CONCLUSIONI DELL’AVVOCATO GENERALE
M. CAMPOS SÁNCHEZ-BORDONA
presentate il 6 ottobre 2022 (1)
Causa C‑300/21
UI
contro
Österreichische Post AG
[domanda di pronuncia pregiudiziale proposta dall’Oberster Gerichtshof (Corte suprema, Austria)]
«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Danno morale risultante da un trattamento illecito di dati – Requisiti del diritto al risarcimento – Danni superiori a una determinata soglia di gravità»
1. Il regolamento (UE) 2016/679 (2) conferisce a chiunque subisca un danno materiale o immateriale causato da una violazione delle sue disposizioni il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. La possibilità di far valere tale diritto in via giurisdizionale esisteva già nella normativa precedente (articolo 23 della direttiva 95/46/CE) (3), sebbene fosse poco esercitata (4). Salvo errore da parte mia, la Corte non ha avuto modo di interpretare specificamente tale articolo.
3. In vigenza dell’RGPD le azioni di risarcimento hanno assunto maggiore rilievo (5). Il loro incremento si avverte dinanzi agli organi giurisdizionali degli Stati membri e si riflette nei relativi rinvii pregiudiziali (6). Nel presente rinvio, l’Oberster Gerichtshof (Corte suprema, Austria) chiede alla Corte di precisare taluni elementi comuni del regime di responsabilità civile istituito dall’RGPD.
I. Contesto normativo. RGPD
4. Ai fini della presente controversia sono rilevanti, in particolare, i considerando 75, 85 e 146 del preambolo dell’RGPD.
5. L’articolo 6 («Liceità del trattamento») così recita:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
(…)».
6. L’articolo 79 («Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento»), paragrafo 1, dispone quanto segue:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».
7. L’articolo 82 («Diritto al risarcimento e responsabilità»), paragrafo 1, così prevede:
«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
II. Fatti, procedimento e questioni pregiudiziali
8. Dal 2017, l’Österreichische Post AG, impresa editrice di indirizzi, raccoglieva informazioni sulle affinità della popolazione austriaca in relazione ai partiti politici. Tramite un algoritmo, essa individuava gli «indirizzi di gruppi destinatari» sulla base di fattori socio‑demografici.
9. UI è una persona fisica in relazione alla quale la Österreichische Post ha effettuato un’estrapolazione, sulla base di un calcolo statistico, per stabilirne la classificazione nei possibili gruppi destinatari di pubblicità elettorale di vari partiti politici. Da tale estrapolazione risultava che UI presentava un’alta affinità con uno di essi. Tali dati non venivano trasferiti a terzi.
10. UI, che non aveva prestato il consenso al trattamento dei propri dati personali, era contrariato per la registrazione dei dati relativi all’orientamento politico nonché irritato e offeso per l’affinità attribuitagli in concreto dall’Österreichische Post.
11. UI ha chiesto un risarcimento di EUR 1 000 per danni immateriali (disagio interiore). Egli afferma che l’affinità politica che gli viene attribuita è offensiva e infamante, nonché lesiva della sua immagine. Inoltre, il comportamento della Österreichische Post gli avrebbe provocato una forte irritazione e una perdita di fiducia, nonché un sentimento di umiliazione.
12. Il giudice di primo grado ha respinto la domanda di risarcimento di UI (7).
13. Il giudice di appello ha confermato la sentenza di primo grado. Esso ha dichiarato che il riconoscimento di un danno immateriale non si accompagna automaticamente ad ogni violazione dell’RGPD e che:
– poiché il diritto austriaco è applicabile ad integrazione dell’RGPD, si potrebbe risarcire solo un danno che vada oltre l’irritazione o il danno emozionale («Gefühlsschaden») provocati dalla violazione dei diritti del ricorrente;
– occorre attenersi al principio, sul quale si fonda il diritto austriaco, secondo cui ciascuno deve sopportare un semplice disagio e mere sensazioni di malessere senza conseguenze sul piano del risarcimento. In altri termini, il diritto al risarcimento presuppone una certa rilevanza dei danni lamentati.
14. La sentenza del giudice di appello è stata impugnata dinanzi all’Oberster Gerichtshof (Corte suprema), il quale sottopone alla Corte le seguenti questioni pregiudiziali:
«1) Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 dell’RGPD (...) occorra, oltre a una violazione delle disposizioni dell’RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni dell’RGPD per ottenere un risarcimento.
2) Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.
3) Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».
III. Procedimento
15. La domanda di pronuncia pregiudiziale è pervenuta presso la cancelleria della Corte il 12 maggio 2021.
16. Hanno presentato osservazioni scritte UI, la Österreichische Post, i governi austriaco, ceco e irlandese nonché la Commissione europea. Lo svolgimento di un’udienza non è stato ritenuto necessario.
IV. Analisi
A. Considerazioni preliminari
1. Sulla ricevibilità
17. UI sostiene che la prima questione pregiudiziale non è rilevante ai fini della controversia, in quanto la sua domanda non era basata sulla «mera» violazione di una norma dell’RGPD, bensì sulle conseguenze o sugli effetti della stessa.
