CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:72

Edizzjoni Provviżorja

SENTENZA TAL-QORTI TAL-ĠUSTIZZJA (It-Tielet Awla)

25 ta’ Jannar 2024 (*)

“Rinviju għal deċiżjoni preliminari – Protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Traspożizzjoni tal-Artikoli 5, 24, 6 u 82 – Evalwazzjoni tal-validità tal-Artikolu 82 – Inammissibbiltà tat-talba għal evalwazzjoni tal-validità – Dritt għal kumpens għal danni kkawżati mill-ipproċessar ta’ tali data mwettaq bi ksur ta’ dan ir-regolament – Trażmissjoni ta’ data lil terz mhux awtorizzat minħabba żball imwettaq mill-impjegati tal-kontrollur – Evalwazzjoni tan-natura xierqa tal-miżuri ta’ protezzjoni implimentati mill-kontrollur – Funzjoni kumpensatorja ssodisfatta mid-dritt għal kumpens – L-impatt tal-gravità tal-ksur – Neċessità li tiġi stabbilita l-eżistenza ta’ dannu kkawżat mill-imsemmi ksur – Kunċett ta’ ‘dannu morali’”

Fil-Kawża C‑687/21,

li għandha bħala suġġett talba għal deċiżjoni preliminari skont l-Artikolu 267 TFUE, imressqa mill-Amtsgericht Hagen (il-Qorti tad-Distrett ta’ Bremen, il-Ġermanja), permezz ta’ deċiżjoni tal‑11 ta’ Ottubru 2021, li waslet fil-Qorti tal-Ġustizzja fis‑16 ta’ Novembru 2021, fil-proċedura

MediaMarktSaturn Hagen-Iserlohn GmbH, li kienet Saturn Electro-Handelsgesellschaft mbH Hagen,

IL-QORTI TAL-ĠUSTIZZJA (It-Tielet Awla),

komposta minn K. Jürimäe, Presidenta tal-Awla, N. Piçarra, M. Safjan, N. Jääskinen (Relatur) u M. Gavalec, Imħallfin,

Avukat Ġenerali: M. Campos Sánchez-Bordona,

Reġistratur: A. Calot Escobar,

wara li rat il-proċedura bil-miktub,

wara li kkunsidrat l-osservazzjonijiet ippreżentati:

– għal BL, minn D. Pudelko, Rechtsanwalt,

– għal MediaMarktSaturn Hagen-Iserlohn GmbH, li kienet Saturn Electro - Handelsgesellschaft mbH Hagen, minn B. Hackl, Rechtsanwalt,

– għall-Irlanda, minn M. Browne, Chief State Solicitor, A. Joyce u M. Lane, bħala aġenti, assistiti minn D. Fennelly, BL,

– għall-Parlament Ewropew, minn O. Hrstková Šolcová u J.-C. Puffer, bħala aġenti,

– għall-Kummissjoni Ewropea, minn A. Bouchagiar, M. Heller u H. Kranenborg, bħala aġenti,

wara li rat id-deċiżjoni meħuda, wara li nstema’ l-Avukat Ġenerali, li taqta’ l-kawża mingħajr konklużjonijiet,

tagħti l-preżenti

Sentenza

1 It-talba għal deċiżjoni preliminari tirrigwarda l-interpretazzjoni tal-Artikolu 2(1), tal-punt 7 tal-Artikolu 4, tal-Artikolu 5(1)(f), tal-Artikolu 6(1), tal-Artikolu 24, tal-Artikolu 32(1)(b) u (2), kif ukoll tal-Artikolu 82 tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU 2016, L 119, p. 1, iktar ’il quddiem il-“GDPR”), u l-evalwazzjoni tal-validità ta’ dan l-Artikolu 82.

2 Din it-talba ġiet ippreżentata fil-kuntest ta’ kawża bejn BL, persuna fiżika, u MediaMarktSaturn Hagen-Iserlohn GmbH, li qabel kienet Saturn Electro-Handelsgesellschaft mbH Hagen (iktar ’il quddiem “Saturn”), dwar il-kumpens għad-dannu morali li l-imsemmija persuna ssostni li ġarrbet minħabba t-trażmissjoni lil terz ta’ ċerta data personali tagħha minħabba żball imwettaq minn impjegati ta’ din il-kumpannija.

Il‑kuntest ġuridiku

3 Il-premessi 11, 74, 76, 83, 85 u 146 tal-GDPR huma fformulati kif ġej:

“11. Il-protezzjoni effettiva tad-data personali fl-Unjoni [Ewropea] kollha teħtieġ it-tisħiħ u l-ispeċifikar fid-dettall tad-drittijiet tas-suġġetti tad-data u l-obbligi ta’ dawk li jipproċessaw u jiddeterminaw l-ipproċessar ta’ data personali, [...]

[...]

(74) Ir-responsabbiltà tal-kontrollur għal kwalunkwe pproċessar ta’ data personali li jitwettaq mill-kontrollur jew f’isem il-kontrollur għandha tiġi stabbilita. B’mod partikolari, il-kontrollur għandu jkun obbligat jimplimenta miżuri adatti u effettivi u jkun jista’ juri l-konformità tal-attivitajiet ta’ pproċessar ma’ dan ir-Regolament, inkluża l-effettività tal-miżuri. Dawk il-miżuri għandhom jikkunsidraw in-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar u r-riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi.

[...]

(76) Il-probabbiltà u l-gravità tar-riskju għad-drittijiet u l-libertajiet tas-suġġett tad-data għandhom jiġu ddeterminati b’referenza għan-natura, l-ambitu, il-kuntest u l-għanijiet tal-ipproċessar tad-data. Ir-riskju għandu jiġi evalwat abbażi ta’ valutazzjoni oġġettiva, li permezz tagħha jiġi stabbilit jekk l-operazzjonijiet tal-ipproċessar tad-data jinvolvux riskju jew riskju għoli.

[...]

(83) Sabiex iżomm is-sigurtà u jipprevjeni l-ipproċessar li jikser dan ir-Regolament, il-kontrollur jew il-proċessur għandu jevalwa r-riskji inerenti fl-ipproċessar u jimplimenta miżuri sabiex itaffi dawk ir-riskji, bħall-kriptaġġ. Dawn il-miżuri għandhom jiżguraw livell adatt ta’ sigurtà, inkluża kunfidenzjalità, filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku u l-ispejjeż tal-implimentazzjoni b’rabta mar-riskji u n-natura tad-data personali li għandha tkun protetta. Fil-valutazzjoni tar-riskju tas-sigurtà tad-data, għandha tingħata konsiderazzjoni lir-riskji li huma ppreżentati mill-ipproċessar tad-data personali, bħall-qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata b’xi mod ieħor, li jkun aċċidentali jew illegali, li jista’ b’mod partikolari jwassal għal dannu fiżika, materjali jew mhux materjali.

[...]

(85) Il-vjolazzjoni ta’ data personali tista’, jekk ma tiġix indirizzata b’mod adegwat u fil-ħin, tirriżulta f’dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi bħat-telf ta’ kontroll tad-data personali tagħhom jew limitazzjoni tad-drittijiet tagħhom, diskriminazzjoni, serq tal-identità jew frodi, telf finanzjarju, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità tad-data personali protetta mis-segretezza professjonali jew kwalunkwe żvantaġġ ekonomiku jew soċjali ieħor għall-persuna fiżika kkonċernata. [...]

[...]

(146) Il-kontrollur jew il-proċessur għandu jikkumpensa għal kwalunkwe dannu li tista’ ssofri persuna b’riżultat ta’ pproċessar li jikser dan ir-Regolament. Il-kontrollur jew il-proċessur għandu jiġi eżentat mir-responsabbiltà jekk iġib provi li huwa mhuwiex responsabbli bl-ebda mod għad-dannu. Il-kunċett ta’ dannu għandu jiġi interpretat b’mod wiesa’ fid-dawl tal-każistika tal-Qorti tal-Ġustizzja b’mod li jissodisfa b’mod sħiħ l-objettivi ta’ dan ir-Regolament. Dan huwa mingħajr preġudizzju għal kwalunkwe talba għal kumpens għal danni li tirriżulta minn ksur ta’ regoli oħra fil-liġi tal-Unjoni jew ta’ Stat Membru. L-ipproċessar li jikser dan ir-Regolament jinkludi wkoll l-ipproċessar li ma jkunx f’konformità mal-atti delegati u ta’ implimentazzjoni adottati f’konformità ma’ dan ir-Regolament u l-liġi tal-Istat Membru li jispeċifikaw ir-regoli ta’ dan ir-Regolament. Is-suġġetti tad-data għandhom jirċievu kumpens sħiħ u effettiv għad-dannu li jkunu ġarrbu. [...]”

4 Taħt il-Kapitolu I ta’ dan ir-regolament, dwar id-“[d]ispożizzjonijiet ġenerali”, l-Artikolu 2 tiegħu, li huwa stess huwa intitolat “Kamp ta’ applikazzjoni materjali”, jipprevedi, fil-paragrafu 1 tiegħu:

“Dan ir-Regolament japplika għall-ipproċessar ta’ data personali kompletament jew parzjalment b’mezzi awtomatizzati, u għall-ipproċessar għajr b’mezzi awtomatizzati ta’ data personali li tifforma parti minn sistema ta’ arkivjar jew li tkun maħsuba sabiex tifforma parti minn sistema ta’ arkivjar.”

5 L-Artikolu 4 tal-imsemmi regolament, intitolat “Definizzjonijiet”, jipprevedi:

“Għall-finijiet ta’ dan ir-Regolament:

(1) ‘data personali’ tfisser kwalunkwe informazzjoni relatata ma’ persuna fiżika identifikata jew identifikabbli (‘suġġett tad-data’); [...]

[...]

‘kontrollur’ tfisser persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew kwalunkwe korp ieħor li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali; [...]

[...]

(10) ‘parti terza’ tfisser persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp għajr is-suġġett tad-data, il-kontrollur, il-proċessur u l-persuni li, taħt l-awtorità diretta tal-kontrollur jew tal-proċessur, ikunu awtorizzati li jipproċessaw id-data personali;

[...]

(12) ‘ksur ta’ data personali’ tfisser ksur tas-sigurtà li jwassal għal qerda aċċidentali jew illegali, telf, bidliet, żvelar mhux awtorizzat ta’, jew aċċess għal, data personali trażmessa, maħżuna jew ipproċessata b’xi mod ieħor;

[...]”

6 Il-Kapitolu II tal-GDPR, intitolat “Prinċipji”, jinkludi fih l-Artikoli 5 sa 11 tiegħu.

7 L-Artikolu 5 ta’ dan ir-regolament, intitolat “Prinċipji relatati mal-ipproċessar ta' data personali”, jipprevedi:

“1. Id-data personali għandha:

[...]

(f) tiġi pproċessata b'mod li jiżgura sigurtà xierqa tad-data personali, inkluża l-protezzjoni mill-ipproċessar mhux awtorizzat jew illegali u kontra t-telf, il-qerda jew il-ħsara aċċidentali, bl-użu ta' miżuri tekniċi jew organizzattivi xierqa (‘integrità u kunfidenzjalità’).

2. Il-kontrollur għandu jkun responsabbli għall-konformità mal-paragrafu 1 u jkun kapaċi juriha (‘responsabbiltà’).”

8 L-Artikolu 6 tal-imsemmi regolament, intitolat “Il-legalità tal-ipproċessar”, jiddefinixxi, fil-paragrafu 1 tiegħu, il-kundizzjonijiet li għandhom jiġu ssodisfatti sabiex ipproċessar ikun legali.

9 Il-Kapitolu IV tal-GDPR, intitolat “Kontrollur u proċessur”, jinkludi l-Artikoli 24 sa 43 tiegħu.

10 Taħt it-Taqsima 1 ta’ dan il-Kapitolu IV, intitolata “Obbligi ġenerali”, l-Artikolu 24, li min-naħa tiegħu huwa intitolat “Responsabbiltà tal-kontrollur”, jistabbilixxi fil-paragrafi 1 u 2 tiegħu:

“1. B’kont meħud tan-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskji ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu jimplimenta miżuri tekniċi u organizzattivi adatti biex jiżgura u jkun jista’ juri li l-ipproċessar isir f’konformità ma’ dan ir-Regolament. Dawk il-miżuri għandhom jiġu rieżaminati u aġġornati fejn meħtieġ.

2. Fejn dawn ikunu proporzjonati fir-rigward ta’ attivitajiet ta’ pproċessar, il-miżuri msemmija fil-paragrafu 1 għandhom jinkludu l-implimentazzjoni ta’ politiki adatti dwar il-protezzjoni tad-data mill-kontrollur.”

11 Taħt it-Taqsima 2 tal-imsemmi kapitolu, intitolata “Sigurtà tad-data personali”, l-Artikolu 32 tal-GDPR, li min-naħa tiegħu huwa intitolat “Sigurtà tal-ipproċessar”, jipprovdi, fil-paragrafu 1 tiegħu:

“1. Filwaqt li jikkunsidraw l-ogħla livell ta’ żvilupp tekniku, l-ispejjeż tal-implimentazzjoni u in-natura, l-ambitu, il-kuntest, u l-għanijiet tal-ipproċessar kif ukoll ir-riskju ta’ probabbiltà u gravità li jvarjaw għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur u l-proċessur għandhom jimplimentaw miżuri tekniċi u organizzattivi xierqa, biex jiżguraw livell ta’ sigurtà xieraq għar-riskju, inklużi inter alia kif xieraq:

[...]

(b) il-kapaċità li jiġu żgurati l-kunfidenzjalità, l-integrità, id-disponibbiltà u r-reżiljenza kontinwi tas-sistemi u s-servizzi ta’ pproċessar;

[...]

2. Fl-evalwazzjoni tal-livell xieraq ta’ sigurtà ser jitqiesu b’mod partikolari r-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali.”

12 Il-Kapitolu VIII tal-GDPR, intitolat “Rimedji, responsabbiltà u pieni”, jinkludi l-Artikoli 77 sa 84 ta’ dan ir-regolament.

13 Skont l-Artikolu 82 tal-imsemmi regolament, intitolat “Dritt għal kumpens u responsabbiltà”:

“1. Kwalunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab.

2. Kwalunkwe kontrollur involut fl-ipproċessar għandu jkunu responsabbli għad-dannu kkawżat mill-ipproċessar li jikser dan ir-Regolament. [...]

3. Kontrollur jew proċessur għandu jkun eżentat mir-responsabbiltà taħt il-paragrafu 2 jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu.

[...]”

14 L-Artikolu 83 tal-GDPR, intitolat “Kondizzjonijiet ġenerali biex jiġu imposti multi amministrattivi”, jipprevedi, fil-paragrafu 1 tiegħu, li:

“1. Kull awtorità superviżorja għandha tiżgura li l-impożizzjoni ta’ multi amministrattivi skont dan l-Artikolu fir-rigward ta’ ksur ta’ dan ir-Regolament imsemmi fil-paragrafi 4, 5 u 6 għandha tkun effettiva, proporzjonata u dissważiva f’kull każ individwali.

2. [...] Meta jiġi deċiż jekk għandiex tiġi imposta multa amministrattiva u jiġi deċiż l-ammont tal-multa amministrattiva, f’kull każ individwali, għandha tingħata konsiderazzjoni dovuta lil dawn li ġejjin:

(a) in-natura, il-gravità u d-dewmien tal-ksur b’kont meħud tan-natura, l-ambitu jew il-fini tal-ipproċessar ikkonċernat kif ukoll l-għadd ta’ suġġetti tad-data affettwati u l-livell ta’ dannu mġarrab minnhom;

(b) il-karattru intenzjonali jew negliġenti tal-ksur;

[...]

(d) il-grad ta’ responsabbiltà tal-kontrollur jew il-proċessur b’kont meħud tal-miżuri tekniċi u organizzattivi implimentati minnu skont l-Artikoli 25 u 32;

[...]

(k) kwalunkwe fattur aggravanti jew mitiganti applikabbli għaċ-ċirkostanzi tal-każ, bħal benefiċċji finanzjarji miksuba, jew telfiet evitati, direttament jew indirettament, mill-ksur.

3. Jekk kontrollur jew proċessur, intenzjonalment jew b’negliġenza, għall-istess operazzjonijiet ta’ pproċessar jew għal dawk b’rabta ma’ xulxin, jikser diversi dispożizzjonijiet ta’ dan ir-Regolament, l-ammont totali tal-multa amministrattiva ma għandux jaqbeż l-ammont speċifikat għall-ksur l-aktar gravi.

[...]”

15 L-Artikolu 84 ta’ dan ir-regolament, intitolat “Pieni”, jiddisponi fil-paragrafu 1 tiegħu:

“L-Istati Membri għandhom jistipulaw ir-regoli dwar il-pieni oħrajn applikabbli għal ksur ta’ dan ir-Regolament b’mod partikolari għal ksur li ma jkunx soġġett għal multi amministrattivi skont l-Artikolu 83, u għandhom jieħdu l-miżuri kollha meħtieġa biex jiżguraw li dawn jiġu implimentati. Tali pieni għandhom ikunu effettivi, proporzjonati u dissważivi.”

Il‑kawża prinċipali u d‑domandi preliminari

16 Ir-rikorrent fil-kawża prinċipali mar fil-bini kummerċjali ta’ Saturn, fejn akkwista apparat elettrodomestiku. Għal dan l-għan, ġie stabbilit kuntratt ta’ bejgħ u ta’ kreditu minn impjegat ta’ din il-kumpannija. F’din l-okkażjoni, huwa daħħal fis-sistema informatika ta’ Saturn diversi data personali ta’ dan il-klijent, jiġifieri ismu u kunjomu, l-indirizz tiegħu, il-post ta’ residenza tiegħu, l-isem tal-persuna li timpjegah, id-dħul tiegħu kif ukoll id-dettalji bankarji tiegħu.

17 Id-dokumenti kuntrattwali li fihom din id-data personali ġew stampati u ffirmati miż-żewġ partijiet. Sussegwentement, ir-rikorrent fil-kawża prinċipali ttrasferixxihom lill-impjegati ta’ Saturn li jaħdmu fil-post tal-ħruġ tal-merkanzija. Klijent ieħor, li kien daħal bil-moħbi quddiem ir-rikorrent fil-kawża prinċipali, irċieva għalhekk, bi żball, kemm l-apparat ordnat minn dan tal-aħħar kif ukoll id-dokumenti kkonċernati u ħa dak kollu kemm hu.

18 Peress li l-iżball ġie skopert malajr, impjegat ta’ Saturn kiseb ir-restituzzjoni tal-apparat u tad-dokumenti, imbagħad irritornahom lir-rikorrent fil-kawża prinċipali, fin-nofs siegħa wara l-għoti tagħhom lill-klijent l-ieħor. L-impriża xtaqet tikkumpensa lir-rikorrent fil-kawża prinċipali għal dan l-iżball billi tikkunsinnalu mingħajr ħlas l-apparat ikkonċernat fir-residenza tiegħu, iżda s-suġġett tad-data qies li dan il-kumpens kien insuffiċjenti.

19 Ir-rikorrent fil-kawża prinċipali adixxa lill-Amtsgericht Hagen (il-Qorti Distrettwali ta’ Hagen, il-Ġermanja), li hija l-qorti tar-rinviju f’din il-kawża, b’azzjoni intiża sabiex jikseb, b’mod partikolari abbażi tad-dispożizzjonijiet taL-GDPR, il-kumpens għad-dannu morali li huwa jsostni li ġarrab minħabba l-iżball imwettaq mill-impjegati ta’ Saturn u minħabba r-riskji ta’ telf ta’ kontroll li jirriżultaw mid-data personali tiegħu.

20 Bħala difiża, Saturn toġġezzjona, minn naħa, li ma kienx hemm ksur tal-GDPR u li dan tal-aħħar jista’ jiġi kkostitwit biss jekk jaqbeż ċertu livell ta’ gravità, mhux milħuq f’dan il-każ. Min-naħa l-oħra, din il-kumpannija ssostni li r-rikorrent fil-kawża prinċipali ma ġarrab ebda dannu, peress li la ġie kkonstatat u lanqas invokat li t-terz involut kien għamel użu abbużiv tad-data ta’ natura personali tas-suġġett tad-data.

21 Il-qorti tar-rinviju tistaqsi, l-ewwel nett, dwar il-validità tal-Artikolu 82 tal-GDPR, minħabba l-fatt li dan l-artikolu jidhrilha li huwa nieqes minn preċiżjoni fir-rigward tal-effetti legali tiegħu fil-każ ta’ kumpens għal dannu morali.

22 It-tieni nett, fil-każ li dan l-Artikolu 82 ma jiġix iddikjarat invalidu mill-Qorti tal-Ġustizzja, hija tistaqsi jekk l-eżerċizzju tad-dritt għal kumpens previst fih jippreżumix li tiġi stabbilita l-eżistenza mhux biss ta’ ksur tal-GDPR, iżda wkoll ta’ dannu, b’mod partikolari morali, imġarrab mill-persuna li titlob kumpens.

23 It-tielet nett, il-qorti tar-rinviju tfittex li tiddetermina jekk is-sempliċi fatt li dokumenti stampati li fihom data personali ġew trażmessi mingħajr awtorizzazzjoni lil terz, minħabba żball imwettaq minn impjegati tal-kontrollur, jippermettix jew le li jiġi kkaratterizzat ksur tal-GDPR.

24 Ir-raba’ nett, filwaqt li tqis li “l-impriża [konvenuta] għandha ssostni l-oneru tal-prova tal-innoċenza tagħha”, din il-qorti tixtieq tkun taf jekk huwiex biżżejjed li jiġi kkonstatat li tali kunsinna ta’ dokumenti b’negliġenza seħħet, sabiex jitqies li hemm ksur tal-GDPR, speċjalment fid-dawl tal-obbligu impost fuq il-kontrollur li jimplimenta miżuri xierqa sabiex tiġi żgurata s-sigurtà tad-data pproċessata, skont l-Artikoli 2, 5, 6 u 24 ta’ dan ir-regolament.

25 Il-ħames nett, il-qorti tar-rinviju tistaqsi jekk, anki meta jidher li t-terz mhux awtorizzat ma kienx ħa nota tad-data personali kkonċernata qabel ma ta lura d-dokumenti li fihom din kienet tinsab, l-eżistenza ta’ “dannu morali”, fis-sens tal-Artikolu 82 tal-GDPR, tistax tiġi stabbilita minħabba s-sempliċi fatt li l-persuna li d-data tagħha ġiet trażmessa b’dan il-mod tħoss biża minħabba r-riskju, li ma jistax jiġi eskluż skont din il-qorti, li din tiġi kkomunikata lil individwi oħra minn dan it-terz, jew saħansitra tintuża b’mod abbużiv, fil-futur.

26 Is-sitt nett, l-imsemmija qorti tistaqsi dwar l-effett eventwali, fil-kuntest ta’ azzjoni għal kumpens għal dannu morali bbażata fuq dan l-Artikolu 82, tal-grad ta’ gravità ppreżentat minn ksur imwettaq f’ċirkustanzi bħal dawk fil-kawża prinċipali, fid-dawl tal-fatt li miżuri ta’ sigurtà iktar effikaċi setgħu, fil-fehma tagħha, jiġu adottati mill-kontrollur.

27 Finalment, is-seba’ nett, hija tixtieq tkun taf l-għan tal-kumpens għal dannu morali dovut taħt il-GDPR, billi tissuġġerixxi li dan tal-aħħar jista’ jkollu natura ta’ sanzjoni ekwivalenti għal dik ta’penali kuntrattwali.

28 F’dawn iċ-ċirkustanzi, l-Amtsgericht Hagen (il-Qorti Distrettwali ta’ Hagen) iddeċidiet li tissospendi l-proċeduri u li tagħmel id-domandi preliminari segwenti lill-Qorti tal-Ġustizza:

“1) Id-dispożizzjoni dwar il-kumpens għad-danni prevista fl-Artikolu 82 [tal-GDPR] hija ineffettiva fl-assenza ta’ ċertezza dwar il-konsegwenzi legali li għandhom jinstiltu fil-każ ta’ kumpens għal danni morali?

2) Fir-rigward ta’ talba għal kumpens għad-danni huwa meħtieġ li, minbarra l-komunikazzjoni mhux iġġustifikata lil terz mhux awtorizzat ta’ data li għandha tiġi protetta, jiġi kkonstatat dannu morali li għandu jiġi stabbilit mill-persuna li tressaq it-talba?

3) Sabiex ikun hemm ksur [tal-GDPR] huwa biżżejjed li d-data personali tas-suġġett tad-data (l-isem, l-indirizz, il-professjoni, id-dħul, il-persuna li timpjegah), b’konsegwenza ta’ żball klerikali min-naħa ta’ impjegat tal-impriża inkwistjoni, tkun ġiet ikkomunikata bi żball, f’forma stampata fuq karta, lil terz bħala dokument fuq karta?

4) Ikun hemm ipproċessar ulterjuri illegali permezz ta’ komunikazzjoni mhux intenzjonata (żvelar) lil terz meta l-impriża, b’konsegwenza ta’ żball klerikali ta’ impjegat tagħha, tkun ikkomunikat, f’forma stampata, lil terz mhux awtorizzat data li barra minn hekk tkun maħżuna f’sistema tal-informatika (Artikolu 2(1), Artikolu 5(1)(f), Artikolu 6(1) u Artikolu 24 [tal-GDPR])?

5) Jista’ jingħad li hemm dannu morali fis-sens tal-Artikolu 82 tar-Regolament 2016/679 anki meta t-terz li jkun irċieva d-dokument bid-data personali ma jkunx ħa nota ta’ din id-data qabel ma d-dokument li fuqu kienet tinsab din id-data ġie rritornat, jew, sabiex ikun hemm dannu morali fis-sens tal-Artikolu 82 [tal-GDPR] huwa biżżejjed l-inkwiet tal-individwi li d-data personali tagħhom ġiet ikkomunikata b’mod illegali sa fejn kull żvelar mhux awtorizzat ta’ data personali jimplika l-possibbiltà inevitabbli li d-data tiġi pproċessata b’mod ulterjuri jew anki abbużata minn numru mhux magħruf ta’ persuni?

6) Kemm għandu jitqies li huwa gravi l-ksur meta l-komunikazzjoni mhux intenzjonata lil terz setgħet tiġi evitata permezz ta’ kontroll aħjar tal-persuni impjegati bħala assistenti fi ħdan l-impriża u/jew permezz ta’ organizzazzjoni aħjar tas-sigurtà tad-data, pereżempju permezz ta’ trattament separat tal-kunsinna tal-merkanzija u tal-kuntratti, b’mod partikolari tad-dokumenti dwar il-finanzjament, bl-użu ta’ dokument separat dwar il-kunsinna jew bi trażmissjoni fi ħdan l-impriża lill-impjegati responsabbli għall-kunsinna tal-merkanzija, mingħajr l-intervent tal-klijent li jirċievi d-dokumenti stampati, inkluż l-irċevuta tal-kunsinna (Artikolu 32(1)(b) u (2) kif ukoll punt 7 tal-Artikolu 4 [tal-GDPR]?

7) L-għoti ta’ sanzjoni bħal fil-każ ta’ sanzjoni kuntrattwali għandu jitqies li huwa kumpens għal dannu morali?”

Fuq id‑domandi preliminari

Fuq l‑ewwel domanda

29 Permezz tal-ewwel domanda tagħha, il-qorti tar-rinviju tistaqsi jekk l-Artikolu 82 tal-GDPR huwiex invalidu sa fejn ma jinkludix preċiżjoni fir-rigward tal-konsegwenzi legali li għandhom jiġu imposti fir-rigward tal-kumpens għal dannu morali.

30 Il-Parlament Ewropew isostni li din id-domanda hija inammissibbli, peress li l-qorti tar-rinviju ma ssodisfatx ir-rekwiżiti tal-Artikolu 94(c) tar-Regoli tal-Proċedura tal-Qorti tal-Ġustizzja, minkejja li din il-qorti tqajjem hawnhekk problema partikolarment kumplessa, jiġifieri l-evalwazzjoni tal-validità ta’ dispożizzjoni tad-dritt tal-Unjoni.

31 Skont l-Artikolu 94(c) tar-Regoli tal-Proċedura, it-talba għal deċiżjoni preliminari għandha tinkludi b’mod partikolari, minbarra t-test tad-domandi preliminari magħmula lill-Qorti tal-Ġustizzja, espożizzjoni tar-raġunijiet li wasslu lill-qorti tar-rinviju sabiex ikollha dubji dwar l-interpretazzjoni jew il-validità ta’ ċerti dispożizzjonijiet tad-dritt tal-Unjoni.

32 F’dan ir-rigward, l-espożizzjoni tal-motivi tar-rinviju għal deċiżjoni preliminari hija indispensabbli sabiex tippermetti mhux biss lill-Qorti tal-Ġustizzja tagħti risposti utli, iżda wkoll lill-gvernijiet tal-Istati Membri kif ukoll lill-partijiet ikkonċernati l-oħra jippreżentaw osservazzjonijiet, skont l-Artikolu 23 tal-Istatut tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea. B’mod iktar speċifiku, huwa fid-dawl tal-motivi ta’ invalidità msemmija fid-deċiżjoni tar-rinviju li l-Qorti tal-Ġustizzja għandha teżamina l-validità ta’ dispożizzjoni tad-dritt tal-Unjoni, b’tali mod li l-assenza ta’ kwalunkwe indikazzjoni tar-raġunijiet preċiżi li wasslu lill-qorti tar-rinviju tistaqsi dwar dan is-suġġett twassal għall-inammissibbiltà tad-domandi dwar l-imsemmija validità (ara, f’dan is-sens, is-sentenzi tal‑15 ta’ Ġunju 2017, T.KUP, C‑349/16, EU:C:2017:469, punti 16 sa 18, u tat‑22 ta’ Ġunju 2023, Vitol, C‑268/22, EU:C:2023:508, punti 52 sa 55).

33 Issa, f’dan il-każ, il-qorti tar-rinviju ma tesponi ebda element preċiż li jippermetti lill-Qorti tal-Ġustizzja teżamina l-validità tal-Artikolu 82 tal-GDPR.

34 Konsegwentement, l-ewwel domanda preliminari għandha tiġi ddikjarata inammissibbli.

Fuq it‑tielet u r‑raba’ domanda

35 Permezz tat-tielet u tar-raba’ domanda tagħha, li għandhom jiġu eżaminati flimkien u fl-ewwel lok, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikoli 5, 24, 32 u 82 tal-GDPR, moqrija flimkien, għandhomx jiġu interpretati fis-sens li, fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq dan l-Artikolu 82, il-fatt li impjegati tal-kontrollur issottomettew bi żball lil terz mhux awtorizzat dokument li fih data personali huwiex biżżejjed, waħdu, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens ta’ dawn l-Artikoli 24 u 32.

36 L-Artikolu 24 tal-GDPR jipprevedi obbligu ġenerali, impost fuq il-kontrollur tal-ipproċessar ta’ data personali, li jimplimenta miżuri tekniċi u organizzattivi xierqa sabiex jiġi żgurat li l-imsemmi pproċessar jitwettaq b’mod konformi ma’ dan ir-regolament u sabiex ikun jista’ jintwera (sentenza tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 24).

37 L-Artikolu 32 tal-GDPR jispeċifika min-naħa tiegħu, l-obbligi tal-kontrollur u ta’ proċessur eventwali fir-rigward tas-sigurtà ta’ dan l-ipproċessar. Għalhekk, il-paragrafu 1 ta’ dan l-artikolu jipprovdi li dawn tal-aħħar għandhom jimplimentaw il-miżuri tekniċi u organizzattivi xierqa sabiex jiggarantixxu livell ta’ sigurtà adattat għar-riskji marbuta mal-imsemmi pproċessar, billi jieħdu inkunsiderazzjoni l-istat tal-għarfien, l-ispejjeż tal-implimentazzjoni kif ukoll in-natura, il-portata, il-kuntest u l-għanijiet tal-ipproċessar ikkonċernat. Bl-istess mod, il-paragrafu 2 ta’ dan l-artikolu jipprovdi li, fl-evalwazzjoni tal-livell xieraq ta’ sigurtà, għandhom jitqiesu, b’mod partikolari, ir-riskji li jippreżenta l-ipproċessar, partikolarment minn qerda, telf, bidla, żvelar mhux awtorizzat ta’, jew aċċess għal data personali trażmessa, maħżuna jew ipproċessata mod ieħor, li jkun aċċidentali jew illegali (ara, f’dan is-sens, is-sentenza tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 26 u 27).

38 Għalhekk, mill-kliem tal-Artikoli 24 u 32 tal-GDPR jirriżulta li n-natura xierqa tal-miżuri implimentati mill-kontrollur għandha tiġi evalwata b’mod konkret, fid-dawl tad-diversi kriterji previsti f’dawn l-artikoli u tal-bżonnijiet ta’ protezzjoni tad-data speċifikament inerenti għall-ipproċessar ikkonċernat kif ukoll għar-riskji li jirriżultaw minn dan tal-aħħar, u dan iktar u iktar peress li l-imsemmi kontrollur għandu jkun f’pożizzjoni li juri l-konformità ma’ dan ir-regolament tal-imsemmija miżuri, possibbiltà li jiġi mċaħħad minnha kieku tiġi aċċettata preżunzjoni inkonfutabbli (ara, f’dan is-sens, is-sentenza tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 30 u 32).

39 Din l-interpretazzjoni letterali hija kkorroborata minn qari flimkien ta’ tal-imsemmija Artikoli 24 u 32 mal-Artikolu 5(2) u mal-Artikolu 82 tal-imsemmi regolament, moqrija fid-dawl tal-premessi 74, 76 u 83 tiegħu, li minnhom jirriżulta, b’mod partikolari, li l-kontrollur huwa obbligat inaqqas ir-riskji ta’ ksur tad-data personali, u mhux li jipprekludi kull ksur tagħha (ara, f’dan is-sens, is-sentenza tal‑14 ta’ Diċembru 2023 Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 33 sa 38).

40 Għaldaqstant, il-Qorti tal-Ġustizzja interpretat l-Artikoli 24 u 32 tal-GDPR fis-sens li żvelar mhux awtorizzat ta’ data personali jew aċċess mhux awtorizzat għal tali data minn “terzi”, fis-sens tal-punt 10 tal-Artikolu 4 ta’ dan ir-regolament, ma humiex biżżejjed, waħedhom, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens ta’ dawn l-Artikoli 24 u 32 (sentenza tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 39).

41 F’dan il-każ, il-fatt li l-impjegati tal-kontrollur għaddew, bi żball lil terz mhux awtorizzat, dokument li jinkludi fih data personali, jista’ jiżvela li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens tal-imsemmija Artikoli 24 u 32. B’mod partikolari, tali ċirkustanza tista’ tirriżulta minn negliġenza jew minn nuqqas fl-organizzazzjoni tal-kontrollur, li ma jiħux inkunsiderazzjoni b’mod konkret ir-riskji marbuta mal-ipproċessar tad-data inkwistjoni.

42 F’dan ir-rigward, għandu jiġi enfasizzat li minn qari flimkien tal-Artikoli 5, 24 u 32 tal-GDPR, moqrija fid-dawl tal-premessa 74 tiegħu, jirriżulta li, fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament, l-oneru tal-prova li d-data personali hija pproċessata b’mod li tiġi ggarantita sigurtà xierqa ta’ din tal-aħħar, fis-sens tal-Artikolu 5(1)(f) u tal-Artikolu 32 tal-imsemmi regolament, jaqa’ fuq il-kontrollur ikkonċernat. Tali tqassim tal-oneru tal-prova huwa ta’ natura mhux biss li jinkoraġġixxi lill-kontrolluri ta’ din id-data jadottaw miżuri ta’ sigurtà meħtieġa mill-GDPR, iżda wkoll li jissalvagwardjaw l-effett utli tad-dritt għal kumpens previst fl-Artikolu 82 ta’ dan ir-regolament u li josservaw l-intenzjonijiet tal-leġiżlatur tal-Unjoni msemmija fil-premessa 11 tiegħu (ara, f’dan is-sens, is-sentenza tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 49 sa 56).

