La Corte di Giustizia UE è stata chiamata a fornire chiarimenti nella causa C-590/22 in merito all’interpretazione dell’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). In particolare in relazione al diritto dei ricorrenti nel procedimento principale di ottenere il risarcimento dei danni, ai sensi dell’articolo 82, paragrafo 1, del RGPD, a titolo di riparazione per le sofferenze che essi affermano di aver patito in ragione del fatto chela loro dichiarazione dei redditi che conteneva dati personali è stata divulgata a terzi senza il loro consenso a seguito di un errore commesso dalla PS. IL FATTO I ricorrenti nel procedimento principale sono clienti della PS, uno studio di consulenza fiscale. Essi hanno informato tale studio di consulenza del loro cambiamento di indirizzo postale, che è stato registrato nel sistema informatico per il trattamento dei dati della PS. Il nuovo indirizzo dei ricorrenti nel procedimento principale è stato successivamente utilizzato dalla PS per l’invio di diverse lettere. Nel mese di luglio 2020 i ricorrenti sono stati informati del fatto che tale dichiarazione dei redditi era effettivamente stata loro inviata per posta il 29 settembre 2020, senza precisare l’indirizzo al quale detta posta era stata spedita. I nuovi abitanti presso il loro precedente indirizzo li hanno informati del fatto che era pervenuta a tale indirizzo una busta indirizzata a loro nome e che l’avevano aperta per errore. Uno di tali nuovi abitanti ha indicato che, dopo aver constatato che la posta di cui trattasi non gli era indirizzata, aveva ricollocato nella busta i documenti che vi aveva trovato. Egli ha quindi consegnato quest’ultima a parenti residenti in prossimità del vecchio indirizzo dei ricorrenti nel procedimento principale affinché questi ultimi potessero recuperarla. Quando i ricorrenti nel procedimento principale hanno recuperato la busta di cui trattasi, hanno constatato che vi figuravano solo una copia della dichiarazione dei redditi nonché una lettera di accompagnamento. Essi presumono, tuttavia, che tale busta contenesse anche la versione originale di detta dichiarazione dei redditi, che comprendeva dati personali tra i quali figuravano i nomi e le date di nascita loro e dei loro figli, i loro codici di identificazione fiscale, le loro coordinate bancarie, o ancora indicazioni relative alla loro appartenenza a una comunità religiosa, allo stato di persona disabile di un membro della loro famiglia, alle loro professioni e ai loro luoghi di lavoro, o a diverse spese da loro effettuate. Accertato che la PS aveva utilizzato dati provenienti da una banca dati nella quale figurava ancora il vecchio indirizzo dei ricorrenti nel procedimento principale, i ricorrenti hanno presentato un un ricorso volto ad ottenere, sulla base dell’articolo 82, paragrafo 1, del RGPD, il risarcimento del danno immateriale che essi affermano di aver subito a causa della divulgazione dei loro dati personali a terzi e che valutano in EUR 15 000. Il giudice del rinvio ha chiesto alla Corte se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che una violazione di tale regolamento è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione, o se l’interessato debba altresì dimostrare l’esistenza di un danno, che raggiunga un certo grado di gravità, causato da tale violazione. LA DECISIONE DELLA CORTE DI GIUSTIZIA UE La Corte di Giustizia UE, dopo aver richiamato la normativa, nella sua sentenza del 20 giugno 2024 ha dichiarato che l’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che: - una violazione di tale regolamento non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità; - il timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato. - per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 di tale regolamento e, dall’altro, non si deve conferire a tale diritto al risarcimento una funzione dissuasiva; - per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento.