Con sentenza del 4 maggio 2023 C-300/21 (Pres. Jürimäe, Rel. Jääskinen), la Corte di Giustizia dell’Unione europea ha affermato alcuni principi in materia di risarcimento del danno immateriale connesso al trattamento di dati personali ai sensi del Regolamento (UE) 2016/679 sulla protezione dei dati (GDPR).
Il particolare la Corte ha affermato il principio per cui la mera violazione delle norme del GDPR non comporti un diritto al risarcimento per il titolare dei dati.
Al contempo, la configurazione del diritto al diritto del risarcimento immateriale prescindere dal superamento di una certa soglia di gravità.
Più nel dettaglio, la Corte stabilisce anzitutto che il diritto al risarcimento previsto dal RGPD dipende in modo univoco da tre condizioni che devono essere soddisfatte insieme: la violazione del RGPD, la presenza di un danno materiale o immateriale causato da tale violazione e l’esistenza di un nesso causale tra il danno e la violazione. Ciò significa che una violazione del GDPR da sola non è sufficiente per ottenere il risarcimento.
In tal senso, l’azione risarcitoria si differenzia da altri strumenti di ricorso previsti dal RGPD, come ad esempio quelli che permettono di comminare sanzioni amministrative per le quali non è necessario dimostrare l’esistenza di un danno individuale.
Secondariamente, la Corte afferma come il diritto al risarcimento non è limitato ai danni immateriali che superano una specifica soglia di gravità, posto che: da un lato, il GDPR non fa riferimento a questo tipo di requisito; dall’altro, un simile limite potrebbe compromettere la coerenza del sistema previsto dal GDPR, in quanto la soglia potrebbe variare a seconda della valutazione dei giudici coinvolti.
Infine, la Corte osserva che il GDPR non contiene disposizioni relative alla valutazione del risarcimento. Pertanto, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire le modalità per far valere i diritti dei singoli derivanti dal GDPR e, in particolare, i criteri per determinare l’ammontare del risarcimento dovuto, a condizione che siano rispettati i principi di equivalenza e di effettività.
La Corte sottolinea inoltre la funzione compensativa del diritto al risarcimento previsto dal GDPR, il quale mira a garantire una riparazione piena ed effettiva del danno subito.