Giu la mera violazione delle disposizioni del GDPR non è sufficiente per conferire un diritto al risarcimento.
CORTE DI GIUSTIZIA UE - SEZ. III - SENTENZA 04 maggio 2023 N. C-300/21
Massima
1) L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento.
2) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.
3) L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che: ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.

Casus Decisus
1 La presente domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), in combinato disposto con i principi di equivalenza e di effettività. 2 Tale domanda è stata presentata nell’ambito di una controversia tra UI e la Österreichische Post AG, in merito al ricorso proposto dal primo, diretto ad ottenere il risarcimento del danno immateriale che egli afferma di aver subito a causa del trattamento da parte di tale società di dati relativi alle affinità politiche di persone residenti in Austria, in particolare egli stesso, pur non avendo acconsentito a tale trattamento.

Testo della sentenza
CORTE DI GIUSTIZIA UE - SEZ. III - SENTENZA 04 maggio 2023 N. C-300/21

Contesto normativo

3 I considerando 10, 75, 85 e 146 del RGPD sono del seguente tenore: «(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri (...) (...) (75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche (…). (...)  (85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...) (...) (146) Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno (...)».

4 L’articolo 1 del RGPD, intitolato «Oggetto e finalità», ai suoi paragrafi 1 e 2, così dispone: «1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. 2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

5 Ai sensi dell’articolo 4, punto 1, del medesimo regolamento, intitolato «Definizioni»: «Ai fini del presente regolamento s’intende per: 1) "dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); (...)».

6 Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», contiene gli articoli da 77 a 84 del regolamento in parola.

7 L’articolo 77 di detto regolamento riguarda il «[d]iritto di proporre reclamo all’autorità di controllo», mentre il suo articolo 78 è relativo al «[d]iritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo».

8 L’articolo 82 del RGPD, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi 1 e 2 così recita: «1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (...)».

9 L’articolo 83 di tale regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», al paragrafo 1 prevede quanto segue: «Ogni autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive».

10 L’articolo 84 del regolamento di cui trattasi, intitolato «Sanzioni», al paragrafo 1, così dispone: «Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive». Procedimento principale e questioni pregiudiziali

11 A partire dal 2017, la Österreichische Post, società di diritto austriaco che pratica la vendita di indirizzi, ha raccolto informazioni sulle affinità politiche della popolazione austriaca. Con l’ausilio di un algoritmo che tiene conto di diversi criteri sociali e demografici, essa ha definito «indirizzi di gruppi destinatari». I dati così generati sono stati venduti a diverse organizzazioni per consentire loro di effettuare invii pubblicitari mirati.

12 Nell’ambito della sua attività, la Österreichische Post ha trattato dati che, per estrapolazione statistica, l’hanno indotta a dedurre un’elevata affinità del ricorrente nel procedimento principale con un determinato partito politico austriaco. Tali elementi non sono stati trasmessi a terzi, ma il ricorrente nel procedimento principale, che non aveva acconsentito al trattamento dei suoi dati personali, si è sentito offenso dal fatto che gli era stata attribuita un’affinità con il partito in questione. La circostanza che, all’interno di tale società, siano stati conservati dati relativi alle sue presunte opinioni politiche avrebbe suscitato in lui una grave contrarietà, una perdita di fiducia, nonché un sentimento di umiliazione. Dalla decisione di rinvio risulta che non è stato accertato alcun danno diverso da tali afflizioni di carattere temporaneo e di ordine emotivo.

13 In tale contesto, il ricorrente nel procedimento principale ha proposto, dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale del Land in materia civile di Vienna, Austria), un ricorso diretto, da un lato, ad ingiungere alla Österreichische Post di cessare il trattamento dei dati personali in questione e, dall’altro, a che tale società fosse condannata a versargli un importo di EUR 1 000 a titolo di risarcimento del danno immateriale che egli afferma di aver subito. Con decisione del 14 luglio 2020, tale giudice ha accolto la domanda inibitoria, ma ha respinto la domanda di risarcimento.

14 Adito in appello, l’Oberlandesgericht Wien (Tribunale superiore del Land, Vienna, Austria) ha confermato, con sentenza del 9 dicembre 2020, la decisione emessa in primo grado. Per quanto riguarda la domanda di risarcimento danni, tale giudice ha fatto riferimento ai considerando 75, 85 e 146 del RGPD e ha ritenuto che le disposizioni di diritto interno degli Stati membri in materia di responsabilità civile completino le disposizioni di tale regolamento, nella misura in cui quest’ultimo non contiene norme speciali. A tal riguardo, esso ha rilevato che, in forza del diritto austriaco, una violazione delle norme di protezione dei dati personali non comporterebbe automaticamente un danno immateriale e darebbe diritto al risarcimento solo qualora tale danno raggiunga una certa «soglia di gravità». Orbene, ciò non si verificherebbe nel caso dei sentimenti negativi invocati dal ricorrente nel procedimento principale.

15 Adito dalle due parti nel procedimento principale, l’Oberster Gerichtshof (Corte suprema, Austria), con sentenza interlocutoria del 15 aprile 2021, non ha accolto il ricorso per cassazione («Revision») che la Österreichische Post ha proposto avverso l’obbligo di cessazione che le era stato imposto. Pertanto, tale giudice resta investito unicamente del ricorso per cassazione («Revision») che il ricorrente nel procedimento principale ha proposto avverso il rigetto oppostogli alla sua domanda di risarcimento.

16 A sostegno della sua domanda di pronuncia pregiudiziale, il giudice del rinvio indica che dal considerando 146 del RGPD risulta che l’articolo 82 di tale regolamento ha istituito un regime proprio di responsabilità in materia di protezione dei dati personali, che ha sostituito i regimi in vigore negli Stati membri. Pertanto, le nozioni contenute in tale articolo 82, in particolare la nozione di «danno» di cui al suo paragrafo 1, dovrebbero essere interpretate in modo autonomo e le condizioni per il sorgere di detta responsabilità dovrebbero essere definite alla luce non già delle norme di diritto nazionale, bensì dei requisiti del diritto dell’Unione.

17 Più precisamente, in primo luogo, per quanto riguarda il diritto a un risarcimento per una violazione della protezione dei dati personali, tale giudice propende a ritenere, alla luce della sesta frase del considerando 146 del RGPD, che un risarcimento fondato sull’articolo 82 di tale regolamento presupponga che un danno materiale o immateriale sia stato effettivamente patito dall’interessato. La concessione di un risarcimento del genere sarebbe subordinata alla prova di un danno concreto distinto da detta violazione, la quale non dimostrerebbe di per sé l’esistenza di un danno immateriale. Il considerando 75 di detto regolamento evocherebbe la semplice eventualità che un danno immateriale derivi dalle violazioni ivi elencate e, sebbene il suo considerando 85 menzioni certamente il rischio di una «perdita di controllo» dei dati di cui trattasi, tale rischio sarebbe tuttavia incerto nel caso di specie, poiché questi ultimi non sarebbero stati trasmessi a terzi.

18 In secondo luogo, per quanto riguarda la valutazione del risarcimento che può essere concesso ai sensi dell’articolo 82 del RGPD, detto giudice ritiene che il principio di effettività del diritto dell’Unione debba avere un’incidenza limitata, in quanto tale regolamento prevede già pesanti sanzioni in caso di violazione del medesimo e non è quindi necessario concedere altresì un risarcimento elevato per garantire il suo effetto utile. A suo avviso, il risarcimento del danno dovuto a tale titolo deve essere proporzionato, effettivo e dissuasivo, affinché i danni riconosciuti possano svolgere una funzione compensativa, senza avere però carattere punitivo, che sarebbe estraneo al diritto dell’Unione.

19 In terzo luogo, il giudice del rinvio mette in dubbio la tesi, sostenuta dalla Österreichische Post, secondo cui la concessione di un siffatto risarcimento sarebbe subordinata alla condizione che la violazione della protezione dei dati personali abbia causato un danno particolarmente grave. A tal riguardo, esso sottolinea che il considerando 146 del RGPD raccomanda un’interpretazione estensiva della nozione di «danno», ai sensi di tale regolamento. Esso ritiene che un danno immateriale debba essere risarcito, in forza dell’articolo 82 di quest’ultimo, se è tangibile, quand’anche fosse lieve. Per contro, un danno del genere non dovrebbe essere risarcito qualora risultasse del tutto trascurabile, come avverrebbe in presenza dei semplici sentimenti sgradevoli che accompagnano abitualmente una siffatta violazione.

20 In tale contesto, l’Oberster Gerichtshof (Corte suprema) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali: «1) Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 del RGPD (...) occorra, oltre a una violazione delle disposizioni del RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni del RGPD per ottenere un risarcimento. 2) Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza. 3) Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».

Sulle questioni pregiudiziali Sulla ricevibilità delle questioni prima e seconda

21 Il ricorrente nel procedimento principale afferma, in sostanza, che la prima questione sollevata è irricevibile, in quanto ipotetica. Egli fa valere, anzitutto, che la sua azione di risarcimento non è fondata su una «mera» violazione di una disposizione del RGPD. La decisione di rinvio menzionerebbe poi l’esistenza di un consenso sul fatto che un risarcimento è dovuto solo qualora una siffatta violazione sia accompagnata da un danno effettivamente subito. Infine, a suo avviso, tra le parti nel procedimento principale risulta essere controversa solo la questione se il danno debba superare una determinata «soglia di gravità». Orbene, ove la Corte rispondesse in senso negativo alla terza questione sollevata a tal riguardo – come egli stesso propone – la prima questione sarebbe priva di utilità per dirimere detta controversia.

22 Il ricorrente nel procedimento principale sostiene altresì che la seconda questione sollevata è irricevibile, in quanto essa è al contempo molto ampia per quanto riguarda il suo contenuto e troppo imprecisa per quanto riguarda la sua formulazione, dato che il giudice del rinvio si riferisce a «prescrizioni di diritto dell’Unione», senza indicare concretamente una di esse.

23 A tal proposito, si deve ricordare che, secondo una costante giurisprudenza, spetta esclusivamente al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolari circostanze di ciascuna causa, sia la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, sia la rilevanza delle questioni sottoposte alla Corte, le quali godono di una presunzione di rilevanza. Pertanto, quando la questione sollevata riguarda l’interpretazione o la validità di una norma di diritto dell’Unione, la Corte, in linea di principio, è tenuta a pronunciarsi, a meno che non sia evidente che l’interpretazione richiesta sia priva di ogni legame con la realtà o con l’oggetto della causa principale, se il problema è ipotetico o se la Corte non dispone degli elementi di fatto e di diritto necessari per dare una risposta utile a tale questione (v., in tal senso, sentenze del 15 dicembre 1995, Bosman, C-415/93, EU:C:1995:463, punto 61; del 7 settembre 1999, Beck e Bergdorf, C- 355/97, EU:C:1999:391, punto 22, nonché del 5 maggio 2022, Zagrebacka banka, C-567/20, EU:C:2022:352, punto 43 e giurisprudenza ivi citata).

24 Nel presente procedimento, la prima questione verte sulle condizioni richieste per l’esercizio del diritto al risarcimento di cui all’articolo 82 del RGPD. Inoltre, non risulta in modo evidente che l’interpretazione richiesta sia priva di ogni legame con la controversia di cui al procedimento principale o che il problema sollevato sia ipotetico. Infatti, da un lato, tale controversia riguarda una domanda di risarcimento rientrante nel regime di protezione dei dati personali istituito dal RGPD. D’altro lato, la suddetta questione mira a stabilire se, ai fini dell’applicazione delle norme in materia di responsabilità sancite dal regolamento in parola, sia necessario che l’interessato abbia subito un danno che si distingue dalla violazione di quest’ultimo.

25 Per quanto riguarda la seconda questione, è già stato dichiarato che la mera circostanza che la Corte sia chiamata a pronunciarsi in termini astratti e generali non può comportare l’irricevibilità di una domanda di pronuncia pregiudiziale (sentenza del 15 novembre 2007, International Mail Spain, C-162/06, EU:C:2007:681, punto 24). Una questione posta in tali termini può essere considerata ipotetica, e dunque irricevibile, se la decisione di rinvio non contiene un minimo di spiegazioni che consentano di stabilire un nesso tra detta questione e la controversia di cui al procedimento principale (v., in tal senso, sentenza dell’8 luglio 2021, Sanresa, C-295/20, EU:C:2021:556, punti 69 e 70).

26 Orbene, ciò non si verifica nel caso di specie, poiché il giudice del rinvio spiega che la sua seconda questione si fonda su un dubbio relativo alla questione se, nell’ambito della valutazione del risarcimento del danno eventualmente dovuto dalla Österreichische Post per violazione di disposizioni del RGPD, sia necessario garantire il rispetto non solo dei principi di equivalenza e di effettività, menzionati in tale questione, ma anche di eventuali altri requisiti del diritto dell’Unione. In tale contesto, la mancanza di indicazioni più precise di quelle fornite da tale giudice in merito a detti principi non priva la Corte della sua capacità a fornire un’interpretazione utile delle norme pertinenti del diritto dell’Unione.

27 Pertanto, la prima e la seconda questione sollevate sono ricevibili. Nel merito Sulla prima questione

28 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che la mera violazione delle disposizioni di tale regolamento sia sufficiente per conferire un diritto al risarcimento.

29 Al riguardo, si deve ricordare che, per giurisprudenza costante, i termini di una disposizione del diritto dell’Unione, la quale non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme [sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) C-439/19, EU:C:2021:504, punto 81, e del 10 febbraio 2022, ShareWood Switzerland C-595/20, EU:C:2022:86, punto 21], da effettuarsi tenendo conto dei termini di tale disposizione e del contesto in cui si inserisce (v., in tal senso, sentenze del 15 aprile 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, punto 48, nonché del 10 giugno 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, punto 25).

30 Orbene, il RGPD non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui all’articolo 82 di tale regolamento, in particolare per quanto riguarda le nozioni di «danno materiale o immateriale» e di «risarcimento del danno». Ne consegue che tali termini devono essere considerati, ai fini dell’applicazione di detto regolamento, come nozioni autonome del diritto dell’Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri.

31 In primo luogo, per quanto riguarda il testo dell’articolo 82 del RGPD, occorre ricordare che il paragrafo 1 di tale articolo enuncia che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

32 Da un lato, dalla formulazione di tale disposizione emerge chiaramente che l’esistenza di un «danno» che sia stato «subito» costituisce una delle condizioni del diritto al risarcimento previsto da detta disposizione, così come l’esistenza di una violazione del RGPD e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative.

33 Pertanto, non si può ritenere che qualsiasi «violazione» delle disposizioni del RGPD conferisca, di per sé, detto diritto al risarcimento a favore dell’interessato, come definito all’articolo 4, punto 1, del regolamento in esame. Un’interpretazione del genere sarebbe in contrasto con il tenore letterale dell’articolo 82, paragrafo 1, di detto regolamento.

34 D’altro lato, occorre sottolineare che la menzione distinta di un «danno» e di una «violazione», all’articolo 82, paragrafo 1, del RGPD, sarebbe superflua se il legislatore dell’Unione avesse ritenuto che una violazione delle disposizioni del regolamento in parola possa essere sufficiente, da sola e in ogni caso, a dare fondamento a un diritto al risarcimento.

35 In secondo luogo, l’interpretazione letterale che precede è corroborata dal contesto in cui si inserisce tale disposizione.

36 Infatti, l’articolo 82, paragrafo 2, del RGPD, che precisa il regime di responsabilità il cui principio è stabilito al paragrafo 1 di tale articolo, riprende le tre condizioni necessarie per far sorgere il diritto al risarcimento, ossia un trattamento di dati personali effettuato in violazione delle disposizioni del RGPD, un danno o un danno subito dall’interessato, e un nesso di causalità tra tale trattamento illecito e tale danno.

