La decisione del 11 aprile 2024 della Corte di Giustizia dell’Unione Europea sul caso C-741/21 in materia di privacy ha chiarito l’interpretazione dell’articolo 82, paragrafo 1, del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati o GDPR). L’articolo 82, paragrafo 1 del Regolamento (UE) 2016/679 prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. L’individuazione del danno rilevante La Corte ha stabilito che una violazione delle disposizioni del regolamento che conferiscono diritti all’individuo non è sufficiente di per sé a costituire un “danno immateriale”, indipendentemente dalla gravità del danno subito dall’individuo. L’individuazione delle responsabilità Inoltre, l’articolo 82 del Regolamento 2016/679 stabilisce che non può essere sufficiente per il titolare del trattamento dei dati essere esonerato dalla sua responsabilità, secondo il paragrafo 3 dello stesso articolo, sostenendo che il danno è stato causato dall’errore di una persona che agisce sotto la sua autorità, come previsto dall’articolo 29 del regolamento. L’articolo 82, paragrafi 2 e 3 del Regolamento (UE) 2016/679 prevedono che: - Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. - Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. - Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile. L’articolo 29 del Regolamento (UE) 2016/679 prevede che il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri. I criteri di determinazione del danno Infine, l’articolo 82, paragrafo 1, del Regolamento 2016/679 stabilisce che, per determinare l’importo dovuto come risarcimento per un danno basato su tale disposizione, da un lato, non si devono applicare i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 del regolamento (Condizioni generali per infliggere sanzioni amministrative pecuniarie); dall’altro, non si deve tener conto del fatto che più violazioni del regolamento riconducibili alla stessa operazione di trattamento riguardano la persona che richiede il risarcimento. L’articolo 82, paragrafo 1 del Regolamento (UE) 2016/679 prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Gli argomenti esposti dalla Corte di Giustizia Ue per motivare la decisione, forniscono una guida importante per la comprensione e l’applicazione del Regolamento (UE) 2016/679.