Language of document : ECLI:EU:C:2024:288

Edizione provvisoria

SENTENZA DELLA CORTE (Terza Sezione)

11 aprile 2024 (*)

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 82 – Diritto al risarcimento del danno causato da un trattamento di dati effettuato in violazione di tale regolamento – Nozione di “danno immateriale” – Incidenza della gravità del danno subito – Responsabilità del titolare del trattamento – Eventuale esonero in caso di errore di una persona che agisce sotto la sua autorità ai sensi dell’articolo 29 – Valutazione dell’importo del risarcimento – Inapplicabilità dei criteri previsti dall’articolo 83 per le sanzioni amministrative pecuniarie – Valutazione in caso di violazioni multiple di detto regolamento»

Nella causa C‑741/21,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Landgericht Saarbrücken (Tribunale del Land, Saarbrücken, Germania), con decisione del 22 novembre 2021, pervenuta in cancelleria il 1° dicembre 2021, nel procedimento

GP

contro

juris GmbH,

LA CORTE (Terza Sezione),

composta da K. Jürimäe, presidente di sezione, N. Piçarra e N. Jääskinen (relatore), giudici,

avvocato generale: M. Campos Sánchez-Bordona

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

–        per GP, da H. Schöning, Rechtsanwalt;

–        per la juris GmbH, da E. Brandt e C. Werkmeister, Rechtsanwälte;

–        per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Lane, in qualità di agenti, assistiti da D. Fennelly, BL;

–        per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti,

vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 82, paragrafi 1 e 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), in combinato disposto con gli articoli 29 e 83 di tale regolamento, nonché alla luce dei considerando 85 e 146 di quest’ultimo.

2        Tale domanda è stata presentata nell’ambito di una controversia tra GP, persona fisica, e la juris GmbH, società con sede in Germania, in merito al risarcimento dei danni che GP sostiene di aver subito a causa di diversi trattamenti dei suoi dati personali operati per finalità di marketing diretto, nonostante le opposizioni che aveva rivolto a detta società.

 Contesto normativo

3        I considerando 85, 146 e 148 del RGPD sono del seguente tenore:

«(85)      Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...)

(...)

(146)      Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. (...) Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (...)

(...)

(148)      Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento (…). Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l’autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. (...)».

4        L’articolo 4 di tale regolamento, intitolato «Definizioni», così recita:

«Ai fini del presente regolamento s’intende per:

1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)

(...)

7)      “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)

(...)

12)      “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

(...)».

5        L’articolo 5 del medesimo regolamento enuncia una seria di principi applicabili al trattamento di dati personali.

6        Contenuto nel capo III del RGPD, concernente i «[d]iritti dell’interessato», l’articolo 21 di quest’ultimo, intitolato «Diritto di opposizione», al suo paragrafo 3 prevede quanto segue:

«Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità».

7        Il capo IV del regolamento in esame, intitolato «Titolare del trattamento e responsabile del trattamento», include gli articoli da 24 a 43 di quest’ultimo.

8        L’articolo 24 di detto regolamento, intitolato «Responsabilità del titolare del trattamento», al paragrafo 1, enuncia quanto segue:

«1.      Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2.      Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento».

9        L’articolo 25 del medesimo regolamento, rubricato «Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita», al paragrafo 1, prevede quanto segue:

«Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati».

10      L’articolo 29 del RGPD, intitolato «Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento» così dispone:

«Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

11      L’articolo 32 del regolamento in parola, rubricato «Sicurezza del trattamento», prevede quanto segue:

«1.      Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

(...)

b)      la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

(...)

2.      Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

(...)

4.      Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

12      Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», contiene gli articoli da 77 a 84 di tale regolamento.

13      L’articolo 79 di detto regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», al paragrafo 1 così recita:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

14      L’articolo 82 di detto regolamento, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi da 1 a 3, così dispone:

«1.      Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2.      Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (...)

3.      Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

15      L’articolo 83 del RGPD, rubricato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», ai paragrafi 2, 3 e 5, stabilisce quanto segue:

«2.      (...) Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a)      la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b)      il carattere doloso o colposo della violazione;

(...)

k)      eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3.      Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

(...)

5.      In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a)      i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b)      i diritti degli interessati a norma degli articoli da 12 a 22;

(...)».

16      L’articolo 84 di tale regolamento, intitolato «Sanzioni», al paragrafo 1 prevede quanto segue:

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

 Procedimento principale e questioni pregiudiziali

17      Il ricorrente nel procedimento principale, una persona fisica che esercita in proprio la professione di avvocato, era cliente della juris, una società che gestisce una banca dati giuridica.

18      Il 6 novembre 2018, dopo aver appreso che i suoi dati personali erano utilizzati dalla juris anche per finalità di marketing diretto, il ricorrente nel procedimento principale ha revocato, per iscritto, tutti i suoi assensi a ricevere da tale società informazioni per posta elettronica o per telefono e si è opposto a qualsiasi trattamento di tali dati, salvo per l’invio delle newsletter di cui desiderava continuare ad essere destinatario.

19      Nonostante tale iniziativa, il ricorrente nel procedimento principale ha ricevuto, nel gennaio 2019, due prospetti pubblicitari inviati nominativamente al suo indirizzo professionale. Con lettera inviata alla juris il 18 aprile 2019, egli le ha ricordato la sua precedente opposizione a qualsiasi marketing diretto, le ha indicato che la creazione di tali prospetti aveva causato un trattamento illecito dei suoi dati e le ha chiesto un risarcimento del danno subito ai sensi dell’articolo 82 del RGPD. Avendo ricevuto un nuovo prospetto pubblicitario il 3 maggio 2019, egli ha reiterato la sua opposizione, questa volta notificandola alla juris tramite ufficiale giudiziario.

20      Ciascuno di detti prospetti conteneva un «codice personale di prova» che consentiva di accedere, sul sito Internet della juris, a un modulo d’ordine di prodotti di tale società contenente menzioni relative al ricorrente nel procedimento principale, come è stato constatato, su richiesta di quest’ultimo, da un notaio, il 7 giugno 2019.

21      Il ricorrente nel procedimento principale ha adito il Landgericht Saarbrücken (Tribunale del Land, Saarbrücken, Germania), giudice del rinvio nella presente causa, con un ricorso diretto ad ottenere, sulla base dell’articolo 82, paragrafo 1, del RGPD, il risarcimento del danno materiale da lui subito, connesso alle spese per l’ufficiale giudiziario e il notaio da lui sostenute, nonché del danno immateriale da lui patito. Egli sostiene, in particolare, di aver subito una perdita di controllo sui propri dati personali, a causa dei trattamenti di questi da parte della juris nonostante le sue opposizioni, e di poter ottenere un risarcimento a tale titolo, senza dover dimostrare gli effetti o la gravità della lesione dei suoi diritti, garantiti dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea e precisati da tale regolamento.

22      A sua difesa, la juris respinge qualsiasi responsabilità, facendo valere che essa aveva senz’altro istituito un sistema di gestione delle opposizioni al marketing diretto e che la tardiva presa in considerazione di quelle del ricorrente nel procedimento principale è dovuta o al fatto che uno dei suoi collaboratori non ha rispettato le istruzioni impartite, o al fatto che sarebbe stato eccessivamente oneroso tener conto di tali opposizioni. Essa sostiene che la mera violazione di un obbligo derivante dal RGPD, quale l’obbligo discendente dall’articolo 21, paragrafo 3, del medesimo, di per sé, non può costituire un «danno» ai sensi dell’articolo 82, paragrafo 1, del regolamento di cui trattasi.

23      In primo luogo, il giudice del rinvio parte, anzitutto, dall’assunto che il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD è subordinato al ricorrere di tre condizioni, vale a dire una violazione di tale regolamento, un danno materiale o immateriale, nonché un nesso di causalità tra tale violazione e tale danno. Tenuto conto delle pretese del ricorrente nel procedimento principale, esso si chiede poi se si debba nondimeno ritenere che una violazione del RGPD costituisca, di per sé, un danno immateriale che dà diritto a un risarcimento, in particolare, qualora la disposizione violata di tale regolamento conferisca un diritto soggettivo all’interessato. Infine, dato che il diritto tedesco subordina il risarcimento pecuniario di un danno immateriale alla condizione di una grave lesione dei diritti tutelati, tale giudice si chiede se una restrizione analoga debba applicarsi per quanto riguarda le domande di risarcimento ai sensi del RGPD, alla luce delle indicazioni relative alla nozione di «danno» di cui ai considerando 85 e 146 di tale regolamento.

24      In secondo luogo, tale giudice ritiene possibile che dall’articolo 82 del RGPD risulti che, qualora sia stata accertata l’esistenza di una violazione di tale regolamento, tale violazione è considerata imputabile al titolare del trattamento, con la conseguenza che quest’ultimo è responsabile per colpa presunta o addirittura senza colpa. Inoltre, dopo aver sottolineato che il paragrafo 3 di tale articolo non precisa i requisiti probatori specificamente connessi all’esonero previsto da tale paragrafo, rileva che, se al titolare del trattamento fosse consentito esimersi dalla propria responsabilità limitandosi a far valere, in termini generici, un comportamento colposo da parte di uno dei suoi collaboratori, ciò limiterebbe notevolmente l’effetto utile del diritto al risarcimento previsto dal paragrafo 1 di tale articolo.

25      In terzo luogo, il giudice del rinvio desidera sapere segnatamente se, per valutare l’importo del risarcimento pecuniario di un danno, in particolare di un danno immateriale, che sarebbe dovuto ai sensi dell’articolo 82 del RGPD, i criteri previsti all’articolo 83, paragrafi 2 e 5, di quest’ultimo, per decidere l’importo delle sanzioni amministrative pecuniarie, possano, o addirittura debbano, essere presi in considerazione anche nell’ambito di detto articolo 82.

26      In quarto e ultimo luogo, tale giudice rileva che, nella controversia di cui è investito, i dati personali del ricorrente nel procedimento principale sono stati oggetto di vari trattamenti per finalità di marketing diretto, nonostante le ripetute opposizioni dell’interessato. Esso cerca quindi di stabilire se, qualora esista una simile pluralità di violazioni del RGPD, queste ultime debbano essere prese in considerazione individualmente o globalmente, al fine di fissare l’importo del risarcimento eventualmente dovuto in forza dell’articolo 82 di tale regolamento.

27      Ciò premesso, il Landgericht Saarbrücken (Tribunale del Land, Saarbrücken) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se la nozione di “danno immateriale” di cui all’articolo 82, paragrafo 1, del RGPD debba essere intesa, alla luce dei considerando 85 e 146, terza frase, del RGPD, nel senso che esso comprende qualsiasi pregiudizio alla posizione giuridica protetta, indipendentemente dai suoi eventuali ulteriori effetti e dalla gravità di tale pregiudizio.

2)      Se la responsabilità per danni di cui all’articolo 82, paragrafo 3, del RGPD risulti esclusa dal fatto che la violazione della norma viene ricondotta a un errore umano nel caso specifico di un soggetto che agisce sotto l’autorità del titolare del trattamento o del responsabile del trattamento, ai sensi dell’articolo 29 del RGPD.

3)      Se sia consentito oppure necessario basare la quantificazione dei danni immateriali sui criteri di determinazione previsti dall’articolo 83 del RGPD, in particolare dai suoi paragrafi 2 e 5.

4)      Se il risarcimento dei danni debba essere stabilito per ogni singola violazione oppure se più violazioni – quantomeno analoghe – vengano sanzionate con un indennizzo complessivo che non è determinato dalla somma dei singoli importi, bensì risulta da una valutazione globale».

 Sulle questioni pregiudiziali

 Sulla prima questione

 Sulla ricevibilità

28      In via preliminare, la juris afferma, in sostanza, che la prima questione è irricevibile in quanto mira a stabilire se la concessione del diritto al risarcimento previsto dall’articolo 82 del RGPD sia subordinata alla condizione che il danno lamentato dall’interessato, come definito all’articolo 4, punto 1, di tale regolamento, abbia raggiunto un certo grado di gravità. Tale quesito sarebbe irrilevante ai fini della decisione della controversia principale, in quanto il danno fatto valere dal ricorrente nel procedimento principale, vale a dire una perdita di controllo sui propri dati personali, non si sarebbe prodotto, poiché tali dati sarebbero stati oggetto di un trattamento lecito, rientrando nel rapporto contrattuale che vincolava le parti della controversia di cui trattasi.

29      A tal proposito, si deve ricordare che spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni sottoposte alla Corte, le quali godono di una presunzione di rilevanza. Pertanto, quando la questione sollevata riguarda l’interpretazione o la validità di una norma di diritto dell’Unione, la Corte, in linea di principio, è obbligata a statuire, salvo qualora appaia in modo manifesto che l’interpretazione richiesta non ha alcun legame con la realtà effettiva o con l’oggetto del procedimento principale, qualora il problema sia ipotetico, o qualora la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile a tale questione [sentenza del 4 maggio 2023 del 4 maggio 2023, Österreichische Post (Danno morale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 23 e giurisprudenza ivi citata].

