SENTENZA DELLA CORTE (Terza Sezione)
25 gennaio 2024 (*)
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Interpretazione degli articoli 5, 24, 32 e 82 – Esame della validità dell’articolo 82 – Irricevibilità della domanda di esame della validità – Diritto al risarcimento del danno causato dal trattamento di tali dati effettuato in violazione di tale regolamento – Trasmissione di dati a un terzo non autorizzato a causa di un errore commesso da dipendenti del titolare del trattamento – Valutazione dell’adeguatezza delle misure di protezione attuate dal titolare del trattamento – Funzione compensativa svolta dal diritto al risarcimento – Incidenza della gravità della violazione – Necessità di dimostrare l’esistenza di un danno causato da detta violazione – Nozione di “danno immateriale”»
Nella causa C‑687/21,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Amtsgericht Hagen (Tribunale circoscrizionale di Hagen, Germania), con decisione dell’11 ottobre 2021, pervenuta in cancelleria il 16 novembre 2021, nel procedimento
BL
contro
MediaMarktSaturn Hagen-Iserlohn GmbH, già Saturn Electro-Handelsgesellschaft mbH Hagen,
LA CORTE (Terza Sezione),
composta da K. Jürimäe, presidente di sezione, N. Piçarra, M. Safjan, N. Jääskinen (relatore) e M. Gavalec, giudici,
avvocato generale: M. Campos Sánchez-Bordona
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
considerate le osservazioni presentate:
– per BL, da D. Pudelko, Rechtsanwalt;
– per la MediaMarktSaturn Hagen-Iserlohn GmbH, già Saturn Electro-Handelsgesellschaft mbH Hagen, da B. Hackl, Rechtsanwalt;
– per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Lane, in qualità di agenti, assistiti da D. Fennelly, BL;
– per il Parlamento europeo, da O. Hrstková Šolcová e J.-C. Puffer, in qualità di agenti;
– per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti,
vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 2, paragrafo 1, dell’articolo 4, punto 7, dell’articolo 5, paragrafo 1, lettera f), dell’articolo 6, paragrafo 1, dell’articolo 24, dell’articolo 32, paragrafo 1, lettera b), e paragrafo 2, nonché dell’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), e sulla valutazione della validità di tale articolo 82.
2 Tale domanda è stata presentata nell’ambito di una controversia tra BL, una persona fisica, e la MediaMarktSaturn Hagen-Iserlohn GmbH, già Saturn Electro-Handelsgesellschaft mbH Hagen (in prosieguo: la «Saturn»), in merito al risarcimento del danno immateriale che detta persona afferma di aver subito a causa della trasmissione ad un terzo di taluni suoi dati personali dovuta ad un errore commesso da alcuni dipendenti di tale società.
Contesto normativo
3 I considerando 11, 74, 76, 83, 85 e 146 del RGPD sono formulati come segue:
«(11) Un’efficace protezione dei dati personali in tutta l’Unione [europea] presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali (...).
(...)
(74) È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
(...)
(76) La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.
(...)
(83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
(...)
(85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che l[e] riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...)
(...)
(146) Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (...)».
4 Contenuto nel capo I di tale regolamento, concernente le «[d]isposizioni generali», l’articolo 2 di quest’ultimo, intitolato «Ambito di applicazione materiale», al suo paragrafo 1 prevede quanto segue:
«Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».
5 L’articolo 4 di detto regolamento, intitolato «Definizioni», così dispone:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)
(...)
10) “terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
(...)
12) “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
(...)».
6 Il capo II del RGPD, intitolato «Principi», comprende gli articoli da 5 a 11 di quest’ultimo.
7 L’articolo 5 di tale regolamento, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:
«1. I dati personali sono:
(...)
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
8 L’articolo 6 di detto regolamento, intitolato «Liceità del trattamento», definisce, al paragrafo 1, le condizioni che devono essere soddisfatte affinché un trattamento sia lecito.
9 Il capo IV del RGPD, intitolato «Titolare del trattamento e responsabile del trattamento», contiene gli articoli da 24 a 43 di quest’ultimo.
10 Nella sezione 1 di tale capo IV, intitolata «Obblighi generali», l’articolo 24, dal titolo «Responsabilità del titolare del trattamento», ai paragrafi 1 e 2 enuncia quanto segue:
«1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento».
