SENTENZA DELLA CORTE (Terza Sezione)
14 dicembre 2023 (*)
«Rinvio pregiudiziale – Tutela dei dati personali – Regolamento (UE) 2016/679 – Articolo 82 – Diritto al risarcimento e responsabilità – Nozione di “danno immateriale” – Pubblicazione online, contenente dati personali, dell’ordine del giorno della riunione di un consiglio comunale – Pubblicazione senza il consenso degli interessati – Domanda di tali interessati a fini di risarcimento del danno immateriale»
Nella causa C‑456/22,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Landgericht Ravensburg (Tribunale del Land, Ravensburg, Germania), con decisione del 30 giugno 2022, pervenuta in cancelleria l’8 luglio 2022, nel procedimento
VX,
AT
contro
Gemeinde Ummendorf,
LA CORTE (Terza Sezione),
composta da K. Jürimäe, presidente di sezione, N. Piçarra, M. Safjan, N. Jääskinen (relatore) e M. Gavalec, giudici,
avvocato generale: N. Emiliou
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
considerate le osservazioni presentate:
– per AT e VX, da O. Leuze, Rechtsanwalt;
– per la Gemeinde Ummendorf, da A. Staudacher, Rechtsanwalt;
– per l’Irlanda, da M. Browne, A. Joyce e M. Tierney, in qualità di agenti, assistiti da D. Fennelly, BL;
– per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti,
vista la decisione, adottata dopo aver sentito l’avvocato generale, di giudicare la causa senza conclusioni,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra, da un lato, due persone fisiche, AT e VX, e, dall’altro, la Gemeinde Ummendorf (comune di Ummendorf, Germania), in merito alla concessione di un risarcimento danni, ai sensi dell’articolo 82, paragrafo 1, del RGPD, a titolo di risarcimento per le sofferenze patite (pretium doloris) che tali persone affermano di aver subito a causa della divulgazione, senza il loro consenso, dei loro dati personali sul sito Internet di detto comune.
Contesto normativo
3 Il considerando 146, frasi prima, seconda e quinta, del RGPD è così formulato:
«Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento (...). Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. (...) Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito (...)».
4 L’articolo 5 di tale regolamento, intitolato «Principi applicabili al trattamento di dati personali», al paragrafo 1, lettera a), dispone quanto segue:
«I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”)».
5 L’articolo 82 di detto regolamento, intitolato «Diritto al risarcimento e responsabilità», al paragrafo 1 così prevede:
«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
Procedimento principale e questione pregiudiziale
6 Il 19 giugno 2020 il comune di Ummendorf ha pubblicato su Internet, senza il consenso dei ricorrenti nel procedimento principale, l’ordine del giorno di una riunione del consiglio comunale, in cui figuravano più volte i loro nomi, nonché una sentenza pronunciata dal Verwaltungsgericht Sigmaringen (Tribunale amministrativo di Sigmaringen, Germania) in data 10 marzo 2020, che parimenti menzionava i loro cognomi e nomi nonché l’indirizzo del loro domicilio. Tali documenti sono stati accessibili sulla pagina iniziale del sito Internet di tale comune fino al 22 giugno 2020.
7 Ritenendo che tale pubblicazione violasse il RGPD e che il comune di Ummendorf avesse agito intenzionalmente in quanto i nomi delle altre parti del procedimento sfociato in detta sentenza erano stati cancellati, i ricorrenti nel procedimento principale hanno chiesto al comune di risarcire il danno immateriale che sostenevano di aver subito, ai sensi dell’articolo 82, paragrafo 1, di tale regolamento. Essi considerano che la divulgazione illecita di dati personali di un individuo costituisce un «danno», ai sensi di tale disposizione, senza che possa essere invocata una «soglia de minimis», che sarebbe contraria all’impianto sistematico del RGPD e all’effetto dissuasivo di detta disposizione.
8 Il comune di Ummendorf ritiene, per contro, che il risarcimento di un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del RGPD, richieda che siano dimostrati uno svantaggio tangibile e una lesione oggettivamente evidente degli interessi personali.
9 Investito in appello della controversia tra le parti nel procedimento principale, il Landgericht Ravensburg (Tribunale del Land, Ravensburg, Germania), giudice del rinvio, considera che, pubblicando su Internet dati personali dei ricorrenti nel procedimento principale, il comune di Ummendorf ha violato l’articolo 5, paragrafo 1, lettera a), del RGPD. Detto giudice si chiede tuttavia se tale pubblicazione abbia causato ai suddetti ricorrenti un danno immateriale, ai sensi dell’articolo 82, paragrafo 1, di tale regolamento, cosicché essi hanno diritto a ricevere un risarcimento per le sofferenze subite.
10 In particolare, il giudice del rinvio ritiene che la semplice perdita di controllo sui dati personali dei ricorrenti nel procedimento principale non sia sufficiente per configurare un danno immateriale, ai sensi dell’articolo 82, paragrafo 1, del RGPD. Esso considera che, per ammettere l’esistenza di un danno immateriale, deve essere superata una «soglia de minimis» e che ciò non avvenga qualora gli interessati abbiano perso il controllo sui loro dati solo per un breve lasso di tempo, senza che questo abbia causato loro uno svantaggio tangibile e senza che sia stata dimostrata una lesione oggettivamente evidente dei loro interessi personali.
