|
SENTENZA DELLA CORTE (Terza Sezione)
20 giugno 2024 (*)
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 82 – Diritto al risarcimento del danno causato dal trattamento dei dati effettuato in violazione di tale regolamento – Nozione di “danno immateriale” – Risarcimento a carattere punitivo o a titolo meramente compensativo e satisfattivo – Risarcimento minimo o simbolico – Furto di dati personali conservati in un’applicazione di “trading” – Furto o usurpazione d’identità»
Nelle cause riunite C-182/22 e C-189/22,
aventi ad oggetto le domande di pronuncia pregiudiziale proposte alla Corte, ai sensi dell’articolo 267 TFUE, dall’Amtsgericht München (Tribunale circoscrizionale, Monaco di Baviera, Germania), con decisioni del 3 marzo 2022, pervenute in cancelleria il 10 e l’11 marzo 2022, nei procedimenti
JU (C-182/22),
SO (C-189/22)
contro
Scalable Capital GmbH,
LA CORTE (Terza Sezione),
composta da K. Jürimäe, presidente di sezione, N. Piçarra e N. Jääskinen (relatore), giudici,
avvocato generale: A.M. Collins
cancelliere: A. Calot Escobar
vista la fase scritta del procedimento,
considerate le osservazioni presentate:
– per SO, da M. Ruigrok van de Werve, Rechtsanwalt;
– per la Scalable Capital GmbH, da M.C. Mekat, Rechtsanwalt;
– per l’Irlanda, da M. Browne, Chief State Solicitor, A. Joyce e M. Tierney, in qualità di agenti, assistiti da D. Fennelly, BL;
– per la Commissione europea, da A. Bouchagiar, M. Heller e H. Kranenborg, in qualità di agenti;
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 26 ottobre 2023,
ha pronunciato la seguente
Sentenza
1 Le domande di pronuncia pregiudiziale vertono sull’interpretazione dell’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2 Tali domande sono state presentate nell’ambito di due controversie tra, rispettivamente, JU e SO, da un lato, e la Scalable Capital GmbH, dall’altro, vertenti sul risarcimento del danno immateriale che essi affermano di aver subito a causa del furto, da parte di terzi la cui identità è sconosciuta, dei loro dati personali registrati su un’applicazione di «trading» gestita da tale società.
Contesto normativo
3 I considerando 75, 85 e 146 del RGPD sono formulati come segue:
«(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
(...)
(85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...)
(...)
(146) (...) Il titolare del trattamento o il responsabile del trattamento dovrebbe (...) essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. (...) Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (...)».
4 L’articolo 4 di tale regolamento, intitolato «Definizioni», prevede che:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)
(...)
10) “terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
(...)
12) “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
(...)».
5 L’articolo 82 di tale regolamento, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi da 1 a 3, così dispone:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile».
Procedimenti principali e questioni pregiudiziali
6 La Scalable Capital, una società di diritto tedesco, gestisce una «trading app» (applicazione di «trading») nella quale i ricorrenti nei procedimenti principali, JU e SO, avevano aperto un conto. A tal fine, questi ultimi hanno salvato alcuni dati personali sui loro rispettivi conti, in particolare il loro nome, la loro data di nascita, il loro indirizzo postale, il loro indirizzo di posta elettronica nonché una copia digitale della loro carta d’identità. I ricorrenti nei procedimenti principali hanno versato un importo necessario all’apertura di tali conti di diverse migliaia di euro.
7 Nel corso dell’anno 2020, dati personali nonché dati relativi al portafoglio di titoli dei ricorrenti nei procedimenti principali sono stati carpiti da terzi la cui identità rimane sconosciuta. Secondo la Scalable Capital i suddetti dati personali finora non sono stati oggetto di un uso fraudolento.
8 In tale contesto, i ricorrenti nei procedimenti principali hanno adito l’Amtsgericht München (Tribunale circoscrizionale, Monaco di Baviera, Germania), giudice del rinvio, con un ricorso volto ad ottenere il risarcimento del danno immateriale che essi affermano di aver subito a causa del furto dei loro dati personali.