11 Contenuto nella sezione 2 di detto capo IV, intitolata «Sicurezza dei dati personali», l’articolo 32 del RGPD, dal titolo «Sicurezza del trattamento», al paragrafo 1, lettera b), e al paragrafo 2 così dispone:
«1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
(...)
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
(...)
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati».
12 Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», contiene gli articoli da 77 a 84 di quest’ultimo.
13 Ai sensi dell’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità»:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (...)
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
(...)».
14 L’articolo 83 del RGPD, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», prevede quanto segue:
«1. Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.
2. (...) Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o [l]a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
(...)
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
(...)
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave.
(...)».
15 L’articolo 84 di tale regolamento, intitolato «Sanzioni», al paragrafo 1 così dispone:
«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».
Procedimento principale e questioni pregiudiziali
16 Il ricorrente nel procedimento principale si è recato nei locali commerciali della Saturn, dove ha acquistato un elettrodomestico. A tal fine, un dipendente di detta società ha redatto un contratto di vendita e di credito. In tale occasione, il dipendente ha inserito nel sistema informatico della Saturn diversi dati personali di detto cliente, e precisamente il suo nome e cognome, il suo indirizzo, il suo luogo di residenza, il nome del suo datore di lavoro, i suoi redditi e le sue coordinate bancarie.
17 I documenti contrattuali contenenti tali dati personali sono stati stampati e firmati da entrambe le parti. Il ricorrente nel procedimento principale li ha successivamente portati ai dipendenti della Saturn che lavoravano nel luogo di uscita delle merci. Un altro cliente, che si era surrettiziamente intrufolato davanti al ricorrente nel procedimento principale, ha poi ricevuto, per errore, sia l’elettrodomestico ordinato da quest’ultimo sia i documenti in questione e ha portato via il tutto.
18 Essendo stato rapidamente scoperto l’errore, un dipendente della Saturn ha ottenuto la restituzione dell’elettrodomestico e dei documenti, e li ha poi consegnati al ricorrente nel procedimento principale entro la mezz’ora successiva alla consegna degli stessi all’altro cliente. La società ha voluto risarcire il ricorrente nel procedimento principale per tale errore consegnandogli gratuitamente l’elettrodomestico in questione presso il suo domicilio, ma l’interessato ha ritenuto che tale risarcimento fosse insufficiente.
19 Il ricorrente nel procedimento principale ha proposto dinanzi all’Amtsgericht Hagen (Tribunale circoscrizionale di Hagen, Germania), giudice del rinvio nella presente causa, un’azione volta ad ottenere, segnatamente sulla base delle disposizioni del RGPD, il risarcimento del danno immateriale che egli sostiene di aver subito a causa dell’errore commesso dai dipendenti della Saturn e dei rischi di perdita di controllo che ne sono derivati per i suoi dati personali.
20 A sua difesa, la Saturn obietta, da un lato, che non vi è stata alcuna violazione del RGPD e che una violazione del genere potrebbe sussistere soltanto se superasse una certa soglia di gravità, che nel caso di specie non sarebbe stata raggiunta. D’altro lato, tale società sostiene che il ricorrente nel procedimento principale non ha subito alcun danno, in quanto non è stato né accertato né asserito che il terzo coinvolto abbia fatto un utilizzo abusivo dei dati personali dell’interessato.
21 Il giudice del rinvio si interroga, in primo luogo, sulla validità dell’articolo 82 del RGPD, poiché tale articolo gli sembra carente di precisione quanto ai suoi effetti giuridici in caso di risarcimento di un danno immateriale.
22 In secondo luogo, per il caso in cui tale articolo 82 non fosse dichiarato invalido dalla Corte, esso si chiede se l’esercizio del diritto al risarcimento previsto da detto articolo presupponga che si dimostri la sussistenza non solo di una violazione del RGPD, ma anche di un danno, in particolare immateriale, subito dalla persona che chiede il risarcimento.
23 In terzo luogo, il giudice del rinvio intende accertare se il semplice fatto che documenti stampati contenenti dati personali siano stati trasmessi senza autorizzazione ad un terzo, a causa di un errore commesso da dipendenti del titolare del trattamento, consenta o meno di integrare una violazione del RGPD.
