La Corte di Giustizia UE, Sez. IV, con la sentenza del 19 marzo 2026 n. 38 (Pres. Jarukaitis, Rel. Frendo), si è pronunciata sulla liceità della richiesta di accesso ai propri dati personali al solo fine di richiedere il risarcimento dei danni per presunta violazione del GDPR.
Questo il principio di diritto espresso:
- L’articolo 12, punto 5, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: una prima richiesta di accesso ai dati personali presentata dall’interessato al titolare del trattamento ai sensi dell’articolo 15 di tale regolamento può essere considerata «eccessiva», ai sensi di detto articolo 12, paragrafo 5, qualora tale titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso di specie, che, nonostante il rispetto formale delle condizioni previste da tali disposizioni, detta richiesta è stata presentata dall’interessato non già per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei diritti che gli derivano da detto regolamento, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento. Il fatto che, secondo informazioni accessibili al pubblico, l’interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l’esistenza di un siffatto intento abusivo.
- L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: esso conferisce all’interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all’articolo 15, paragrafo 1, di tale regolamento.
- L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: il danno immateriale subito dall’interessato include la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se i suoi dati siano stati oggetto di trattamento, purché sia dimostrato, in particolare, che tale interessato ha effettivamente subito un siffatto danno e che il suo comportamento non ha costituito la causa determinante di tale danno.
Nel caso di specie, un privato si era iscritto alla newsletter di un’ottica inserendo propri dati personali nel modulo fornito dalla stessa azienda.
A seguire ha presentato richiesta di accesso ex art. 15 GDPR che prevede il diritto dell’interessato ad ottenere, da parte del titolare, informazioni circa la sussistenza o meno di un trattamento di propri dati personali e di accedere agli stessi.
L’azienda ha però rifiutato la richiesta ritenendola abusiva poiché a suo dire, era venuto a conoscenza del fatto che l’interessato usava iscriversi a newsletter di differenti aziende per poi presentare richiesta di accesso e a seguire quella di risarcimento.
L’interessato, di contro, riteneva legittima la propria richiesta e domandava il risarcimento morale per il rifiuto opposto dall’azienda.
Il Tribunale locale ha, quindi, richiesto alla Corte di giustizia se il rifiuto di un primo accesso ai dati personali potesse considerarsi lecito e se avesse effettivamente diritto al risarcimento.
La CGUE precisa come l’art. 12, par. 5 del GDPR preveda che l’interessato abbia diritto di accesso gratuito ai propri dati. Tuttavia, in via eccezionale il titolare può addebitare un contributo alle spese o rifiutare la richiesta nel caso di abuso del diritto, ossia in presenza di richieste manifestamente infondate o eccessive.
Il carattere di eccessività non è definito dal GDPR, ma, per ritenere eccessiva una richiesta, rileva sia il profilo quantitativo che quello qualitativo: di conseguenza, la presenza di una pluralità di richieste può essere indice del loro carattere eccessivo, ma anche una prima richiesta può essere considerata tale.
Tale norma è, infatti, espressione del principio generale secondo cui i soggetti dell’ordinamento non possono avvalersi fraudolentemente o abusivamente delle norme dell’UE.
Perché possa dirsi abusiva una pratica deve constare di un elemento oggettivo e di uno soggettivo:
- per quanto concerne l’elemento oggettivo, deve evidenziarsi che il GDPR mira a conferire all’interessato il diritto di accedere ai propri dati personali al fine di esserne consapevole e verificare la liceità
- per quanto riguarda invece l’elemento soggettivo, occorre che l’interessato persegua un intento abusivo e quindi una finalità differente da quella prevista dalla normativa. La prova di quale sia l’intento, è in capo al titolare del trattamento.
Per l’individuazione di tale elemento possono essere considerate tutte le circostanze del caso concreto quali:
- l’assenza di obbligo per l’interessato di fornire i propri dati
- la finalità della loro fornitura
- il tempo trascorso da quest’ultima alla richiesta di accesso
- il comportamento dell’interessato.
La Corte precisa, inoltre, che il titolare, nella valutazione dell’eccessività della richiesta ben può ricorrere ad informazioni pubbliche, purché siano corroborate da altri elementi.
A determinate condizioni, quindi, la prima richiesta di accesso ai dati personali può considerarsi eccessiva, purché il titolare del trattamento dimostri che, nonostante il rispetto delle condizioni previste dal GDPR, la presentazione della richiesta di accesso abbia l’obiettivo di creare le condizioni per l’ottenimento del risarcimento del danno.
La Corte precisa, altresì, che il diritto al risarcimento del danno ex art. 82, par. 1 del GDPR è riconosciuto in capo all’interessato a prescindere dalla sussistenza o meno di un trattamento di dati.
E’ sufficiente, quindi, una violazione del GDPR, anche se non c’è stato alcun trattamento: ad esempio, ciò accade in caso di violazione dei diritti di cui al capo III del GDPR, come per i diritti di accesso ai dati e di rettifica, nonché i diritti alla cancellazione, alla limitazione del trattamento e alla portabilità. In tali casi, l’asserita violazione deriva non da un trattamento effettivo dei dati personali in quanto tale, ma piuttosto dal rifiuto di soddisfare la richiesta dell’interessato quanto all’esercizio di tali diritti.
La Corte si è poi pronunciata sulla richiesta di risarcimento del danno immateriale, da parte dell’interessato, per aver perso il controllo dei dati personali o per l’incertezza in merito all’essere o meno oggetto di trattamento. L’interessato deve dimostrare non solo la violazione delle disposizioni del GDPR, ma anche il danno effettivamente subito e il nesso di causalità.
Il mero timore dell’interessato legato alla perdita di controllo dei propri dati o ad un futuro loro utilizzo abusivo non è sufficiente: il giudice nazionale, deve quindi verificare che il timore possa essere fondato.
All’interessato poi non può essere concesso il risarcimento del danno qualora il nesso di causalità sia stato interrotto a causa del suo comportamento, costituente esso stesso il motivo che ha cagionato il danno, come nel caso di specie.