43 Għaldaqstant, il-Qorti tal-Ġustizzja interpretat l-prinċipju ta’ responsabbiltà tal-kontrollur, stabbilit fl-Artikolu 5(2) tal-GDPR u kkonkretizzat fl-Artikolu 24 tiegħu, għandu jiġi interpretat fis-sens li, fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq l-Artikolu 82 ta’ dan ir-regolament, il-kontrollur inkwistjoni għandu l-oneru li jipprova n-natura xierqa tal-miżuri ta’ sigurtà li jkun implimenta skont l-Artikolu 32 tal-imsemmi regolament (sentenza tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 57).

44 Għalhekk, qorti adita b’tali azzjoni għal kumpens għal dannu bbażata fuq l-Artikolu 82 tal-GDPR ma tistax tieħu inkunsiderazzjoni biss il-fatt li impjegati tal-kontrollur ikunu bagħtu bi żball lil terz mhux awtorizzat dokument li jinkludi data personali, sabiex tiddetermina jekk jeżistix ksur ta’ obbligu previst minn dan ir-regolament. Fil-fatt, din il-qorti għandha wkoll tieħu inkunsiderazzjoni l-provi kollha li l-kontrollur ipprovda sabiex juri n-natura xierqa tal-miżuri tekniċi u organizzattivi li huwa adotta sabiex jikkonforma ruħu mal-obbligi tiegħu skont l-Artikoli 24 u 32 tal-imsemmi regolament.

45 Fid-dawl tal-motivi preċedenti, ir-risposta għat-tielet u għar-raba’ domanda għandha tkun li l-Artikoli 5, 24, 32 u 82 tal-GDPR, moqrija flimkien, għandhom jiġu interpretati fis-sens li, fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq dan l-Artikolu 82, il-fatt li impjegati tal-kontrollur għaddew, bi żball, lil terz mhux awtorizzat, dokument li fih data personali, ma huwiex biżżejjed, waħdu, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens ta’ dawn l-Artikoli 24 u 32.

Fuq is‑seba’ domanda

46 Permezz tas-seba’ domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82 tal-GDPR għandux jiġi interpretat fis-sens li d-dritt għal kumpens previst f’din id-dispożizzjoni, b’mod partikolari fil-każ ta’ danni morali, għandux funzjoni punittiva.

47 F’dan ir-rigward, il-Qorti tal-Ġustizzja ddeċidiet li l-Artikolu 82 tal-GDPR ma għandux funzjoni punittiva iżda kumpensatorja, kuntrarjament għal dispożizzjonijiet oħra ta’ dan ir-regolament li jinsabu wkoll fil-Kapitolu VIII tiegħu, jiġifieri l-Artikoli 83 u 84 tiegħu, li għandhom, min-naħa tagħhom, essenzjalment għan punittiv, peress li dawn jippermettu rispettivament li jiġu imposti multi amministrattivi kif ukoll sanzjonijiet oħra. Ir-relazzjoni bejn ir-regoli stabbiliti fl-imsemmi Artikolu 82 u dawk stabbiliti fl-imsemmija Artikoli 83 u 84 turi li teżisti differenza bejn dawn iż-żewġ kategoriji ta’ dispożizzjonijiet, iżda wkoll komplementarjetà, f’termini ta’ inċentiv għall-osservanza tal-GDPR, filwaqt li għandu jiġi osservat li d-dritt ta’ kull persuna li titlob kumpens għal dannu jsaħħaħ in-natura operattiva tar-regoli ta’ protezzjoni previsti minn dan ir-regolament u huwa ta’ natura li jiskoraġġixxi r-repetizzjoni ta’ aġir illegali (ara, f’dan is-sens, is-sentenzi tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali) Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali), C‑300/21, EU:C:2023:370, punti 38 u 40, kif ukoll tal‑21 ta’ Diċembru 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 85).

48 Il-Qorti tal-Ġustizzja tippreċiża li peress li d-dritt għal kumpens previst fl-Artikolu 82(1) tal-GDPR ma jissodisfax funzjoni dissważiva, jew saħansitra punittiva, kif prevista mill-qorti tar-rinviju, il-gravità tal-ksur ta’ dan ir-regolament li kkawża d-dannu kkonċernat ma tistax tinfluwenza l-ammont tad-danni mogħtija skont din id-dispożizzjoni, anki fil-każ ta’ dannu mhux materjali iżda morali, b’tali mod li dan l-ammont ma jistax jiġi ffissat f’livell li jeċċedi l-kumpens sħiħ ta’ dan id-dannu (ara, f’dan is-sens, is-sentenza tal‑21 ta’ Diċembru 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 86 u 87).

49 Mill-kunsiderazzjonijiet preċedenti jirriżulta li ma huwiex neċessarju li tingħata deċiżjoni dwar l-approssimazzjoni, li hija prevista mill-qorti tar-rinviju, bejn l-għan intiż mid-dritt għal kumpens stabbilit f’dan l-Artikolu 82(1) u l-funzjoni punittiva ta’ penali kuntrattwali.

50 Konsegwentement, ir-risposta għar-raba’ domanda għandha tkun li l-Artikolu 82(1) tal-GDPR għandu jiġi interpretat fis-sens li d-dritt għal kumpens previst f’din id-dispożizzjoni jissodisfa funzjoni kumpensatorja, sa fejn kumpens pekunjarju bbażat fuq l-imsemmija dispożizzjoni għandu jippermetti li jiġi kkumpensat b’mod sħiħ id-dannu konkretament imġarrab minħabba l-ksur ta’ dan ir-regolament, u mhux funzjoni dissważiva jew punittiva.

Fuq is‑sitt domanda

51 Permezz tas-sitt domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82 tal-GDPR għandux jiġi interpretat fis-sens li dan l-artikolu jirrikjedi li l-grad ta’ gravità tal-ksur ta’ dan ir-regolament imwettaq mill-kontrollur għandu jittieħed inkunsiderazzjoni għall-finijiet tal-kumpens għal dannu abbażi ta’ din id-dispożizzjoni.

52 F'dan ir-rigward, jirriżulta mill-Artikolu 82 tal-GDPR li, minn naħa, l-istabbiliment tar-responsabbiltà tal-kontrollur huwa b’mod partikolari, suġġett għall-eżistenza ta’ nuqqas imwettaq minnu, li huwa preżunt sakemm dan tal-aħħar ma jipprovax li l-fatt li kkawża d-dannu bl-ebda mod ma huwa imputabbli lilu, u, min-naħa l-oħra, dan l-Artikolu 82 ma jeħtieġx li l-grad ta’ gravità ta’ dan in-nuqqas jittieħed inkunsiderazzjoni fl-iffissar tal-ammont tad-danni mogħtija bħala kumpens għal dannu morali abbażi ta’ din id-dispożizzjoni (ara, f’dan is-sens, is-sentenza tal‑21 ta’ Diċembru 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 103).

53 Fir-rigward tal-evalwazzjoni tad-danni eventwalment dovuti skont l-Artikolu 82 tal-GDPR, peress li dan ir-regolament ma jinkludix dispożizzjoni li għandha tali għan, il-qrati nazzjonali għandhom, għall-finijiet ta’ din l-evalwazzjoni, japplikaw ir-regoli interni ta’ kull Stat Membru dwar il-portata tal-kumpens pekunjarju, sakemm jiġu osservati l-prinċipji ta’ ekwivalenza u ta’ effettività tad-dritt tal-Unjoni. Ara, f’dan is-sens, is-sentenza tal‑21 ta’ Diċembru 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 83 u 101 kif ukoll il-ġurisprudenza ċċitata).

