Causa C 300/21 conclusioni

estimated reading time: 60 min

Edizione provvisoria

CONCLUSIONI DELL’AVVOCATO GENERALE

M. CAMPOS SÁNCHEZ-BORDONA

presentate il 6 ottobre 2022 (1)

Causa C-300/21

UI

contro

Österreichische Post AG

[Domanda di pronuncia pregiudiziale proposta dall’Oberster Gerichtshof (Corte suprema, Austria)]

«Rinvio pregiudiziale – Protezione dei dati personali – Regolamento (UE) 2016/679 – Danno morale risultante da un Trattamento illecito di dati – Requisiti del diritto al risarcimento – Danni superiori a una determinata soglia di gravità»

1.        Il regolamento (UE) 2016/679 (2) conferisce a chiunque subisca un danno materiale o immateriale causato da una violazione delle sue disposizioni il diritto di ottenere il risarcimento del danno dal Titolare del Trattamento o dal Responsabile del trattamento.

2.        La possibilità di far valere tale diritto in via giurisdizionale esisteva già nella normativa precedente (articolo 23 della direttiva 95/46/CE) (3), sebbene fosse poco esercitata (4). Salvo errore da parte mia, la Corte non ha avuto modo di interpretare specificamente tale articolo.

3.        In vigenza dell’RGPD le azioni di risarcimento hanno assunto maggiore rilievo (5). Il loro incremento si avverte dinanzi agli organi giurisdizionali degli Stati membri e si riflette nei relativi rinvii pregiudiziali (6). Nel presente rinvio, l’Oberster Gerichtshof (Corte suprema, Austria) chiede alla Corte di precisare taluni elementi comuni del regime di responsabilità civile istituito dall’RGPD.

I.      Contesto normativo. RGPD

4.        Ai fini della presente controversia sono rilevanti, in particolare, i considerando 75, 85 e 146 del preambolo dell’RGPD.

5.        L’articolo 6 («Liceità del trattamento») così recita:

«1.      Il Trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)      l’interessato ha espresso il Consenso al Trattamento dei propri Dati personali per una o più specifiche finalità;

(…)».

6.        L’articolo 79 («Diritto a un ricorso giurisdizionale effettivo nei confronti del Titolare del Trattamento o del Responsabile del trattamento»), paragrafo 1, dispone quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».

7.        L’articolo 82 («Diritto al risarcimento e responsabilità»), paragrafo 1, così prevede:

«Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del Trattamento o dal Responsabile del trattamento».

II.    Fatti, procedimento e questioni pregiudiziali

8.        Dal 2017, l’Österreichische Post AG, impresa editrice di indirizzi, raccoglieva informazioni sulle affinità della popolazione austriaca in relazione ai partiti politici. Tramite un algoritmo, essa individuava gli «indirizzi di gruppi destinatari» sulla base di fattori socio‑demografici.

9.        UI è una persona fisica in relazione alla quale la Österreichische Post ha effettuato un’estrapolazione, sulla base di un calcolo statistico, per stabilirne la classificazione nei possibili gruppi destinatari di pubblicità elettorale di vari partiti politici. Da tale estrapolazione risultava che UI presentava un’alta affinità con uno di essi. Tali dati non venivano trasferiti a terzi.

10.      UI, che non aveva prestato il Consenso al Trattamento dei propri dati personali, era contrariato per la registrazione dei dati relativi all’orientamento politico nonché irritato e offeso per l’affinità attribuitagli in concreto dall’Österreichische Post.

11.      UI ha chiesto un risarcimento di EUR 1 000 per danni immateriali (disagio interiore). Egli afferma che l’affinità politica che gli viene attribuita è offensiva e infamante, nonché lesiva della sua immagine. Inoltre, il comportamento della Österreichische Post gli avrebbe provocato una forte irritazione e una perdita di fiducia, nonché un sentimento di umiliazione.

12.      Il giudice di primo grado ha respinto la domanda di risarcimento di UI (7).

13.      Il giudice di appello ha confermato la sentenza di primo grado. Esso ha dichiarato che il riconoscimento di un danno immateriale non si accompagna automaticamente ad ogni violazione dell’RGPD e che:

–      poiché il diritto austriaco è applicabile ad integrazione dell’RGPD, si potrebbe risarcire solo un danno che vada oltre l’irritazione o il danno emozionale («Gefühlsschaden») provocati dalla violazione dei diritti del ricorrente;

–      occorre attenersi al principio, sul quale si fonda il diritto austriaco, secondo cui ciascuno deve sopportare un semplice disagio e mere sensazioni di malessere senza conseguenze sul piano del risarcimento. In altri termini, il diritto al risarcimento presuppone una certa rilevanza dei danni lamentati.

14.      La sentenza del giudice di appello è stata impugnata dinanzi all’Oberster Gerichtshof (Corte suprema), il quale sottopone alla Corte le seguenti questioni pregiudiziali:

«1)      Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 dell’RGPD (...) occorra, oltre a una violazione delle disposizioni dell’RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni dell’RGPD per ottenere un risarcimento.

2)      Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.

3)      Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».

III. Procedimento

15.      La domanda di pronuncia pregiudiziale è pervenuta presso la cancelleria della Corte il 12 maggio 2021.

16.      Hanno presentato osservazioni scritte UI, la Österreichische Post, i governi austriaco, ceco e irlandese nonché la Commissione europea. Lo svolgimento di un’udienza non è stato ritenuto necessario.

IV.    Analisi

A.      Considerazioni preliminari

1.      Sulla ricevibilità

17.      UI sostiene che la prima questione pregiudiziale non è rilevante ai fini della controversia, in quanto la sua domanda non era basata sulla «mera» violazione di una norma dell’RGPD, bensì sulle conseguenze o sugli effetti della stessa.

18.      L’eccezione di irricevibilità dev’essere respinta. Quand’anche si ammettesse che il Trattamento dei dati ha violato l’RGPD senza arrecare un danno a UI, quest’ultimo potrebbe avere diritto a un risarcimento in forza dell’articolo 82 dell’RGPD qualora, come chiede il giudice del rinvio, fosse confermato che la mera violazione di una norma relativa al Trattamento fa sorgere tale diritto.

19.      Secondo UI, la Corte potrebbe inoltre considerare irricevibile la seconda questione, essendo molto aperta quanto al contenuto ed eccessivamente limitata per quel che riguarda le prescrizioni del diritto dell’Unione, dato che non ne menziona alcuna in concreto.

20.      Neppure tale eccezione, benché più fondata rispetto a quella precedente, può essere accolta. È legittimo che un organo giurisdizionale chieda se esso, oltre a rispettare i principi di equivalenza e di effettività, debba valutare altre prescrizioni imposte dal diritto dell’Unione per valutare il danno.

2.      Delimitazione dell’oggetto delle presenti conclusioni

21.      L’articolo 82 dell’RGPD si compone di sei paragrafi. Il giudice del rinvio non fa riferimento ad alcuno di essi in particolare, ma richiama implicitamente il primo. Inoltre, esso non specifica la norma la cui violazione darebbe luogo ad un risarcimento.

22.      Le mie conclusioni si baseranno sui seguenti presupposti:

–      il Trattamento dei Dati personali di UI è stato effettuato senza chiedere il suo Consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), dell’RGPD;

–      il diritto al risarcimento spetta a chiunque subisca un danno. Nel caso di specie, UI, in quanto persona fisica identificata e interessata dal trattamento, è un «interessato» (8);

–      l’RGPD prevede il risarcimento dei danni materiali e immateriali. La domanda di UI è limitata a questi ultimi e ha un contenuto pecuniario.

B.      Sulla prima questione pregiudiziale

23.      Con la prima questione, il giudice del rinvio chiede, in sintesi, se la mera violazione delle disposizioni dell’RGPD dia diritto a un risarcimento, a prescindere dalla circostanza che si sia verificato un danno.

24.      Dalle considerazioni del giudice del rinvio e dalle osservazioni presentate dinanzi alla Corte può desumersi che la questione lascia spazio anche ad una diversa interpretazione, in un certo senso più complessa: si tratterebbe di accertare se la violazione delle disposizioni dell’RGPD provochi necessariamente un danno che fa sorgere il diritto al risarcimento, senza che il convenuto abbia la possibilità di dimostrare il contrario.

25.      Esiste una certa differenza (teorica) tra i due approcci: nel primo, il danno non è un presupposto del risarcimento; lo è, invece, nel secondo. A livello pratico, in entrambi i casi viene meno l’esigenza che il ricorrente fornisca la prova del danno, né egli deve dimostrare il nesso di causalità tra la violazione e tale danno (9).

26.      In ogni caso, anticipo che, a mio parere, nessuna delle due interpretazioni della prima questione merita una risposta affermativa. Esaminerò le due interpretazioni separatamente.

1.      Risarcimento senza danno?

27.      Sostenere che sussista un diritto al risarcimento, sebbene dalla violazione dell’RGPD non derivi alcun danno per l’interessato, solleva evidenti difficoltà, anzitutto sotto il profilo del tenore letterale dell’articolo 82, paragrafo 1, di detto regolamento.

28.      Ai sensi di tale disposizione, il risarcimento (10) è concesso proprio perché vi è prima stato un danno. È quindi richiesto, inequivocabilmente, che la persona fisica abbia subito un danno in conseguenza di una violazione dell’RGPD.

29.      Pertanto, l’interpretazione che associa, automaticamente, la nozione di «violazione» a quella di «risarcimento» in assenza di danno non è conforme al testo dell’articolo 82 dell’RGPD. Né si concilia con l’obiettivo principale della responsabilità civile istituita dall’RGPD, ossia dare soddisfazione all’interessato, proprio tramite un «pieno ed effettivo» risarcimento del danno subito (11).

30.      In mancanza di danno, il risarcimento non svolgerebbe più una funzione risarcitoria delle conseguenze negative provocate dalla violazione, bensì un’altra di diversa natura, più prossima a quella sanzionatoria.

31.      È vero, tuttavia, che l’ordinamento giuridico di uno Stato membro può prevedere il pagamento di un risarcimento a titolo punitivo (12). Si intende come tale la condanna al pagamento di una somma sostanziale, al di là dello stretto risarcimento del danno.

32.      I risarcimenti di carattere punitivo non prescindono, generalmente, dalla previa esistenza del danno. Ciò posto, essi separano tuttavia le sue conseguenze patrimoniali dall’importo del risarcimento commisurato a tale danno.

33.      Ciononostante, non è inconcepibile che ai fini di un risarcimento di carattere punitivo si prescinda dal danno o lo si consideri irrilevante per dare soddisfazione al richiedente.

34.      La risposta alla prima questione mi impone di analizzare l’inquadramento di questo tipo di risarcimenti nell’ambito dell’RGPD, a maggior ragione in quanto la decisione di rinvio e le osservazioni delle parti e degli intervenienti nel procedimento pregiudiziale vi hanno fatto riferimento.

2.      Risarcimento di carattere punitivo?

a)      Interpretazione letterale

35.      Alla funzione classica della responsabilità civile può aggiungersene un’altra di carattere «punitivo» o «esemplare», in base alla quale, come ho già illustrato, l’importo del risarcimento non equivale al danno subito, bensì viene aumentata o perfino moltiplicata la sua entità.

36.      In linea di principio, il diritto dell’Unione non osta a siffatto risarcimento, quando si tratti della violazione delle sue norme, se esso può essere accordato nell’ambito di azioni analoghe fondate sul diritto interno (13).

37.      Il risarcimento di carattere punitivo ha una finalità dissuasiva. Tale finalità può ricorrere allorché, di fronte alla violazione di una direttiva, gli Stati membri siano tenuti ad adottare misure dirette a produrre «un effetto dissuasivo reale» (14). Alcune direttive prevedono espressamente che il risarcimento, inteso come sanzione, debba essere dissuasivo (15).

38.      In altri testi, invece, il legislatore dichiara che il fine di una direttiva «non è quello di introdurre un obbligo di prevedere un risarcimento punitivo» (16) o che gli Stati membri devono evitare questo tipo di risarcimento nella trasposizione della stessa (17). Nel diritto dell’Unione, la condanna diretta ai cosiddetti «danni punitivi» ha carattere eccezionale (18).

39.      Orbene, l’RGPD non contiene alcun riferimento alla natura sanzionatoria del risarcimento dei danni materiali o immateriali, né al fatto che il calcolo del suo ammontare debba riflettere tale natura o che detto risarcimento debba essere dissuasivo (qualità che esso attribuisce invece alle sanzioni penali e alle sanzioni amministrative pecuniarie) (19). Dal punto di vista letterale, pertanto, l’RGPD non consente di prevedere un risarcimento di carattere punitivo.

b)      Interpretazione alla luce dell’evoluzione storica della disposizione

40.      L’articolo 82, paragrafo 1, dell’RGPD ha il suo precedente nell’articolo 23, paragrafo 1, della direttiva 95/46. Quest’ultima faceva parte di un sistema che basava la sua effettività sull’applicazione a livello pubblicistico e a livello privatistico (20), ma in cui il risarcimento (a livello privatistico) e la sanzione (a livello pubblicistico) non si confondevano (21). La vigilanza sul rispetto delle norme spettava, in primo luogo, ad autorità di controllo indipendenti (22).

41.      L’RGPD riprende tale modello, ma rafforza gli strumenti per garantire l’efficacia delle sue disposizioni, ora più dettagliate, e delle reazioni previste, ora più intense, di fronte alla sua violazione o min accia di violazione:

–      da un lato, aumenta le funzioni delle autorità di controllo, alle quali spetta, tra altri compiti, imporre le sanzioni armonizzate previste dall’RGPD medesimo (23). Esso sottolinea in tal modo la componente dell’applicazione a livello pubblicistico delle norme;

–      dall’altro, prevede che i singoli possano tutelare i diritti loro conferiti dall’RGPD (24) attivando l’azione delle autorità di controllo (articolo 77) o ricorrendo alla via giurisdizionale (articoli 79 e 82). Inoltre, l’articolo 80 autorizza determinati organismi ad esercitare azioni di rappresentanza (25), il che agevola la tutela di interessi generali accessibile ai singoli (26).

42.      Nell’RGPD, il regime uniforme di responsabilità civile per danni ha avuto un’evoluzione limitata. Aspetti che potevano risultare dubbi in vigenza della direttiva 95/46, come quello relativo all’inclusione dei danni immateriali tra quelli risarcibili (27), sono stati subito chiariti.  La negoziazione è stata incentrata su altri aspetti di tale regime (28).

43.      Non ho trovato nei lavori legislativi alcuna discussione su un’eventuale funzione punitiva della responsabilità civile prevista dall’RGPD. Pertanto, non si può desumere che essa sia contemplata dall’articolo 82 di detto regolamento, in mancanza di qualsiasi discussione al riguardo, tanto più che una discussione vi è invece stata riguardo alla sua inclusione in altri testi del diritto dell’Unione (29).