24 In quarto luogo, pur ritenendo che «la prova dell’assenza di colpa incombe [alla] società [resistente]», tale giudice desidera sapere se, per ritenere sussistente una violazione del RGPD, sia sufficiente constatare che una simile consegna di documenti per negligenza abbia avuto luogo, in particolare alla luce dell’obbligo che graverebbe sul titolare del trattamento di attuare misure adeguate per garantire la sicurezza dei dati trattati, ai sensi degli articoli 2, 5, 6 e 24 di tale regolamento.
25 In quinto luogo, il giudice del rinvio si chiede se, anche nel caso in cui sembri che il terzo non autorizzato non sia venuto a conoscenza dei dati personali in questione prima di restituire i documenti in cui essi figuravano, la sussistenza di un «danno immateriale», ai sensi dell’articolo 82 del RGPD, possa essere accertata per il solo fatto che la persona i cui dati sono stati in tal modo trasmessi provi timore di fronte al rischio, che secondo tale giudice non può essere escluso, che questi ultimi siano comunicati da detto terzo ad altri, o addirittura siano utilizzati in futuro in modo abusivo.
26 In sesto luogo, detto giudice si interroga sull’eventuale incidenza, nell’ambito di un’azione di risarcimento di un danno immateriale fondata su tale articolo 82, del livello di gravità presentato da una violazione commessa in circostanze come quelle di cui al procedimento principale, tenuto conto del fatto che, a suo avviso, il titolare del trattamento avrebbe potuto adottare misure di sicurezza più efficaci.
27 Infine, in settimo luogo, esso desidera conoscere la finalità del risarcimento di un danno immateriale dovuto ai sensi del RGPD, suggerendo che quest’ultimo potrebbe presentare un carattere sanzionatorio equivalente a quello di una penale contrattuale.
28 In tali circostanze, l’Amtsgericht Hagen (Tribunale circoscrizionale di Hagen) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se la disposizione in materia di risarcimento dei danni contenuta nel [RGPD] (articolo 82) sia inefficace per carenza di determinatezza in ordine alle conseguenze giuridiche derivanti dal risarcimento di danni morali.
2) Se, ai fini della sussistenza di un diritto al risarcimento, sia necessario, oltre alla trasmissione illegittima dei dati da proteggere a terzi non autorizzati, l’accertamento di un danno morale che deve essere provato dal ricorrente.
3) Se, ai fini della constatazione di una violazione del RGPD, sia sufficiente che i dati personali dell’interessato (nome, indirizzo, attività lavorativa, redditi, datore di lavoro), per un errore del personale della società di cui trattasi, vengano erroneamente trasmessi a terzi su un documento in forma cartacea.
4) Se ricorrano gli estremi di un ulteriore trattamento illegale mediante la trasmissione non intenzionale (rivelazione) a un terzo qualora la società, tramite il proprio personale, abbia trasmesso inavvertitamente in forma cartacea a un terzo non autorizzato i dati peraltro inseriti nel sistema informatico [articolo 2, paragrafo 1, articolo 5, paragrafo 1, lettera f), articolo 6, paragrafo 1, articolo 24 del RGPD].
5) Se sussista un danno morale ai sensi dell’articolo 82 del RGPD anche allorché il terzo, che aveva ricevuto il documento con i dati personali, non sia venuto a conoscenza di tali dati prima della restituzione della documentazione cartacea contenente le informazioni, oppure se a tal fine sia sufficiente il disagio del soggetto i cui dati personali erano stati trasmessi illegalmente, in quanto in ogni caso di rivelazione non autorizzata di dati personali non è possibile escludere l’eventualità che i dati vengano ulteriormente diffusi a un numero di soggetti non identificati o addirittura utilizzati in modo improprio.
6) Quale sia la gravità della violazione qualora la trasmissione non intenzionale a terzi possa essere impedita da un migliore controllo del personale ausiliario operante presso la società e/o da una migliore organizzazione della sicurezza dei dati, ad esempio avvalendosi di una gestione separata della consegna delle merci e della documentazione contrattuale, in particolare quella relativa al finanziamento, mediante il rilascio di un titolo per la consegna o la trasmissione interna alla società al personale adibito alla consegna delle merci – senza l’interposizione del cliente al quale sono stati consegnati i documenti stampati, inclusa l’autorizzazione al ritiro [articolo 32, paragrafi 1, lettera b), e 2 e articolo 4, punto 7, del RGPD].
7) Se il risarcimento del danno morale debba intendersi come l’imposizione di una sanzione come nel caso di una penale contrattuale».
