Una recente sentenza della Corte di Giustizia dell’Unione Europea – di seguito scaricabile – ha fornito importanti chiarimenti in merito al risarcimento del danno per violazioni della normativa sulla privacy (GDPR).
La Corte ha stabilito che la mera violazione del GDPR non è sufficiente per ottenere un risarcimento. È necessario che l’interessato dimostri di aver effettivamente subito un danno, materiale o immateriale, causato da tale violazione.
Non è tuttavia richiesto che il danno raggiunga una particolare soglia di gravità.
Un aspetto interessante riguarda la possibilità di ottenere un risarcimento anche solo per il timore che i propri dati personali siano stati divulgati a terzi, senza che ciò sia effettivamente avvenuto.
La Corte ha ritenuto che tale timore possa fondare un diritto al risarcimento, purché vengano adeguatamente provate le conseguenze negative subite.
La sentenza ha origine da un caso in Germania, dove dei clienti di uno studio di consulenza fiscale avevano richiesto un risarcimento dopo che la loro dichiarazione dei redditi era stata erroneamente inviata al loro vecchio indirizzo.
Riguardo alla quantificazione del danno, la Corte ha precisato che il risarcimento ex art. 82 GDPR ha una funzione compensativa e non punitiva.
Non vanno quindi applicati i criteri previsti per le sanzioni amministrative. L’importo deve mirare esclusivamente a compensare integralmente il danno subito.
È stato inoltre chiarito che, nel determinare il quantum, non si deve tenere conto di eventuali violazioni di norme nazionali sulla protezione dei dati che non precisino il GDPR.
Tuttavia, il giudice nazionale potrebbe concedere un risarcimento maggiore in base al diritto interno, se ritenuto necessario.
In sintesi, la sentenza fornisce importanti linee guida per valutare la sussistenza del diritto al risarcimento e quantificarne l’importo in caso di violazioni della normativa privacy, bilanciando la tutela degli interessati con la necessità di provare l’effettiva sussistenza di un danno.