9 In primo luogo, gli interrogativi sollevati dal giudice del rinvio derivano da approcci divergenti dei giudici tedeschi per la valutazione del risarcimento del danno che in una situazione del genere occorre riconoscere. Ne risultano variazioni rilevanti dell’importo del risarcimento pecuniario riconosciuto in tali casi, peraltro analoghi a quelli di cui trattasi nei procedimenti principali, in particolare a seconda che si sia tenuto conto, o meno, di un eventuale effetto dissuasivo. Il giudice del rinvio indica che, nel caso di specie, diverse decine di migliaia di persone sono interessate dalla perdita dei dati di cui trattasi e che occorrerebbe quindi adottare una modalità di valutazione uniforme.
10 In secondo luogo, per quanto riguarda la valutazione dei danni immateriali, esso si basa sul diritto tedesco per distinguere una funzione «compensativa» da una funzione «satisfattiva individuale». La funzione compensativa mirerebbe a compensare le conseguenze subite e prevedibili del danno asserito, mentre la funzione satisfattiva individuale mirerebbe a neutralizzare il sentimento di ingiustizia avvertito a causa del verificarsi di detto danno. Esso indica che, nel diritto tedesco, tale funzione satisfattiva svolge solo un ruolo accessorio e ritiene che, nel caso di specie, detta funzione non debba esercitare alcuna influenza sul calcolo del risarcimento del danno richiesto dai ricorrenti.
11 In terzo luogo, nel diritto tedesco non esisterebbero tabelle che consentano di fissare l’importo del risarcimento del danno che occorre riconoscere a seconda delle situazioni in cui esso è richiesto. Tuttavia, il numero elevato di decisioni individuali rese consentirebbe di fissare un quadro al quale riferirsi, il che porta ad una forma di sistematizzazione delle compensazioni. A tal riguardo, nell’ordinamento giuridico tedesco, un risarcimento pecuniario volto a compensare violazioni dei diritti della personalità sarebbe riconosciuto solo qualora queste ultime siano particolarmente gravi. La valutazione pecuniaria sarebbe più oggettivabile per la compensazione di lesioni personali. Il giudice del rinvio ritiene pertanto che la perdita dei dati dovrebbe avere un peso minore rispetto a quello delle lesioni fisiche.
12 In quarto luogo, tale giudice si interroga sulla possibilità di concedere risarcimenti di modica entità, che possano essere considerati simbolici, qualora il danno connesso ad una violazione del RGPD sia minimo.
13 In quinto luogo, esso osserva che le parti nei procedimenti principali interpretano in modo diverso la nozione di «furto d’identità». A tal riguardo, esso ritiene che vi sia un furto d’identità solo quando i dati ottenuti illegalmente sono utilizzati da un terzo al fine di usurpare l’identità dell’interessato.
14 In tale contesto, l’Amtsgericht München (Tribunale circoscrizionale, Monaco di Baviera) ha deciso, nelle cause C-182/22 e C-189/22, di sospendere i procedimenti e di sottoporre alla Corte le seguenti questioni pregiudiziali, formulate in termini identici in queste due cause:
«1) Se l’articolo 82 del [RGPD] debba essere interpretato nel senso che il diritto al risarcimento del danno, anche nell’ambito della quantificazione della sua entità, non ha carattere sanzionatorio e non ha, in particolare, una funzione dissuasiva generale o speciale, bensì solo una funzione compensativa e, se del caso, satisfattiva.
2) Se debba ritenersi, ai fini della quantificazione del diritto al risarcimento del danno immateriale, che il diritto al risarcimento abbia anche una funzione satisfattiva individuale – intesa, nel caso in esame, come la persistenza, nella sfera privata della persona lesa, dell’interesse a vedere perseguita la condotta che ha cagionato il danno – oppure se tale diritto abbia una mera funzione compensativa – intesa, nel caso in esame, come la funzione di compensare i pregiudizi subiti.
Qualora si ammetta che il diritto al risarcimento del danno immateriale abbia una funzione tanto compensativa quanto satisfattiva, se ai fini della sua quantificazione debba ritenersi che la funzione compensativa abbia, rispetto alla funzione satisfattiva, una priorità strutturale o almeno derivante dal rapporto tra regola ed eccezione. Se ciò implichi che la funzione satisfattiva sia ipotizzabile solo in caso di lesioni caratterizzate da dolo o colpa grave.
