In data 4 settembre 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C‑655/23, IP contro Quirin Privatbank AG, sull’interpretazione degli articoli 17, 18, 79, 82 e 84 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra IP e la Quirin Privatbank AG (“Quirin”) in merito alla domanda volta ad ottenere, da un lato, un’ingiunzione nei confronti di tale società ad astenersi da una nuova divulgazione non autorizzata a terzi dei suoi dati personali e, dall’altro, il risarcimento del danno immateriale asseritamente subìto a seguito della divulgazione iniziale di tali dati.
Questi i fatti.
IP aveva offerto, tramite un social network professionale online, la propria disponibilità a ricoprire una posizione lavorativa presso la Quirin, una cui impiegata aveva utilizzato il servizio di messaggeria elettronica del suddetto network per inviare ad un terzo, non interessato dalla procedura di assunzione, un messaggio destinato unicamente ad IP nel quale lo informava del rigetto delle sue pretese salariali proponendogli una diversa retribuzione. Il terzo in questione, che conosceva IP per aver lavorato con lui in passato, gli aveva trasmesso tale messaggio chiedendogli se fosse alla ricerca di un impiego, di talché quest’ultimo aveva proposto dinanzi al Landgericht Darmstadt (Tribunale del Land di Darmstadt) un’azione intesa ad ottenere che la Quirin venisse condannata ad astenersi da qualsiasi trattamento dei dati personali che lo riguardavano in relazione alla sua candidatura nonché a corrispondergli un importo a titolo di risarcimento del danno immateriale che sarebbe derivato da tale evento.
Il giudice di primo grado aveva condannato la Quirin ad astenersi dalle condotte oggetto della domanda di IP e a versargli un importo pari a 1.000 euro a titolo di risarcimento danni. La Quirin, pertanto, aveva interposto appello dinnanzi all’Oberlandesgericht Frankfurt (Tribunale superiore del Land di Francoforte sul Meno), che aveva parzialmente riformato la suddetta sentenza. Di conseguenza, sia IP che la Quirin avevano proposto un ricorso per cassazione dinanzi al Bundesgerichtshof (Corte federale di giustizia; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia sei questioni pregiudiziali.
Con le questioni prima, seconda e terza, il giudice del rinvio chiedeva se le disposizioni del GDPR debbano essere interpretate nel senso che esse prevedono, a beneficio della persona interessata dal trattamento illecito di dati personali, nell’ipotesi in cui questa non chieda la cancellazione dei propri dati, un mezzo di ricorso giurisdizionale che permette a tale persona di ottenere, a titolo preventivo, che al titolare del trattamento venga ingiunto di astenersi in futuro dall’effettuare un nuovo trattamento illecito, e se, in caso di risposta negativa, dette disposizioni impediscano agli Stati Membri di prevedere un siffatto mezzo di ricorso nei loro rispettivi ordinamenti giuridici.
Secondo la Corte, il GDPR non contiene alcuna disposizione che preveda, esplicitamente o implicitamente, che l’interessato benefici di un diritto ad ottenere in via preventiva, mediante un’azione giudiziale, che il titolare del trattamento di dati personali venga costretto ad astenersi, in futuro, dal commettere una violazione delle disposizioni di tale regolamento, ed in particolare sotto forma di reiterazione di un trattamento illecito. Nello specifico, nessuna delle disposizioni del Capo VIII GDPR obbliga gli Stati Membri a prevedere la possibilità, per l’interessato, di ottenere nel merito, mediante un’azione giudiziale a carattere preventivo, un’ingiunzione che vieti al titolare del trattamento di commettere una nuova violazione dei diritti che i singoli si vedono riconosciuti dal diritto dell’Unione. L’articolo 79, paragrafo 1, GDPR, in particolare, si limita a prevedere che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma di tale regolamento siano stati violati a seguito di un trattamento dei suoi dati personali effettuato in violazione di quest’ultimo. Il GDPR, tuttavia, non osta a che un diritto di ricorso inteso ad ottenere un’ingiunzione che permetta di prevenire l’eventuale commissione di una violazione delle disposizioni sostanziali di tale regolamento, segnatamente mediante una potenziale reiterazione di un trattamento illecito, sia disponibile sulla base di disposizioni del diritto di uno Stato Membro che siano applicabili dinanzi al giudice nazionale adito.
