In data 19 marzo 2026, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C‑526/24, Brillen Rottler GmbH & Co. KG contro TC, sull’interpretazione dell’articolo 4, punto 2, dell’articolo 12, paragrafo 5, e dell’articolo 82, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Brillen Rottler GmbH & Co. KG (“Brillen”) e TC in merito al rifiuto, da parte di tale impresa, di soddisfare la richiesta di accesso ai suoi dati personali presentata da quest’ultimo.
Questi i fatti.
Nel mese di marzo 2023 TC, residente in Austria, si era abbonato alla newsletter della Brillen, un’impresa di ottica a conduzione familiare con sede ad Arnsberg, inserendo i propri dati personali nel modulo di iscrizione disponibile sul sito internet di tale impresa ed esprimendo il suo consenso al trattamento di tali dati. Tredici giorni dopo, TC aveva presentato una richiesta di accesso ai sensi del GDPR alla Brillen, che tuttavia l’aveva respinta entro il termine legale di un mese ritenendola abusiva ed intimandogli di rinunciare definitivamente. Dal momento che TC non aveva ritirato la sua richiesta di accesso, allegandovi al contempo una domanda di risarcimento, la Brillen aveva adito l’Amtsgericht Arnsberg (Tribunale circoscrizionale di Arnsberg; il “giudice del rinvio”) con una domanda diretta a far dichiarare che lo stesso non aveva diritto ad alcun risarcimento. Alla luce della necessità di interpretare la normativa europea rilevante in materia, pertanto, il giudice del rinvio aveva deciso di sospendere il procedimento e di sottoporre alla Corte gi Giustizia otto questioni pregiudiziali.
Con le questioni dalla prima alla terza e settima, il giudice del rinvio chiedeva se l’articolo 12, paragrafo 5[2], del GDPR debba essere interpretato nel senso che una prima richiesta di accesso ai dati personali presentata dall’interessato al titolare del trattamento ai sensi dell’articolo 15[3] di tale regolamento possa essere considerata “eccessiva” e, in caso affermativo, quali siano le circostanze che permettono, se del caso, di constatare un siffatto carattere eccessivo.
Ai sensi dell’articolo 12, paragrafo 5, del GDPR il titolare del trattamento può o addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi, o rifiutare di soddisfare una richiesta di accesso ai dati da parte dell’interessato laddove questa sia manifestamente infondata o eccessiva. Per quanto riguarda l’eccessività della richiesta, la Corte ha preliminarmente ricordato che i soggetti dell’ordinamento non possono avvalersi fraudolentemente o abusivamente delle norme dell’Unione[4], la cui applicazione non può essere estesa sino a comprendere operazioni effettuate a scopo abusivo[5]. Il numero di richieste di accesso presentate dall’interessato al titolare del trattamento, pertanto, non determina, di per sé, il diritto di quest’ultimo di avvalersi della facoltà di non soddisfare una richiesta, offertagli dall’articolo 12, paragrafo 5, del GDPR, di talché tale titolare può servirsene anche nel caso di una prima richiesta di accesso qualora dimostri, alla luce di tutte le circostanze pertinenti di ciascun caso, l’esistenza di un intento abusivo da parte di detto interessato[6].
Tutto ciò premesso, la prova dell’abusività di una pratica richiede, da un lato, un insieme di circostanze oggettive dalle quali risulti che, nonostante il rispetto formale delle condizioni previste dalla normativa dell’Unione, l’obiettivo perseguito da quest’ultima non sia stato conseguito e, dall’altro, un elemento soggettivo consistente nella volontà di ottenere un vantaggio derivante dalla suddetta normativa per mezzo della creazione artificiosa delle condizioni necessarie per il suo ottenimento. Tale qualificazione richiede, inoltre, che siano presi in considerazione tutti i fatti e le circostanze del caso concreto[7]. Per quanto riguarda, in particolare, l’elemento soggettivo di una pratica abusiva, per poter qualificare una richiesta di accesso come eccessiva ai sensi dell’articolo 12, paragrafo 5, del GDPR il titolare del trattamento deve dimostrare, alla luce di tutte le circostanze pertinenti di ciascun caso, l’esistenza di un intento abusivo da parte dell’interessato, che può essere accertato quando quest’ultimo presenta tale richiesta per una finalità diversa da quella di essere consapevole del trattamento di tali dati e di verificarne la liceità, per poter poi ottenere una protezione dei diritti che gli derivano da tale regolamento[8]. Nel caso concreto, pertanto, incombe al titolare del trattamento l’onere di dimostrare inequivocabilmente che l’interessato ha presentato una richiesta di accesso ai sensi dell’articolo 15 del GDPR al fine non già di essere consapevole di tale trattamento, e bensì di creare artificiosamente le condizioni richieste per ottenere un risarcimento da parte di detto titolare.
Con le questioni quinta e sesta, invece, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1[9], del GDPR debba essere interpretato nel senso che esso conferisce all’interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all’articolo 15, paragrafo 1, di tale regolamento.
L’articolo 82, paragrafo 1, del GDPR non contiene alcun riferimento al “trattamento”, di talché il diritto al risarcimento ivi previsto non può essere limitato ai danni derivanti da un trattamento di dati personali. Tale articolo, infatti, mira a garantire l’attuazione degli obiettivi del GDPR, tra cui, in particolare, quello di rafforzare i diritti degli interessati nonché gli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, che verrebbero indeboliti in modo significativo se l’articolo 82, paragrafo 1, dovesse essere interpretato come limitato ai soli danni derivanti da atti illeciti implicanti un trattamento di dati. Di conseguenza, anche in presenza di una violazione del GDPR che non comporta, di per sé, un trattamento di dati, l’interessato può avvalersi del diritto al risarcimento previsto all’articolo 82 del regolamento.
Tenuto conto della risposta fornita alle questioni pregiudiziali quinta e sesta, la Corte ha ritenuto non necessario rispondere alla quarta, con la quale il giudice del rinvio chiedeva se l’articolo 4, punto 2[10], del GDPR debba essere interpretato nel senso che la richiesta di accesso di un interessato nei confronti del titolare del trattamento ai sensi dell’articolo 15, paragrafo 1, di tale regolamento e/o la risposta ad essa costituiscono un trattamento ai sensi della prima di tali disposizioni.
Con l’ottava questione pregiudiziale, infine, il giudice del rinvio chiedeva se l’articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che il danno immateriale subito dall’interessato comprende la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se tali dati siano stati oggetto di trattamento.
La Corte ha preliminarmente ricordato che la persona che chiede il risarcimento di un danno o di un pregiudizio immateriale sulla base dell’articolo 82, paragrafo 1, del GDPR è tenuta a dimostrare non solo la violazione di disposizioni del regolamento, e bensì che la stessa le ha causato tale danno o pregiudizio, che non può dunque solamente essere presunto a causa del verificarsi della violazione in questione[11].
Tutto ciò premesso, nell’elenco illustrativo dei “danni” che possono essere subiti dagli interessati ai sensi del GDPR il legislatore dell’Unione ha incluso la mera perdita del controllo sui loro dati personali, a seguito di una violazione di tale regolamento, quand’anche un utilizzo abusivo dei dati in questione non si sia verificato concretamente[12]. La nozione di “danno immateriale”, inoltre, non può essere circoscritta ai soli danni di una certa gravità. Più particolarmente, una normativa o una prassi nazionale non può validamente fissare una soglia de minimis affinché sia configurabile un danno immateriale causato da una violazione del GDPR. L’interessato, tuttavia, è tenuto a dimostrare, da un lato, di aver effettivamente subito un simile danno, per quanto minimo, e, dall’altro, che le conseguenze di tale violazione che asserisce di aver subito costituiscono un danno che si differenzia dalla semplice violazione delle disposizioni del regolamento[13]. Di conseguenza, la mera allegazione, da parte dell’interessato, di un timore causato da una perdita del controllo dei suoi dati personali non può dar luogo a risarcimento ai sensi dell’articolo 82, paragrafo 1, del GDPR[14]. Nello specifico, laddove una persona che chiede un risarcimento sulla base di tale disposizione invochi il timore che in futuro si verifichi un utilizzo abusivo dei suoi dati personali a causa dell’esistenza di una violazione di tale regolamento, il giudice nazionale adito deve verificare che tale timore possa essere considerato fondato nelle circostanze specifiche di cui trattasi e nei confronti dell’interessato[15]. Ciò vale, parimenti, anche laddove l’interessato ritiene che esista un’incertezza quanto alla questione se i suoi dati personali siano stati oggetto di trattamento.
Il nesso di causalità tra l’asserita violazione e il danno lamentato può tuttavia essere interrotto dal comportamento dell’interessato laddove lo stesso costituisca la causa determinante del danno[16]. L’esistenza di un nesso di causalità tra l’allegata violazione del GDPR e il danno asseritamente subito dall’interessato, inoltre, è una condizione sine qua non di un diritto al risarcimento in forza dell’articolo 82, paragrafo 1, di tale regolamento. Di conseguenza, all’interessato non può essere concesso, ai sensi di tale disposizione, un risarcimento dei danni asseritamente subiti a causa della perdita del controllo dei suoi dati personali o della sua incertezza quanto all’esistenza del loro trattamento, qualora il nesso di causalità sia interrotto a causa del suo comportamento, ove tale perdita di controllo o tale incertezza siano state causate dalla sua decisione di fornire i dati al titolare del trattamento al fine di creare artificiosamente le condizioni richieste ai fini dell’applicazione di detta disposizione.
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 12, punto 5, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: una prima richiesta di accesso ai dati personali presentata dall’interessato al titolare del trattamento ai sensi dell’articolo 15 di tale regolamento può essere considerata «eccessiva», ai sensi di detto articolo 12, paragrafo 5, qualora tale titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso di specie, che, nonostante il rispetto formale delle condizioni previste da tali disposizioni, detta richiesta è stata presentata dall’interessato non già per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei diritti che gli derivano da detto regolamento, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento. Il fatto che, secondo informazioni accessibili al pubblico, l’interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l’esistenza di un siffatto intento abusivo.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che esso conferisce all’interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all’articolo 15, paragrafo 1, di tale regolamento.
L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il danno immateriale subito dall’interessato include la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se i suoi dati siano stati oggetto di trattamento, purché sia dimostrato, in particolare, che tale interessato ha effettivamente subito un siffatto danno e che il suo comportamento non ha costituito la causa determinante di tale danno”.
[1] GUUE L 119 del 04.05.2016.
[2] L’articolo 12 GDPR, intitolato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, al paragrafo 5 dispone: “… Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
- a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
- b) rifiutare di soddisfare la richiesta.
Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta…”.
[3] L’articolo 15 GDPR intitolato “Diritto di accesso dell’interessato”, al paragrafo 1 dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento;
- b) le categorie di dati personali in questione;
- c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- f) il diritto di proporre reclamo a un’autorità di controllo;
- g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
- h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato…”.
[4] CGUE 09.01.2025, Causa C‑416/23, Österreichische Datenschutzbehörde (Richieste eccessive), punto 49.
[5] CGUE 19.09.2024, Causa C‑236/23, Matmut, punto 52.
[6] CGUE 09.01.2025, Causa C‑416/23, