Per la Corte UE il titolare del trattamento non può discolparsi sostenendo che il danno è stato causato dall’errore di una persona che agisce sotto la sua autorità
IL CASO
Un avvocato, interessato solo a ricevere una newsletter, si era lamentato di telefonate ed e-mail commerciali ricevute anche dopo la revoca dei consensi a comunicazioni di marketing. Il legale iniziava quindi una causa per ottenere il risarcimento dei danni, invocando l’articolo 82 del Regolamento Ue sulla privacy n. 2016/679 (Gdpr).
LA CORTE UE
Nell’affrontare la questione sottoposta al suo vaglio, la Corte di Giustizia Ue nella sentenza 11 aprile 2024 nella causa C‑741/21, ha statuito che è il datore di lavoro a dovere risarcire i danni “privacy” causati da un errore commesso dal proprio dipendente anche se è quest’ultimo ad avere violato le (corrette) istruzioni ricevute; tale giustificazione non è di per sè sufficiente ad escludere la responsabilità del datore di lavoro.
La Corte di Giustizia Europea ha, infatti, ha statuito che:
“L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.
L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 di tale regolamento e, dall’altro, non si deve tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento”.
Per un approfondimento cfr. www.dejalex.com in “LA CORTE DI GIUSTIZIA SI PRONUNCIA SUL DIRITTO AL RISARCIMENTO DEL DANNO CAUSATO DA UN TRATTAMENTO DI DATI EFFETTUATO IN VIOLAZIONE DEL GDPR“