Language of document : ECLI:EU:C:2024:536

SENTENZA DELLA CORTE (Terza Sezione)

20 giugno 2024 (*)

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 82, paragrafo 1 – Diritto al risarcimento del danno causato da un trattamento di dati effettuato in violazione di tale regolamento – Nozione di “danno immateriale” – Incidenza della gravità del danno subito – Valutazione dell’importo del risarcimento – Domanda di risarcimento di un danno immateriale fondata su un timore – Inapplicabilità dei criteri previsti per le sanzioni amministrative pecuniarie all’articolo 83 – Funzione dissuasiva – Valutazione in caso di violazioni simultanee di detto regolamento e del diritto nazionale»

Nella causa C‑590/22,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Amtsgericht Wesel (Tribunale circoscrizionale, Wesel, Germania), con decisione del 5 agosto 2022, pervenuta in cancelleria il 9 settembre 2022, nel procedimento

AT,

BT

contro

PS GbR,

VG,

MB,

DH,

WB,

GS,

LA CORTE (Terza Sezione),

composta da K. Jürimäe, presidente di sezione, K. Lenaerts, presidente della Corte, facente funzione di giudice della Terza Sezione, N. Piçarra, N. Jääskinen (relatore) e M. Gavalec, giudici,

avvocato generale: M. Campos Sánchez-Bordona

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

–        per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Tierney, in qualità di agenti, assistiti da D. Fennelly, BL;

–        per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti,

vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2        Tale domanda è stata presentata nell’ambito di una controversia tra, rispettivamente, AT e BT, ricorrenti nel procedimento principale, da un lato, e la PS GbR, una società di consulenza fiscale, nonché VG, MB, DH, WB e GS, i soci della PS, dall’altro, in relazione al diritto dei ricorrenti nel procedimento principale di ottenere il risarcimento dei danni, ai sensi dell’articolo 82, paragrafo 1, del RGPD, a titolo di riparazione per le sofferenze che essi affermano di aver patito in ragione del fatto che la loro dichiarazione dei redditi che conteneva dati personali è stata divulgata a terzi senza il loro consenso a seguito di un errore commesso dalla PS.

 Contesto normativo

3        I considerando 85, 146 e 148 del RGPD sono formulati come segue:

«(85)      Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...)

(...)

(146)      Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (...)

(...)

(148)      Per rafforzare il rispetto delle norme del presente regolamento, dovrebbero essere imposte sanzioni, comprese sanzioni amministrative pecuniarie per violazione del regolamento (...). Si dovrebbe prestare tuttavia debita attenzione alla natura, alla gravità e alla durata della violazione, al carattere doloso della violazione e alle misure adottate per attenuare il danno subito, al grado di responsabilità o eventuali precedenti violazioni pertinenti, alla maniera in cui l’autorità di controllo ha preso conoscenza della violazione, al rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento, all’adesione a un codice di condotta e eventuali altri fattori aggravanti o attenuanti. (...)».

4        L’articolo 4 di tale regolamento, intitolato «Definizioni», così prevede:

«Ai fini del presente regolamento s’intende per:

1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)

(...)

7)      “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)

(...)

10)      “terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

(...)

12)      “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

(...)».

5        Ai sensi dell’articolo 79, paragrafo 1, di detto regolamento:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

6        L’articolo 82 di quest’ultimo, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi da 1 a 3, così dispone:

«1.      Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2.      Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (...)

3.      Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

7        L’articolo 83 del medesimo regolamento, rubricato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», ai paragrafi 2, 3 e 5, così recita:

«2.      (...) Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a)      la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o [l]a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b)      il carattere doloso o colposo della violazione;

(...)

k)      eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

3.      Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.

(...)

5.      In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a [EUR] 20 000 000, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a)      i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b)      i diritti degli interessati a norma degli articoli da 12 a 22;

(...)».

 Procedimento principale e questioni pregiudiziali

8        I ricorrenti nel procedimento principale, AT e BT, sono clienti della PS, uno studio di consulenza fiscale. Essi hanno informato tale studio di consulenza del loro cambiamento di indirizzo postale, che è stato registrato nel sistema informatico per il trattamento dei dati della PS. Il nuovo indirizzo dei ricorrenti nel procedimento principale è stato successivamente utilizzato dalla PS per l’invio di diverse lettere.

9        Nel mese di luglio 2020 i ricorrenti nel procedimento principale hanno chiesto alla PS di redigere la loro dichiarazione dei redditi per l’anno 2019. Non avendo ricevuto alcuna risposta, essi hanno contattato la PS che li ha informati del fatto che tale dichiarazione dei redditi era effettivamente stata loro inviata per posta il 29 settembre 2020, senza precisare l’indirizzo al quale detta posta era stata spedita.