18. L’eccezione di irricevibilità dev’essere respinta. Quand’anche si ammettesse che il trattamento dei dati ha violato l’RGPD senza arrecare un danno a UI, quest’ultimo potrebbe avere diritto a un risarcimento in forza dell’articolo 82 dell’RGPD qualora, come chiede il giudice del rinvio, fosse confermato che la mera violazione di una norma relativa al trattamento fa sorgere tale diritto.
19. Secondo UI, la Corte potrebbe inoltre considerare irricevibile la seconda questione, essendo molto aperta quanto al contenuto ed eccessivamente limitata per quel che riguarda le prescrizioni del diritto dell’Unione, dato che non ne menziona alcuna in concreto.
20. Neppure tale eccezione, benché più fondata rispetto a quella precedente, può essere accolta. È legittimo che un organo giurisdizionale chieda se esso, oltre a rispettare i principi di equivalenza e di effettività, debba valutare altre prescrizioni imposte dal diritto dell’Unione per valutare il danno.
2. Delimitazione dell’oggetto delle presenti conclusioni
21. L’articolo 82 dell’RGPD si compone di sei paragrafi. Il giudice del rinvio non fa riferimento ad alcuno di essi in particolare, ma richiama implicitamente il primo. Inoltre, esso non specifica la norma la cui violazione darebbe luogo ad un risarcimento.
22. Le mie conclusioni si baseranno sui seguenti presupposti:
– il trattamento dei dati personali di UI è stato effettuato senza chiedere il suo consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), dell’RGPD;
– il diritto al risarcimento spetta a chiunque subisca un danno. Nel caso di specie, UI, in quanto persona fisica identificata e interessata dal trattamento, è un «interessato» (8);
– l’RGPD prevede il risarcimento dei danni materiali e immateriali. La domanda di UI è limitata a questi ultimi e ha un contenuto pecuniario.
B. Sulla prima questione pregiudiziale
23. Con la prima questione, il giudice del rinvio chiede, in sintesi, se la mera violazione delle disposizioni dell’RGPD dia diritto a un risarcimento, a prescindere dalla circostanza che si sia verificato un danno.
24. Dalle considerazioni del giudice del rinvio e dalle osservazioni presentate dinanzi alla Corte può desumersi che la questione lascia spazio anche ad una diversa interpretazione, in un certo senso più complessa: si tratterebbe di accertare se la violazione delle disposizioni dell’RGPD provochi necessariamente un danno che fa sorgere il diritto al risarcimento, senza che il convenuto abbia la possibilità di dimostrare il contrario.
25. Esiste una certa differenza (teorica) tra i due approcci: nel primo, il danno non è un presupposto del risarcimento; lo è, invece, nel secondo. A livello pratico, in entrambi i casi viene meno l’esigenza che il ricorrente fornisca la prova del danno, né egli deve dimostrare il nesso di causalità tra la violazione e tale danno (9).
26. In ogni caso, anticipo che, a mio parere, nessuna delle due interpretazioni della prima questione merita una risposta affermativa. Esaminerò le due interpretazioni separatamente.
1. Risarcimento senza danno?
27. Sostenere che sussista un diritto al risarcimento, sebbene dalla violazione dell’RGPD non derivi alcun danno per l’interessato, solleva evidenti difficoltà, anzitutto sotto il profilo del tenore letterale dell’articolo 82, paragrafo 1, di detto regolamento.
28. Ai sensi di tale disposizione, il risarcimento (10) è concesso proprio perché vi è prima stato un danno. È quindi richiesto, inequivocabilmente, che la persona fisica abbia subito un danno in conseguenza di una violazione dell’RGPD.
29. Pertanto, l’interpretazione che associa, automaticamente, la nozione di «violazione» a quella di «risarcimento» in assenza di danno non è conforme al testo dell’articolo 82 dell’RGPD. Né si concilia con l’obiettivo principale della responsabilità civile istituita dall’RGPD, ossia dare soddisfazione all’interessato, proprio tramite un «pieno ed effettivo» risarcimento del danno subito (11).
30. In mancanza di danno, il risarcimento non svolgerebbe più una funzione risarcitoria delle conseguenze negative provocate dalla violazione, bensì un’altra di diversa natura, più prossima a quella sanzionatoria.
31. È vero, tuttavia, che l’ordinamento giuridico di uno Stato membro può prevedere il pagamento di un risarcimento a titolo punitivo (12). Si intende come tale la condanna al pagamento di una somma sostanziale, al di là dello stretto risarcimento del danno.
32. I risarcimenti di carattere punitivo non prescindono, generalmente, dalla previa esistenza del danno. Ciò posto, essi separano tuttavia le sue conseguenze patrimoniali dall’importo del risarcimento commisurato a tale danno.
33. Ciononostante, non è inconcepibile che ai fini di un risarcimento di carattere punitivo si prescinda dal danno o lo si consideri irrilevante per dare soddisfazione al richiedente.
34. La risposta alla prima questione mi impone di analizzare l’inquadramento di questo tipo di risarcimenti nell’ambito dell’RGPD, a maggior ragione in quanto la decisione di rinvio e le osservazioni delle parti e degli intervenienti nel procedimento pregiudiziale vi hanno fatto riferimento.
2. Risarcimento di carattere punitivo?
a) Interpretazione letterale
35. Alla funzione classica della responsabilità civile può aggiungersene un’altra di carattere «punitivo» o «esemplare», in base alla quale, come ho già illustrato, l’importo del risarcimento non equivale al danno subito, bensì viene aumentata o perfino moltiplicata la sua entità.
36. In linea di principio, il diritto dell’Unione non osta a siffatto risarcimento, quando si tratti della violazione delle sue norme, se esso può essere accordato nell’ambito di azioni analoghe fondate sul diritto interno (13).
37. Il risarcimento di carattere punitivo ha una finalità dissuasiva. Tale finalità può ricorrere allorché, di fronte alla violazione di una direttiva, gli Stati membri siano tenuti ad adottare misure dirette a produrre «un effetto dissuasivo reale» (14). Alcune direttive prevedono espressamente che il risarcimento, inteso come sanzione, debba essere dissuasivo (15).
38. In altri testi, invece, il legislatore dichiara che il fine di una direttiva «non è quello di introdurre un obbligo di prevedere un risarcimento punitivo» (16) o che gli Stati membri devono evitare questo tipo di risarcimento nella trasposizione della stessa (17). Nel diritto dell’Unione, la condanna diretta ai cosiddetti «danni punitivi» ha carattere eccezionale (18).
39. Orbene, l’RGPD non contiene alcun riferimento alla natura sanzionatoria del risarcimento dei danni materiali o immateriali, né al fatto che il calcolo del suo ammontare debba riflettere tale natura o che detto risarcimento debba essere dissuasivo (qualità che esso attribuisce invece alle sanzioni penali e alle sanzioni amministrative pecuniarie) (19). Dal punto di vista letterale, pertanto, l’RGPD non consente di prevedere un risarcimento di carattere punitivo.
b) Interpretazione alla luce dell’evoluzione storica della disposizione
40. L’articolo 82, paragrafo 1, dell’RGPD ha il suo precedente nell’articolo 23, paragrafo 1, della direttiva 95/46. Quest’ultima faceva parte di un sistema che basava la sua effettività sull’applicazione a livello pubblicistico e a livello privatistico (20), ma in cui il risarcimento (a livello privatistico) e la sanzione (a livello pubblicistico) non si confondevano (21). La vigilanza sul rispetto delle norme spettava, in primo luogo, ad autorità di controllo indipendenti (22).
41. L’RGPD riprende tale modello, ma rafforza gli strumenti per garantire l’efficacia delle sue disposizioni, ora più dettagliate, e delle reazioni previste, ora più intense, di fronte alla sua violazione o minaccia di violazione:
– da un lato, aumenta le funzioni delle autorità di controllo, alle quali spetta, tra altri compiti, imporre le sanzioni armonizzate previste dall’RGPD medesimo (23). Esso sottolinea in tal modo la componente dell’applicazione a livello pubblicistico delle norme;
– dall’altro, prevede che i singoli possano tutelare i diritti loro conferiti dall’RGPD (24) attivando l’azione delle autorità di controllo (articolo 77) o ricorrendo alla via giurisdizionale (articoli 79 e 82). Inoltre, l’articolo 80 autorizza determinati organismi ad esercitare azioni di rappresentanza (25), il che agevola la tutela di interessi generali accessibile ai singoli (26).
42. Nell’RGPD, il regime uniforme di responsabilità civile per danni ha avuto un’evoluzione limitata. Aspetti che potevano risultare dubbi in vigenza della direttiva 95/46, come quello relativo all’inclusione dei danni immateriali tra quelli risarcibili (27), sono stati subito chiariti. La negoziazione è stata incentrata su altri aspetti di tale regime (28).
43. Non ho trovato nei lavori legislativi alcuna discussione su un’eventuale funzione punitiva della responsabilità civile prevista dall’RGPD. Pertanto, non si può desumere che essa sia contemplata dall’articolo 82 di detto regolamento, in mancanza di qualsiasi discussione al riguardo, tanto più che una discussione vi è invece stata riguardo alla sua inclusione in altri testi del diritto dell’Unione (29).
44. Ciò posto, ritengo che l’azione di cui all’articolo 82, paragrafo 1, dell’RGPD sia stata concepita e disciplinata ai fini delle funzioni tipiche della responsabilità civile: quella di risarcimento dei danni (per la parte lesa) e, secondariamente, quella di prevenzione di danni futuri (per l’autore della violazione).
c) Interpretazione contestuale
45. Come ho anticipato, l’articolo 82 dell’RGPD fa parte di un sistema di garanzie dell’effettività delle norme in cui l’iniziativa privata integra l’applicazione delle stesse a livello pubblicistico. Il risarcimento dovuto dai titolari o dai responsabili del trattamento dei dati contribuisce a tale effettività.