54 Barra minn hekk, il-Qorti tal-Ġustizzja ppreċiżat li, fid-dawl tal-funzjoni kumpensatorja tad-dritt għal kumpens previst fl-Artikolu 82 tal-GDPR, din id-dispożizzjoni ma teħtieġx teħid inkunsiderazzjoni tal-livell ta’ gravità tal-ksur ta’ dan ir-regolament, li l-persuna responsabbli għall-ipproċessar hija preżunta li wettqet, fl-iffissar tal-ammont tad-danni mogħtija bħala kumpens għal dannu morali abbażi tal-imsemmija dispożizzjoni, iżda teżiġi li dan l-ammont jiġi ffissat b’mod li jikkumpensa b’mod sħiħ id-dannu konkretament imġarrab minħabba l-ksur tal-imsemmi regolament (ara, f’dan is-sens, is-sentenza tal‑21 ta’ Diċembru 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 84 sa 87 u 102 kif ukoll il-ġurisprudenza ċċitata).

55 Fid-dawl tar-raġunijiet preċedenti, ir-risposta għas-sitt domanda għandha tkun li l-Artikolu 82 tal-GDPR għandu jiġi interpretat fis-sens li dan l-artikolu ma jeħtieġx li l-grad ta’ gravità tal-ksur imwettaq mill-kontrollur jittieħed inkunsiderazzjoni għall-finijiet tal-kumpens għal dannu abbażi ta’ din id-dispożizzjoni.

Fuq it‑tieni domanda

56 Permezz tat-tieni domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82(1) tal-GDPR għandux jiġi interpretat fis-sens li l-persuna li titlob kumpens skont din id-dispożizzjoni hija obbligata tistabbilixxi mhux biss il-ksur ta’ dispożizzjonijiet ta’ dan ir-regolament, iżda wkoll li dan il-ksur ikkawżalha dannu materjali jew morali.

57 F’dan ir-rigward, għandu jitfakkar li, skont l-Artikolu 82(1) tal-GDPR “[k]walunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab”.

58 Mill-formulazzjoni ta’ din id-dispożizzjoni jirriżulta li s-sempliċi ksur tal-GDPR ma huwiex biżżejjed sabiex jagħti dritt għal kumpens. Fil-fatt, l-eżistenza ta’ “dannu” li jkun ġie “mġarrab” tikkostitwixxi waħda mill-kundizzjonijiet tad-dritt għal kumpens previst f’dan l-Artikolu 82(1), bħall-eżistenza ta’ ksur ta’ dan ir-regolament u ta’ rabta kawżali bejn dan id-dannu u dan il-ksur, peress li dawn it-tliet kundizzjonijiet huma kumulattivi (ara, f’dan is-sens, is-sentenzi tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali), C‑300/21, EU:C:2023:370, punti 32 u 42; tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 77; tal‑14 ta’ Diċembru 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 14, kif ukoll tal‑21 ta’ Diċembru 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 82).

59 F’dak li jirrigwarda b’mod iktar partikolari d-danni morali, il-Qorti tal-Ġustizzja ddeċidiet ukoll li l-Artikolu 82(1) tal-GDPR jipprekludi regola jew prattika nazzjonali li tissuġġetta l-kumpens għal dannu morali, fis-sens ta’ din id-dispożizzjoni, għall-kundizzjoni li d-dannu mġarrab mis-suġġett tad-data, kif iddefinit fil-punt 1 tal-Artikolu 4 ta’ dan ir-regolament, ikun laħaq ċertu livell ta’ gravità (ara, f’dan is-sens, is-sentenzi tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali), C‑300/21, EU:C:2023:370, punt 51; tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 78, kif ukoll tal‑14 ta’ Diċembru 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 16).

60 Il-Qorti tal-Ġustizzja ppreċiżat li suġġett tad-data kkonċernat minn ksur tal-GDPR li pproduċiet konsegwenzi negattivi fil-konfront tiegħu huwa madankollu obbligat juri li dawn il-konsegwenzi jikkostitwixxu dannu morali, fis-sens tal-Artikolu 82 ta’ dan ir-regolament, peress li s-sempliċi ksur tad-dispożizzjonijiet tiegħu ma huwiex biżżejjed sabiex jagħti dritt għal kumpens (ara, f’dan is-sens, is-sentenzi tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali), C‑300/21, EU:C:2023:370, punti 42 u 50; tal‑14 ta’ Diċembru 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 84, kif ukoll tal‑14 ta’ Diċembru 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punti 21 u 23).

61 Fid-dawl tal-motivi preċedenti, ir-risposta għat-tieni domanda għandha tkun li l-Artikolu 82(1) tal-GDPR għandu jiġi interpretat fis-sens li l-persuna li titlob kumpens skont din id-dispożizzjoni hija obbligata tistabbilixxi mhux biss il-ksur ta’ dispożizzjonijiet ta’ dan ir-regolament, iżda wkoll li dan il-ksur ikkawżalha dannu materjali jew morali.

Fuq il‑ħames domanda

62 Permezz tal-ħames domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk l-Artikolu 82(1) tal-GDPR għandux jiġi interpretat fis-sens li, fil-każ li dokument li jkun fih data personali jkun ingħata lil terz mhux awtorizzat li fir-rigward tiegħu huwa stabbilit li ma jkunx ħa nota tagħha, jista’ jkun seħħ “dannu morali”, fis-sens ta’ din id-dispożizzjoni, mis-sempliċi fatt li s-suġġett tad-data jibża’ li, wara din il-komunikazzjoni li rrendiet possibbli t-twettiq ta’ kopja tal-imsemmi dokument qabel l-għoti lura tiegħu, jista’ jseħħ tixrid, jew saħansitra użu abbużiv, tad-data tiegħu fil-futur.

63 Għandu jiġi ppreċiżat li din il-qorti tindika li, f’dan il-każ, id-dokument li fih kien hemm id-data kkonċernata ġie rrestitwit lir-rikorrent fil-kawża prinċipali fin-nofs siegħa ta’ wara l-għoti lil terz mhux awtorizzat u li dan ma kienx ħa nota tad-data qabel ma ta lura d-dokument, iżda l-imsemmi rikorrent isostni li dan l-għoti ta lil dan it-terz il-possibbiltà li jagħmel kopji tad-dokument qabel ma jirrestitwixxi dan id-dokument u li għalhekk inħolqot biża’ fir-rikorrent marbuta mar-riskju li jseħħ użu abbużiv tal-imsemmija data fil-futur.

64 Fid-dawl tal-assenza ta’ kwalunkwe riferiment fl-Artikolu 82(1) tal-GDPR għad-dritt intern tal-Istati Membri, il-kunċett ta’ “dannu morali”, fis-sens ta’ din id-dispożizzjoni, għandu jingħata definizzjoni awtonoma u uniformi, speċifika għad-dritt tal-Unjoni (ara, f’dan is-sens, is-sentenzi tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali), C‑300/21, EU:C:2023:370, punti 30 u 44, kif ukoll tal‑14 ta’ Diċembru 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 15).