Sulle questioni pregiudiziali
Sulla prima questione
29 Con la sua prima questione, il giudice del rinvio chiede se l’articolo 82 del RGPD sia invalido per carenza di precisione quanto alle conseguenze giuridiche derivanti dal risarcimento di un danno immateriale.
30 Il Parlamento europeo sostiene che tale questione è irricevibile, in quanto il giudice del rinvio non ha soddisfatto i requisiti di cui all’articolo 94, lettera c), del regolamento di procedura della Corte, ancorché tale giudice sollevi con essa una problematica particolarmente complessa, vale a dire la valutazione della validità di una disposizione del diritto dell’Unione.
31 Ai sensi dell’articolo 94, lettera c), del regolamento di procedura, la domanda di pronuncia pregiudiziale deve contenere segnatamente, oltre al testo delle questioni sottoposte alla Corte in via pregiudiziale, l’illustrazione dei motivi che hanno indotto il giudice del rinvio a interrogarsi sull’interpretazione o sulla validità di determinate disposizioni del diritto dell’Unione.
32 A tale riguardo, la motivazione del rinvio pregiudiziale è indispensabile per consentire non solo alla Corte di fornire risposte utili, ma anche ai governi degli Stati membri e alle altre parti interessate di presentare osservazioni, ai sensi dell’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea. Più precisamente, è alla luce dei motivi di invalidità enunciati nella decisione di rinvio che la Corte deve esaminare la validità di una disposizione del diritto dell’Unione, cosicché la totale mancanza di un’indicazione dei motivi precisi che hanno indotto il giudice del rinvio ad interrogarsi a tale riguardo comporta l’irricevibilità delle questioni relative a detta validità (v., in tal senso, sentenze del 15 giugno 2017, T.KUP, C‑349/16, EU:C:2017:469, punti da 16 a 18, e del 22 giugno 2023, Vitol, C‑268/22, EU:C:2023:508, punti da 52 a 55).
33 Orbene, nel caso di specie, il giudice del rinvio non espone alcun elemento preciso che consenta alla Corte di esaminare la validità dell’articolo 82 del RGPD.
34 Di conseguenza, la prima questione deve essere dichiarata irricevibile.
Sulle questioni terza e quarta
35 Con le sue questioni terza e quarta, che è opportuno esaminare congiuntamente e in primo luogo, il giudice del rinvio chiede, in sostanza, se gli articoli 5, 24, 32 e 82 del RGPD, letti congiuntamente, debbano essere interpretati nel senso che, nell’ambito di un’azione di risarcimento fondata su tale articolo 82, il fatto che alcuni dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali sia sufficiente, di per sé, a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero «adeguate», ai sensi di tali articoli 24 e 32.
36 L’articolo 24 del RGPD prevede un obbligo generale, gravante sul titolare del trattamento di dati personali, di attuare misure tecniche e organizzative adeguate per garantire che detto trattamento sia effettuato conformemente a tale regolamento, e per poterlo dimostrare (sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 24).
37 L’articolo 32 del RGPD precisa, dal canto suo, gli obblighi del titolare del trattamento e di un eventuale responsabile del trattamento in merito alla sicurezza di tale trattamento. In tal senso, il paragrafo 1 di tale articolo dispone che questi ultimi devono attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi connessi a detto trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento di cui trattasi. Parimenti, il paragrafo 2 di detto articolo enuncia che, nel valutare l’adeguato livello di sicurezza, si deve tener conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso non autorizzato, in modo accidentale o illegale, a dati personali (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti 26 e 27).
38 Dal testo degli articoli 24 e 32 del RGPD risulta quindi che l’adeguatezza delle misure attuate dal titolare del trattamento deve essere valutata in concreto, tenuto conto dei diversi criteri previsti da tali articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest’ultimo, e ciò a maggior ragione in quanto il titolare del trattamento deve essere in grado di dimostrare la conformità di dette misure a tale regolamento, possibilità di cui sarebbe privato se fosse ammessa una presunzione assoluta (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti da 30 a 32).
39 Tale interpretazione letterale è confermata dalla lettura combinata di detti articoli 24 e 32 con l’articolo 5, paragrafo 2, e l’articolo 82 di detto regolamento, letti alla luce dei considerando 74, 76 e 83 dello stesso, da cui risulta, in particolare, che il titolare del trattamento è tenuto a limitare i rischi di violazione dei dati personali, e non ad impedire qualsiasi violazione di questi ultimi (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti da 33 a 38).