44.      Ciò posto, ritengo che l’azione di cui all’articolo 82, paragrafo 1, dell’RGPD sia stata concepita e disciplinata ai fini delle funzioni tipiche della responsabilità civile: quella di risarcimento dei danni (per la parte lesa) e, secondariamente, quella di prevenzione di danni futuri (per l’autore della violazione).

c)      Interpretazione contestuale

45.      Come ho anticipato, l’articolo 82 dell’RGPD fa parte di un sistema di garanzie dell’effettività delle norme in cui l’iniziativa privata integra l’applicazione delle stesse a livello pubblicistico. Il risarcimento dovuto dai titolari o dai responsabili del Trattamento dei dati contribuisce a tale effettività.

46.      L’obbligo di risarcimento opera (idealmente) come un incentivo ad agire con maggiore attenzione in futuro, attenendosi alle regole ed evitando ulteriori danni. In tal modo, richiedendo un risarcimento per sé, ogni individuo contribuisce all’efficacia generale delle norme.

47.      In tale quadro, la funzione risarcitoria e quella punitiva sono separate:

–      la seconda è svolta dalle sanzioni pecuniarie che possono essere inflitte dalle autorità di controllo o dalle autorità giurisdizionali (articolo 83, paragrafi 1 e 9, dell’RGPD) e dalle altre sanzioni adottate dagli Stati ai sensi dell’articolo 84 dell’RGPD (30);

–      la prima è svolta dal reclamo del singolo (articolo 77) e dai procedimenti giurisdizionali (articolo 79). Non spetta invece alle autorità di controllo statuire sul diritto al risarcimento.

48.      Nella stessa ottica di separazione della funzione risarcitoria da quella sanzionatoria:

–      nell’infliggere una sanzione pecuniaria e nel fissarne l’importo, l’autorità deve tenere conto dei fattori elencati all’articolo 83 dell’RGPD, che non sono previsti nell’ambito della responsabilità civile e che, in linea di principio, non sono trasponibili alla quantificazione del risarcimento (31);

–      mentre il livello del danno subito dagli interessati è un fattore di gradazione della sanzione pecuniaria (32), nel calcolo dell’importo di quest’ultima non si deve tenere conto del risarcimento da essi eventualmente ottenuto (33).

49.      Sul piano teorico, un’interpretazione che, in assenza di danni, attribuisse alla responsabilità civile la funzione punitiva rischierebbe di rendere i meccanismi risarcitori ridondanti rispetto a quelli sanzionatori.

50.      A livello pratico, la facilità di ottenere un provento «punitivo» a titolo di risarcimento potrebbe indurre gli interessati a preferire tale mezzo a quello dell’articolo 77 dell’RGPD. Se fosse generalizzato, ciò priverebbe le autorità di controllo di uno strumento (il reclamo dell’interessato) per conoscere e, pertanto, indagare e sanzionare eventuali violazioni dell’RGPD, a scapito degli strumenti più appropriati di tutela dell’interesse generale.

d)      Interpretazione teleologica

51.      L’RGPD persegue sostanzialmente due obiettivi, enunciati fin dal suo titolo: a) da un lato, la «protezione delle persone fisiche con riguardo al Trattamento dei dati personali»; b) dall’altro, che tale protezione si articoli in modo che «la libera circolazione di tali dati» all’interno dell’Unione non sia né vietata né limitata (34).

52.      Ritengo che, per raggiungere detti obiettivi, l’RGPD non richieda di associare il risarcimento alla mera violazione della norma che disciplina il trattamento, dotando la responsabilità civile di funzioni punitive.

53.      Quanto al primo obiettivo, per conseguirlo non è necessario ampliare in via interpretativa l’ambito di applicazione dell’articolo 82 dell’RGPD, dando copertura a fattispecie in cui vi sia stata una violazione di una norma, ma non un danno. Anzi, siffatto ampliamento potrebbe avere conseguenze negative sul secondo obiettivo.

54.      Ho già rilevato che l’RGPD prevede vari meccanismi per garantire il rispetto delle sue norme, che coesistono e si integrano a vicenda. Gli Stati membri non devono (e in realtà non possono) scegliere tra i meccanismi del capo VIII per assicurare la protezione dei dati. Di fronte ad una violazione che non provoca un danno, all’interessato è comunque garantito (come min imo) il diritto di presentare un reclamo ad un’autorità di controllo in forza dell’articolo 77, paragrafo 1, dell’RGPD.

55.      Inoltre, la prospettiva di ottenere un risarcimento indipendentemente da qualsiasi danno stimolerebbe probabilmente le controversie civili, con azioni magari non sempre giustificate (35), e potrebbe quindi disincentivare l’attività di Trattamento dei dati (36).

3.      Presunzione di danno?

56.      In alcune delle osservazioni delle parti in causa viene sostenuta un’interpretazione della prima questione pregiudiziale diversa da quella che ho esaminato finora. Se capisco bene la loro posizione (37), esse sembrano affermare che sussiste una presunzione incontestabile di danno in seguito al verificarsi della violazione della norma.

57.      Detta violazione, inoltre, comporterebbe necessariamente la perdita di controllo sui dati, il che costituirebbe, di per sé, un danno risarcibile ai sensi dell’articolo 82, paragrafo 1, dell’RGPD.

58.      In teoria, siffatta presunzione non consente di prescindere dal danno e sono quindi rispettati lo schema tipico della responsabilità civile e il tenore letterale della disposizione dell’RGPD. In pratica, tuttavia, per il ricorrente e il convenuto gli effetti del suo accoglimento sarebbero analoghi a quelli derivanti dall’associare il risarcimento di cui all’articolo 82, paragrafo 1, dell’RGPD alla mera violazione della norma.

59.      Ricorrerò, di nuovo, ai criteri ermeneutici abituali per spiegare perché tale interpretazione non mi sembra corretta.

a)      Interpretazione letterale

60.      Quando il legislatore ha ritenuto, in altri settori del diritto dell’Unione, che dalla violazione di una norma derivi automaticamente il diritto al risarcimento, non ha esitato a stabilirlo (38). Così non è per quanto riguarda l’RGPD, che contiene norme relative alla prova, o aventi conseguenze dirette su di essa (39), ma non il suddetto collegamento automatico, diretto o tramite presunzione assoluta.

61.      Ritengo che i riferimenti al controllo dei dati (o alla perdita di tale controllo) nei considerando 75 (40) e 85 (41) dell’RGPD non compensino tale assenza. A parte il fatto che, in quanto tali, detti considerando sono privi di valore normativo, nessuno dei due conferma che la violazione di una norma implichi di per sé un danno risarcibile:

–      il considerando 75 fa riferimento alla privazione del controllo dei Dati personali come uno dei possibili rischi del trattamento;

–      il considerando 85 menziona la perdita del controllo come una delle conseguenze che potrebbero derivare da una violazione della sicurezza dei dati personali (42).

62.      La perdita del controllo dei dati non deve comportare necessariamente un danno. L’espressione può essere intesa come una licenza linguistica per fare riferimento a danni susseguenti a tale perdita, ove si concretizzino (43).

b)      Interpretazione alla luce dell’evoluzione storica

63.      Nemmeno l’analisi dell’evoluzione storica conferma l’esistenza della presunzione in parola, che non figurava nella direttiva 95/46 (44), né era contemplata dai documenti da me esaminati della Commissione, del Parlamento europeo o del Consiglio che hanno preceduto l’adozione dell’RGPD.

c)      Interpretazione contestuale

64.      Il sistema dell’RGPD offre elementi per escludere che esso ammetta la presunzione di cui trattasi, prendendo come riferimento il Consenso dell’interessato (45). In quanto veicolo del controllo di quest’ultimo sui dati, tale Consenso legittima il Trattamento dei dati al pari di altre basi giuridiche (articolo 6 dell’RGPD) (46).

65.      Un Trattamento lecito di Dati personali è concepibile senza l’autorizzazione dell’interessato e, pertanto, senza il controllo che la concessione o il diniego di tale autorizzazione rappresentano. In definitiva, la sua rilevanza nell’ambito del sistema non è assoluta.