10      I nuovi abitanti presso il loro precedente indirizzo li hanno informati del fatto che era pervenuta a tale indirizzo una busta indirizzata a loro nome e che l’avevano aperta per errore. Uno di tali nuovi abitanti ha indicato che, dopo aver constatato che la posta di cui trattasi non gli era indirizzata, aveva ricollocato nella busta i documenti che vi aveva trovato. Egli ha quindi consegnato quest’ultima a parenti residenti in prossimità del vecchio indirizzo dei ricorrenti nel procedimento principale affinché questi ultimi potessero recuperarla.

11      Quando i ricorrenti nel procedimento principale hanno recuperato la busta di cui trattasi, hanno constatato che vi figuravano solo una copia della dichiarazione dei redditi nonché una lettera di accompagnamento. Essi presumono, tuttavia, che tale busta contenesse anche la versione originale di detta dichiarazione dei redditi, che comprendeva dati personali tra i quali figuravano i nomi e le date di nascita loro e dei loro figli, i loro codici di identificazione fiscale, le loro coordinate bancarie, o ancora indicazioni relative alla loro appartenenza a una comunità religiosa, allo stato di persona disabile di un membro della loro famiglia, alle loro professioni e ai loro luoghi di lavoro, o a diverse spese da loro effettuate.

12      A tal riguardo, il giudice del rinvio precisa che non è stato possibile stabilire quali documenti si trovassero inizialmente in detta busta né determinare in quale misura i nuovi abitanti presso il vecchio indirizzo dei ricorrenti nel procedimento principale fossero venuti o meno a conoscenza del contenuto della medesima busta. Esso indica altresì che l’invio della posta di cui trattasi ad un indirizzo errato risultava dal fatto che la PS aveva utilizzato dati provenienti da una banca dati nella quale figurava ancora il vecchio indirizzo dei ricorrenti nel procedimento principale.

13      In tale contesto, i ricorrenti nel procedimento principale hanno adito l’Amtsgericht Wesel (Tribunale circoscrizionale, Wesel, Germania), giudice del rinvio, con un ricorso volto ad ottenere, sulla base dell’articolo 82, paragrafo 1, del RGPD, il risarcimento del danno immateriale che essi affermano di aver subito a causa della divulgazione dei loro dati personali a terzi e che valutano in EUR 15 000.

14      Il giudice del rinvio si chiede, in primo luogo, se, nell’ipotesi in cui sia invocato un danno immateriale, un diritto al risarcimento ai sensi dell’articolo 82 del RGPD possa fondarsi unicamente sulla violazione delle disposizioni di tale regolamento, fermo restando che nel diritto tedesco il diritto a un risarcimento pecuniario può essere riconosciuto solo nel caso in cui sia stabilito un danno significativo che vada al di là della mera violazione di una disposizione giuridica, nei limiti in cui tale danno non possa essere risarcito in altro modo.

15      In secondo luogo, tale giudice si chiede se il timore che dati personali siano giunti in mani di persone non autorizzate possa, di per sé, costituire un danno immateriale idoneo a far sorgere il diritto a un risarcimento pecuniario ai sensi dell’articolo 82 del RGPD.

16      In terzo luogo, detto giudice rileva che l’articolo 83 del RGPD enuncia criteri che consentono di determinare in modo uniforme l’importo delle sanzioni amministrative pecuniarie inflitte in caso di violazione di tale regolamento. Orbene, tale articolo non conterrebbe alcun equivalente per quanto riguarda il risarcimento pecuniario del danno immateriale. Esso si chiede quindi se tali criteri siano trasponibili in materia di risarcimento pecuniario del danno immateriale dovuto ai sensi dell’articolo 82 del RGPD.

17      In quarto luogo, il giudice del rinvio ricorda che il considerando 146 del RGPD prevede che il concetto di «danno» deve essere interpretato in senso lato al fine di garantire un risarcimento pieno ed effettivo del danno subito. Tuttavia, esso si domanda se il riferimento ad un risarcimento «effettivo» significhi che il risarcimento da versare per un danno immateriale debba essere valutato di modo che produca un effetto dissuasivo. Se del caso, i titolari del trattamento dei dati potrebbero essere tentati a non rispettare gli obblighi previsti dal RGPD nel caso in cui il costo di una rigorosa osservanza di tale regolamento si rivelasse essere più elevato rispetto agli importi dei risarcimenti che essi potrebbero essere chiamati a versare in caso di violazione di detto regolamento.