Ove il diritto al risarcimento del danno immateriale non abbia una funzione satisfattiva: se nella sua quantificazione solo le violazioni dei dati commesse con dolo o colpa grave rivestano un’importanza supplementare nella valutazione dei fattori che hanno contribuito alla causazione dell’evento dannoso.
3) Se, ai fini della quantificazione del risarcimento del danno immateriale, occorra ammettere l’esistenza di un rapporto di priorità strutturale o almeno di regola ed eccezione, nel quale il pregiudizio risultante da una violazione dei dati ha un’importanza minore rispetto al dolore e al pregiudizio correlati ad una lesione personale.
4) Se il giudice nazionale, in caso di riconoscimento della sussistenza di un danno, in considerazione della non gravità dello stesso, abbia la facoltà di accordare un risarcimento di entità sostanzialmente modica che possa essere, pertanto, in base alle circostanze, considerato meramente simbolico dalla parte lesa o in generale.
5) Se, ai fini della valutazione delle conseguenze del risarcimento del danno immateriale, debba ritenersi che il furto di identità di cui al considerando 75 del [RGPD] si verifichi solo nel caso in cui l’autore del reato abbia effettivamente assunto l’identità dell’interessato, sostituendosi a quest’ultimo in qualsiasi modo, oppure se un simile furto di identità si verifichi già per effetto della disponibilità medio tempore, da parte degli autori del reato, di dati che rendono identificabile l’interessato».
Procedimento dinanzi alla Corte
15 Con decisione del presidente della Corte del 19 aprile 2022 le cause C-182/22 e C-189/22 sono state riunite ai fini delle fasi scritta e orale del procedimento, nonché della sentenza.
16 Il 1º giugno 2022 il presidente della Corte ha respinto la domanda di anonimizzazione del presente procedimento, presentata dalla Scalable Capital ai sensi dell’articolo 95, paragrafo 2, del regolamento di procedura della Corte.
Sulla ricevibilità delle domande di pronuncia pregiudiziale
17 La Scalable Capital sostiene, in sostanza, che le presenti domande di pronuncia pregiudiziale non sono ricevibili in quanto sono irrilevanti ai fini della soluzione delle controversie principali. Essa ritiene che una perdita astratta del controllo su dati, come nel caso di specie, non debba essere qualificata come «danno», ai sensi dell’articolo 82, paragrafo 1, del RGPD, qualora una siffatta perdita di controllo sia rimasta priva di conseguenze concrete, e che quindi le condizioni di applicazione di detto articolo 82 non siano soddisfatte. Infatti, una tale qualificazione equivarrebbe a ritenere che qualsiasi violazione del regolamento faccia sorgere una presunzione di danno, contrariamente al tenore letterale, all’impianto sistematico e alla genesi dell’articolo 82 del RGPD.
18 A tal proposito, secondo una costante giurisprudenza, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni sottoposte alla Corte, le quali godono di una presunzione di rilevanza. Pertanto, quando la questione sollevata riguarda l’interpretazione o la validità di una norma di diritto dell’Unione, la Corte, in linea di principio, è tenuta a pronunciarsi, a meno che non sia evidente che l’interpretazione richiesta sia priva di ogni legame con la realtà effettiva o con l’oggetto della causa principale, se il problema è ipotetico o se la Corte non dispone degli elementi di fatto e di diritto necessari per dare una risposta utile a tale questione [v. sentenze del 5 maggio 2022, Zagrebacka banka, C-567/20, EU:C:2022:352, punto 43, e del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 23].
19 Nel caso di specie, è sufficiente ricordare che, qualora non sia evidente che l’interpretazione di una disposizione di diritto dell’Unione sia priva di ogni legame con la realtà effettiva o con l’oggetto della causa principale, l’obiezione relativa all’inapplicabilità di tale disposizione al procedimento principale non riguarda la ricevibilità della domanda di pronuncia pregiudiziale, ma rientra nel merito delle questioni (v., in tal senso, sentenze del 13 luglio 2006, Manfredi e a., da C-295/04 a C-298/04, EU:C:2006:461, punto 30; del 4 luglio 2019, Kirschstein, C-393/17, EU:C:2019:563, punto 28, nonché del 24 luglio 2023, Lin, C-107/23 PPU, EU:C:2023:606, punto 66).
