Questa volta la Corte di Giustizia si addentra nei meandri interpretativi dell’art. 82 GDPR che concerne il risarcimento del danno e annesse responsabilità, a seguito di una violazione privacy. Così si pronuncia, con la sentenza del 4 ottobre 2024, a valle della causa C-507/23.
In definitiva: basta una “lettera di scuse” per riparare al danno cagionato.
Ma vediamo meglio, andando con ordine e per gradi, fedeli al testo della sentenza in questione.
Partiamo dal fondo. La CGUE è chiara nel dire che l’art. 82 par.1, del GDPR deve essere interpretato nel senso che: “la presentazione di scuse può costituire un risarcimento adeguato di un danno immateriale sul fondamento di tale disposizione, segnatamente qualora sia impossibile ripristinare la situazione anteriore al verificarsi del danno, a condizione che detta forma di risarcimento sia tale da compensare integralmente il danno subito dall’interessato”.
In altri termini, bastano le “scuse” nella misura in cui queste siano commisurate al danno concretamente subito. In caso contrario, e quindi di risarcimento inferiore, una missiva di tale fatta non potrà certo e in automatico, bastare a risarcire il danno subito da violazione privacy.
Sarà dunque il caso di specie a far da padrone.
La vicenda giudiziaria è avvenuta in Lettonia, laddove un noto giornalista ed esperto del settore automobilistico, è stato imitato senza il suo consenso da un attore, nell’ambito di una campagna pubblicitaria, volta a sensibilizzare i consumatori circa i rischi dell’acquisto di un veicolo usato, diffondendo tale filmato su diversi siti Internet.
Quindi trattamento illegittimo/illecito di dati personali, per difetto di autorizzazione (al trattamento stesso) da parte dell’interessato (il giornalista).
Il noto reporter, dunque, si opponeva tanto alla realizzazione quanto alla diffusione dello spot, ma, malgrado ciò, il filmato rimaneva disponibile online. Di qui la richiesta di risarcimento danni pari a duemila euro per pregiudizio alla sua reputazione, oltre a una lettera di scuse pubbliche, a seguito di un “utilizzo e nella diffusione dei suoi dati personali senza autorizzazione”.
La Corte amministrativa regionale lettone, in appello, se avesse confermato la illiceità del trattamento dei dati personali, avrebbe respinto invece la domanda di risarcimento del danno morale, considerando la violazione non grave, in quanto “il filmato aveva lo scopo di eseguire un compito di interesse pubblico e non di nuocere alla reputazione, all’onore e alla dignità” del giornalista medesimo.
Quest’ultimo non pago, ricorreva quindi per cassazione, al fine di vedersi riconosciuto anche il risarcimento pecuniario del danno immateriale. La suprema corte lettone rimandava la questione alla Corte di Giustizia.
Le questioni pregiudiziali che troviamo nella sentenza della CGUE sono tre, e in particolare se l’art. 82, par. 1 del GDPR debba essere interpretato nel senso che:
Sulla prima questione il cuore risiede in questo passaggio “la mera violazione del suddetto regolamento non è sufficiente per conferire un diritto al risarcimento”.
Occorre qualcosa di più. La prova del danno effettivamente “subìto” che si raggiunge attraverso il nesso di causa tra il danno lamentato e la violazione presunta.
Si tratta, come noto, di tre condizioni cumulative oltre che necessarie e sufficienti per avere un diritto al risarcimento, ex art. 82 GDPR.
Con la sua seconda questione, viene chiesto se “l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che la presentazione di scuse può costituire un risarcimento adeguato di un danno immateriale sul fondamento di tale disposizione, segnatamente quando sia impossibile ripristinare la situazione anteriore al verificarsi di tale danno”.
A rigore, nulla vieta, secondo un’interpretazione letterale dell’art. 82 dice la CGUE, che “la presentazione di scuse possa costituire un risarcimento unico o aggiuntivo di un danno immateriale, […] purché tale forma di risarcimento rispetti i principi di equivalenza e di effettività”.
Ciò perché è fondamentale l’ottica compensativa in termini complessivi nel senso di integrali del danno morale in concreto subito, in seguito a una violazione della legge in materia di protezione dati.
Con la terza e ultima questione pregiudiziale, il giudice del rinvio, in sostanza, chiede se l’art. 82, par. 1 GDPR vieti “a che l’atteggiamento e la motivazione del responsabile del trattamento possano essere presi in considerazione al fine di concedere eventualmente all’interessato un risarcimento inferiore al danno che esso ha concretamente subito”.
La CGUE dopo tutta un’argomentazione sui “fattori aggravanti o attenuanti” peraltro non citati nell’articolo in parola, giunge alla conclusione che il danno per violazione privacy deve essere compensato/risarcito integralmente.
Ma vi è di più. La Corte si spinge anche oltre, affermando come “Sulla base della funzione esclusivamente compensativa, e non punitiva, svolta da tale diritto al risarcimento, la gravità di una violazione siffatta non può incidere sull’importo del risarcimento dei danni concesso ai sensi di tale articolo 82, paragrafo 1, e tale importo non può essere fissato ad un livello che vada oltre la piena compensazione del danno”.
Prospettiva condivisibile e interessante.
Quindi, la sentenza della CGUE mette a fuoco una volta per tutte che per ottenere il ristoro dei danni subiti ad esempio per un trattamento dati non lecito il danno deve essere stato effettivamente cagionato, occorrendone la prova.
In caso di danno morale, il ristoro può consistere anche in una lettera di scuse pubbliche, purché questa azione riparatoria sia proporzionata all’offesa, tenendo tuttavia a mente che non può essere concesso un risarcimento (di importo) inferiore al valore della lesione, nonostante le buone intenzioni dell’attore/imitatore, come avvenuto nel caso trattato.