Uso distorto dei diritti privacy e limiti all’azione risarcitoria nel Gdpr
Uso distorto dei diritti privacy e limiti all’azione risarcitoria nel Gdpr

Uso distorto dei diritti privacy e limiti all’azione risarcitoria nel Gdpr

Gli articoli 15 e 82 del regolamento UE n. 2016/679 Gdpr sono stati oggetto di un importante chiarimento da parte della Corte di giustizia dell’Unione europea Cgue con la sentenza del 19 marzo 2026 nella causa C 526/24. La Corte ha precisato in quali condizioni il diritto di accesso ai dati personali e il diritto al risarcimento del danno possano essere esercitati e in che misura sia possibile contrastarne un utilizzo strumentale.

Le indicazioni fornite dalla Cgue rilevano direttamente in tutti gli Stati membri, Italia compresa, poiché il Gdpr è norma immediatamente applicabile nell’ordinamento nazionale.

Il contesto: il diritto di accesso tra tutela effettiva e uso strumentale

Il diritto di accesso dell’interessato, disciplinato dall’articolo 15 Gdpr, è concepito come strumento funzionale a permettere la verifica della liceità del trattamento e la consapevolezza sulle modalità con cui i dati personali sono utilizzati. Parallelamente, l’articolo 82 Gdpr prevede un diritto al risarcimento del danno per chi dimostri di aver subito un pregiudizio a causa di una violazione del regolamento.

La decisione della Cgue si colloca nel punto di frizione tra tutela sostanziale dei diritti e abuso di diritto, preso atto di condotte in cui lo strumento dell’accesso viene utilizzato non per esercitare un controllo effettivo sui trattamenti, ma come leva per rivendicazioni meramente speculative.

Il caso austriaco sottoposto alla Corte di giustizia

Alla base del rinvio pregiudiziale vi è la condotta di un cittadino austriaco solito porre in essere una sequenza di azioni ricorrente: iscrizione a una newsletter, presentazione di una richiesta di accesso ai dati personali e, successivamente, proposizione di una domanda risarcitoria per asserite violazioni del Gdpr.

Una piccola impresa familiare tedesca, destinataria di questa prassi, ha ritenuto di non dover evadere la prima richiesta di accesso ottenuta a soli tredici giorni dall’iscrizione alla newsletter. Il rifiuto è stato motivato sulla base di informazioni pubblicamente disponibili in blog e articoli di stampa, che descrivevano la sistematicità del comportamento tenuto dal medesimo soggetto in casi analoghi.

In seguito la persona interessata ha richiesto alla società un indennizzo di mille euro per il mancato riscontro. La controversia è giunta innanzi a un giudice nazionale il quale ha ritenuto necessario interpellare la Cgue sulla corretta interpretazione del Gdpr, con particolare riguardo alle condizioni di legittimità del rifiuto di dare seguito alla richiesta e ai presupposti del risarcimento del danno.

Quando una richiesta di accesso può essere considerata abusiva

Richiesta eccessiva anche se presentata per la prima volta

Il punto di partenza è l’articolo 12 Gdpr, il quale ammette la possibilità per il titolare del trattamento di rifiutare di dare seguito a richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo. La Cgue sottolinea che il riferimento alla ripetitività non esaurisce l’ambito delle richieste che possono essere considerate abusive.

Secondo i giudici dell’Unione, non è necessario attendere una serie di istanze seriali per ritenere una richiesta eccessiva. Anche una prima richiesta può risultare manifestamente abusiva, se da circostanze oggettive e documentabili emerge che non è volta a ottenere un controllo effettivo sul trattamento dei dati, ma a creare artificiosamente i presupposti per una pretesa risarcitoria.

I criteri di valutazione indicati dalla Cgue

La Corte individua alcuni elementi fattuali che il titolare può prendere in considerazione nella valutazione del carattere abusivo della richiesta, fermo restando che l’onere probatorio ricade su di lui:

L’aver fornito spontaneamente i dati personali, ad esempio in sede di iscrizione a un servizio come una newsletter, circostanza che può rendere non plausibile una richiesta di accesso formulata a brevissima distanza temporale con la sola finalità di cogliere in fallo il titolare

Il lasso di tempo tra il conferimento dei dati e la presentazione della richiesta di accesso, la cui sproporzione può indicare uno scopo estraneo all’interesse conoscitivo circa il trattamento

La condotta complessiva dell’interessato, inclusa l’eventuale reiterazione di richieste di accesso e di domande di risarcimento nei confronti di più titolari, idonea a delineare un vero e proprio modus operandi

Dall’insieme di tali circostanze può emergere che lo strumento dell’accesso sia stato piegato a un utilizzo strumentale, ossia per generare consapevolmente situazioni di possibile illecito formale a carico del titolare, in vista di una rivendicazione economica. In simili ipotesi il rifiuto motivato di riscontrare la richiesta risulta compatibile con il Gdpr.