37 Inoltre, le precisazioni fornite dai considerando 75, 85 e 146 del RGPD avvalorano siffatta interpretazione. Da un lato, tale considerando 146, che verte specificamente sul diritto al risarcimento previsto all’articolo 82, paragrafo 1, di tale regolamento, si riferisce, nella sua prima frase, a «[c]hiunque subisca un danno (…) causato da una violazione [di detto] regolamento». D’altro lato, i suddetti considerando 75 e 85 menzionano, rispettivamente, che «[i] rischi (...) possono derivare da trattamenti di dati personali suscettibili di cagionare un danno» e che una «violazione dei dati personali può (...) provocare danni». Ne deriva, in primo luogo, che la realizzazione di un danno nell’ambito di un siffatto trattamento è solo potenziale, in secondo luogo, che una violazione del RGPD non comporta necessariamente un danno e, in terzo luogo, che deve esistere un nesso di causalità tra la violazione di cui trattasi e il danno subito dall’interessato per fondare un diritto al risarcimento.

38 L’interpretazione letterale dell’articolo 82, paragrafo 1, del RGPD è altresì avvalorata da un confronto con altre disposizioni, anch’esse contenute nel capo VIII di tale regolamento, che disciplina, in particolare, i diversi mezzi di ricorso che consentono di tutelare i diritti dell’interessato in caso di trattamento dei suoi dati personali asseritamente contrario alle disposizioni di detto regolamento.

39 A tal riguardo, occorre rilevare che gli articoli 77 e 78 del RGPD, contenuti in detto capo, prevedono mezzi di ricorso presso o nei confronti di un’autorità di controllo, in caso di presunta violazione del regolamento in parola, senza menzionare che l’interessato deve aver subito un «danno» per poter proporre tali ricorsi, contrariamente ai termini utilizzati al suddetto articolo 82 per quanto riguarda le azioni di risarcimento. Tale differenza di formulazione è rivelatrice dell’importanza del criterio del «danno» e quindi della sua singolarità rispetto al criterio della «violazione», ai fini delle domande di risarcimento fondate sul RGPD.

40 Analogamente, gli articoli 83 e 84 del RGPD, che consentono di infliggere ammende amministrative nonché altre sanzioni, hanno essenzialmente una finalità punitiva e non sono subordinati all’esistenza di un danno individuale. L’articolazione tra le norme sancite in detto articolo 82 e quelle sancite nei suddetti articoli 83 e 84 dimostra che esiste una differenza tra queste due categorie di disposizioni, ma anche una complementarità, in termini di incentivo a rispettare il RGPD, fermo restando che il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti.

41 Infine, occorre precisare che il considerando 146, quarta frase, del RGPD indica che le norme stabilite da quest’ultimo non pregiudicano le azioni per risarcimento di danni derivanti da una violazione di altre norme del diritto dell’Unione o degli Stati membri.

42 Alla luce di tutti le considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento.

Sulla terza questione

43 Con la sua terza questione, che occorre esaminare prima della seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.

44 A tal riguardo, giova ricordare che, come sottolineato al punto 30 della presente sentenza, la nozione di «danno» e, più specificamente, nel caso di specie, la nozione di «danno immateriale», ai sensi dell’articolo 82 del RGPD, devono ricevere, tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri, una definizione autonoma e uniforme, propria del diritto dell’Unione.

45 In primo luogo, il RGPD non definisce la nozione di «danno», ai fini dell’applicazione di tale strumento. L’articolo 82 di quest’ultimo si limita ad enunciare in modo esplicito che può dare diritto a un risarcimento non solo un «danno materiale», ma anche un «danno immateriale», senza che venga menzionata una qualsivoglia soglia di gravità.

46 In secondo luogo, il contesto in cui si inserisce tale disposizione tende altresì ad indicare che il diritto al risarcimento non è subordinato al fatto che il danno di cui trattasi raggiunga una certa soglia di gravità. Infatti, il considerando 146 del RGPD, alla terza frase, enuncia che «il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del [suddetto regolamento]». Orbene, tale concezione ampia della nozione di «danno», privilegiata dal legislatore dell’Unione, sarebbe contraddetta se detta nozione fosse circoscritta ai danni di una certa gravità.

47 In terzo e ultimo luogo, una siffatta interpretazione è avvalorata dalle finalità perseguite dal RGPD. A tal riguardo, va rammentato che il considerando 146, terza frase, di tale regolamento invita espressamente a interpretare il concetto di «danno», ai sensi di quest’ultimo, in modo tale da rispecchiare «pienamente gli obiettivi del [suddetto] regolamento]».