65 Il-Qorti tal-Ġustizzja ddeċidiet li jirriżulta mhux biss mill-formulazzjoni tal-Artikolu 82(1) tal-GDPR, moqri fid-dawl tal-premessi 85 u 146 ta’ dan ir-regolament, li jsejħu għal interpretazzjoni wiesgħa tal-kunċett ta’ “dannu morali” fis-sens ta’ din l-ewwel dispożizzjoni, iżda wkoll mill-għan li jikkonsisti fl-assigurazzjoni ta’ livell għoli ta’ protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar tad-data personali, li huwa previst mill-imsemmi regolament, li l-biża’ ta’ użu abbużiv potenzjali tad-data personali tiegħu minn terzi li suġġett tad-data jkollu wara ksur tal-istess regolament tista’, waħedha, tikkostitwixxi “dannu morali”, fis-sens ta’ dan l-Artikolu 82(1) (ara, f’dan is-sens, is-sentenza tal‑14 ta’ Diċembru 2023 Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 79 sa 86).

66 Barra minn hekk, billi bbażat ruħha wkoll fuq kunsiderazzjonijiet letterali, sistemiċi kif ukoll teleoloġiċi, il-Qorti tal-Ġustizzja qieset li t-telf ta’ kontroll fuq data personali għal perijodu qasir ta’ żmien jista’ jikkawża lis-suġġett tad-data “dannu morali”, fis-sens tal-Artikolu 82(1) tal-GDPR, li jagħti dritt għal kumpens, bil-kundizzjoni li l-imsemmija persuna turi li effettivament ġarrbet tali dannu, anki jekk minimu, filwaqt li jitfakkar li s-sempliċi ksur tad-dispożizzjonijiet ta’ dan ir-regolament ma huwiex biżżejjed sabiex jagħti dritt għal kumpens fuq din il-bażi (ara, f’dan is-sens, is-sentenza tal‑14 ta’ Diċembru 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punti 18 sa 23).

67 Bl-istess mod, f’dan il-każ, għandu jiġi rrilevat li huwa konformi kemm mal-formulazzjoni tal-Artikolu 82(1) tal-GDPR kif ukoll mal-għan ta’ protezzjoni previst minn dan ir-regolament li l-kunċett ta’ “dannu morali” jinkludi sitwazzjoni li fiha s-suġġett tad-data jkollu l-biża’ fondata, fatt li għandu jiġi vverifikat mill-qorti nazzjonali adita, li ċerta data personali tiegħu tiġi mxerrda jew użata b’mod abbużiv minn terzi fil-futur, minħabba l-fatt li dokument li jinkludi l-imsemmija data jkun ingħata lil terz mhux awtorizzat li jkun jista’ jagħmel kopji tiegħu qabel ma dan id-dokument jiġi rrestitwit.

68 Madankollu, xorta jibqa’ l-fatt li hija l-persuna li azzjoni għal kumpens ibbażata fuq l-Artikolu 82 tal-GDPR li għandha turi l-eżistenza ta’ tali dannu. B’mod partikolari, riskju purament ipotetiku ta’ użu abbużiv minn terz mhux awtorizzat ma jistax jagħti lok għal kumpens. Dan japplika wkoll meta ebda terz ma jkunx ħa nota tad-data personali inkwistjoni.

69 Għaldaqstant, ir-risposta għall-ħames domanda għandha tkun li l-Artikolu 82(1) tal-GDPR għandu jiġi interpretat fis-sens li, fil-każ fejn dokument li jinkludi data personali jkun intbagħat lil terz mhux awtorizzat li fir-rigward tiegħu huwa stabbilit li ma jkunx ħa nota tagħha, ma jseħħx “dannu morali”, fis-sens ta’ din id-dispożizzjoni, bis-sempliċi fatt li s-suġġett tad-data jibża’ li, wara din il-komunikazzjoni li tkun għamlet possibbli li ssir kopja tal-imsemmi dokument qabel ir-restituzzjoni tiegħu, iseħħ tixrid, jew saħansitra użu abbużiv, tad-data tiegħu fil-futur.

Fuq l‑ispejjeż

70 Peress li l-proċedura għandha, fir-rigward tal-partijiet fil-kawża prinċipali, in-natura ta’ kwistjoni mqajma quddiem il-qorti tar-rinviju, hija dik il-qorti li tiddeċiedi fuq l-ispejjeż. L-ispejjeż sostnuti għas-sottomissjoni tal-osservazzjonijiet lill-Qorti tal-Ġustizzja, barra dawk tal-imsemmija partijiet, ma jistgħux jitħallsu lura.

Għal dawn il-motivi, Il-Qorti tal-Ġustizzja (It-Tielet Awla) taqta’ u tiddeċiedi:

1) L-Artikoli 5, 24, 32 u 82 tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data), moqrija flimkien,

għandhom jiġu interpretati fis-sens li:

fil-kuntest ta’ azzjoni għal kumpens ibbażata fuq dan l-Artikolu 82, il-fatt li l-impjegati tal-kontrollur għaddew, bi żball lil terz mhux awtorizzat, dokument li jinkludi fih data personali, ma huwiex biżżejjed, waħdu, sabiex jitqies li l-miżuri tekniċi u organizzattivi implimentati mill-kontrollur inkwistjoni ma kinux “xierqa”, fis-sens tal-imsemmija Artikoli 24 u 32.

2) L-Artikolu 82(1) tar-Regolament 2016/679

għandu jiġi interpretat fis-sens li:

id-dritt għal kumpens previst f’din id-dispożizzjoni, b’mod partikolari fil-każ ta’ danni morali, jissodisfa funzjoni kumpensatorja, sa fejn kumpens pekunjarju bbażat fuq l-imsemmija dispożizzjoni għandu jippermetti li jiġi kkumpensat b’mod sħiħ id-dannu konkretament imġarrab minħabba l-ksur ta’ dan ir-regolament, u mhux funzjoni dissważiva jew punittiva.

3) L-Artikolu 82 tar-Regolament Nru 2016/679

għandu jiġi interpretat fis-sens li:

dan l-artikolu ma jeħtieġx li l-grad ta’ gravità tal-ksur imwettaq mill-kontrollur jittieħed inkunsiderazzjoni għall-finijiet tal-kumpens għal dannu abbażi ta’ din id-dispożizzjoni.

4) L-Artikolu 82(1) tar-Regolament 2016/679

għandu jiġi interpretat fis-sens li:

il-persuna li titlob kumpens skont din id-dispożizzjoni hija obbligata tistabbilixxi mhux biss il-ksur ta’ dispożizzjonijiet ta’ dan ir-regolament, iżda wkoll li dan il-ksur ikkawżalha dannu materjali jew morali.

5) L-Artikolu 82(1) tar-Regolament 2016/679

għandu jiġi interpretat fis-sens li:

fil-każ fejn dokument li jinkludi data personali jkun intbagħat lil terz mhux awtorizzat li fir-rigward tiegħu huwa stabbilit li ma jkunx ħa nota tagħha, ma jseħħx “dannu morali”, fis-sens ta’ din id-dispożizzjoni, bis-sempliċi fatt li s-suġġett tad-data jibża’ li, wara din il-komunikazzjoni li tkun għamlet possibbli li ssir kopja tal-imsemmi dokument qabel ir-restituzzjoni tiegħu, iseħħ tixrid, jew saħansitra użu abbużiv, tad-data tiegħu fil-futur.

Firem

* Lingwa tal-kawża: il-Ġermaniż.