11 In tali circostanze, il Landgericht Ravensburg (Tribunale del Land, Ravensburg) ha deciso di sospendere il procedimento e di sottoporre alla Corte la seguente questione pregiudiziale:
«Se la nozione di danno immateriale di cui all’articolo 82, paragrafo 1, del [RGPD] debba essere interpretata nel senso che il riconoscimento dell’esistenza di un danno immateriale presuppone uno svantaggio tangibile e una lesione oggettivamente evidente degli interessi personali oppure se sia sufficiente a tal fine la mera perdita, limitata nel tempo, della sovranità dell’interessato sui propri dati a causa della pubblicazione di dati personali su Internet per alcuni giorni, priva di conseguenze tangibili o svantaggiose per l’interessato».
Sulla questione pregiudiziale
12 Con la sua questione il giudice del rinvio chiede sostanzialmente se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che esso osta a una normativa nazionale o a una prassi nazionale che fissa una «soglia de minimis» affinché sia configurabile un danno immateriale causato da una violazione di tale regolamento.
13 A tale riguardo, occorre ricordare che tale disposizione prevede che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
14 Come sottolineato dalla Corte, dalla formulazione dell’articolo 82, paragrafo 1, del RGPD risulta che l’esistenza di un «danno» che sia stato «subito» costituisce una delle condizioni del diritto al risarcimento previsto da detta disposizione, così come l’esistenza di una violazione del suddetto regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 32, e in data odierna, Natsionalna agentsia za prihodite, C‑340/21, punto 77]. Ne consegue che queste tre condizioni sono necessarie e sufficienti per avere un diritto al risarcimento, ai sensi di detta disposizione.
15 Tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri nell’articolo 82, paragrafo 1, del RGPD, la nozione di «danno immateriale», ai sensi di detta disposizione, deve ricevere una definizione autonoma e uniforme, propria del diritto dell’Unione [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 30 e 44].
16 In tale prospettiva, basandosi su considerazioni di ordine al contempo letterale, sistematico e teleologico, la Corte ha interpretato l’articolo 82, paragrafo 1, del RGPD nel senso che esso osta a una norma o a una prassi nazionale che subordina il risarcimento di un «danno immateriale», ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità [sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 51, e in data odierna, Natsionalna agentsia za prihodite, C‑340/21, punto 78].
17 Pertanto, non si può ritenere che, oltre alle tre condizioni enunciate al punto 14 della presente sentenza, possano essere aggiunte altre condizioni per far sorgere la responsabilità prevista all’articolo 82, paragrafo 1, del RGPD, quali il carattere tangibile del danno o il carattere oggettivo della lesione.
18 Ne consegue che l’articolo 82, paragrafo 1, del RGPD non richiede che, a seguito di una violazione accertata di disposizioni di tale regolamento, il «danno immateriale» lamentato dall’interessato debba raggiungere una «soglia de minimis» affinché tale danno possa essere risarcito.
19 Tale interpretazione è corroborata dal considerando 146, seconda frase, del RGPD, che enuncia che «[i]l concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte (...) in modo tale da rispecchiare pienamente gli obiettivi [di tale] regolamento». Orbene, tale concezione ampia della nozione di «danno», privilegiata dal legislatore dell’Unione, sarebbe contraddetta se detta nozione fosse circoscritta ai danni di una certa gravità, in particolare per quanto riguarda la durata del periodo durante il quale le conseguenze negative della violazione di detto regolamento sono state subite dagli interessati [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 46, e in data odierna, Natsionalna agentsia za prihodite, C‑340/21, punto 81].
20 Inoltre, una simile interpretazione è conforme a uno degli obiettivi del RGPD, consistente nell’assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Infatti, subordinare il risarcimento di un danno immateriale a una certa soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito da tale regolamento, poiché la graduazione di una simile soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 48 e 49].
21 Una persona interessata da una violazione del RGPD che ha prodotto conseguenze negative nei suoi confronti è tuttavia tenuta a dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell’articolo 82 di tale regolamento [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 50, e in data odierna, Natsionalna agentsia za prihodite, C‑340/21, punto 84]. Infatti, la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento [sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 42].
22 In tali circostanze, sebbene nulla osti a che la pubblicazione su Internet di dati personali e la conseguente perdita di controllo su questi ultimi per un breve lasso di tempo possano causare agli interessati un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del RGPD, che dà diritto al risarcimento, occorre inoltre che tali interessati dimostrino di aver effettivamente subito un simile danno, per quanto minimo.
23 Tenuto conto dei rilievi che precedono, occorre rispondere alla questione sollevata dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che esso osta a una normativa nazionale o a una prassi nazionale che fissa una «soglia de minimis» affinché sia configurabile un danno immateriale causato da una violazione di tale regolamento. L’interessato è tenuto a dimostrare che le conseguenze di tale violazione che asserisce di aver subito costituiscono un danno che si differenzia dalla semplice violazione delle disposizioni di detto regolamento.
Sulle spese
24 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Terza Sezione) dichiara:
L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
esso osta a una normativa nazionale o a una prassi nazionale che fissa una «soglia de minimis» affinché sia configurabile un danno immateriale causato da una violazione di tale regolamento. L’interessato è tenuto a dimostrare che le conseguenze di tale violazione che asserisce di aver subito costituiscono un danno che si differenzia dalla semplice violazione delle disposizioni di detto regolamento.
Firme