JU e SO hanno aperto depositi titoli in un’applicazione di trading gestita dalla Scalable Capital. Al fine di verificare la loro identità, JU e SO hanno registrato dati personali nell’applicazione, fra i quali nome, data di nascita, recapito postale e di posta elettronica, nonché una copia digitale delle loro carte d’identità (4). È pacifico che soggetti ignoti, autori del reato, hanno rubato tali dati.
L’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera) ritiene che la sensibilità dei dati rubati non sia affatto irrilevante e che JU e SO abbiano diritto a un risarcimento ai sensi dell’articolo 82 del RGPD. Ritenendo che l’importo del risarcimento da accordare a JU e SO dipenda dall’interpretazione dell’articolo 82 del RGPD, esso ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 82 del [RGPD] debba essere interpretato nel senso che il diritto al risarcimento del danno, anche nell’ambito della quantificazione della sua entità, non ha carattere sanzionatorio e non ha, in particolare, una funzione dissuasiva generale o speciale, bensì solo una funzione indennitaria e, se del caso, satisfattiva.
2.a) Se debba ritenersi, ai fini della quantificazione del diritto al risarcimento del danno immateriale, che il diritto al risarcimento abbia anche una funzione satisfattiva individuale – intesa, nel caso in esame, come la persistenza, nella sfera privata della persona lesa, dell’interesse a vedere perseguita la condotta che ha cagionato il danno – oppure se tale diritto abbia una mera funzione indennitaria – intesa, nel caso in esame, come la funzione di compensare i pregiudizi subiti.
2.b.1) Qualora si ammetta che il diritto al risarcimento del danno immateriale abbia una funzione tanto indennitaria quanto satisfattiva, se ai fini della sua quantificazione debba ritenersi che la funzione indennitaria abbia, rispetto alla funzione satisfattiva, una priorità strutturale o almeno derivante dal rapporto tra regola ed eccezione. Se ciò implichi che la funzione satisfattiva sia ipotizzabile solo in caso di lesioni caratterizzate da dolo o colpa grave.
2.b.2) Ove il diritto al risarcimento del danno immateriale non abbia una funzione satisfattiva: se nella sua quantificazione solo le violazioni dei dati commesse con dolo o colpa grave rivestano un’importanza supplementare nella valutazione dei fattori che hanno contribuito alla causazione dell’evento dannoso.
3) Se, ai fini della quantificazione del risarcimento del danno immateriale, occorra ammettere l’esistenza di un rapporto di priorità strutturale o almeno di regola ed eccezione, nel quale il pregiudizio risultante da una violazione dei dati ha un’importanza minore rispetto al dolore e al pregiudizio correlati ad una lesione personale.
4) Se il giudice nazionale, in caso di riconoscimento della sussistenza di un danno, in considerazione della non gravità dello stesso, abbia la facoltà di accordare un risarcimento di entità sostanzialmente modica che possa essere pertanto, in base alle circostanze, considerato meramente simbolico dalla parte lesa o in generale.
5) Se, ai fini della valutazione delle conseguenze del risarcimento del danno immateriale, debba ritenersi che il furto di identità di cui al considerando 75 del [RGPD] si verifichi solo nel caso in cui l’autore del reato abbia effettivamente assunto l’identità dell’interessato, sostituendosi a quest’ultimo in qualsiasi modo, oppure se un simile furto di identità si verifichi già per effetto della disponibilità medio tempore, da parte degli autori del reato, di dati che rendono identificabile l’interessato».
Suggerisco alla Corte di rispondere alla questione pregiudiziale proposta dall’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera, Germania) nei seguenti termini:
l’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che il furto, da parte di un autore del reato ignoto, di dati personali sensibili di un interessato può far sorgere il diritto al risarcimento del danno immateriale qualora sia fornita la prova di una violazione del regolamento generale sulla protezione dei dati, di un danno concretamente subito e di un nesso di causalità tra il danno e tale violazione. Ai fini della concessione del risarcimento non è necessario che l’autore del reato abbia assunto l’identità dell’interessato, e il possesso di dati identificativi dell’interessato non costituisce, di per sé, un furto d’identità.