66.      Inoltre, l’RGPD prevede altre possibilità di esercizio di tale controllo, tra cui il diritto alla cancellazione che impone al Titolare del Trattamento di eliminare «senza ingiustificato ritardo» l’informazione di cui trattasi (47).

67.      Per la persona di cui vengono elaborati i dati, tale diritto opera come valvola di sicurezza del regime di protezione: permane (in via di principio) quando il Titolare del Trattamento non abbia ottenuto il Consenso dell’interessato e quando non esista alcun altro fondamento che legittimi il Trattamento dei dati, e non dipende dalla circostanza che quest’ultimo abbia provocato un danno (48).

d)      Interpretazione teleologica

1)      Il controllo dell’interessato sui propri dati, obiettivo dell’RGPD?

68.      L’equivalenza automatica fra un Trattamento di Dati personali per il quale non è stato ottenuto il Consenso dell’interessato e un danno risarcibile implica che tale controllo, di cui il Consenso è veicolo, costituisca un valore in sé.

69.      Ammetto che, prima facie, tale parere non è privo di fondamento. Il controllo dei cittadini sui propri dati figura nella proposta della Commissione come uno dei motivi principali della riforma (49). Il considerando 7 dell’RGPD afferma che «[è] opportuno che le persone fisiche abbiano il controllo dei Dati personali che li riguardano».

70.      Il fatto è che si impone cautela nell’interpretare tale nozione, al di là dei dibattiti dottrinali che ha suscitato. Non vi è nell’RGPD (né ho trovato altrove) una definizione precisa di «controllo» (50). Il termine ammette almeno due accezioni, che non si escludono a vicenda: quella di «potere» o «dominio» e quella di «supervisione».

71.      Il tenore letterale del considerando 7 dell’RGPD dà adito a qualche incertezza, in quanto differisce a seconda delle versioni linguistiche (51). Sulla base del suo contenuto, ritengo che l’RGPD conferisca all’interessato poteri di vigilanza e di intervento su operazioni effettuate da altri sui dati, come strumento (insieme ad altri) per la protezione di tali dati.

72.      L’interessato stesso contribuisce ed è Responsabile della protezione delle informazioni rappresentate dai dati, nella misura – livello e modalità – prevista dall’RGPD. Il perimetro dell’azione individuale è limitato: esso si riduce, per quanto riguarda i diritti elencati dall’RGPD, al loro esercizio a specifiche condizioni.

73.      Il Consenso dell’interessato, in quanto massima espressione del controllo (52), è solo una delle basi giuridiche di un Trattamento lecito, ma non è idoneo a sanare l’inosservanza degli altri obblighi e delle altre condizioni che si impongono al Titolare e al Responsabile del trattamento.

74.      Ritengo che dall’RGPD non possa agevolmente dedursi che esso è inteso a conferire all’interessato il controllo sui Dati personali come valore in sé, o che l’interessato debba avere il massimo controllo possibile su di essi.

75.      Tale constatazione non è sorprendente. Da un lato, non è evidente che il controllo, nella sua accezione di dominio sui dati, formi parte del contenuto essenziale del diritto fondamentale alla protezione dei dati personali.  (53) Dall’altro, l’interpretazione di detto diritto come diritto all’autodeterminazione informativa è tutt’altro che unanime: l’articolo 8 della Carta non utilizza questi termini (54).

76.      Sulla stessa linea, non è stato inserito nel testo finale dell’RGPD nemmeno un considerando secondo cui «[i]l diritto alla protezione dei Dati personali si basa sul diritto dell’interessato di esercitare il controllo sui Dati personali oggetto di trattamento» (55).

77.      Le considerazioni che precedono, forse eccessivamente astratte, mi inducono ad affermare che, quando l’interessato non presta il Consenso ad un Trattamento e quest’ultimo viene effettuato senza un’altra base giuridica legittima, non per questo egli deve ottenere una compensazione economica per la perdita del controllo sui suoi dati, come se tale perdita comportasse, di per sé, un danno risarcibile (56). Rimane da stabilire se, in aggiunta, egli abbia subito o meno un danno (che dovrà essere dimostrato) (57).

2)      Il controllo dell’interessato nel contesto

78.      Ritengo opportuno, infine, ricordare che la protezione dei Dati personali è enunciata come obiettivo dell’RGPD unitamente all’intento di promuovere la libera circolazione dei dati (58).

79.      Il rafforzamento del controllo del cittadino sulle proprie informazioni personali nell’ambiente digitale è una delle finalità riconosciute della modernizzazione del regime di protezione dei dati personali, ma non un obiettivo indipendente o isolato.

80.      Nella comunicazione che accompagnava la sua proposta di RGPD, la Commissione associava un elevato livello di protezione dei dati alla fiducia nei servizi online, che consente di sfruttare il potenziale dell’economia digitale e di promuovere «la crescita economica e la competitività delle industrie europee». Mediante il rinnovo (e la maggiore armonizzazione) del diritto dell’Unione si «consolida la dimensione di mercato interno della protezione dei dati» (59).

81.      Di fronte all’evidenza del valore dei dati (personali e non) per il progresso economico e sociale in Europa, l’RGPD non mira ad ampliare il controllo del singolo sulle informazioni che lo riguardano, semplicemente assecondandone le preferenze, bensì a conciliare il diritto alla protezione dei Dati personali con gli interessi dei terzi e della società (60).

82.      La finalità dell’RGPD, ribadisco, non è limitare sistematicamente il Trattamento dei dati personali, bensì legittimarlo a condizioni rigorose. Tale scopo viene perseguito, anzitutto, con la promozione della fiducia dell’interessato nel fatto che il Trattamento sarà effettuato in un contesto sicuro (61), al quale contribuisce egli stesso. In tal modo si incentiva la sua predisposizione volontaria a consentire l’accesso e l’utilizzo dei suoi dati, anche nell’ambito delle operazioni commerciali online.

C.      Sulla seconda questione pregiudiziale

83.      Il giudice del rinvio chiede se esistano, «per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza».

84.      In realtà, non sembra che il principio di equivalenza abbia al riguardo un ruolo rilevante: il regime armonizzato dell’RGPD si applica direttamente in tale materia e il suo articolo 82 si applica per tutti i danni immateriali derivanti da una violazione, indipendentemente dalla loro origine.

85.      La stessa considerazione vale per il principio di effettività. Questione diversa è se il risarcimento, tenuto conto di quanto affermato dal considerando 146 dell’RGPD (gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito), debba avere un contenuto piuttosto che un altro.

86.      L’articolo 82 dell’RGPD non impone altro requisito che la violazione delle sue norme quando essa abbia come conseguenza il danno, materiale o immateriale, subito da una persona. Quanto al calcolo, in concreto, dell’importo del risarcimento di tale danno, detta disposizione non fornisce criteri ai giudici nazionali.

87.      Stando ai due aggettivi qualificativi sopra trascritti (pieno ed effettivo), il risarcimento dipende, in primo luogo, dalla pretesa dedotta da ciascun ricorrente.

88.      Qualora tale pretesa consistesse nella condanna ad un risarcimento di carattere punitivo (62), sarebbe sufficiente la risposta alla prima questione: tale tipo di risarcimento non figura nell’RGPD. In esso, la responsabilità civile svolge una funzione di risarcimento «a livello privatistico», mentre le sanzioni pecuniarie e quelle penali hanno la funzione pubblica di dissuadere nonché, se del caso, punire.