30      Nel caso di specie, la prima questione verte sulle condizioni richieste per l’esercizio del diritto al risarcimento di cui all’articolo 82 del RGPD. Inoltre, non risulta in modo evidente che l’interpretazione richiesta sia priva di ogni legame con il procedimento principale o che il problema sollevato sia ipotetico. Infatti, da un lato, tale controversia riguarda una domanda di risarcimento rientrante nel regime di protezione dei dati personali istituito dal RGPD. D’altro lato, la suddetta questione, in sostanza, mira a stabilire se, ai fini dell’applicazione delle norme in materia di responsabilità sancite dal regolamento in parola, sia necessaria non solo la sussistenza di un danno immateriale che si distingua dalla violazione di quest’ultimo, ma anche che tale danno superi una determinata soglia di gravità.

31      La prima questione è quindi ricevibile.

 Nel merito

32      Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata sia sufficiente, di per sé, a costituire un «danno immateriale», ai sensi della suddetta disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.

33      In via preliminare, occorre ricordare che l’articolo 82, paragrafo 1, del RGPD, dispone che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

34      La Corte ha già interpretato l’articolo 82, paragrafo 1, del RGPD nel senso che la mera violazione del suddetto regolamento non è sufficiente per conferire un diritto al risarcimento, in quanto l’esistenza di un «danno», materiale o immateriale, che sia stato «subito», costituisce una delle condizioni del diritto al risarcimento previsto da tale articolo 82, paragrafo 1, così come l’esistenza di una violazione di detto regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 58 e giurisprudenza ivi citata].

35      Pertanto, la persona che chiede il risarcimento di un danno immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un siffatto danno (v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punti 60 e 61 nonché giurisprudenza ivi citata).

36      Su tale punto, occorre rilevare che la Corte ha interpretato l’articolo 82, paragrafo 1, del RGPD nel senso che esso osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità, sottolineando al contempo che detto soggetto è nondimeno tenuto a dimostrare che la violazione di tale regolamento gli ha causato un siffatto danno immateriale (v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punti 59 e 60, nonché giurisprudenza ivi citata).

37      Quand’anche la disposizione del RGPD oggetto di una violazione attribuisse diritti alle persone fisiche, una siffatta violazione non può, di per sé, costituire un «danno immateriale», a norma del regolamento in esame.

38      È vero che dall’articolo 79, paragrafo 1, del RGPD risulta che ogni interessato ha diritto a un ricorso giurisdizionale effettivo, contro il titolare del trattamento o un eventuale responsabile del trattamento qualora ritenga che i «diritti di cui gode a norma del [suddetto] regolamento siano stati violati a seguito di un trattamento».

39      Tuttavia, tale disposizione si limita a conferire un diritto di ricorso alla persona che si ritiene vittima di una violazione dei diritti conferitile dal RGPD, senza dispensare quest’ultima dall’obbligo, ad essa incombente conformemente all’articolo 82, paragrafo 1, di tale regolamento, di provare di aver effettivamente subito un danno materiale o immateriale.

40      Ne consegue che la violazione di disposizioni del RGPD che conferiscono diritti all’interessato non è sufficiente, di per sé, a fondare un diritto sostanziale ad ottenere un risarcimento ai sensi di tale regolamento, il quale richiede che siano soddisfatte anche le altre due condizioni di tale diritto menzionate al punto 34 della presente sentenza.

41      Nel caso di specie, il ricorrente nel procedimento principale pretende di ottenere, sulla base del RGPD, il risarcimento di un danno immateriale, vale a dire una perdita di controllo sui propri dati personali che sono stati oggetto di trattamenti nonostante la sua opposizione, senza essere tenuto a dimostrare che tale danno abbia superato una certa soglia di gravità.

42      A tal riguardo, occorre rilevare che il considerando 85 del RGPD menziona espressamente la «perdita del controllo» tra i danni che possono essere causati da una violazione di dati personali. Inoltre, la Corte ha dichiarato che la perdita di controllo su tali dati, anche per un breve lasso di tempo, può costituire un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del suddetto regolamento, che dà diritto al risarcimento, a condizione che l’interessato dimostri di aver effettivamente subito un simile danno, per quanto minimo (v., in tal senso, sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 66 e giurisprudenza ivi citata).

43      Alla luce dei motivi che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.

 Sulla seconda questione

44      Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82 del RGPD debba essere interpretato nel senso che è sufficiente che il titolare del trattamento, per essere esonerato dalla responsabilità conformemente al paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, ai sensi dell’articolo 29 di tale regolamento.