46. L’obbligo di risarcimento opera (idealmente) come un incentivo ad agire con maggiore attenzione in futuro, attenendosi alle regole ed evitando ulteriori danni. In tal modo, richiedendo un risarcimento per sé, ogni individuo contribuisce all’efficacia generale delle norme.
47. In tale quadro, la funzione risarcitoria e quella punitiva sono separate:
– la seconda è svolta dalle sanzioni pecuniarie che possono essere inflitte dalle autorità di controllo o dalle autorità giurisdizionali (articolo 83, paragrafi 1 e 9, dell’RGPD) e dalle altre sanzioni adottate dagli Stati ai sensi dell’articolo 84 dell’RGPD (30);
– la prima è svolta dal reclamo del singolo (articolo 77) e dai procedimenti giurisdizionali (articolo 79). Non spetta invece alle autorità di controllo statuire sul diritto al risarcimento.
48. Nella stessa ottica di separazione della funzione risarcitoria da quella sanzionatoria:
– nell’infliggere una sanzione pecuniaria e nel fissarne l’importo, l’autorità deve tenere conto dei fattori elencati all’articolo 83 dell’RGPD, che non sono previsti nell’ambito della responsabilità civile e che, in linea di principio, non sono trasponibili alla quantificazione del risarcimento (31);
– mentre il livello del danno subito dagli interessati è un fattore di gradazione della sanzione pecuniaria (32), nel calcolo dell’importo di quest’ultima non si deve tenere conto del risarcimento da essi eventualmente ottenuto (33).
49. Sul piano teorico, un’interpretazione che, in assenza di danni, attribuisse alla responsabilità civile la funzione punitiva rischierebbe di rendere i meccanismi risarcitori ridondanti rispetto a quelli sanzionatori.
50. A livello pratico, la facilità di ottenere un provento «punitivo» a titolo di risarcimento potrebbe indurre gli interessati a preferire tale mezzo a quello dell’articolo 77 dell’RGPD. Se fosse generalizzato, ciò priverebbe le autorità di controllo di uno strumento (il reclamo dell’interessato) per conoscere e, pertanto, indagare e sanzionare eventuali violazioni dell’RGPD, a scapito degli strumenti più appropriati di tutela dell’interesse generale.
d) Interpretazione teleologica
51. L’RGPD persegue sostanzialmente due obiettivi, enunciati fin dal suo titolo: a) da un lato, la «protezione delle persone fisiche con riguardo al trattamento dei dati personali»; b) dall’altro, che tale protezione si articoli in modo che «la libera circolazione di tali dati» all’interno dell’Unione non sia né vietata né limitata (34).
52. Ritengo che, per raggiungere detti obiettivi, l’RGPD non richieda di associare il risarcimento alla mera violazione della norma che disciplina il trattamento, dotando la responsabilità civile di funzioni punitive.
53. Quanto al primo obiettivo, per conseguirlo non è necessario ampliare in via interpretativa l’ambito di applicazione dell’articolo 82 dell’RGPD, dando copertura a fattispecie in cui vi sia stata una violazione di una norma, ma non un danno. Anzi, siffatto ampliamento potrebbe avere conseguenze negative sul secondo obiettivo.
54. Ho già rilevato che l’RGPD prevede vari meccanismi per garantire il rispetto delle sue norme, che coesistono e si integrano a vicenda. Gli Stati membri non devono (e in realtà non possono) scegliere tra i meccanismi del capo VIII per assicurare la protezione dei dati. Di fronte ad una violazione che non provoca un danno, all’interessato è comunque garantito (come minimo) il diritto di presentare un reclamo ad un’autorità di controllo in forza dell’articolo 77, paragrafo 1, dell’RGPD.
55. Inoltre, la prospettiva di ottenere un risarcimento indipendentemente da qualsiasi danno stimolerebbe probabilmente le controversie civili, con azioni magari non sempre giustificate (35), e potrebbe quindi disincentivare l’attività di trattamento dei dati (36).
3. Presunzione di danno?
56. In alcune delle osservazioni delle parti in causa viene sostenuta un’interpretazione della prima questione pregiudiziale diversa da quella che ho esaminato finora. Se capisco bene la loro posizione (37), esse sembrano affermare che sussiste una presunzione incontestabile di danno in seguito al verificarsi della violazione della norma.
57. Detta violazione, inoltre, comporterebbe necessariamente la perdita di controllo sui dati, il che costituirebbe, di per sé, un danno risarcibile ai sensi dell’articolo 82, paragrafo 1, dell’RGPD.
58. In teoria, siffatta presunzione non consente di prescindere dal danno e sono quindi rispettati lo schema tipico della responsabilità civile e il tenore letterale della disposizione dell’RGPD. In pratica, tuttavia, per il ricorrente e il convenuto gli effetti del suo accoglimento sarebbero analoghi a quelli derivanti dall’associare il risarcimento di cui all’articolo 82, paragrafo 1, dell’RGPD alla mera violazione della norma.
