Gli articoli 15 e 82 del regolamento UE n. 2016/679 Gdpr sono stati oggetto di un importante chiarimento da parte della Corte di giustizia dell’Unione europea Cgue con la sentenza del 19 marzo 2026 nella causa C 526/24. La Corte ha precisato in quali condizioni il diritto di accesso ai dati personali e il diritto al risarcimento del danno possano essere esercitati e in che misura sia possibile contrastarne un utilizzo strumentale.
Le indicazioni fornite dalla Cgue rilevano direttamente in tutti gli Stati membri, Italia compresa, poiché il Gdpr è norma immediatamente applicabile nell’ordinamento nazionale.
Il contesto: il diritto di accesso tra tutela effettiva e uso strumentale
Il diritto di accesso dell’interessato, disciplinato dall’articolo 15 Gdpr, è concepito come strumento funzionale a permettere la verifica della liceità del trattamento e la consapevolezza sulle modalità con cui i dati personali sono utilizzati. Parallelamente, l’articolo 82 Gdpr prevede un diritto al risarcimento del danno per chi dimostri di aver subito un pregiudizio a causa di una violazione del regolamento.
La decisione della Cgue si colloca nel punto di frizione tra tutela sostanziale dei diritti e abuso di diritto, preso atto di condotte in cui lo strumento dell’accesso viene utilizzato non per esercitare un controllo effettivo sui trattamenti, ma come leva per rivendicazioni meramente speculative.
Il caso austriaco sottoposto alla Corte di giustizia
Alla base del rinvio pregiudiziale vi è la condotta di un cittadino austriaco solito porre in essere una sequenza di azioni ricorrente: iscrizione a una newsletter, presentazione di una richiesta di accesso ai dati personali e, successivamente, proposizione di una domanda risarcitoria per asserite violazioni del Gdpr.
Una piccola impresa familiare tedesca, destinataria di questa prassi, ha ritenuto di non dover evadere la prima richiesta di accesso ottenuta a soli tredici giorni dall’iscrizione alla newsletter. Il rifiuto è stato motivato sulla base di informazioni pubblicamente disponibili in blog e articoli di stampa, che descrivevano la sistematicità del comportamento tenuto dal medesimo soggetto in casi analoghi.
In seguito la persona interessata ha richiesto alla società un indennizzo di mille euro per il mancato riscontro. La controversia è giunta innanzi a un giudice nazionale il quale ha ritenuto necessario interpellare la Cgue sulla corretta interpretazione del Gdpr, con particolare riguardo alle condizioni di legittimità del rifiuto di dare seguito alla richiesta e ai presupposti del risarcimento del danno.
Quando una richiesta di accesso può essere considerata abusiva
Richiesta eccessiva anche se presentata per la prima volta
Il punto di partenza è l’articolo 12 Gdpr, il quale ammette la possibilità per il titolare del trattamento di rifiutare di dare seguito a richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo. La Cgue sottolinea che il riferimento alla ripetitività non esaurisce l’ambito delle richieste che possono essere considerate abusive.
Secondo i giudici dell’Unione, non è necessario attendere una serie di istanze seriali per ritenere una richiesta eccessiva. Anche una prima richiesta può risultare manifestamente abusiva, se da circostanze oggettive e documentabili emerge che non è volta a ottenere un controllo effettivo sul trattamento dei dati, ma a creare artificiosamente i presupposti per una pretesa risarcitoria.
I criteri di valutazione indicati dalla Cgue
La Corte individua alcuni elementi fattuali che il titolare può prendere in considerazione nella valutazione del carattere abusivo della richiesta, fermo restando che l’onere probatorio ricade su di lui:
L’aver fornito spontaneamente i dati personali, ad esempio in sede di iscrizione a un servizio come una newsletter, circostanza che può rendere non plausibile una richiesta di accesso formulata a brevissima distanza temporale con la sola finalità di cogliere in fallo il titolare
Il lasso di tempo tra il conferimento dei dati e la presentazione della richiesta di accesso, la cui sproporzione può indicare uno scopo estraneo all’interesse conoscitivo circa il trattamento
La condotta complessiva dell’interessato, inclusa l’eventuale reiterazione di richieste di accesso e di domande di risarcimento nei confronti di più titolari, idonea a delineare un vero e proprio modus operandi
Dall’insieme di tali circostanze può emergere che lo strumento dell’accesso sia stato piegato a un utilizzo strumentale, ossia per generare consapevolmente situazioni di possibile illecito formale a carico del titolare, in vista di una rivendicazione economica. In simili ipotesi il rifiuto motivato di riscontrare la richiesta risulta compatibile con il Gdpr.