45      Occorre ricordare al riguardo che l’articolo 82 del RGPD, al suo paragrafo 2, dispone che qualsiasi titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi tale regolamento» e, al suo paragrafo 3, che il titolare del trattamento è esonerato dalla responsabilità di cui al paragrafo 2, se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

46      La Corte ha già constatato che da un’analisi combinata dei paragrafi 2 e 3 di tale articolo 82 risulta che quest’ultimo prevede un regime di responsabilità per colpa, nel quale si presume che il titolare del trattamento abbia partecipato al trattamento che costituisce la violazione del RGPD di cui trattasi, cosicché l’onere della prova grava non sulla persona che ha subito un danno, bensì sul titolare del trattamento (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti da 92 a 94).

47      Per quanto riguarda la questione se il titolare del trattamento possa essere esonerato dalla sua responsabilità, in virtù dell’articolo 82, paragrafo 3, del RGPD, per il solo motivo che tale danno è stato causato dal comportamento colposo di una persona che agisce sotto la sua autorità, conformemente all’articolo 29 del regolamento di cui trattasi, da un lato, da detto articolo 29 risulta che le persone che agiscono sotto l’autorità del titolare del trattamento, come i suoi dipendenti, che hanno accesso a dati personali, possono, in linea di principio, trattare tali dati solo su istruzione di detto titolare e conformemente alle stesse (v., in tal senso, sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punti 73 e 74).

48      D’altro lato, l’articolo 32, paragrafo 4, del RGPD, relativo alla sicurezza del trattamento dei dati personali, prevede che il titolare del trattamento adotti misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità e abbia accesso a tali dati, non li tratti, se non su istruzione del titolare del trattamento, a meno che non vi sia obbligata dal diritto dell’Unione o degli Stati membri.

49      Orbene, un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità.

50      Nel caso di specie, nelle sue osservazioni scritte dinanzi alla Corte, la juris afferma, in sostanza, che il titolare del trattamento dovrebbe essere esonerato dalla sua responsabilità, in forza dell’articolo 82, paragrafo 3, del RGPD, qualora la violazione che ha causato il danno in questione sia imputabile al comportamento di uno dei suoi dipendenti che non ha rispettato le istruzioni impartite da detto titolare e purché tale violazione non sia dovuta a un inadempimento degli obblighi di quest’ultimo enunciati, in particolare, agli articoli 24, 25 e 32 del regolamento in parola.

51      A tal riguardo, va sottolineato che le circostanze dell’esonero di cui all’articolo 82, paragrafo 3, del RGPD devono essere strettamente limitate a quelle in cui il titolare del trattamento è in grado di dimostrare, da parte sua, la mancanza di imputabilità del danno (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 70). Pertanto, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, detto titolare può beneficiare di tale esonero unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati, ad esso incombente in forza degli articoli 5, 24 e 32 di tale regolamento, e il danno subito dall’interessato (v., per analogia, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 72).

52      Pertanto, affinché il titolare del trattamento possa essere esonerato dalla sua responsabilità, in forza dell’articolo 82, paragrafo 3, del RGPD, non può essere sufficiente che egli dimostri di aver dato istruzioni alle persone che agiscono sotto la sua autorità, a norma dell’articolo 29 di tale regolamento, e che una di dette persone sia venuta meno al suo obbligo di seguire tali istruzioni, cosicché essa ha contribuito al verificarsi del danno di cui trattasi.

53      Infatti, se si ammettesse che il titolare del trattamento può esimersi dalla propria responsabilità limitandosi ad invocare l’errore di una persona che agisce sotto la sua autorità, ciò nuocerebbe all’effetto utile del diritto al risarcimento sancito all’articolo 82, paragrafo 1, del RGPD, come rilevato in sostanza dal giudice del rinvio, e ciò non sarebbe conforme all’obiettivo di tale regolamento consistente nel garantire un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei loro dati personali.

54      Alla luce di quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 82 del RGPD deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento.

 Sulle questioni terza e quarta

55      Con le sue questioni terza e quarta, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, occorre, da un lato, applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardano la persona che richiede il risarcimento.