18      In quinto e ultimo luogo, il giudice del rinvio si chiede se la violazione simultanea di disposizioni derivanti dal RGPD e di disposizioni derivanti dal diritto tedesco come quelle che impongono obblighi di riservatezza a taluni professionisti, debba essere presa in considerazione ai fini della valutazione del risarcimento dovuto per un danno immateriale ai sensi dell’articolo 82 del RGPD. Esso indica di nutrire dubbi al riguardo in quanto le disposizioni pertinenti di diritto tedesco di cui trattasi nel caso di specie erano già in vigore al momento dell’adozione del RGPD e non possono quindi essere considerate atti delegati o atti di esecuzione adottati conformemente a tale regolamento, ai sensi del considerando 146 di quest’ultimo.

19      In tali circostanze, l’Amtsgericht Wesel (Tribunale circoscrizionale, Wesel) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      Se per fondare un diritto al risarcimento ai sensi dell’articolo 82, paragrafo 1, del [RGPD] sia sufficiente che sia stata violata una disposizione [di tale regolamento] a tutela del richiedente o se, oltre alla violazione delle disposizioni in quanto tali, sia necessario che il richiedente abbia subito un ulteriore pregiudizio.

2)      Se, ai sensi del diritto dell’Unione, per fondare un diritto al risarcimento dei danni immateriali ai sensi dell’articolo 82, paragrafo 1, del RGPD, debba sussistere un pregiudizio significativo.

3)      In particolare, se per fondare un diritto al risarcimento di danni immateriali ai sensi dell’articolo 82, paragrafo 1, del RGPD, sia sufficiente che il richiedente tema che, a seguito di violazioni delle disposizioni del RGPD, i suoi dati personali siano giunti in mani di terzi, senza che ciò possa essere positivamente accertato.

4)      Se sia conforme al diritto dell’Unione che, in sede di quantificazione di un risarcimento di danni immateriali ai sensi dell’articolo 82, paragrafo 1, del RGPD, il giudice nazionale utilizzi per analogia i criteri di cui all’articolo 83, paragrafo 2, seconda frase, del RGPD, che secondo la formulazione di tale disposizione sono applicabili solo alle sanzioni pecuniarie.

5)      Se l’ammontare di una richiesta di risarcimento del danno immateriale ai sensi dell’articolo 82, paragrafo 1, del RGPD, debba essere quantificato anche in funzione del fatto che l’importo del risarcimento accordato produce un effetto dissuasivo e/o impedisce la «commercializzazione» delle violazioni (accettazione calcolata delle sanzioni pecuniarie/risarcimenti).

6)      Se, in sede di quantificazione di un diritto al risarcimento di danni immateriali ai sensi dell’articolo 82, paragrafo 1, del RGPD sia conforme al diritto dell’Unione prendere in considerazione la contemporanea violazione di disposizioni nazionali aventi come obiettivo la protezione dei dati personali, ma che non sono atti delegati o atti di esecuzione adottati ai sensi del presente regolamento o disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento».

 Sulle questioni pregiudiziali

 Sulla prima e sulla seconda questione

20      Con le sue questioni prima e seconda, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che una violazione di tale regolamento è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione, o se l’interessato debba altresì dimostrare l’esistenza di un danno, che raggiunga un certo grado di gravità, causato da tale violazione.

21      L’articolo 82, paragrafo 1, del RGPD enuncia che: «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

22      La Corte ha già constatato che dalla formulazione di tale disposizione emerge chiaramente che l’esistenza di un «danno», materiale o immateriale, che sia stato «subito», costituisce una delle condizioni del diritto al risarcimento previsto a tale articolo 82, paragrafo 1, così come l’esistenza di una violazione di detto regolamento e di un nesso di causalità tra tale danno e detta violazione, essendo queste tre condizioni cumulative [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 32, e dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 34].

23      Pertanto, non si può ritenere che qualsiasi «violazione» delle disposizioni del RGPD conferisca, di per sé, tale diritto al risarcimento a favore dell’interessato, come definito all’articolo 4, punto 1, di tale regolamento. D’altronde, la menzione distinta di un «danno» e di una «violazione», all’articolo 82, paragrafo 1, di detto regolamento, sarebbe superflua se il legislatore dell’Unione avesse ritenuto che una violazione delle disposizioni dello stesso regolamento possa essere sufficiente, da sola e in ogni caso, a dare fondamento a un diritto al risarcimento [sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 33 e 34].

24      Ne consegue che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento [sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 42].

25      La persona che chiede il risarcimento di un danno immateriale sulla base di tale disposizione è infatti tenuta a dimostrare non solo la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un siffatto danno [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 42 e 50, e dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 35].

26      Per quanto riguarda quest’ultima condizione, l’articolo 82, paragrafo 1, del RGPD osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità [sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 51, e dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 36].

27      Resta il fatto che tale persona ha l’obbligo, ai sensi dell’articolo 82, paragrafo 1, di detto regolamento, di provare di aver effettivamente subito un danno materiale o immateriale (v. in tal senso, sentenza dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 39).

28      Alla luce delle considerazioni che precedono, occorre rispondere alla prima e alla seconda questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che una violazione di tale regolamento non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità.

 Sulla terza questione

29      Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che il timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a fondare un diritto al risarcimento del danno immateriale.

30      Emerge dalla decisione di rinvio che i ricorrenti nel procedimento principale intendono ottenere, sulla base del RGPD, il risarcimento di un danno immateriale per una perdita di controllo sui loro dati personali oggetto di un trattamento, senza poter dimostrare in quale misura terzi fossero effettivamente venuti a conoscenza di detti dati.

31      A tal riguardo, in mancanza di qualsiasi riferimento, nell’articolo 82, paragrafo 1, del RGPD, al diritto interno degli Stati membri, la nozione di «danno immateriale», ai sensi di tale disposizione, deve ricevere una definizione autonoma e uniforme, propria del diritto dell’Unione [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 30 e 44, nonché del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 64].

32      La Corte ha dichiarato che risulta non solo dal testo dell’articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 85 e 146 di tale regolamento, i quali invitano ad interpretare in modo ampio la nozione di «danno immateriale» ai sensi di questa prima disposizione, ma anche dall’obiettivo consistente nel garantire un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali, perseguito da detto regolamento, che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione del medesimo regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale articolo 82, paragrafo 1 [v., in tal senso, sentenze del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti da 79 a 86, nonché del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 65].

33      La perdita di controllo su dati personali, anche per un breve lasso di tempo, può costituire un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del RGPD, che dà diritto al risarcimento, a condizione che detta persona dimostri di aver effettivamente subito un simile danno, per quanto minimo, tenendo presente che la mera violazione delle disposizioni di detto regolamento non è sufficiente per conferire un diritto al risarcimento su tale base (v., in tal senso, sentenze del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 66, e dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 42).

34      La persona che ritiene che i suoi dati personali siano stati oggetto di un trattamento effettuato in violazione di disposizioni pertinenti del RGPD e chiede il risarcimento sulla base dell’articolo 82, paragrafo 1, di tale regolamento deve quindi dimostrare di aver effettivamente subito un danno materiale o immateriale.

35      Così la mera allegazione di un timore, senza conseguenze negative dimostrate, non può dare luogo al risarcimento ai sensi di tale disposizione.

36      Alla luce delle considerazioni che precedono, occorre rispondere alla terza questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che il timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a fondare un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato.

 Sulla quarta e sulla quinta questione

37      Con le sue questioni quarta e quinta, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, occorre, da un lato, applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 di tale regolamento e, dall’altro, conferire a detto diritto al risarcimento una funzione dissuasiva.

38      In primo luogo, per quanto riguarda un’eventuale presa in considerazione dei criteri enunciati all’articolo 83 del RGPD al fine di valutare l’importo del risarcimento dovuto in virtù dell’articolo 82 di quest’ultimo, è pacifico che queste due disposizioni perseguono obiettivi diversi. Infatti, mentre l’articolo 83 del regolamento in parola determina le «[c]ondizioni generali per infliggere sanzioni amministrative pecuniarie», l’articolo 82 di detto regolamento disciplina il «[d]iritto al risarcimento e [la] responsabilità».

39      Ne consegue che i criteri enunciati all’articolo 83 del RGPD al fine di determinare l’importo delle sanzioni amministrative pecuniarie, che sono a loro volta menzionati al considerando 148 di tale regolamento, non possono essere utilizzati per valutare l’importo del risarcimento dei danni in forza dell’articolo 82 di quest’ultimo (sentenza dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 57).