89.      Non si può escludere che il risarcimento richiesto a titolo di danno immateriale includa componenti diverse da quella meramente pecuniaria, ad esempio il riconoscimento dell’avvenuta violazione, con il quale viene data una certa soddisfazione morale al ricorrente. La sentenza della Corte del 15 aprile 2021 (63), pur essendo stata resa in un ambito che non coincide con quello della protezione dei dati, consentirebbe, per analogia, di accogliere tale pretesa.

90.      Negli ordinamenti che lo prevedono, è possibile che il regime di responsabilità civile contempli condanne a titolo di rivendicazione di un diritto (pagamento di un risarcimento simbolico) o di neutralizzazione di un vantaggio indebito (restituzione di quanto ottenuto senza causa).

91.      Soggiace alle prime l’idea di dare continuità e realizzare il diritto («Rechtsfortsetzungsfunktion») attraverso un risarcimento puramente simbolico, in aggiunta alla dichiarazione che il convenuto ha commesso un illecito e ha violato diritti del ricorrente. L’articolo 82 dell’RGPD non lo contempla né ve ne è traccia nei lavori preparatori, il che non è sorprendente, dato che non è comune agli ordinamenti giuridici degli Stati membri (64) né è esente da controversia in quelli nei quali esiste (65).

92.      Il sistema dell’RGPD e i suoi obiettivi non ostano, tuttavia, a che gli Stati membri che conoscono tale rimedio lo offrano ai soggetti interessati dalla violazione di una norma, nell’ambito dei ricorsi contemplati dall’articolo 79 di detto regolamento, in caso di assenza totale di danno. Quando, al contrario, il ricorrente sostiene di avere subito un danno pecuniario, la situazione è disciplinata dall’articolo 82 dell’RGPD e la difficoltà di dimostrare tale danno non dovrebbe tradursi in un risarcimento simbolico (66).

93.      Per quanto riguarda le condanne consistenti nella consegna della somma conseguente alla violazione di un diritto, esse possono essere finalizzate a privare l’autore del profitto ottenuto. Al di fuori dell’ambito della proprietà intellettuale (67), tale finalità non è comune nella normativa in materia di risarcimento dei danni, che è incentrata sulla perdita subita dalla parte lesa, più che sul guadagno dell’autore della violazione (68). L’RPGD non la incorpora nel suo articolato.

94.      Svolgo tali considerazioni per agevolare il lavoro del giudice del rinvio, tenuto conto dell’ampiezza della sua seconda questione pregiudiziale. Non nascondo, tuttavia, che esse possono risultare di scarsa utilità per accogliere o respingere una domanda con cui l’interessato chiede un risarcimento strettamente pecuniario del danno immateriale.

D.      Sulla terza questione pregiudiziale

95.      Il giudice del rinvio chiede se, nell’RGPD, il riconoscimento del danno immateriale sia subordinato ad una «violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».

96.      La domanda di pronuncia pregiudiziale fa riferimento, come criterio di ammissibilità al risarcimento, all’intensità dell’esperienza della persona interessata. Non chiede invece (quanto meno non direttamente) se una determinata emozione o sensazione di tale persona sia rilevante o meno ai fini dell’articolo 82, paragrafo 1, dell’RGPD in virtù del suo contenuto (69).

97.      Si pone quindi la questione se gli Stati membri possano subordinare il risarcimento del danno immateriale all’entità delle conseguenze derivanti dalla violazione della norma, prendendo in considerazione solo quelle che superino una determina soglia di gravità. La questione non verterebbe quindi sulle voci risarcibili (70) né sull’ammontare del risarcimento, bensì sull’esistenza di un limite min imo di reazione dell’interessato, al di sotto del quale egli non verrebbe risarcito.

98.      L’articolo 82 dell’RGPD non fornisce una risposta diretta all’interrogativo. Né lo fanno, a mio avviso, i considerando 75 e 85. Entrambi contengono un elenco esemplificativo di danni che termina con una clausola aperta che sembra limitare i danni risarcibili a quelli «significativi».

99.      Non credo, tuttavia, che tali considerando siano utili per risolvere il dubbio del giudice del rinvio:

–      il primo riguarda l’identificazione e la valutazione dei rischi del Trattamento di dati e l’adozione di misure per prevenirli o attenuarli. Esso illustra le conseguenze indesiderabili di qualsiasi Trattamento e pone l’accento, «in particolare», su alcune di esse, probabilmente per la loro maggiore gravità;

–      il secondo si riferisce alle violazioni della sicurezza dei dati, avvertendo che tali violazioni possono avere conseguenze rilevanti.

100. Neppure dall’affermazione contenuta nel considerando 146 dell’RGPD (i responsabili devono risarcire «i danni») (71) si deducono criteri che consentano di rispondere a questo interrogativo.

101. La trasposizione del menzionato considerando al testo dell’RGPD ha comportato che quest’ultimo includesse, esplicitamente, i danni immateriali, facendo venir meno il silenzio al riguardo della direttiva 95/46 (72). Tuttavia non è stata affrontata, nello specifico, la questione ora sollevata dinanzi alla Corte.

102. Il medesimo considerando 146 dell’RGPD afferma che «[i]l concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento».

103. Non sono sicuro che tale indicazione fosse di grande utilità nel contesto della protezione dei dati, posto che la Corte non si era ancora pronunciata al riguardo quando è stato adottato l’RGPD (73). Se si intendeva fare riferimento a sentenze sulla responsabilità civile disciplinata da altre direttive o da altri regolamenti, sarebbe stato auspicabile un richiamo all’analogia.

104. In realtà, la Corte non ha elaborato una definizione generale di «danno» applicabile indistintamente in qualsiasi ambito (74). Per quanto qui rileva (i danni immateriali), dalla sua giurisprudenza può dedursi che:

–      quando l’obiettivo (o uno degli obiettivi) della disposizione da interpretare è la protezione dell’individuo, o di una determinata categoria di individui (75), il concetto di danno deve essere ampio;

–      coerentemente con tale criterio, il risarcimento si estende al danno immateriale, anche qualora esso non sia menzionato nella disposizione interpretata (76).

105. Sebbene la giurisprudenza della Corte autorizzi a sostenere che, nei termini sopra esposti, esiste nel diritto dell’Unione un principio di risarcimento del danno immateriale, ritengo che non se ne possa dedurre, invece, una regola in base alla quale ogni danno immateriale, a prescindere dalla sua gravità, è risarcibile.

106. La Corte ha riconosciuto la compatibilità con le norme europee di una normativa nazionale che, ai fini del calcolo del risarcimento, distingue i danni immateriali connessi a lesioni corporali causate da un sinistro in funzione dell’origine di quest’ultimo (77).

107. Ha inoltre valutato quali circostanze siano idonee a provocare un danno immateriale, conformemente alla disposizione applicabile in ciascuna causa (78), ma non si è pronunciata esplicitamente (se non erro) sul requisito della gravità di tale danno (79).

108. A questo punto, ritengo che si debba rispondere alla terza questione in senso affermativo.

109. A sostegno della mia posizione, ricordo che l’RGPD non mira esclusivamente a salvaguardare il diritto fondamentale alla protezione dei dati personali (80) e che il suo sistema di garanzie include meccanismi di diverso tipo (81).

110. In tale contesto, è rilevante la distinzione, suggerita dalla Corte, tra danno immateriale risarcibile e altri svantaggi derivanti dall’inosservanza della legalità che, data la loro scarsa entità, non darebbero necessariamente diritto a un risarcimento.

111. Siffatta dissociazione è riscontrabile in alcuni ordinamenti giuridici nazionali, in quanto inevitabile corollario della vita in società (82). La Corte non ignora tale differenza, che riconosce laddove fa riferimento ai disagi e fastidi in quanto categoria autonoma rispetto a quella del danno, in ambiti nei quali ritiene che essi debbano essere risarciti (83). Nulla impedisce di trasporla all’RGPD.