40 Pertanto, la Corte ha interpretato gli articoli 24 e 32 del RGPD nel senso che una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32 (sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 39).
41 Nel caso di specie, la circostanza che dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali può denotare che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non erano «adeguate», ai sensi di detti articoli 24 e 32. In particolare, una simile circostanza può derivare da una negligenza o da un difetto nell’organizzazione del titolare del trattamento, che non tiene conto in concreto dei rischi connessi al trattamento dei dati in questione.
42 A questo proposito, occorre sottolineare che dal combinato disposto degli articoli 5, 24 e 32 del RGPD, letti alla luce del considerando 74 di quest’ultimo, risulta che, nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, l’onere di dimostrare che i dati personali siano trattati in modo da garantire un’adeguata sicurezza di questi ultimi, ai sensi dell’articolo 5, paragrafo 1, lettera f), e dell’articolo 32 di tale regolamento, incombe al titolare del trattamento in questione. Una siffatta ripartizione dell’onere della prova è idonea non solo a indurre i titolari del trattamento di tali dati ad adottare le misure di sicurezza prescritte dal RGPD, ma anche a salvaguardare l’effetto utile del diritto al risarcimento previsto all’articolo 82 di tale regolamento e a rispettare le intenzioni del legislatore dell’Unione menzionate al considerando 11 di quest’ultimo (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti da 49 a 56).
43 Pertanto, la Corte ha interpretato il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del RGPD e concretizzato all’articolo 24 di quest’ultimo, nel senso che, nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento (sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 57).
44 Quindi, un giudice chiamato a pronunciarsi su una simile azione di risarcimento fondata sull’articolo 82 del RGPD non può tenere conto soltanto del fatto che dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali, per determinare se sussista una violazione di un obbligo previsto da tale regolamento. Infatti, tale giudice deve prendere in considerazione, inoltre, tutti gli elementi di prova che il titolare del trattamento ha fornito per dimostrare l’adeguatezza delle misure tecniche e organizzative da lui adottate per adempiere gli obblighi che gli incombono ai sensi degli articoli 24 e 32 di detto regolamento.
45 Alla luce delle motivazioni che precedono, occorre rispondere alle questioni terza e quarta dichiarando che gli articoli 5, 24, 32 e 82 del RGPD, letti congiuntamente, devono essere interpretati nel senso che, nell’ambito di un’azione di risarcimento fondata su tale articolo 82, il fatto che alcuni dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali non è sufficiente, di per sé, a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero «adeguate», ai sensi di tali articoli 24 e 32.
Sulla settima questione
46 Con la sua settima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82 del RGPD debba essere interpretato nel senso che il diritto al risarcimento previsto da tale disposizione, segnatamente in caso di danno immateriale, svolga una funzione punitiva.
47 A questo proposito, la Corte ha dichiarato che l’articolo 82 del RGPD riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute al capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che svolgono, dal canto loro, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. L’articolazione tra le norme sancite in detto articolo 82 e quelle sancite in detti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 38 e 40, e del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 85].
48 La Corte ha precisato che, poiché il diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD non svolge una funzione dissuasiva, né punitiva, ma svolge una funzione compensativa, la gravità della violazione di tale regolamento che ha causato il danno di cui trattasi non può incidere sull’importo del risarcimento concesso in base a detta disposizione, anche qualora si tratti di un danno non materiale bensì immateriale, ragion per cui tale importo non può essere stabilito ad un livello che vada oltre la piena compensazione di detto danno (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 86 e 87).
49 Da quanto precede risulta che non è necessario pronunciarsi sul raffronto, prospettato dal giudice del rinvio, tra la finalità perseguita dal diritto al risarcimento sancito da tale articolo 82, paragrafo 1, e la funzione punitiva di una penale contrattuale.
50 Di conseguenza, occorre rispondere alla settima questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che il diritto al risarcimento previsto da tale disposizione, segnatamente in caso di danno immateriale, svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione punitiva.
Sulla sesta questione
51 Con la sua sesta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82 del RGPD debba essere interpretato nel senso che tale articolo richiede che il livello di gravità della violazione di tale regolamento commessa dal titolare del trattamento sia preso in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.