Con la quarta questione, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1[2], del GDPR debba essere interpretato nel senso che la nozione di “danno immateriale” contenuta in tale disposizione include sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l’insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva degli stessi o da un pregiudizio alla sua reputazione.
La Corte ha preliminarmente ricordato che la semplice violazione del GDPR non è sufficiente per conferire un diritto al risarcimento ai sensi dell’articolo 82, paragrafo 1, di quest’ultimo. L’esistenza di un danno, materiale o immateriale, che sia stato subìto, di una violazione di disposizioni del suddetto regolamento nonché di un nesso di causalità tra tale danno e detta violazione costituiscono infatti le tre condizioni cumulative, necessarie e sufficienti, del diritto al risarcimento. La persona interessata, pertanto, è tenuta a dimostrare non soltanto la violazione del GDPR, e bensì anche che quest’ultima gli ha effettivamente causato un danno[3]. L’articolo 82, paragrafo 1, GDPR, tuttavia, non esige che un danno immateriale fatto valere dall’interessato debba raggiungere una soglia di rilevanza per poter essere risarcito[4]. Il timore, provato dall’interessato, che i suoi dati personali siano oggetto di utilizzazione abusiva in futuro, a seguito di una violazione del GDPR, è inoltre idoneo a costituire, di per sé solo, un “danno immateriale” ai sensi dell’articolo 82, paragrafo 1, di tale regolamento a condizione di essere debitamente dimostrato, ciò che spetta al giudice nazionale verificare[5].
Con la quinta questione, invece, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che esso autorizza che il grado di gravità dell’illecito commesso dal titolare del trattamento venga preso in considerazione ai fini della valutazione del risarcimento di un danno immateriale dovuto a titolo di tale articolo.
La Corte ha preliminarmente ricordato che tenuto conto della funzione compensativa del diritto al risarcimento previsto dall’articolo 82 GDPR, i giudici nazionali sono tenuti ad assicurare un ristoro pieno ed effettivo del danno subìto senza che sia necessario, ai fini di una tale compensazione integrale, imporre il versamento di un risarcimento a titolo di danni punitivi[6]. A differenza di quanto previsto dall’articolo 83[7] GDPR per le sanzioni pecuniarie amministrative, il diritto al risarcimento previsto dall’articolo 82, segnatamente in caso di danno immateriale, assolve una funzione esclusivamente compensativa, in quanto un ristoro pecuniario di esso deve permettere di compensare integralmente il pregiudizio concretamente subìto in conseguenza della violazione di detto regolamento, e non anche una funzione dissuasiva o punitiva[8]. Di conseguenza, l’insorgere della responsabilità del titolare del trattamento ai sensi dell’articolo 82 GDPR è subordinata all’esistenza di una condotta illecita da lui messa in atto, la quale è presunta, a meno che tale titolare non dimostri che il fatto che ha provocato il danno non è a lui in alcun modo imputabile, non esigendosi che il grado di colpevolezza sotteso a tale condotta venga preso in considerazione all’atto della fissazione dell’importo del risarcimento danni concesso a titolo di riparazione di un danno immateriale sul fondamento di detto articolo[9].
Con la sesta questione, infine, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che il fatto che la persona interessata abbia ottenuto, in virtù del diritto nazionale applicabile, un’ingiunzione di astensione dalla reiterazione di una violazione di detto regolamento, opponibile al titolare del trattamento, può essere preso in considerazione al fine di ridurre l’entità del risarcimento pecuniario di un danno immateriale dovuto a titolo di tale articolo 82, paragrafo 1, o addirittura al fine di prendere il posto di tale risarcimento.
