In contrasto con le sanzioni amministrative di cui all’art. 83 GDPR, la funzione del risarcimento dei danni causati dalla violazione del RGDP non è dissuasiva o punitiva, ma compensativa. Il risarcimento pecuniario dovuto all’utente ai sensi dell’art. 82 deve pertanto consentire di – senza andare oltre – compensare integralmente il danno concretamente arrecato, a prescindere dalla la gravità della violazione.
Ciò è quanto chiarito dalla CGUE nella sentenza del 21 dicembre scorso (Terza Sezione, causa C‑667/21), in conformità con le conclusioni dell’Avvocato Generale Campos Sánchez-Bordona.
Con tale sentenza, la CGUE ha altresì chiarito che la colpa del titolare del trattamento autore della violazione è presunta, di modo che, dimostrata dal danneggiato l’esistenza di una violazione del Regolamento, di un danno subito e di un nesso causale tra la violazione e il danno (ossia dei soli tre elementi richiesti dall’art. 82 ai fini del risarcimento), spetterà allo stesso provare che l’evento dannoso non gli sia in alcun modo imputabile.
Pur giungendo alla stessa conclusione, l’Avvocato Generale usa un paradigma diverso. Secondo lui, e alla luce del tenore letterale dell’articolo 82 e dei lavori preparatori, il GDPR ha optato per un regime di responsabilità indipendente dalla colpa. Partirebbe invece dal presupposto che il trattamento dei dati personali sia fonte di rischio. Spetterebbe quindi agli operatori del trattamento valutare tali rischi ed adottare le misure appropriate per prevenirli e ridurli al minimo. In ogni caso, l’accettazione di tali rischi da parte del titolare del trattamento non deve in alcun modo costringerlo a risarcire i danni derivanti da azioni esclusivamente imputabili all’utente.
La Corte conclude affermando che un simile meccanismo di responsabilità per colpa accompagnato dall’inversione dell’onere probatorio consente di mantenere un equilibrio tra gli interessi dei titolari del trattamento e i diritti delle persone i cui dati sono trattati, in conformità agli obiettivi perseguiti dal Regolamento, quale lo sviluppo dell’economia digitale, nel pieno rispetto di un elevato livello di tutela delle persone.
Ci si può chiedere se tale equilibrio non penda a favore di un alto livello di protezione per l’utente visto che la minima negligenza è sufficiente per stabilire la responsabilità del titolare del trattamento e il basso grado di gravità non può ridurre l’ammontare dei danni dovuti da quest’ultimo.
Per saperne di più, non esitare a contattarci al seguente indirizzo email: [email protected].
Emanuela Doria
Jeanne Deniau
Marco Amorese