52 A questo proposito, dall’articolo 82 del RGPD risulta che, da un lato, il sorgere della responsabilità del titolare del trattamento è segnatamente subordinato all’esistenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione (sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 103).
53 Per quanto riguarda la valutazione del risarcimento eventualmente dovuto ai sensi dell’articolo 82 del RGPD, poiché tale regolamento non contiene disposizioni aventi un simile oggetto, i giudici nazionali devono applicare, ai fini di tale valutazione, le norme interne di ciascuno Stato membro sulla portata del risarcimento pecuniario, a condizione che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti 83 e 101 nonché giurisprudenza ivi citata).
54 Inoltre, la Corte ha precisato che, tenuto conto della funzione compensativa del diritto al risarcimento previsto all’articolo 82 del RGPD, quest’ultima disposizione non richiede che sia preso in considerazione il livello di gravità della violazione di tale regolamento, che si presume commessa dal titolare del trattamento, nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a detta disposizione, ma esige che tale importo sia fissato in modo da compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento (v., in tal senso, sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punti da 84 a 87 e 102 nonché giurisprudenza ivi citata).
55 Alla luce delle motivazioni che precedono, occorre rispondere alla sesta questione dichiarando che l’articolo 82 del RGPD deve essere interpretato nel senso che tale articolo non richiede che il livello di gravità della violazione commessa dal titolare del trattamento sia preso in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.
Sulla seconda questione
56 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che la persona che chiede un risarcimento ai sensi di tale disposizione è tenuta a dimostrare non soltanto la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un danno materiale o immateriale.
57 A questo proposito, occorre ricordare che, ai sensi dell’articolo 82, paragrafo 1, del RGPD, «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
58 Dal testo di tale disposizione risulta che la mera violazione del RGPD non è sufficiente per conferire un diritto al risarcimento. Infatti, l’esistenza di un «danno» che sia stato «subito» costituisce una delle condizioni del diritto al risarcimento previsto da detto articolo 82, paragrafo 1, così come l’esistenza di una violazione di detto regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 32 e 42; del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 77; del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punto 14, e del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 82].
59 Per quanto riguarda più in particolare i danni immateriali, la Corte ha altresì dichiarato che l’articolo 82, paragrafo 1, del RGPD osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato, quale definito all’articolo 4, punto 1, di detto regolamento, abbia raggiunto un certo grado di gravità [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 51; del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 78, e del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punto 16].
60 La Corte ha precisato che una persona interessata da una violazione del RGPD che ha prodotto conseguenze negative nei suoi confronti è tuttavia tenuta a dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell’articolo 82 di tale regolamento, poiché la mera violazione delle disposizioni di quest’ultimo non è sufficiente per conferire un diritto al risarcimento [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 42 e 50; del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punto 84, e del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punti 21 e 23].
61 Alla luce delle motivazioni che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che la persona che chiede un risarcimento ai sensi di tale disposizione è tenuta a dimostrare non soltanto la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un danno materiale o immateriale.
Sulla quinta questione
62 Con la sua quinta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, nel caso in cui un documento contenente dati personali sia stato consegnato a un terzo non autorizzato di cui si accerta che non è venuto a conoscenza di questi ultimi, può costituire «danno immateriale», ai sensi di tale disposizione, il semplice fatto che l’interessato tema che, a causa di detta comunicazione, che ha reso possibile la realizzazione di una copia di detto documento prima che fosse restituito, possa in futuro verificarsi una diffusione o anche un utilizzo abusivo dei suoi dati.
63 Occorre precisare che tale giudice afferma che, nel caso di specie, il documento in cui figuravano i dati di cui trattasi è stato restituito al ricorrente nel procedimento principale nel giro di mezz’ora dalla sua consegna a un terzo non autorizzato e che quest’ultimo non è venuto a conoscenza di tali dati prima di restituire il documento, ma il ricorrente fa valere che tale consegna ha dato al terzo la possibilità di realizzare copie del documento prima di restituirlo e che essa gli ha quindi suscitato il timore di un futuro utilizzo abusivo di detti dati.
64 Tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri nell’articolo 82, paragrafo 1, del RGPD, la nozione di «danno immateriale», ai sensi di tale disposizione, deve ricevere una definizione autonoma e uniforme, propria del diritto dell’Unione [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 30 e 44, e del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punto 15].