Il risarcimento del danno ai sensi dell’articolo 82 Gdpr
La mancata risposta come potenziale fonte di danno morale
La Cgue riconosce che l’omessa risposta a una richiesta di accesso, o il ritardo ingiustificato nel riscontro, può determinare una situazione di incertezza nell’interessato, che non sa se i suoi dati siano trattati, in che modo e se siano corretti. Tale situazione può configurare in astratto un danno non patrimoniale, suscettibile di risarcimento ai sensi dell’articolo 82 Gdpr.
Ciò non significa però che il danno sia presunto in via automatica né che qualsiasi violazione formale del regolamento comporti ipso iure il diritto all’indennizzo.
Necessità di un danno effettivo e nesso causale
La Corte richiama con forza l’impostazione dell’articolo 82 Gdpr, che subordina il risarcimento alla prova di un danno reale, patrimoniale o morale, quale conseguenza della violazione delle disposizioni del regolamento. Sono pertanto richiesti:
L’accertamento di una violazione concreta del Gdpr da parte del titolare o del responsabile del trattamento
La prova di un danno effettivamente subito dall’interessato
La sussistenza di un nesso di causalità tra la violazione e il pregiudizio lamentato
In assenza di uno di questi elementi non è possibile riconoscere un risarcimento sulla sola base del mancato rispetto di un obbligo procedurale previsto dal regolamento.
Limite all’azione risarcitoria per condotta dell’interessato
Un ulteriore profilo chiarito dalla Cgue riguarda i casi in cui la causa determinante del danno sia riconducibile al comportamento dell’interessato stesso. Nell’ipotesi in cui il pregiudizio lamentato derivi, in misura prevalente o esclusiva, da scelte o iniziative dell’interessato tenute in modo consapevole e volutamente strumentale, il diritto al risarcimento viene meno.
Ciò accade, ad esempio, quando il soggetto predispone scientemente una situazione destinata a provocare un inadempimento meramente formale del titolare, allo scopo primario di rivendicare un’indennità. In un simile scenario, la condotta dell’interessato interrompe il nesso causale tra l’eventuale violazione del Gdpr e il danno rivendicato, rendendo inammissibile l’azione risarcitoria.
Estensione dei principi agli altri diritti dell’interessato
I criteri interpretativi enunciati dalla Cgue non restano confinati al solo diritto di accesso, ma si estendono agli ulteriori diritti riconosciuti all’interessato dal Gdpr. La stessa logica antielusiva, fondata sul divieto di abuso del diritto e sulla necessità di un uso coerente con la finalità di tutela, trova infatti applicazione con riferimento alle richieste aventi a oggetto:
la rettifica dei dati personali
la cancellazione il cosiddetto diritto all’oblio
la limitazione del trattamento
la portabilità dei dati
l’opposizione al trattamento
l’esercizio dei diritti nelle decisioni basate unicamente su trattamenti automatizzati
In tutte queste ipotesi, l’interessato è chiamato a esercitare i propri diritti in modo conforme alla finalità di protezione dei dati e non con intento principalmente contenzioso o speculativo, mentre il titolare conserva la possibilità di dimostrare il carattere abusivo di richieste formulate in evidente distonia con tale finalità.
Gdpr e funzione correttiva dei diritti: dal sospetto alla verifica
La lettura offerta dalla Corte di giustizia rafforza l’idea che il sistema di diritti previsto dal Gdpr non rappresenti un repertorio di occasioni da sfruttare a piacimento, ma un insieme organico di strumenti destinati a garantire un controllo informato e leale sul trattamento dei dati personali. Ne consegue che tanto il cittadino quanto il titolare del trattamento sono chiamati a misurarsi con un quadro di garanzie che non tollera scorciatoie speculative, ma richiede trasparenza di intenti, coerenza nell’uso degli strumenti disponibili e capacità di documentare le proprie ragioni, anche quando sorgono sospetti di abuso.