112. Peraltro, il diritto al risarcimento di cui all’articolo 82, paragrafo 1, dell’RGPD non mi sembra lo strumento adatto per contrastare le violazioni nel Trattamento di dati personali, se tutto ciò che provocano nell’interessato è rabbia o irritazione.

113. Di norma, qualsiasi violazione di una norma in materia di protezione dei Dati personali determina una reazione negativa dell’interessato. Un risarcimento dovuto per la mera sensazione di malessere di fronte all’altrui inosservanza della legge si confonde facilmente con un risarcimento senza danno, che ho già escluso in precedenza.

114. Sul piano pratico, includere tra i danni immateriali risarcibili la mera irritazione non è efficace, tenuto conto degli inconvenienti e delle difficoltà che caratterizzano una domanda giudiziale per l’attore (84) e la difesa per il convenuto (85).

115. Il diniego del diritto al risarcimento per sentimenti o emozioni lievi e transitori (86) connessi alla violazione delle norme sul Trattamento non lascia l’interessato completamente indifeso. Come ho indicato in relazione alla prima questione, il sistema dell’RGPD offre altri rimedi.

116. Non dubito che il confine tra la mera irritazione (non risarcibile) e il vero e proprio danno immateriale (risarcibile) sia sottile, né ignoro quanto sia complicato delimitare, in astratto, le due categorie e applicarle, in concreto, ad una controversia. Tale arduo compito spetta ai giudici degli Stati membri, i quali, probabilmente, non potranno prescindere nelle loro pronunce dalla percezione che, in quel momento, abbia la società riguardo alla tolleranza ammissibile quando le conseguenze soggettive della violazione di una norma in tale materia non superino un livello min imo (87).

V.      Conclusione

117. Alla luce delle suesposte considerazioni, propongo di rispondere all’Oberster Gerichtshof (Corte suprema, Austria) nei termini seguenti:

«L’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del menzionato regolamento non è sufficiente, di per sé, la mera violazione della norma, se essa non è accompagnata dal relativo danno, materiale o immateriale.

Il risarcimento del danno immateriale disciplinato dal regolamento 2016/679 non si estende alla mera irritazione che l’interessato possa provare a causa della violazione delle disposizioni del regolamento 2016/679. Spetta ai giudici nazionali stabilire quando, a motivo delle sue caratteristiche, la sensazione soggettiva di malessere possa essere considerata, in ciascun caso, un danno immateriale».

1      Lingua originale: lo spagnolo.

2      Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1). In prosieguo: l’«RGPD».

3      Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

4      Secondo la relazione dell’Agenzia dell’Unione europea per i diritti fondamentali (FRA), Access to data protection remedies in the EU Member States, Ufficio delle pubblicazioni dell’Unione europea, 2013, punti 3 e 4.

5      Il riconoscimento legislativo di tale diritto costituisce, in ampia misura, una caratteristica peculiare del sistema di protezione dell’Unione. L’analisi della validità degli strumenti normativi in materia di trasferimento di Dati personali verso paesi terzi tiene specificamente conto dell’esistenza o meno di una disposizione avente la medesima finalità. V. punti 226 e 227 del parere 1/15 [Accordo PNR UE‑Canada, del 26 luglio 2017 (EU:C:2017:592)], nonché sentenze del 16 luglio 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559), e del 21 giugno 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6      Al momento della stesura delle presenti conclusioni sono pendenti altre sette domande di pronuncia pregiudiziale in tale materia (cause C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 e C-456/22). Nel contempo, la Commissione per le petizioni del Parlamento europeo è stata invitata a «chiarire i considerando dell’[RGPD], in particolare per quanto riguarda i danni immateriali, al fine di evitare ulteriori errori di giudizio da parte dei tribunali tedeschi» (petizione n. 0386/2021).

7      Ha invece accolto un’istanza inibitoria, decisione che è stata confermata in appello. Il ricorso in Revision (cassazione) della Österreichische Post avverso l’inibitoria è stato respinto.

8      Utilizzo tale termine nel senso di cui all’articolo 4, paragrafo 1, dell’RGPD.

9      In alcuni casi, l’interessato non deve nemmeno dimostrare di non avere prestato il proprio consenso, dato che, ai sensi dell’articolo 7, paragrafo 1, dell’RGPD, «[q]ualora il Trattamento sia basato sul consenso, il Titolare del Trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio Consenso al Trattamento dei propri dati personali». Può invece essere richiesto al ricorrente di fornire elementi che consentano di quantificare il danno.

10      Il termine «indemnización» (risarcimento) è utilizzato nelle versioni spagnola e portoghese («indemnização»). Molto espressivo è anche «Schadenersatz», nella versione tedesca. In quella francese non viene utilizzato «indemnisation», bensì «réparation»; in quella inglese, «compensation». Ritengo che, in tutte le suddette versioni e in altre analoghe, il risultato sia il medesimo: il danno continua ad essere un elemento imprescindibile della responsabilità civile.

11      Considerando 146 dell’RGPD. Il risarcimento è inteso a ripristinare l’equilibrio della situazione giuridica modificata negativamente (lesa) dalla violazione del diritto.

12      I risarcimenti di carattere punitivo (punitive damages) sono caratteristici del diritto anglosassone. Altri ordinamenti li utilizzano come reazione di fronte a comportamenti particolarmente dolosi o gravemente negligenti. Talvolta sono associati alla valutazione del danno morale conseguente alla lesione dell’integrità fisica o della sfera privata individuale.

13      Sentenza del 13 luglio 2006, Manfredi e a. (da C‑295/04 a C‑298/04, EU:C:2006:461), punto 92: «Per quanto riguarda la concessione di un risarcimento danni e un’eventuale possibilità di liquidare danni punitivi, in mancanza di disposizioni comunitarie in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro stabilire i criteri che consentono di determinare l’entità del risarcimento, purché i principi di equivalenza e di effettività siano rispettati». Il corsivo è mio.

14      Sentenze dell’11 ottobre 2007, Paquay (C‑460/06, EU:C:2007:601, punti 44 e segg.), in riferimento all’articolo 6 della direttiva 76/207/CEE del Consiglio, del 9 febbraio 1976, relativa all’attuazione del principio della parità di Trattamento fra gli uomini e le donne per quanto riguarda l’accesso al lavoro, alla formazione e alla promozione professionali e le condizioni di lavoro (GU 1976, L 39, pag. 40).

15      Articolo 28 della direttiva 2004/109/CE del Parlamento europeo e del Consiglio, del 15 dicembre 2004, sull’armonizzazione degli obblighi di trasparenza riguardanti le informazioni sugli emittenti i cui valori mobiliari sono ammessi alla negoziazione in un mercato regolamentato e che modifica la direttiva 2001/34/CE (GU 2004, L 390, pag. 38), o articolo 25 della direttiva 2006/54/CE del Parlamento europeo e del Consiglio, del 5 luglio 2006, riguardante l’attuazione del principio delle pari opportunità e della parità di Trattamento fra uomini e donne in materia di occupazione e impiego (GU 2006, L 204, pag. 23).

16      V. considerando 26 della direttiva 2004/48/CE del Parlamento europeo e del Consiglio, del 29 aprile 2004, sul rispetto dei diritti di proprietà intellettuale (GU 2004, L 157, pag. 45). In tal caso, l’adozione della misura punitiva non è vietata, ma nemmeno obbligatoria: sentenza del 25 gennaio 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, punto 28).

17      Articolo 3, paragrafo 3, della direttiva 2014/104/UE del Parlamento europeo e del Consiglio, del 26 novembre 2014, relativa a determinate norme che regolano le azioni per il risarcimento del danno ai sensi del diritto nazionale per violazioni delle disposizioni del diritto della concorrenza degli Stati membri e dell’Unione europea (GU 2014, L 349, pag. 1), o considerando 10 e 42 della direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU 2020, L 409, pag. 1), che copre l’ambito della protezione dei dati.

