Corte di Giustizia dell’Unione Europea, sentenza del 4 maggio 2023, nella causa C-300/21

A partire dal 2017, la Österreichische Post, società di diritto austriaco che pratica la vendita di indirizzi, ha raccolto informazioni sulle affinità politiche della popolazione austriaca. Con l’ausilio di un algoritmo che tiene conto di diversi criteri sociali e demografici, essa ha definito «indirizzi di gruppi destinatari». I dati così generati sono stati venduti a diverse organizzazioni per consentire loro di effettuare invii pubblicitari mirati.

12      Nell’ambito della sua attività, la Österreichische Post ha trattato dati che, per estrapolazione statistica, l’hanno indotta a dedurre un’elevata affinità del ricorrente nel procedimento principale con un determinato partito politico austriaco. Tali elementi non sono stati trasmessi a terzi, ma il ricorrente nel procedimento principale, che non aveva acconsentito al trattamento dei suoi dati personali, si è sentito offenso dal fatto che gli era stata attribuita un’affinità con il partito in questione. La circostanza che, all’interno di tale società, siano stati conservati dati relativi alle sue presunte opinioni politiche avrebbe suscitato in lui una grave contrarietà, una perdita di fiducia, nonché un sentimento di umiliazione. Dalla decisione di rinvio risulta che non è stato accertato alcun danno diverso da tali afflizioni di carattere temporaneo e di ordine emotivo.

13      In tale contesto, il ricorrente nel procedimento principale ha proposto, dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale del Land in materia civile di Vienna, Austria), un ricorso diretto, da un lato, ad ingiungere alla Österreichische Post di cessare il trattamento dei dati personali in questione e, dall’altro, a che tale società fosse condannata a versargli un importo di EUR 1 000 a titolo di risarcimento del danno immateriale che egli afferma di aver subito. Con decisione del 14 luglio 2020, tale giudice ha accolto la domanda inibitoria, ma ha respinto la domanda di risarcimento.

Per questi motivi, la Corte (Terza Sezione) dichiara:

1)      L’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento.

2)      L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che:

esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.

3)      L’articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che:

ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.