20 Ne consegue che le presenti domande di pronuncia pregiudiziale sono ricevibili.
Sulle questioni pregiudiziali
Sulla prima questione e sulla prima parte della seconda questione
21 Con la sua prima questione e con la prima parte della sua seconda questione, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito a causa della violazione di tale regolamento, oppure anche una funzione punitiva volta, in particolare, a soddisfare gli interessi individuali dell’interessato.
22 In tale contesto, la Corte ha già statuito che l’articolo 82 del RGPD riveste una funzione non punitiva, bensì compensativa, contrariamente ad altre disposizioni di tale regolamento del pari contenute nel capo VIII di quest’ultimo, ossia i suoi articoli 83 e 84, che perseguono, dal canto loro, una finalità sostanzialmente punitiva, dato che consentono di infliggere, rispettivamente, sanzioni amministrative pecuniarie ed altre sanzioni. Il rapporto tra le norme sancite in detto articolo 82 e quelle sancite nei suddetti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti [v., in particolare, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 38 e 40, nonché dell’11 aprile 2024, juris, C-741/21, EU:C:2024:288, punto 59].
23 Pertanto, l’articolo 82, paragrafo 1, del RGPD è stato interpretato nel senso che il diritto al risarcimento previsto a tale disposizione, segnatamente in caso di danno immateriale, svolge una funzione esclusivamente compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 57 e 58, nonché dell’11 aprile 2024, juris, C-741/21, EU:C:2024:288, punto 61].
24 Di conseguenza, si deve rispondere alla prima questione e alla prima parte della seconda questione dichiarando che l’articolo 82, paragrafo 1, del RGPD dev’essere interpretato nel senso che il diritto al risarcimento previsto a tale disposizione svolge una funzione esclusivamente compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito.
Sulla seconda parte della seconda questione
25 Tenuto conto della risposta fornita alla prima questione e alla prima parte della seconda questione, non è necessario rispondere a questa seconda parte della seconda questione.
Sulla terza parte della seconda questione
26 Con la terza parte della sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che richiede che il livello di gravità e l’eventuale carattere doloso della violazione di tale regolamento commessa dal titolare del trattamento siano presi in considerazione ai fini del risarcimento di un danno sulla base di tale disposizione.
27 Per quanto riguarda la valutazione del risarcimento eventualmente dovuto ai sensi dell’articolo 82 del RGPD, in assenza di una disposizione avente un simile oggetto in tale regolamento, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro sulla portata del risarcimento pecuniario, a condizione che siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punti 53, 54 e 59, nonché del 25 gennaio 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punto 53].
28 Occorre tuttavia sottolineare, da un lato, che il sorgere della responsabilità del titolare del trattamento ai sensi dell’articolo 82 del RGPD è subordinato all’esistenza della colpa di quest’ultimo, che è presunta, a meno che egli non dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, che tale articolo 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione (sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punto 103 e del 25 gennaio 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punto 52).
29 Inoltre, la funzione esclusivamente compensativa del diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD, esclude che sia preso in considerazione il carattere eventualmente doloso della violazione di tale regolamento, che si presume commessa dal titolare del trattamento, nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a detta disposizione. Tale importo deve tuttavia essere fissato in modo da compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento (v., per analogia, sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punto 102 e del 25 gennaio 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punto 54).
30 Tenuto conto dei motivi che precedono, occorre rispondere alla terza parte della seconda questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che esso non richiede che il livello di gravità e l’eventuale carattere doloso della violazione di tale regolamento commessa dal titolare del trattamento siano presi in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.
Sulla terza questione
31 Con la sua terza questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, nell’ambito della determinazione dell’importo del risarcimento dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali sia, per sua natura, meno grave di una lesione personale.
32 A tal riguardo, occorre ricordare che, in conformità ad una giurisprudenza costante, in mancanza di norme dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro stabilire le modalità procedurali dei ricorsi giurisdizionali destinati a garantire la salvaguardia dei diritti dei singoli, in forza del principio di autonomia processuale, a condizione tuttavia che, nelle situazioni disciplinate dal diritto dell’Unione, esse non siano meno favorevoli rispetto a quelle relative a situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività) [v., in tal senso, sentenze del 13 dicembre 2017, El Hassani, C-403/16, EU:C:2017:960, punto 26, e del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 53].