65 La Corte ha dichiarato che risulta non solo dal testo dell’articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 85 e 146 di tale regolamento, i quali invitano ad interpretare in modo ampio la nozione di «danno immateriale» ai sensi di questa prima disposizione, ma anche dall’obiettivo consistente nel garantire un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali, perseguito da detto regolamento, che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione del medesimo regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale articolo 82, paragrafo 1 (v., in tal senso, sentenza del 14 dicembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punti da 79 a 86).
66 Inoltre, basandosi anche su considerazioni di ordine letterale, sistematico e teleologico, la Corte ha ritenuto che la perdita di controllo su dati personali per un breve lasso di tempo possa causare alla persona interessata un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del RGPD, che dà diritto al risarcimento, a condizione che detta persona dimostri di aver effettivamente subito un simile danno, per quanto minimo, tenendo presente che la mera violazione delle disposizioni di detto regolamento non è sufficiente per conferire un diritto al risarcimento su tale base (v., in tal senso, sentenza del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punti da 18 a 23).
67 Analogamente, nel caso di specie, occorre rilevare che è conforme tanto al testo dell’articolo 82, paragrafo 1, del RGPD, quanto all’obiettivo di protezione perseguito da tale regolamento, che la nozione di «danno immateriale» ricomprenda una situazione in cui l’interessato nutre il fondato timore – circostanza che spetta al giudice nazionale adito verificare – che taluni suoi dati personali siano oggetto di diffusione o di utilizzo abusivo da parte di terzi in futuro, a causa del fatto che un documento contenente detti dati è stato consegnato a un terzo non autorizzato, il quale è stato posto in grado di realizzarne copie prima di restituirlo.
68 Tuttavia, resta il fatto che chi esercita un’azione di risarcimento fondata sull’articolo 82 del RGPD ha l’onere di dimostrare l’esistenza di un danno del genere. In particolare, un rischio puramente ipotetico di utilizzo abusivo da parte di un terzo non autorizzato non può dare luogo a un risarcimento. È quanto nel caso in cui nessun terzo sia venuto a conoscenza dei dati personali di cui trattasi.
69 Pertanto, occorre rispondere alla quinta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che, nel caso in cui un documento contenente dati personali sia stato consegnato a un terzo non autorizzato di cui sia accertato che non è venuto a conoscenza di questi ultimi, non costituisce «danno immateriale», ai sensi di tale disposizione, il semplice fatto che l’interessato tema che, a causa di detta comunicazione, la quale ha reso possibile la realizzazione di una copia di detto documento prima che fosse restituito, possa in futuro verificarsi una diffusione o anche un utilizzo abusivo dei suoi dati.
Sulle spese
70 Nei confronti delle parti del procedimento principale, la presente causa costituisce un incidente sollevato dinanzi al giudice del rinvio, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Terza Sezione) dichiara:
1) Gli articoli 5, 24, 32 e 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti congiuntamente,
devono essere interpretati nel senso che:
nell’ambito di un’azione di risarcimento fondata su tale articolo 82, il fatto che taluni dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali non è sufficiente, di per sé, a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero «adeguate», ai sensi di tali articoli 24 e 32.
2) L’articolo 82, paragrafo 1, del regolamento 2016/679
deve essere interpretato nel senso che:
il diritto al risarcimento previsto da tale disposizione, segnatamente in caso di danno immateriale, svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione punitiva.
3) L’articolo 82 del regolamento 2016/679
deve essere interpretato nel senso che:
tale articolo non richiede che il livello di gravità della violazione commessa dal titolare del trattamento sia preso in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.
4) L’articolo 82, paragrafo 1, del regolamento 2016/679
deve essere interpretato nel senso che:
la persona che chiede un risarcimento ai sensi di tale disposizione è tenuta a dimostrare non soltanto la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un danno materiale o immateriale.
5) L’articolo 82, paragrafo 1, del regolamento 2016/679
deve essere interpretato nel senso che:
nel caso in cui un documento contenente dati personali sia stato consegnato a un terzo non autorizzato di cui sia accertato che non è venuto a conoscenza di questi ultimi, non costituisce «danno immateriale», ai sensi di tale disposizione, il semplice fatto che l’interessato tema che, a causa di detta comunicazione, la quale ha reso possibile la realizzazione di una copia di detto documento prima che fosse restituito, possa in futuro verificarsi una diffusione o addirittura un utilizzo abusivo dei suoi dati.
Firme