La Corte ha preliminarmente ricordato che il GDPR non contiene disposizioni che definiscano le regole per la valutazione del risarcimento danni dovuto a titolo dell’articolo 82 di tale regolamento, di talché i giudici nazionali devono, a tal fine, applicare le norme interne del rispettivo Stato Membro riguardanti l’entità del risarcimento pecuniario, fatta salva la necessità di assicurare una riparazione piena ed effettiva del danno subìto dalla persona interessata a seguito di una violazione[10]. A tale riguardo, in caso di non gravità del danno subìto dall’interessato il giudice nazionale può concedere a quest’ultimo un indennizzo minimo, purché l’importo poco elevato del risarcimento così concesso sia tale da compensare integralmente il danno in questione. Allo stesso modo, la presentazione di scuse può costituire una riparazione adeguata di un danno immateriale sul fondamento dell’articolo 82 GDPR quando sia impossibile ripristinare la situazione antecedente al verificarsi di tale danno, purché tale forma di riparazione, laddove prevista dal diritto nazionale, permetta una siffatta compensazione integrale del suddetto pregiudizio[11].
Di conseguenza, una forma di riparazione prevista dal diritto nazionale applicabile può essere considerata conforme al GDPR soltanto a condizione di rispettare i principi di equivalenza e di effettività del diritto dell’Unione, il che presuppone che essa sia idonea ad assicurare una riparazione piena ed effettiva del pregiudizio subìto dalla persona interessata. Più particolarmente, un risarcimento dovuto a titolo dell’articolo 82 di tale regolamento non può essere concesso sotto forma, in tutto o in parte, di un’ingiunzione di astensione, in quanto il relativo diritto soddisfa una funzione esclusivamente compensativa, mentre tale ingiunzione ha una finalità puramente preventiva.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“Le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretate nel senso che esse non prevedono, a beneficio della persona interessata dal trattamento illecito di dati personali, nell’ipotesi in cui questa non chieda la cancellazione dei propri dati, un mezzo di ricorso giurisdizionale che permetta a tale persona di ottenere, a titolo preventivo, che al titolare del trattamento venga ingiunto di astenersi dall’effettuare in futuro un nuovo trattamento illecito. Tuttavia, tali disposizioni non impediscono agli Stati membri di prevedere un siffatto mezzo di ricorso nei loro rispettivi ordinamenti giuridici.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che la nozione di «danno immateriale» contenuta in tale disposizione include sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l’insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva di questi ultimi o da un pregiudizio alla sua reputazione, purché detto interessato dimostri che prova sentimenti siffatti, con le loro conseguenze negative, a causa della violazione de qua del regolamento suddetto.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che esso osta a che il grado di gravità dell’illecito commesso dal titolare del trattamento venga preso in considerazione ai fini della valutazione del risarcimento di un danno immateriale dovuto a titolo di detto articolo.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che esso osta a che la circostanza che la persona interessata abbia ottenuto, in virtù del diritto nazionale applicabile, un’ingiunzione di astensione dalla reiterazione di una violazione di detto regolamento, opponibile al titolare del trattamento, venga presa in considerazione al fine di ridurre l’entità del risarcimento pecuniario di un danno immateriale dovuto a titolo di tale articolo o, a fortiori, al fine di prendere il posto di tale risarcimento”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 82 GDPR, intitolato “Diritto al risarcimento e responsabilità”, al paragrafo 1 dispone: “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento…”.
[3] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punti 140-142; CGUE 04.10.2024, Causa C‑507/23, Patērētāju tiesību aizsardzības centrs, punti 24-25; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 32-42.
[4] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punti 147-149; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punto 51.
[5] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punti 143-144 e 155; CGUE 20.06.2024, Causa C‑590/22, PS (Indirizzo errato), punti 32-36.
[6] CGUE 04.10.2024, Causa C‑507/23, Patērētāju tiesību aizsardzības centrs, punto 34; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 57-58.
[7] L’articolo 83 GDPR, intitolato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, al paragrafo 2 dispone: “… Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
- a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
- b) il carattere doloso o colposo della violazione;
- c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
- e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- g) le categorie di dati personali interessate dalla violazione;
- h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
- i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
- j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
- k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione…”.
[8] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punto 153; CGUE 04.10.2024, Causa C‑507/23, Patērētāju tiesību aizsardzības centrs, punti 24-25; CGUE 04.05.2023, Causa C‑300/21, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), punti 39-41.
[9] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punto 154.
[10] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punto 152; CGUE 04.10.2024, Causa C‑507/23, Patērētāju tiesību aizsardzības centrs, punto 34.
[11] CGUE 04.10.2024, Causa C‑507/23, Patērētāju tiesību aizsardzības centrs, punti 35-37.