33 Nel caso di specie, occorre rilevare che il RGPD non contiene disposizioni intese a definire le norme relative alla valutazione del risarcimento danni che un interessato, ai sensi dell’articolo 4, punto 1, del regolamento di cui trattasi, può pretendere, in forza dell’articolo 82 di quest’ultimo, qualora una violazione di detto regolamento gli abbia causato un danno. Pertanto, in mancanza di norme del diritto dell’Unione in materia, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni intese a garantire la tutela dei diritti spettanti ai singoli in forza di detto articolo 82 e, in particolare, i criteri che consentono di determinare l’entità del risarcimento dovuto in tale ambito, fatto salvo il rispetto dei suddetti principi di equivalenza e di effettività [sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 54].
34 Poiché nessun elemento del fascicolo di cui dispone la Corte suggerisce che il principio di equivalenza possa essere pertinente nel contesto dei presenti procedimenti principali, occorre focalizzarsi sul principio di effettività. In tale prospettiva, spetta al giudice del rinvio stabilire se le modalità previste nel diritto tedesco, per la determinazione giudiziale del risarcimento dovuto in base al diritto al risarcimento sancito all’articolo 82 del RGPD, non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione, e più specificamente da tale regolamento.
35 A tal riguardo, dalla giurisprudenza ricordata al punto 23 della presente sentenza risulta che, tenuto conto della funzione esclusivamente compensativa del diritto al risarcimento previsto all’articolo 82, paragrafo 1, di tale regolamento, un risarcimento pecuniario fondato su tale disposizione deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione di detto regolamento.
36 In tale prospettiva, il considerando 146 di detto regolamento indica peraltro che «[i]l concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento» e che «[g]li interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito».
37 Occorre altresì rilevare che i considerando 75 e 85 del RGPD enunciano diverse circostanze che possono essere qualificate come «danni fisici, materiali o immateriali» senza operare alcuna gerarchia tra di esse né indicare che le lesioni derivanti da una violazione di dati sono, per loro natura, meno gravi delle lesioni personali.
38 Orbene, supporre, per principio, che una lesione personale sia, per sua natura, più grave di un danno immateriale rischierebbe di rimettere in discussione il principio di un risarcimento pieno ed effettivo del danno subito.
39 Tenuto conto dei motivi che precedono, occorre rispondere alla terza questione dichiarando che l’articolo 82, paragrafo 1, del RGPD dev’essere interpretato nel senso che, nell’ambito della determinazione dell’importo del risarcimento dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali non sia, per sua natura, meno grave di una lesione personale.
Sulla quarta questione
40 Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, qualora si configuri un danno, un giudice nazionale può, in caso di non gravità di quest’ultimo, compensarlo accordando all’interessato un risarcimento minimo, che possa essere considerato simbolico.
41 Occorre ricordare che da una giurisprudenza costante risulta che l’articolo 82, paragrafo 1, del RGPD dev’essere interpretato nel senso che la mera violazione del suddetto regolamento non è sufficiente per conferire un diritto al risarcimento, in quanto l’esistenza di un «danno», materiale o immateriale, che sia stato «subito», costituisce una delle condizioni del diritto al risarcimento previsto da tale articolo 82, paragrafo 1, così come l’esistenza di una violazione di detto regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 32, e dell’11 aprile 2024, juris, C-741/21, EU:C:2024:288, punto 34].
42 Pertanto, la persona che chiede il risarcimento di un danno immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un siffatto danno, che non può dunque essere presunto a causa del verificarsi di detta violazione [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 42 e 50, nonché dell’11 aprile 2024, juris, C-741/21, EU:C:2024:288, punto 35].
43 Qualora una persona riesca a dimostrare che la violazione del RGPD le ha causato un danno, ai sensi dell’articolo 82 di tale regolamento, emerge, in sostanza, dal punto 33 della presente sentenza che i criteri di valutazione del risarcimento dovuto nell’ambito delle azioni intese a garantire la tutela dei diritti spettanti ai singoli in forza di detto articolo devono essere stabiliti all’interno dell’ordinamento giuridico di ciascuno Stato membro, purché detto risarcimento sia pieno ed effettivo.
