Sent. C. Giustizia UE 25/01/2024, n. C-687/21

1. Gli articoli 5, 24, 32 e 82 del regolamento 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letti congiuntamente, devono essere interpretati nel senso che nell’ambito di un’azione di risarcimento fondata su tale articolo 82, il fatto che dipendenti del titolare del trattamento abbiano consegnato per errore a un terzo non autorizzato un documento contenente dati personali non è sufficiente, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero «adeguate», ai sensi di tali articoli 24 e 32.

2. L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il diritto al risarcimento previsto da tale disposizione, segnatamente in caso di danno immateriale, svolge una funzione compensativa, nel senso che un risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione punitiva.

3. L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che tale articolo non richiede che il livello di gravità della violazione commessa dal titolare del trattamento sia preso in considerazione ai fini del risarcimento di un danno sulla base di detta disposizione.

4. L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che la persona che chiede un risarcimento ai sensi di tale disposizione è tenuta a dimostrare non soltanto la violazione di disposizioni di detto regolamento, ma anche che tale violazione le ha causato un danno materiale o immateriale.

5. L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che nel caso in cui un documento contenente dati personali sia stato consegnato a un terzo non autorizzato di cui si accerta che non è venuto a conoscenza di questi ultimi, un «danno immateriale», ai sensi di tale disposizione, non è costituito dal semplice fatto che l’interessato tema che, a causa di detta comunicazione che ha reso possibile la realizzazione di una copia di detto documento prima della sua restituzione, una diffusione o addirittura un utilizzo abusivo dei propri dati avvenga in futuro.