18      Generalmente viene citato come esempio l’articolo 18, paragrafo 2, del regolamento (CE) n. 1768/95 della Commissione, del 24 luglio 1995, che definisce le norme di attuazione dell’esenzione agricola prevista dall’articolo 14, paragrafo 3 del regolamento (CE) n. 2100/94 (GU 1995, L 173, pag. 14): «il risarcimento dovuto [al titolare] per ogni ulteriore danno (...) comprende per lo meno un importo forfettario pari a quattro volte l’ammontare da corrispondere (...)».

19      V. infra, paragrafo 47.

20      Impiego qui i termini «applicazione a livello pubblicistico» ed «applicazione a livello privatistico» nello stesso senso di cui alla direttiva 2014/104.

21      Il considerando 55 annunciava il contenuto del capo III («Ricorsi giurisdizionali, responsabilità e sanzioni») della direttiva 95/46. Gli articoli 22, 23 e 24 della stessa corrispondevano rispettivamente a ciascun termine. Il capo VI era dedicato alle autorità di controllo.

22      La Corte ha confermato il ruolo centrale di tali autorità nel sistema: ad esempio, nella sentenza del 9 marzo 2010, Commissione/Germania (C‑518/07, EU:C:2010:125, punto 23). Ad esse fanno riferimento l’articolo 8, paragrafo 3, della Carta diritti fondamentali dell’Unione europea (in prosieguo: la «Carta») e l’articolo 16, paragrafo 2, TFUE, in fine.

23      L’Estonia e la Danimarca hanno un regime speciale, cui fa riferimento il considerando 151 dell’RGPD.

24      Sebbene l’RGPD non contenga una menzione diretta dell’importanza dell’applicazione a livello privatistico delle norme, analoga a quella del considerando 3 della direttiva 2014/104.

25      La possibilità di azioni collettive era già ammessa prima dell’RGPD: sentenza del 29 luglio 2019, Fashion ID (C‑40/17, EU:C:2019:629). Ai sensi dell’articolo 80, paragrafo 1, dell’RGPD, l’azione degli organismi per la tutela degli interessati non è disponibile, in materia di risarcimento, a meno che gli Stati membri lo prevedano e l’interessato conferisca il necessario mandato. La situazione potrebbe cambiare a seguito della direttiva 2020/1828.

26      Come indicato dall’avvocato generale Richard de la Tour nelle conclusioni relative alla causa Meta Platforms Ireland (C‑319/20, EU:C:2021:979), l’azione ai sensi dell’articolo 80 dell’RGPD è idonea a perseguire la tutela di interessi particolari e generali. Tale causa verteva sull’azione inibitoria.

27      In particolare negli Stati membri riluttanti ad ammettere condanne a danni immateriali in assenza di una previsione normativa al riguardo.

28      Quali la legittimazione passiva, i motivi di esenzione e il regime di responsabilità dei contitolari e dei corresponsabili del trattamento. Un documento del Consiglio riporta la seguente questione posta dalla delegazione belga: «whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage». La Commissione ha risposto che la prova del danno era necessaria: v. per la prima volta nella Nota della Presidenza n. 17831/13, del 16 dicembre 2013, nota 541. Non risulta che tale questione sia stata oggetto di ulteriori discussioni.

29      Mi riferisco ai lavori che hanno preceduto l’adozione delle direttive 2004/48 e 2014/104. Un’interpretazione che estendesse l’articolo 82 dell’RGPD a risarcimenti di carattere punitivo avrebbe conseguenze rilevanti per gli Stati membri: essi dovrebbero stabilire, ad esempio, chi debba essere il Destinatario del risarcimento con funzione sanzionatoria, come vada calcolato tale risarcimento per conseguire lo scopo o come debba essere articolato con le sanzioni amministrative pecuniarie e le sanzioni penali, onde evitare un’eccessiva punizione.

30      Tali «altre sanzioni», di natura penale o amministrativa, non sono armonizzate. Al pari delle sanzioni pecuniarie, esse devono essere «effettive, proporzionate e dissuasive» (articolo 84, paragrafo 1, in fine).

31      Non escludo che, in astratto, alcuni di tali fattori possano essere contemplati anche nell’ambito della responsabilità civile [penso, ad esempio, al «carattere doloso o colposo» della violazione, ai sensi dell’articolo 83, paragrafo 2, lettera b), dell’RGPD] o riflettersi nel risarcimento [ad esempio, le «categorie di Dati personali interessate dalla violazione» ai sensi della lettera g) della medesima disposizione]. Tuttavia, anche in questi casi, la trasposizione di ciascun fattore da un ambito all’altro non opererebbe automaticamente.

32      Articolo 83, paragrafo 2, lettera a), dell’RGPD.

33      Né come criterio di calcolo, né per detrarlo dall’importo.

34      Articolo 1 nonché considerando 6, 9 e 170 dell’RGPD. Il considerando 9 ricorda che tali erano gli obiettivi della direttiva 95/46 e sottolinea che essi rimangono tuttora validi. Generalmente si evidenzia che nella direttiva 95/46 l’obiettivo della libera circolazione dei Dati personali prevaleva su quello della protezione, mentre nell’RGPD avviene il contrario, il che si spiegherebbe con il riconoscimento formale del diritto nell’articolo 8 della Carta, che doveva estendersi al nuovo regolamento. Tuttavia, l’articolo 1 dell’RGPD indica chiaramente la volontà di conciliare la protezione dei Dati personali con la loro libera circolazione. Ciò significa, ovviamente, fare in modo che il livello di protezione sia equivalente in tutti gli Stati membri, evitando gli ostacoli derivanti dalla frammentazione normativa, ma altresì vincere la riluttanza dei singoli a condividere o a fornire dati personali, ai fini del loro trattamento, instaurando fiducia nel fatto che essi sono tutelati.

35      Nelle sue osservazioni, punto 53, il governo irlandese afferma quanto segue: «(…) very many claims for compensation under Article 82 GDPR arise in the context of very min or, marginal or speculative non-material damage» (il corsivo è mio). In Germania, parte della dottrina segnala il rischio di abuso delle azioni in giudizio e la necessità di evitare il sorgere di una «datenschutzrechtliche Klageindustrie»: Wybitul, T., Neu, L. e Strauch, M., «Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen», Zeitschrift für Datenschutz, 2018, pagg. 202 e segg., in particolare pag. 206; Paal, B.P., Kritzer, I., „Geltendmachung von DS-GVO- Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, pagg. 2433 e segg.

36      Non si può escludere un effetto «di richiamo» o moltiplicatore, derivante dal successo dell’azione di responsabilità civile in mancanza di danno. Esso comporterebbe un aumento delle probabilità che gli operatori economici debbano affrontare azioni collettive, o una pluralità di azioni individuali (eventualmente più o meno abusive), oltre alla possibile sanzione amministrativa o penale.

37      Le osservazioni delle parti si limitano a suggerirla, ma non la sviluppano. Non viene specificato, ad esempio, se si tratti di una presunzione assoluta o relativa. La prima possibilità è quella più coerente con la questione del giudice del rinvio e pertanto mi limiterò ad essa.

38      V. articolo 7 del regolamento (CE) n. 261/2004 del Parlamento europeo e del Consiglio, dell’11 febbraio 2004, che istituisce regole comuni in materia di compensazione ed assistenza ai passeggeri in caso di negato imbarco, di cancellazione del volo o di ritardo prolungato e che abroga il regolamento (CEE) n. 295/91 (GU 2004, L 46, pag. 1), o articolo 19 del regolamento (UE) n. 1177/2010 del Parlamento europeo e del Consiglio, del 24 novembre 2010, relativo ai diritti dei passeggeri che viaggiano via mare e per vie navigabili interne e che modifica il regolamento (CE) n. 2006/2004 (GU 2010, L 334, pag. 1).