44 A tal proposito, la Corte ha dichiarato che l’articolo 82, paragrafo 1, del RGPD non richiede che, a seguito di una violazione accertata di disposizioni di tale regolamento, il danno lamentato dall’interessato debba raggiungere una «soglia de minimis» per far sorgere il diritto al risarcimento (v. in tal senso, sentenza del 14 dicembre 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, punto 18).
45 Tuttavia, simili considerazioni non escludono che i giudici nazionali possano concedere un risarcimento di importo poco elevato a condizione che detto risarcimento compensi integralmente il danno, circostanza che spetta al giudice del rinvio verificare, nel rispetto dei principi ricordati al punto 43 della presente sentenza.
46 Tenuto conto dei motivi che precedono, occorre rispondere alla quarta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD dev’essere interpretato nel senso che, qualora si configuri un danno, un giudice nazionale può, in caso di non gravità di quest’ultimo, compensarlo accordando all’interessato un risarcimento minimo, a condizione che detto risarcimento sia tale da compensare integralmente il danno subito.
Sulla quinta questione
Sulla ricevibilità
47 Nelle sue osservazioni scritte, la Commissione europea si è interrogata sulla rilevanza della quinta questione al fine di dirimere le controversie principali, nei limiti in cui essa constata che il giudice del rinvio non ha menzionato alcun riferimento a una disposizione concreta del diritto dell’Unione.
48 A tal riguardo, la quinta questione riguarda la nozione di «furto d’identità», ai sensi del considerando 75 del RGPD, e non formalmente l’articolo 82 di tale regolamento. Tuttavia, il solo fatto che la Corte sia chiamata a pronunciarsi in termini astratti e generali non può comportare l’effetto dell’irricevibilità di una domanda di pronuncia pregiudiziale (sentenza del 15 novembre 2007, International Mail Spain, C-162/06, EU:C:2007:681, punto 24).
49 Orbene, con tale questione il giudice del rinvio chiede alla Corte di interpretare la nozione di «furto d’identità», quale contenuta nel considerando 75 del RGPD, al fine di determinare l’importo del risarcimento pecuniario previsto all’articolo 82 del RGPD. Detta questione verte dunque effettivamente su una disposizione del diritto dell’Unione. Del resto, la risposta a tale questione è parimenti pertinente in quanto né il giudice del rinvio né le parti nei procedimenti principali concordano sulla definizione di tale nozione ai fini della valutazione del danno subito nei procedimenti principali.
50 Di conseguenza, la quinta questione è ricevibile.
Nel merito
51 Secondo una costante giurisprudenza, nell’ambito della procedura di cooperazione tra i giudici nazionali e la Corte istituita dall’articolo 267 TFUE, spetta a quest’ultima fornire al giudice nazionale una soluzione utile che gli consenta di dirimere la controversia che gli è sottoposta. In tale prospettiva spetta alla Corte, se necessario, riformulare le questioni che le sono sottoposte. Inoltre, la Corte può essere condotta a prendere in considerazione norme del diritto dell’Unione alle quali il giudice nazionale non ha fatto riferimento nella formulazione della sua questione (sentenza del 7 settembre 2023, Groenland Poultry, C-169/22, EU:C:2023:638, punto 47 e giurisprudenza citata).
52 Nel caso di specie, la quinta questione verte sul diritto al risarcimento previsto all’articolo 82, paragrafo 1, del RGPD, e più in particolare sulla nozione di «furto d’identità», di cui al considerando 75 del RGPD. Orbene, occorre rilevare che, oltre a detto considerando, tale nozione è parimenti menzionata al considerando 85 del medesimo regolamento.
53 Di conseguenza, occorre considerare che, con la sua quinta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 75 e 85 di tale regolamento, debba essere interpretato nel senso che, per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi di detta disposizione, la nozione di «furto d’identità» implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo, oppure se un siffatto furto d’identità si configuri allorché detto terzo dispone di dati che consentono di identificare l’interessato.
54 La nozione di furto d’identità non è definita nel RGPD. Tuttavia, il «furto» o «l’usurpazione» d’identità sono menzionati al considerando 75 di tale regolamento come parte di un elenco non esaustivo delle conseguenze di un trattamento di dati personali suscettibile di cagionare danni fisici, materiali o immateriali. Al considerando 85 di detto regolamento, il «furto» o «l’usurpazione» d’identità sono nuovamente menzionati insieme in un elenco di danni fisici, materiali o immateriali che possono essere provocati da una violazione dei dati personali.
