Sent. C. Giustizia UE 20/06/2024, n. C-590/22

1) L’articolo 82, paragrafo 1, del regolamento 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che una violazione di tale regolamento non è sufficiente, di per sé, a fondare un diritto al risarcimento ai sensi di tale disposizione. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità.

2) L’articolo 82, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che il timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato.

3) L’articolo 82, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 di tale regolamento e, dall’altro, non si deve conferire a tale diritto al risarcimento una funzione dissuasiva.

4) L’articolo 82, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, non occorre tenere conto di violazioni simultanee di disposizioni nazionali relative alla protezione dei dati personali, ma che non hanno come oggetto quello di precisare le norme di tale regolamento.