La mera violazione del Regolamento generale sulla protezione dei dati (GDPR) non è sufficiente per dare luogo, da sola, a un diritto al risarcimento per le persone. È quanto ha stabilito la Corte di Giustizia Europea nella sentenza emessa lo scorso 4 maggio nella causa C-300/21 UI contro Österreichische Post (il servizio postale austriaco). Secondo la Corte, infatti, l’articolo 82 richiede l’accertamento di un “danno” materiale o non materiale; un’effettiva violazione del GDPR e un nesso causale tra i due. Tuttavia, la CGUE ha anche stabilito che il diritto al risarcimento previsto dal GDPR non può essere subordinato al soddisfacimento di una certa soglia di “gravità”.

Il caso trae origine dal ricorso presentato da un cittadino austriaco che chiedeva al tribunale austriaco l’emissione di un provvedimento ingiuntivo ed il riconoscimento di un risarcimento di 1000 euro nei confronti delle Poste Austriache per aver trattato i propri dati senza il relativo consenso. A partire dal 2017, invero, le poste austriache, attraverso l’uso di un algoritmo, hanno trattato, senza consenso, dati relativi alle reali o probabili affinità politiche dei cittadini austriaci e, nello specifico, avevano assegnato il ricorrente a un particolare partito politico in Austria, causando un danno non materiale consistente nel “turbamento, perdita di fiducia e sensazione di esposizione”.

La controversia è giunta alla valutazione della Corte Suprema austriaca, che ha chiesto alla CGUE di chiarire se la mera violazione del GDPR sia sufficiente a far sorgere un diritto al risarcimento ai sensi dell’articolo 82 e, inoltre, se un eventuale risarcimento per danni non materiali possa essere subordinato al fatto che i presunti danni abbiano “un certo peso” al di là del “turbamento”, soddisfacendo di fatto una certa soglia di “gravità”. La Corte suprema austriaca ha chiesto, inoltre, quali siano i requisiti del diritto comunitario per la determinazione dell’importo del risarcimento.

Diritto al risarcimento. La CGUE ha chiarito che, affinché sorga il diritto al risarcimento, devono essere soddisfatte tre condizioni cumulative: una violazione del GDPR, un danno materiale o morale derivante da tale violazione e un nesso causale tra il danno e la violazione. Di conseguenza, la CGUE ha stabilito che la mera violazione di una disposizione del GDPR non è sufficiente a conferire il diritto al risarcimento, senza che il ricorrente dimostri qualcosa di più, in particolare che ha subito un danno e che la violazione in questione lo ha effettivamente causato.

Gravità del danno. La CGUE ha affermato che gli Stati membri non possono condizionare il diritto al risarcimento del danno morale al previo raggiungimento di una soglia di “gravità”, osservando che i termini di cui all’articolo 82, compreso il termine “danno”, devono essere interpretati in modo “autonomo e uniforme” nell’UE. La Corte ha attribuito particolare importanza ad altre disposizioni del GDPR nel ritenere che la nozione di “danno” debba essere interpretata in modo estensivo. Inoltre, la Corte ha osservato concretamente che qualsiasi altro risultato porterebbe ad assoggettare le richieste di risarcimento alla “serietà” dei diversi Stati membri.

Determinazione del risarcimento. La Corte ha osservato che il GDPR non contiene alcuna norma per determinare l’importo del risarcimento da corrispondere ai ricorrenti una volta che questi abbiano accertato il loro diritto. Su questo punto, la CGUE ha affermato che i tribunali nazionali dell’UE devono applicare le norme nazionali esistenti quando decidono l’importo del risarcimento da assegnare ai ricorrenti, a condizione che siano rispettati i principi di equivalenza e di efficacia del diritto dell’UE. Il risultato pratico è che il livello di risarcimento civile concesso negli Stati membri per la stessa violazione del GDPR continuerà senza dubbio a variare in futuro. In altre parole, mentre gli standard del GDPR per la concessione di risarcimenti per danni non materiali possono essere allineati a seguito di questa pronuncia, non lo saranno i risarcimenti reali.