56      In primo luogo, per quanto riguarda un’eventuale presa in considerazione dei criteri enunciati all’articolo 83 del RGPD al fine di valutare l’importo del risarcimento dovuto in virtù dell’articolo 82 di quest’ultimo, è pacifico che queste due disposizioni perseguono obiettivi diversi. Infatti, mentre l’articolo 83 del regolamento in parola determina le «[c]ondizioni generali per infliggere sanzioni amministrative pecuniarie», l’articolo 82 di detto regolamento disciplina il «[d]iritto al risarcimento e [la] responsabilità».

57      Ne consegue che i criteri enunciati all’articolo 83 del RGPD al fine di determinare l’importo delle sanzioni amministrative pecuniarie, che sono a loro volta menzionati al considerando 148 di tale regolamento, non possono essere utilizzati per valutare l’importo del risarcimento danni in forza dell’articolo 82 di quest’ultimo.

58      Come già evidenziato dalla Corte, il RGPD non contiene disposizioni relative alla valutazione del risarcimento danni dovuto a titolo del diritto al risarcimento sancito dall’articolo 82 di tale regolamento. Pertanto, ai fini della suddetta valutazione, i giudici nazionali devono applicare, in forza del principio di autonomia processuale, le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione, quali definiti dalla giurisprudenza costante della Corte (v., in tal senso, sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 83 e 101 nonché giurisprudenza ivi citata, e del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 53).

59      In tale contesto, la Corte ha sottolineato che l’articolo 82 del RGPD riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute nel capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che perseguono, dal canto loro, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. Il rapporto tra le norme sancite in detto articolo 82 e quelle sancite nei suddetti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti (sentenza del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 47 e giurisprudenza ivi citata).

60      Peraltro, dal fatto che il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD non svolge una funzione dissuasiva, o addirittura punitiva, la Corte ha dedotto che la gravità della violazione di tale regolamento che ha causato l’asserito danno materiale o immateriale non può incidere sull’importo del risarcimento concesso ai sensi di tale disposizione. Ne consegue che tale importo non può essere fissato ad un livello che vada oltre la piena compensazione di tale danno (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 86).

61      In riferimento al considerando 146, sesta frase, del RGPD, in base al quale tale strumento è volto a garantire un «pieno ed effettivo risarcimento per il danno subito», la Corte ha rilevato che, tenuto conto della funzione compensativa del diritto al risarcimento previsto all’articolo 82 di tale regolamento, un risarcimento pecuniario fondato su tale articolo deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo (sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 84 e giurisprudenza ivi citata).

62      Pertanto, alla luce delle differenze di formulazione e di finalità esistenti tra l’articolo 82 del RGPD, letto alla luce del suo considerando 146, e l’articolo 83 del regolamento summenzionato, letto alla luce del suo considerando 148, non si può ritenere che i criteri di valutazione specificamente enunciati in tale articolo 83 siano applicabili mutatis mutandis nell’ambito di detto articolo 82, sebbene i mezzi di ricorso previsti da queste due disposizioni siano effettivamente complementari per garantire il rispetto del medesimo regolamento.

63      In secondo luogo, per quanto riguarda il modo in cui i giudici nazionali devono valutare l’importo di un risarcimento pecuniario ai sensi dell’articolo 82 del RGPD nei casi di violazioni multiple di tale regolamento che riguardano uno stesso interessato, occorre anzitutto sottolineare che, come menzionato al punto 58 della presente sentenza, spetta a ciascuno Stato membro fissare i criteri che consentono di determinare l’importo di un simile risarcimento, fatto salvo il rispetto dei principi di effettività e di equivalenza del diritto dell’Unione.

64      Tenuto poi conto della funzione non punitiva ma compensativa dell’articolo 82 del RGPD, richiamata ai punti 60 e 61 della presente sentenza, la circostanza che più violazioni siano state commesse dal titolare del trattamento, nei confronti dello stesso interessato, non può costituire un criterio rilevante ai fini della valutazione del danno da riconoscere a tale interessato ai sensi del suddetto articolo 82. Infatti, solo il danno concretamente subito da quest’ultimo deve essere preso in considerazione per determinare l’importo del risarcimento pecuniario dovuto a titolo di compensazione.

65      Di conseguenza, occorre rispondere alle questioni terza e quarta dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, non si deve tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento.

 Sulle spese

66      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice del rinvio, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara:

1)      L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che:

una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.

2)      L’articolo 82 del regolamento 2016/679

deve essere interpretato nel senso che:

non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento.

3)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, non si deve tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento.

Firme

*      Lingua processuale: il tedesco.