39      Ad esempio, ai paragrafi 3 e 4 dell’articolo 82 dell’RGPD.

40      «[S]e gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui Dati personali che li riguardano».

41      «Una Violazione dei dati personali può (...) provocare (...) perdita del controllo [da parte delle persone fisiche] dei Dati personali che l[e] riguardano».

42      Le conseguenze elencate in tale considerando non sono automatiche. Ai sensi dell’articolo 34 dell’RGPD, il Responsabile del Trattamento deve valutare in ogni caso se sia necessario comunicare la violazione all’interessato.

43      Le conseguenze emotive connesse alla perdita di controllo sui dati, come la paura o l’ansia per ciò che potrebbe loro accadere, sono conseguenze della perdita, ma non coincidono con essa.

44      Alcuni Stati membri avevano introdotto una presunzione di danno in settori prossimi alla protezione dei dati. Così, in Spagna, l’articolo 9, paragrafo 3, della Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (legge organica 1/1982, del 5 maggio 1982, sulla tutela civile del diritto all’onore, all’intimità personale e familiare e all’immagine (BOE n. 115, del 14 maggio 1982, pagg. da 12546 a 12548), ai sensi del quale «si presume sempre che sia dimostrata l’ingerenza illegittima [nei diritti garantiti da tale legge]».

45      Ricordo che, nella controversia in esame, l’illiceità della condotta dipende proprio dalla mancanza di Consenso dell’interessato. Gli argomenti relativi alla collocazione del diritto al risarcimento tra le garanzie del rispetto delle norme dell’RGPD valgono anche in questa sede.

46      Si tratta, tuttavia, solo di una base per un Trattamento lecito e tutte quelle elencate dall’RGPD sono parimenti valide. V. parere 06/2014 del Gruppo di lavoro «articolo 29» per la protezione dei dati sul «Concetto di interesse legittimo del Responsabile del Trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE», adottato il 9 aprile 2014, pag. 10. Tuttavia, il Titolare non può modificare la base del Trattamento dopo averlo iniziato: Comitato europeo per la protezione dei dati, Linee guida 5/2020 sul Consenso ai sensi del regolamento (UE) 2016/679, punti da 121 a 123.

47      Articolo 17, paragrafo 1, dell’RGPD. Ciò non significa che non esista un diritto al risarcimento dei danni eventualmente provocati dal Trattamento effettuato prima della loro cancellazione.

48      Sentenza del 13 maggio 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, punto 4 del dispositivo).

49      Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al Trattamento dei Dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) [COM(2012) 011 final], pag. 2 e considerando 6 del testo proposto. V. altresì punto 2 della comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni «Salvaguardare la privacy in un mondo interconnesso. Un quadro europeo della protezione dei dati per il XXI secolo» [COM(2012) 9 final].

50      Mi sembra che tale silenzio non sia casuale. Al di là delle disquisizioni concettuali sulla titolarità dei dati personali, la questione è se ammettere che il controllo dei propri dati significhi che le persone fisiche godono di diritti di proprietà sulle informazioni che le riguardano (il che probabilmente non sarebbe compatibile con gli interessi dei terzi e della società nel suo complesso). La raccomandazione di riconoscere diritti di proprietà sui Dati personali figura nel parere del Comitato economico e sociale europeo su «Proposta di regolamento del Parlamento europeo e del Consiglio relativa alla governance europea dei dati (Atto sulla governance dei dati)», COM(2020) 767 final, (GU 2021, C 286, pag. 38), al punto 4.18: «Il CESE raccomanda (...) di riconoscere i diritti di proprietà europei sui dati digitali al fine di consentire ai cittadini (lavoratori, consumatori, imprenditori) il controllo e la gestione dell’uso dei propri dati o il divieto del loro utilizzo» (il corsivo è mio). In senso contrario, negando che i dati siano una merce, v. nota 53 in fine.

51      Quella spagnola enuncia che «[l]as personas físicas deben tener el control de sus propios datos personales» (il corsivo è mio); quella inglese indica che «[n]atural persons should have control of their own personal data» (e non il controllo). In altre, come quella portoghese, si legge che «[a]s pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais». Ai sensi dell’articolo 4 dell’RGPD, il controllo sui dati personali ha ad oggetto le informazioni che essi rappresentano. Il controllo sull’uso dei dati avrebbe invece ad oggetto il loro trattamento.

52      In pratica, il Consenso è limitato all’accettazione o al rigetto della proposta di chi intende trattare i dati.

53      Non escludo che il sistema giuridico si evolva nel senso del riconoscimento di diritti di proprietà all’interessato. Tuttavia, dubito che ciò comporterebbe la massimizzazione del controllo individuale: una posizione dell’interessato come Titolare di diritti di proprietà sui Dati personali potrebbe non essere conciliabile con lo sviluppo dell’economia e l’innovazione; la sua compatibilità con la dimensione di diritto fondamentale sarebbe discutibile. V. considerando 24 della direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (GU 2019, L 136, pag. 1): «Oltre a riconoscere appieno che la protezione dei Dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce (...)». Il corsivo è mio.

54      Non sono state accolte formulazioni come quella proposta per l’articolo 19 nella Nota del Presidium – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV 1, dell’11 maggio 2000: «Toute personne a le droit de décider elle‑même de la divulgation et de l’utilisation de ses données personnelles», né quella che figura per la medesima disposizione nella Nota del Presidium – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00, del 4 giugno 2000: «Toute personne a le droit de décider elle‑même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant». A livello nazionale, l’idea dell’autodeterminazione informativa si è diffusa in alcuni Stati membri, come in Germania, in seguito alla decisione del Bundesverfassungsgericht (Corte Costituzionale) del 15 dicembre 1983, 1 BvR 209/83. In Spagna v., ad esempio, sentenza del Tribunal Constitucional (Corte costituzionale) 292/2000, del 30 novembre 2000 (BOE del 4 gennaio 2001). Non sono certo che sia questo il caso dell’Unione, sebbene puntino in tale direzione le conclusioni dell’avvocato generale Szpunar nella causa Orange Romania (C‑61/19, EU:C:2020:158), paragrafo 37: «Il principio cardine su cui si fonda il diritto dell’Unione in materia di protezione dei dati è quello di una decisione di una persona fisica autodeterminata in grado di compiere scelte riguardanti l’uso e il Trattamento dei suoi dati», proprio in riferimento alla dottrina tedesca.

55      Progetto di relazione sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al Trattamento dei Dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (COM(2012) 0011 – C7‑0025/2012 – 2012/0011(COD)), PE501.927v04‑00, del 16 gennaio 2013, emendamento 29.

56      Non sto suggerendo che la violazione della norma debba restare impunita: ciò che sostengo è che un risarcimento non costituisce lo strumento adeguato, se non vi è stato un danno.

57      Escludendo che conferire al singolo il controllo sui propri dati sia, di per sé, una finalità dell’RGPD, non nego che si possa fare riferimento alla perdita di controllo in quanto criterio per riconoscere i danni immateriali, nel senso di prendere in considerazione le reazioni che seguono tale perdita.

58      V. paragrafo 51 delle presenti conclusioni. La libera circolazione dei dati costituisce l’unico obiettivo in relazione ai dati non personali: articolo 1 del regolamento (UE) 2018/1807 del Parlamento europeo e del Consiglio, del 14 novembre 2018, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea (GU 2018, L 303, pag. 59).

59      Comunic