Il risarcimento del danno ai sensi dell’articolo 82 Gdpr

La mancata risposta come potenziale fonte di danno morale

La Cgue riconosce che l’omessa risposta a una richiesta di accesso, o il ritardo ingiustificato nel riscontro, può determinare una situazione di incertezza nell’interessato, che non sa se i suoi dati siano trattati, in che modo e se siano corretti. Tale situazione può configurare in astratto un danno non patrimoniale, suscettibile di risarcimento ai sensi dell’articolo 82 Gdpr.

Ciò non significa però che il danno sia presunto in via automatica né che qualsiasi violazione formale del regolamento comporti ipso iure il diritto all’indennizzo.

Necessità di un danno effettivo e nesso causale

La Corte richiama con forza l’impostazione dell’articolo 82 Gdpr, che subordina il risarcimento alla prova di un danno reale, patrimoniale o morale, quale conseguenza della violazione delle disposizioni del regolamento. Sono pertanto richiesti:

L’accertamento di una violazione concreta del Gdpr da parte del titolare o del responsabile del trattamento

La prova di un danno effettivamente subito dall’interessato

La sussistenza di un nesso di causalità tra la violazione e il pregiudizio lamentato

In assenza di uno di questi elementi non è possibile riconoscere un risarcimento sulla sola base del mancato rispetto di un obbligo procedurale previsto dal regolamento.

Limite all’azione risarcitoria per condotta dell’interessato

Un ulteriore profilo chiarito dalla Cgue riguarda i casi in cui la causa determinante del danno sia riconducibile al comportamento dell’interessato stesso. Nell’ipotesi in cui il pregiudizio lamentato derivi, in misura prevalente o esclusiva, da scelte o iniziative dell’interessato tenute in modo consapevole e volutamente strumentale, il diritto al risarcimento viene meno.

Ciò accade, ad esempio, quando il soggetto predispone scientemente una situazione destinata a provocare un inadempimento meramente formale del titolare, allo scopo primario di rivendicare un’indennità. In un simile scenario, la condotta dell’interessato interrompe il nesso causale tra l’eventuale violazione del Gdpr e il danno rivendicato, rendendo inammissibile l’azione risarcitoria.

Estensione dei principi agli altri diritti dell’interessato

I criteri interpretativi enunciati dalla Cgue non restano confinati al solo diritto di accesso, ma si estendono agli ulteriori diritti riconosciuti all’interessato dal Gdpr. La stessa logica antielusiva, fondata sul divieto di abuso del diritto e sulla necessità di un uso coerente con la finalità di tutela, trova infatti applicazione con riferimento alle richieste aventi a oggetto:

la rettifica dei dati personali

la cancellazione il cosiddetto diritto all’oblio

la limitazione del trattamento

la portabilità dei dati

l’opposizione al trattamento

l’esercizio dei diritti nelle decisioni basate unicamente su trattamenti automatizzati

In tutte queste ipotesi, l’interessato è chiamato a esercitare i propri diritti in modo conforme alla finalità di protezione dei dati e non con intento principalmente contenzioso o speculativo, mentre il titolare conserva la possibilità di dimostrare il carattere abusivo di richieste formulate in evidente distonia con tale finalità.

Gdpr e funzione correttiva dei diritti: dal sospetto alla verifica

La lettura offerta dalla Corte di giustizia rafforza l’idea che il sistema di diritti previsto dal Gdpr non rappresenti un repertorio di occasioni da sfruttare a piacimento, ma un insieme organico di strumenti destinati a garantire un controllo informato e leale sul trattamento dei dati personali. Ne consegue che tanto il cittadino quanto il titolare del trattamento sono chiamati a misurarsi con un quadro di garanzie che non tollera scorciatoie speculative, ma richiede trasparenza di intenti, coerenza nell’uso degli strumenti disponibili e capacità di documentare le proprie ragioni, anche quando sorgono sospetti di abuso.