40      Il RGPD non contiene disposizioni intese a definire le norme relative alla valutazione del risarcimento dei danni che un interessato, ai sensi dell’articolo 4, punto 1, del regolamento di cui trattasi, può pretendere, in forza dell’articolo 82 di quest’ultimo, qualora una violazione di detto regolamento gli abbia causato un danno. Pertanto, in mancanza di norme del diritto dell’Unione in materia, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni intese a garantire la tutela dei diritti spettanti ai singoli in forza di detto articolo 82 e, in particolare, i criteri che consentono di determinare l’entità del risarcimento dovuto in tale ambito, fatto salvo il rispetto dei principi di equivalenza e di effettività [sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 54, e dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 58].

41      In secondo luogo, il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD non svolge una funzione dissuasiva, o addirittura punitiva. Ne consegue che la gravità della violazione di tale regolamento che ha causato l’asserito danno materiale o immateriale non può incidere sull’importo del risarcimento concesso ai sensi di tale disposizione e che tale importo non può essere fissato ad un livello che vada oltre la piena compensazione di tale danno (v., in tal senso, sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 86, e dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 60).

42      Tenuto conto della funzione compensativa del diritto al risarcimento previsto all’articolo 82 del RGPD, quale enunciata al considerando 146, sesta frase, di tale regolamento, un risarcimento pecuniario fondato su tale articolo deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento dei danni punitivo [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 57 e 58, nonché dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 61].

43      Pertanto, alla luce delle differenze di formulazione e di finalità esistenti tra l’articolo 82 del RGPD, letto alla luce del suo considerando 146, e l’articolo 83 del regolamento summenzionato, letto alla luce del suo considerando 148, non si può ritenere che i criteri di valutazione specificamente enunciati in tale articolo 83 siano applicabili mutatis mutandis nell’ambito di detto articolo 82, sebbene i mezzi di ricorso previsti da queste due disposizioni siano effettivamente complementari per garantire il rispetto del medesimo regolamento (sentenza dell’11 aprile 2024, juris, C‑741/21, EU:C:2024:288, punto 62].

44      Alla luce delle considerazioni che precedono, occorre rispondere alla quarta e alla quinta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 di tale regolamento e, dall’altro, non si deve conferire a tale diritto al risarcimento una funzione dissuasiva.

 Sulla sesta questione

45      Con la sua sesta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento.

46      Tale questione riguarda il fatto che i ricorrenti nel procedimento principale considerano che la violazione del combinato disposto delle disposizioni derivanti dal RGPD nonché della normativa tedesca applicabile ai consulenti fiscali, la quale è stata adottata prima dell’entrata in vigore di tale regolamento e non mira quindi a precisarne le norme, debba comportare come conseguenza una maggiorazione del risarcimento dei danni che essi richiedono ai sensi dell’articolo 82, paragrafo 1, del RGPD, in compensazione del danno immateriale che essi asseriscono di aver subito.

47      A tal riguardo, dal considerando 146, quinta frase, del RGPD, emerge, certamente, in sostanza che, un trattamento di dati personali non conforme a detto regolamento «comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento».

48      Tuttavia, la circostanza che un tale trattamento di dati sia stato effettuato anche in violazione di disposizioni di diritto nazionale relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento, non costituisce un fattore rilevante ai fini della valutazione del risarcimento dei danni concesso sulla base dell’articolo 82, paragrafo 1, del RGPD. Infatti, la violazione di siffatte disposizioni nazionali non rientra nell’articolo 82, paragrafo 1, di tale regolamento, in combinato disposto con il considerando 146 di quest’ultimo.

49      Ciò non pregiudica il fatto che, se il diritto nazionale glielo consente, il giudice nazionale può concedere all’interessato un risarcimento più elevato rispetto al risarcimento pieno ed effettivo previsto all’articolo 82, paragrafo 1, del RGPD nel caso in cui quest’ultimo risarcimento non sia considerato sufficiente o adeguato, tenuto conto del fatto che il danno è stato parimenti causato dalla violazione di disposizioni di diritto nazionale come quelle di cui al punto precedente.

50      Alla luce delle considerazioni che precedono, occorre rispondere alla sesta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che, per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento.

 Sulle spese

51      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara:

1)      L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

dev’essere interpretato nel senso che:

una violazione di tale regolamento non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità.

2)      L’articolo 82, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

il timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato.

3)      L’articolo 82, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 di tale regolamento e, dall’altro, non si deve conferire a tale diritto al risarcimento una funzione dissuasiva.

4)      L’articolo 82, paragrafo 1, del regolamento 2016/679

dev’essere interpretato nel senso che:

per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento.

Firme

*      Lingua processuale: il tedesco.