48 Emerge, in particolare, dal considerando 10 del RGPD che le disposizioni di quest’ultimo, mirano segnatamente ad assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione e, a tal fine, ad assicurare un’applicazione coerente ed omogenea delle norme a protezione delle libertà e dei diritti fondamentali di tali persone con riguardo al trattamento dei dati personali in tutta l’Unione [v., in tal senso, sentenze del 16 luglio 2020, Facebook Ireland e Schrems, C-311/18, EU:C:2020:559, punto 101, nonché del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C-154/21, EU:C:2023:3, punto 44 e giurisprudenza ivi citata].

49 Orbene, subordinare il risarcimento di un danno immateriale a una certa soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal RGPD, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi.

50 Rimane nondimeno il fatto che l’interpretazione così accolta non può essere intesa nel senso che implica che una persona interessata da una violazione del RGPD, che abbia subito conseguenze negative, sia dispensata dal dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell’articolo 82 di tale regolamento.

51 Alla luce dei motivi che precedono, occorre rispondere alla terza questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che esso osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.

Sulla seconda questione

52 Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82 del RGPD debba essere interpretato nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito in tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, non solo nel rispetto dei principi di equivalenza e di effettività del diritto dell’Unione.

53 A tal riguardo, occorre ricordare che, conformemente a una giurisprudenza costante, in mancanza di norme dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro stabilire le modalità procedurali dei ricorsi giurisdizionali destinati a garantire la salvaguardia dei diritti dei singoli, in forza del principio di autonomia processuale, a condizione tuttavia che esse non siano meno favorevoli rispetto a quelle relative a situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione (principio di effettività) (v., in tal senso, sentenze del 13 dicembre 2017, El Hassani, C-403/16, EU:C:2017:960, punto 26, e del 15 settembre 2022, Uniqa Versicherungen, C-18/21, EU:C:2022:682, punto 36).

54 Nel caso di specie, occorre rilevare che il RGPD non contiene disposizioni intese a definire le norme relative alla valutazione del risarcimento danni che un interessato, ai sensi dell’articolo 4, punto 1, del regolamento di cui trattasi, può pretendere, in forza dell’articolo 82 di quest’ultimo, qualora una violazione di detto regolamento gli abbia causato un danno. Pertanto, in mancanza di norme del diritto dell’Unione in materia, spetta all’ordinamento giuridico di ciascuno Stato membro stabilire le modalità delle azioni intese a garantire la tutela dei diritti spettanti ai singoli in forza di detto articolo 82 e, in particolare, i criteri che consentono di determinare l’entità del risarcimento dovuto in tale ambito, fatto salvo il rispetto dei suddetti principi di equivalenza e di effettività (v., per analogia, sentenza del 13 luglio 2006, Manfredi e a., da C-295/04 a C- 298/04, EU:C:2006:461, punti 92 e 98).

55 Per quanto riguarda il principio di equivalenza, nel presente procedimento, la Corte non dispone di alcun elemento tale da destare un dubbio sulla conformità a tale principio di una normativa nazionale applicabile alla controversia nel procedimento principale e, pertanto, tale da indicare che detto principio potrebbe avere una concreta incidenza nell’ambito di tale controversia.

56 Per quanto riguarda il principio di effettività, spetta al giudice del rinvio stabilire se le modalità previste nel diritto austriaco, per la determinazione giudiziale del risarcimento dovuto in base al diritto al risarcimento sancito dall’articolo 82 del RGPD, non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione, e più specificamente da tale regolamento.

57 In tale contesto, occorre sottolineare che il considerando 146, sesta frase, del RGPD indica che tale strumento mira a garantire un «pieno ed effettivo risarcimento per il danno subito».

58 A tal riguardo, tenuto conto della funzione compensativa del diritto al risarcimento previsto all’articolo 82 del RGPD, come sottolineato, in sostanza, dall’avvocato generale ai paragrafi 39, 49 e 52 delle sue conclusioni, un risarcimento pecuniario fondato su tale disposizione deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo.

59 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla seconda questione dichiarando che l’articolo 82 del RGPD deve essere interpretato nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.

Sulle spese

60 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Terza Sezione) dichiara:

1) L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento.

2) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.

3) L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che: ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione