TUTELA DEI DATI PERSONALI
CGUE: la condanna al risarcimento del danno ai sensi dell’articolo 82 del GDPR non deve necessariamente essere aggravata per contestuale violazione di altre normative, pur restando libero il giudice di decidere discrezionalmente caso per caso.
La vicenda ha riguardato alcuni contribuenti tedeschi che si erano rivolti a un commercialista per la dichiarazione dei redditi. Questi aveva trasmesso il plico cartaceo via posta, ma a un indirizzo sbagliato, determinandosi una situazione per cui terzi non legittimati avevano avuto accesso ai dati fiscali dei contribuenti che avevano poi fatto causa per danni al commercialista.
Ai vari quesiti posti dal giudice del rinvio, la Corte di Giustizia UE ha risposto quanto segue.
In primo luogo, una violazione del GDPR non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi dell’articolo 82. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità.
In secondo luogo, La Corte chiarisce che il il timore nutrito da una persona che i suoi dati personali, a causa di una violazione del GDPR, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato.
Infine, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato sull’articolo 82 del GDPR:
non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 del GDPR;
non si deve conferire a tale diritto al risarcimento una funzione dissuasiva;
non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme del GDPR.
Ai vari quesiti posti dal giudice del rinvio, la Corte di Giustizia UE ha risposto quanto segue.
In primo luogo, una violazione del GDPR non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi dell’articolo 82. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità.
In secondo luogo, La Corte chiarisce che il il timore nutrito da una persona che i suoi dati personali, a causa di una violazione del GDPR, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato.
Infine, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato sull’articolo 82 del GDPR:
non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 del GDPR;
non si deve conferire a tale diritto al risarcimento una funzione dissuasiva;
non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme del GDPR.