55 Come rilevato dall’avvocato generale al paragrafo 29 delle sue conclusioni, le diverse versioni linguistiche dei considerando 75 e 85 del RGPD menzionano i termini «furto d’identità», «usurpazione d’identità», «frode d’identità», «abuso d’identità» e «sottrazione d’identità» che sono ivi utilizzati indistintamente. Di conseguenza, le nozioni di «furto» e di «usurpazione» d’identità sono intercambiabili e non può essere operata alcuna distinzione tra di esse. Queste ultime due nozioni danno luogo alla presunzione di una volontà di appropriarsi dell’identità di una persona i cui dati personali sono stati precedentemente rubati.
56 Inoltre, come rilevato anche dall’avvocato generale al paragrafo 30 delle sue conclusioni, tra le diverse nozioni enunciate negli elenchi di cui ai considerando 75 e 85 del RGPD, la «perdita del controllo» o l’impedimento all’«esercizio del controllo» su dati personali si distinguono dal «furto» o dall’«usurpazione» d’identità. Ne consegue che l’accesso e l’acquisizione del controllo su tali dati, che potrebbero essere assimilati a un furto di questi ultimi, non sono, di per sé, assimilabili a un «furto» o a un’«usurpazione» d’identità. In altri termini, il furto di dati personali non costituisce, di per sé, un furto o un’usurpazione d’identità.
57 Tuttavia, occorre precisare, a tal riguardo, che il risarcimento di un danno immateriale causato dal furto di dati personali, ai sensi dell’articolo 82, paragrafo 1, del RGPD, non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo a un furto o a un’usurpazione d’identità. Infatti, il furto dei dati personali di un interessato fa sorgere il diritto al risarcimento del danno immateriale subito, ai sensi dell’articolo 82, paragrafo 1, del RGPD, se si applicano le tre condizioni stabilite a tale disposizione, ossia un trattamento di dati personali effettuato in violazione delle disposizioni del RGPD, un danno subito dall’interessato, e un nesso di causalità tra tale trattamento illecito e detto danno [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali) (C-300/21, EU:C:2023:370, punti 32 e 36)].
58 Per questi motivi, occorre rispondere alla quinta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 75 e 85 di tale regolamento, dev’essere interpretato nel senso che, per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi di detta disposizione, la nozione di «furto d’identità» implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo. Tuttavia, il risarcimento di un danno immateriale causato dal furto di dati personali, ai sensi di detta disposizione, non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo a un furto o a un’usurpazione d’identità.
Sulle spese
59 Nei confronti delle parti nei procedimenti principali la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Terza Sezione) dichiara:
1) L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
dev’essere interpretato nel senso che:
il diritto al risarcimento previsto da tale disposizione svolge una funzione esclusivamente compensativa, in quanto un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito.
2) L’articolo 82, paragrafo 1, del regolamento 2016/679
dev’essere interpretato nel senso che:
esso non richiede che il livello di gravità e l’eventuale carattere doloso della violazione di tale regolamento commessa dal titolare del trattamento siano presi in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.
3) L’articolo 82, paragrafo 1, del regolamento 2016/679
dev’essere interpretato nel senso che:
nell’ambito della determinazione dell’importo dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali non sia, per sua natura, meno grave di una lesione personale.
4) L’articolo 82, paragrafo 1, del regolamento 2016/679
dev’essere interpretato nel senso che:
qualora si configuri un danno, un giudice nazionale può, in caso di non gravità di quest’ultimo, compensarlo accordando all’interessato un risarcimento minimo, a condizione che detto risarcimento sia tale da compensare integralmente il danno subito.
5) L’articolo 82, paragrafo 1, del regolamento 2016/679, letto alla luce dei considerando 75 e 85 di tale regolamento,
dev’essere interpretato nel senso che:
per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi di detta disposizione, la nozione di «furto d’identità» implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo. Tuttavia, il risarcimento di un danno immateriale causato dal furto di dati personali, ai sensi di detta disposizione, non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo a un furto o a un’usurpazione d’identità.
Firme
* Lingua processuale: il tedesco.
|