59. Ricorrerò, di nuovo, ai criteri ermeneutici abituali per spiegare perché tale interpretazione non mi sembra corretta.
a) Interpretazione letterale
60. Quando il legislatore ha ritenuto, in altri settori del diritto dell’Unione, che dalla violazione di una norma derivi automaticamente il diritto al risarcimento, non ha esitato a stabilirlo (38). Così non è per quanto riguarda l’RGPD, che contiene norme relative alla prova, o aventi conseguenze dirette su di essa (39), ma non il suddetto collegamento automatico, diretto o tramite presunzione assoluta.
61. Ritengo che i riferimenti al controllo dei dati (o alla perdita di tale controllo) nei considerando 75 (40) e 85 (41) dell’RGPD non compensino tale assenza. A parte il fatto che, in quanto tali, detti considerando sono privi di valore normativo, nessuno dei due conferma che la violazione di una norma implichi di per sé un danno risarcibile:
– il considerando 75 fa riferimento alla privazione del controllo dei dati personali come uno dei possibili rischi del trattamento;
– il considerando 85 menziona la perdita del controllo come una delle conseguenze che potrebbero derivare da una violazione della sicurezza dei dati personali (42).
62. La perdita del controllo dei dati non deve comportare necessariamente un danno. L’espressione può essere intesa come una licenza linguistica per fare riferimento a danni susseguenti a tale perdita, ove si concretizzino (43).
b) Interpretazione alla luce dell’evoluzione storica
63. Nemmeno l’analisi dell’evoluzione storica conferma l’esistenza della presunzione in parola, che non figurava nella direttiva 95/46 (44), né era contemplata dai documenti da me esaminati della Commissione, del Parlamento europeo o del Consiglio che hanno preceduto l’adozione dell’RGPD.
c) Interpretazione contestuale
64. Il sistema dell’RGPD offre elementi per escludere che esso ammetta la presunzione di cui trattasi, prendendo come riferimento il consenso dell’interessato (45). In quanto veicolo del controllo di quest’ultimo sui dati, tale consenso legittima il trattamento dei dati al pari di altre basi giuridiche (articolo 6 dell’RGPD) (46).
65. Un trattamento lecito di dati personali è concepibile senza l’autorizzazione dell’interessato e, pertanto, senza il controllo che la concessione o il diniego di tale autorizzazione rappresentano. In definitiva, la sua rilevanza nell’ambito del sistema non è assoluta.
66. Inoltre, l’RGPD prevede altre possibilità di esercizio di tale controllo, tra cui il diritto alla cancellazione che impone al titolare del trattamento di eliminare «senza ingiustificato ritardo» l’informazione di cui trattasi (47).
67. Per la persona di cui vengono elaborati i dati, tale diritto opera come valvola di sicurezza del regime di protezione: permane (in via di principio) quando il titolare del trattamento non abbia ottenuto il consenso dell’interessato e quando non esista alcun altro fondamento che legittimi il trattamento dei dati, e non dipende dalla circostanza che quest’ultimo abbia provocato un danno (48).
d) Interpretazione teleologica
1) Il controllo dell’interessato sui propri dati, obiettivo dell’RGPD?
68. L’equivalenza automatica fra un trattamento di dati personali per il quale non è stato ottenuto il consenso dell’interessato e un danno risarcibile implica che tale controllo, di cui il consenso è veicolo, costituisca un valore in sé.
69. Ammetto che, prima facie, tale parere non è privo di fondamento. Il controllo dei cittadini sui propri dati figura nella proposta della Commissione come uno dei motivi principali della riforma (49). Il considerando 7 dell’RGPD afferma che «[è] opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano».
70. Il fatto è che si impone cautela nell’interpretare tale nozione, al di là dei dibattiti dottrinali che ha suscitato. Non vi è nell’RGPD (né ho trovato altrove) una definizione precisa di «controllo» (50). Il termine ammette almeno due accezioni, che non si escludono a vicenda: quella di «potere» o «dominio» e quella di «supervisione».
71. Il tenore letterale del considerando 7 dell’RGPD dà adito a qualche incertezza, in quanto differisce a seconda delle versioni linguistiche (51). Sulla base del suo contenuto, ritengo che l’RGPD conferisca all’interessato poteri di vigilanza e di intervento su operazioni effettuate da altri sui dati, come strumento (insieme ad altri) per la protezione di tali dati.
72. L’interessato stesso contribuisce ed è responsabile della protezione delle informazioni rappresentate dai dati, nella misura – livello e modalità – prevista dall’RGPD. Il perimetro dell’azione individuale è limitato: esso si riduce, per quanto riguarda i diritti elencati dall’RGPD, al loro esercizio a specifiche condizioni.
73. Il consenso dell’interessato, in quanto massima espressione del controllo (52), è solo una delle basi giuridiche di un trattamento lecito, ma non è idoneo a sanare l’inosservanza degli altri obblighi e delle altre condizioni che si impongono al titolare e al responsabile del trattamento.
74. Ritengo che dall’RGPD non possa agevolmente dedursi che esso è inteso a conferire all’interessato il controllo sui dati personali come valore in sé, o che l’interessato debba avere il massimo controllo possibile su di essi.
75. Tale constatazione non è sorprendente. Da un lato, non è evidente che il controllo, nella sua accezione di dominio sui dati, formi parte del contenuto essenziale del diritto fondamentale alla protezione dei dati personali. (53) Dall’altro, l’interpretazione di detto diritto come diritto all’autodeterminazione informativa è tutt’altro che unanime: l’articolo 8 della Carta non utilizza questi termini (54).
76. Sulla stessa linea, non è stato inserito nel testo finale dell’RGPD nemmeno un considerando secondo cui «[i]l diritto alla protezione dei dati personali si basa sul diritto dell’interessato di esercitare il controllo sui dati personali oggetto di trattamento» (55).
77. Le considerazioni che precedono, forse eccessivamente astratte, mi inducono ad affermare che, quando l’interessato non presta il consenso ad un trattamento e quest’ultimo viene effettuato senza un’altra base giuridica legittima, non per questo egli deve ottenere una compensazione economica per la perdita del controllo sui suoi dati, come se tale perdita comportasse, di per sé, un danno risarcibile (56). Rimane da stabilire se, in aggiunta, egli abbia subito o meno un danno (che dovrà essere dimostrato) (57).
2) Il controllo dell’interessato nel contesto
78. Ritengo opportuno, infine, ricordare che la protezione dei dati personali è enunciata come obiettivo dell’RGPD unitamente all’intento di promuovere la libera circolazione dei dati (58).
79. Il rafforzamento del controllo del cittadino sulle proprie informazioni personali nell’ambiente digitale è una delle finalità riconosciute della modernizzazione del regime di protezione dei dati personali, ma non un obiettivo indipendente o isolato.
80. Nella comunicazione che accompagnava la sua proposta di RGPD, la Commissione associava un elevato livello di protezione dei dati alla fiducia nei servizi online, che consente di sfruttare il potenziale dell’economia digitale e di promuovere «la crescita economica e la competitività delle industrie europee». Mediante il rinnovo (e la maggiore armonizzazione) del diritto dell’Unione si «consolida la dimensione di mercato interno della protezione dei dati» (59).
81. Di fronte all’evidenza del valore dei dati (personali e non) per il progresso economico e sociale in Europa, l’RGPD non mira ad ampliare il controllo del singolo sulle informazioni che lo riguardano, semplicemente assecondandone le preferenze, bensì a conciliare il diritto alla protezione dei dati personali con gli interessi dei terzi e della società (60).
82. La finalità dell’RGPD, ribadisco, non è limitare sistematicamente il trattamento dei dati personali, bensì legittimarlo a condizioni rigorose. Tale scopo viene perseguito, anzitutto, con la promozione della fiducia dell’interessato nel fatto che il trattamento sarà effettuato in un contesto sicuro (61), al quale contribuisce egli stesso. In tal modo si incentiva la sua predisposizione volontaria a consentire l’accesso e l’utilizzo dei suoi dati, anche nell’ambito delle operazioni commerciali online.
C. Sulla seconda questione pregiudiziale
83. Il giudice del rinvio chiede se esistano, «per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza».
84. In realtà, non sembra che il principio di equivalenza abbia al riguardo un ruolo rilevante: il regime armonizzato dell’RGPD si applica direttamente in tale materia e il suo articolo 82 si applica per tutti i danni immateriali derivanti da una violazione, indipendentemente dalla loro origine.
85. La stessa considerazione vale per il principio di effettività. Questione diversa è se il risarcimento, tenuto conto di quanto affermato dal considerando 146 dell’RGPD (gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito), debba avere un contenuto piuttosto che un altro.
86. L’articolo 82 dell’RGPD non impone altro requisito che la violazione delle sue norme quando essa abbia come conseguenza il danno, materiale o immateriale, subito da una persona. Quanto al calcolo, in concreto, dell’importo del risarcimento di tale danno, detta disposizione non fornisce criteri ai giudici nazionali.
87. Stando ai due aggettivi qualificativi sopra trascritti (pieno ed effettivo), il risarcimento dipende, in primo luogo, dalla pretesa dedotta da ciascun ricorrente.
88. Qualora tale pretesa consistesse nella condanna ad un risarcimento di carattere punitivo (62), sarebbe sufficiente la risposta alla prima questione: tale tipo di risarcimento non figura nell’RGPD. In esso, la responsabilità civile svolge una funzione di risarcimento «a livello privatistico», mentre le sanzioni pecuniarie e quelle penali hanno la funzione pubblica di dissuadere nonché, se del caso, punire.
89. Non si può escludere che il risarcimento richiesto a titolo di danno immateriale includa componenti diverse da quella meramente pecuniaria, ad esempio il riconoscimento dell’avvenuta violazione, con il quale viene data una certa soddisfazione morale al ricorrente. La sentenza della Corte del 15 aprile 2021 (63), pur essendo stata resa in un ambito che non coincide con quello della protezione dei dati, consentirebbe, per analogia, di accogliere tale pretesa.
90. Negli ordinamenti che lo prevedono, è possibile che il regime di responsabilità civile contempli condanne a titolo di rivendicazione di un diritto (pagamento di un risarcimento simbolico) o di neutralizzazione di un vantaggio indebito (restituzione di quanto ottenuto senza causa).
91. Soggiace alle prime l’idea di dare continuità e realizzare il diritto («Rechtsfortsetzungsfunktion») attraverso un risarcimento puramente simbolico, in aggiunta alla dichiarazione che il convenuto ha commesso un illecito e ha violato diritti del ricorrente. L’articolo 82 dell’RGPD non lo contempla né ve ne è traccia nei lavori preparatori, il che non è sorprendente, dato che non è comune agli ordinamenti giuridici degli Stati membri (64) né è esente da controversia in quelli nei quali esiste (65).
92. Il sistema dell’RGPD e i suoi obiettivi non ostano, tuttavia, a che gli Stati membri che conoscono tale rimedio lo offrano ai soggetti interessati dalla violazione di una norma, nell’ambito dei ricorsi contemplati dall’articolo 79 di detto regolamento, in caso di assenza totale di danno. Quando, al contrario, il ricorrente sostiene di avere subito un danno pecuniario, la situazione è disciplinata dall’articolo 82 dell’RGPD e la difficoltà di dimostrare tale danno non dovrebbe tradursi in un risarcimento simbolico (66).
93. Per quanto riguarda le condanne consistenti nella consegna della somma conseguente alla violazione di un diritto, esse possono essere finalizzate a privare l’autore del profitto ottenuto. Al di fuori dell’ambito della proprietà intellettuale (67), tale finalità non è comune nella normativa in materia di risarcimento dei danni, che è incentrata sulla perdita subita dalla parte lesa, più che sul guadagno dell’autore della violazione (68). L’RPGD non la incorpora nel suo articolato.
94. Svolgo tali considerazioni per agevolare il lavoro del giudice del rinvio, tenuto conto dell’ampiezza della sua seconda questione pregiudiziale. Non nascondo, tuttavia, che esse possono risultare di scarsa utilità per accogliere o respingere una domanda con cui l’interessato chiede un risarcimento strettamente pecuniario del danno immateriale.
D. Sulla terza questione pregiudiziale
95. Il giudice del rinvio chiede se, nell’RGPD, il riconoscimento del danno immateriale sia subordinato ad una «violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».
96. La domanda di pronuncia pregiudiziale fa riferimento, come criterio di ammissibilità al risarcimento, all’intensità dell’esperienza della persona interessata. Non chiede invece (quanto meno non direttamente) se una determinata emozione o sensazione di tale persona sia rilevante o meno ai fini dell’articolo 82, paragrafo 1, dell’RGPD in virtù del suo contenuto (69).
97. Si pone quindi la questione se gli Stati membri possano subordinare il risarcimento del danno immateriale all’entità delle conseguenze derivanti dalla violazione della norma, prendendo in considerazione solo quelle che superino una determina soglia di gravità. La questione non verterebbe quindi sulle voci risarcibili (70) né sull’ammontare del risarcimento, bensì sull’esistenza di un limite minimo di reazione dell’interessato, al di sotto del quale egli non verrebbe risarcito.
98. L’articolo 82 dell’RGPD non fornisce una risposta diretta all’interrogativo. Né lo fanno, a mio avviso, i considerando 75 e 85. Entrambi contengono un elenco esemplificativo di danni che termina con una clausola aperta che sembra limitare i danni risarcibili a quelli «significativi».
99. Non credo, tuttavia, che tali considerando siano utili per risolvere il dubbio del giudice del rinvio:
– il primo riguarda l’identificazione e la valutazione dei rischi del trattamento di dati e l’adozione di misure per prevenirli o attenuarli. Esso illustra le conseguenze indesiderabili di qualsiasi trattamento e pone l’accento, «in particolare», su alcune di esse, probabilmente per la loro maggiore gravità;
– il secondo si riferisce alle violazioni della sicurezza dei dati, avvertendo che tali violazioni possono avere conseguenze rilevanti.
100. Neppure dall’affermazione contenuta nel considerando 146 dell’RGPD (i responsabili devono risarcire «i danni») (71) si deducono criteri che consentano di rispondere a questo interrogativo.
101. La trasposizione del menzionato considerando al testo dell’RGPD ha comportato che quest’ultimo includesse, esplicitamente, i danni immateriali, facendo venir meno il silenzio al riguardo della direttiva 95/46 (72). Tuttavia non è stata affrontata, nello specifico, la questione ora sollevata dinanzi alla Corte.
102. Il medesimo considerando 146 dell’RGPD afferma che «[i]l concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento».
103. Non sono sicuro che tale indicazione fosse di grande utilità nel contesto della protezione dei dati, posto che la Corte non si era ancora pronunciata al riguardo quando è stato adottato l’RGPD (73). Se si intendeva fare riferimento a sentenze sulla responsabilità civile disciplinata da altre direttive o da altri regolamenti, sarebbe stato auspicabile un richiamo all’analogia.
104. In realtà, la Corte non ha elaborato una definizione generale di «danno» applicabile indistintamente in qualsiasi ambito (74). Per quanto qui rileva (i danni immateriali), dalla sua giurisprudenza può dedursi che:
– quando l’obiettivo (o uno degli obiettivi) della disposizione da interpretare è la protezione dell’individuo, o di una determinata categoria di individui (75), il concetto di danno deve essere ampio;
– coerentemente con tale criterio, il risarcimento si estende al danno immateriale, anche qualora esso non sia menzionato nella disposizione interpretata (76).
105. Sebbene la giurisprudenza della Corte autorizzi a sostenere che, nei termini sopra esposti, esiste nel diritto dell’Unione un principio di risarcimento del danno immateriale, ritengo che non se ne possa dedurre, invece, una regola in base alla quale ogni danno immateriale, a prescindere dalla sua gravità, è risarcibile.
106. La Corte ha riconosciuto la compatibilità con le norme europee di una normativa nazionale che, ai fini del calcolo del risarcimento, distingue i danni immateriali connessi a lesioni corporali causate da un sinistro in funzione dell’origine di quest’ultimo (77).
107. Ha inoltre valutato quali circostanze siano idonee a provocare un danno immateriale, conformemente alla disposizione applicabile in ciascuna causa (78), ma non si è pronunciata esplicitamente (se non erro) sul requisito della gravità di tale danno (79).
108. A questo punto, ritengo che si debba rispondere alla terza questione in senso affermativo.
109. A sostegno della mia posizione, ricordo che l’RGPD non mira esclusivamente a salvaguardare il diritto fondamentale alla protezione dei dati personali (80) e che il suo sistema di garanzie include meccanismi di diverso tipo (81).
110. In tale contesto, è rilevante la distinzione, suggerita dalla Corte, tra danno immateriale risarcibile e altri svantaggi derivanti dall’inosservanza della legalità che, data la loro scarsa entità, non darebbero necessariamente diritto a un risarcimento.
111. Siffatta dissociazione è riscontrabile in alcuni ordinamenti giuridici nazionali, in quanto inevitabile corollario della vita in società (82). La Corte non ignora tale differenza, che riconosce laddove fa riferimento ai disagi e fastidi in quanto categoria autonoma rispetto a quella del danno, in ambiti nei quali ritiene che essi debbano essere risarciti (83). Nulla impedisce di trasporla all’RGPD.
112. Peraltro, il diritto al risarcimento di cui all’articolo 82, paragrafo 1, dell’RGPD non mi sembra lo strumento adatto per contrastare le violazioni nel trattamento di dati personali, se tutto ciò che provocano nell’interessato è rabbia o irritazione.
113. Di norma, qualsiasi violazione di una norma in materia di protezione dei dati personali determina una reazione negativa dell’interessato. Un risarcimento dovuto per la mera sensazione di malessere di fronte all’altrui inosservanza della legge si confonde facilmente con un risarcimento senza danno, che ho già escluso in precedenza.
114. Sul piano pratico, includere tra i danni immateriali risarcibili la mera irritazione non è efficace, tenuto conto degli inconvenienti e delle difficoltà che caratterizzano una domanda giudiziale per l’attore (84) e la difesa per il convenuto (85).
115. Il diniego del diritto al risarcimento per sentimenti o emozioni lievi e transitori (86) connessi alla violazione delle norme sul trattamento non lascia l’interessato completamente indifeso. Come ho indicato in relazione alla prima questione, il sistema dell’RGPD offre altri rimedi.
116. Non dubito che il confine tra la mera irritazione (non risarcibile) e il vero e proprio danno immateriale (risarcibile) sia sottile, né ignoro quanto sia complicato delimitare, in astratto, le due categorie e applicarle, in concreto, ad una controversia. Tale arduo compito spetta ai giudici degli Stati membri, i quali, probabilmente, non potranno prescindere nelle loro pronunce dalla percezione che, in quel momento, abbia la società riguardo alla tolleranza ammissibile quando le conseguenze soggettive della violazione di una norma in tale materia non superino un livello minimo (87).
V. Conclusione
117. Alla luce delle suesposte considerazioni, propongo di rispondere all’Oberster Gerichtshof (Corte suprema, Austria) nei termini seguenti:
«L’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:
ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del menzionato regolamento non è sufficiente, di per sé, la mera violazione della norma, se essa non è accompagnata dal relativo danno, materiale o immateriale.
Il risarcimento del danno immateriale disciplinato dal regolamento 2016/679 non si estende alla mera irritazione che l’interessato possa provare a causa della violazione delle disposizioni del regolamento 2016/679. Spetta ai giudici nazionali stabilire quando, a motivo delle sue caratteristiche, la sensazione soggettiva di malessere possa essere considerata, in ciascun caso, un danno immateriale».