubbio che la nostra società stia subendo una trasformazione e la tecnologia stia filtrando nelle vite quotidiane con crescente intensità.
Ciò comporta evidenti rischi per la privacy delle persone. Potenzialmente, tutti coloro che utilizzano device elettronici (smartphone, tablet, etc.) possono essere costantemente tracciati.
Il legislatore europeo è stato un precursore su questo tema e ha introdotto già nel 2018 il Regolamento per la tutela dei dati personali (meglio conosciuto come “Gdpr”).
Attraverso tale strumento si è data voce alle istanze di difesa dei cittadini i quali vedano violato il loro diritto alla privacy.
D’altra parte, vi è un altro “lato della medaglia” da considerare.
Le casistiche in cui si possono ravvisare violazioni di dati personali sono potenzialmente infinite e non necessariamente tutte di una gravità tale da essere meritevoli di tutela.
Vi è invece il concreto rischio che il Gdpr venga chiamato in causa in maniera “distorta”.
In questo senso, si è diffusa per esempio “a macchia d’olio” una pratica particolarmente sgradevole per cui le società vengono contattate da persone che, al solo fine di “estorcere” del denaro, lamentano violazioni della loro privacy, a fronte di asserite mancanze sulla base del Gdpr.
Conseguentemente, da più parti si è affermato come vi sarebbe la necessità di mettere un freno a tali condotte e che le corti nazionali (o le autorità competenti) non dovrebbero assecondare richieste di questo tipo basate su violazioni (ritenute) “minori” o estemporanee del Gdpr.
La sentenza della Corte di Giustizia europea che “apre la porta” al risarcimento di qualsiasi violazione del Gdpr
Su questa scia, desta sicuramente interesse la sentenza della Corte di Giustizia europea (“Cgue”) del 4 maggio 2023 nella causa C-300/21.
Il contenzioso aveva origine in Austria, ove una società aveva raccolto informazioni sulle affinità politiche della popolazione, cedendo contro corrispettivo i dati così generati a diverse organizzazioni per consentire loro di effettuare invii pubblicitari mirati.
Di qui, un cittadino austriaco che non aveva acconsentito al trattamento dei suoi dati personali aveva proposto, dinanzi al Tribunale del Land di Vienna competente in materia civile, un ricorso diretto, da un lato, a ingiungere alla società di cessare il trattamento dei dati personali in questione, e, dall’altro, a che la stessa fosse condannata a versargli un importo pari a circa 1.000 euro a titolo di risarcimento del danno immateriale che egli affermava di aver subito.
Il giudice – con decisione poi confermata in appello – aveva accolto la domanda inibitoria ma non quella di risarcimento.
Successivamente, la Corte suprema austriaca, emersa la necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia europea alcune questioni pregiudiziali.
Nell’occasione, la Cgue si è così pronunciata su alcuni punti cruciali.
In prima battuta, ha affermato che sono tre i requisiti che, congiuntamente, devono sussistere ai fini del risarcimento del danno: la violazione del Gdpr, l’esistenza di un danno e il nesso di causalità tra questi. Di conseguenza, non esiste un diritto al risarcimento “automatico” risultante dalla mera violazione del regolamento.
La Corte si è poi trovata a valutare altresì se possa essere introdotto un “tetto” di valore minimo al danno per violazioni del Gdpr al di sotto del quale non potrebbe essere allocato alcun risarcimento (posto che, nel caso specifico, la richiesta di 1.000 euro era stata considerata talmente “risibile” dal ricorrente da non dover nemmeno essere presa in considerazione). In argomento, premessa l’assenza di una definizione di danno all’interno del Gdpr, la Corte ha notato che l’articolo 82, comma 1, del medesimo regolamento riferisce che “… chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento …”. Partendo da tale previsione la Cgue ha dunque concluso, nella sostanza, che qualsiasi danno potrebbe essere risarcito (non potendosi porre alcun “tetto” di valore minimo al risarcimento per una violazione privacy).
Le conseguenze pratiche della pronuncia della Corte di Giustizia europea
A ben vedere la sentenza della Corte di Giustizia europea è molto rilevante.
Senza dubbio va a “colpire” le condotte di coloro i quali si limitano ad allegare al giudice nazionale una violazione del Gdpr chiedendo risarcimento senza poi dare conto:
(i) di aver effettivamente patito un danno;
(ii) che quel danno sia conseguenza diretta dell’asserita violazione. Tale principio, garantisce in effetti un importante effetto deflattivo per questo particolare tipo di contenzioso (che comunque non era certo estraneo al nostro Ordinamento).
A ben vedere l’aspetto più rilevante della pronuncia della Cgue è però quello che sembra “avvallare” (una volta che ricorrano le condizioni sopra citate) il risarcimento di qualsiasi violazione della privacy a prescindere dal suo valore.
Ciò sembra rappresentare un deciso “cambio di paradigma”. La giurisprudenza nazionale, benché non sempre uniforme, si era sinora espressa in maniera opposta (cfr. Corte di Cassazione n. 16133/2014), richiedendo, pur in presenza di un danno, la verifica della “gravità della lesione” e la “serietà del danno” stesso. Ciò perché “… opera il bilanciamento del diritto tutelato da detta disposizione (diritto alla riservatezza) con il principio di solidarietà – di cui il principio di tolleranza è intrinseco precipitato – il quale, nella sua imminente configurazione, costituisce il punto di mediazione che permette all’ordinamento di salvaguardare il diritto del singolo nell’ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva …”.
In altre parole, si sembravano “chiudere le porte” a forme di tutela per danni minimi per non rischiare di “bloccare” la giustizia.
La Cgue sembra ora aver imboccato una strada diversa per cui, in linea di principio, non si può escludere di partenza il risarcimento (anche minimo) per violazioni della privacy.
Conclusioni
Sulla base di tutto quanto sopra, sembra dunque si possano trarre due indicazioni di massima nell’ottica dei probabili futuri sviluppi: in primo luogo, le società dovranno prestare sempre più attenzione a tutti gli adempimenti Gdpr previsti dalla normativa e anche a quelli che sembrerebbero di natura più “formale”. Infatti, non si può escludere che, per violazioni ritenute di poco conto, si debbano poi dover fronteggiare plurimi contenziosi seppure a fronte di pretese monetarie “bagatellari”.
Inoltre, nel momento in cui si ricevono richieste di risarcimento danni in via stragiudiziale da un determinato soggetto che lamenta violazioni privacy (che seppure a prima vista possano sembrare pretestuose), occorre comunque non sottovalutare l’episodio e fornire sempre un riscontro avvalendosi di assistenza legale di specialisti laddove ciò dovesse sembrare opportuno.
(Articolo scritto in collaborazione con Jacopo Piemonte e Federico Aluigi, studio legale De Berti Jacchia Franchini Forlani)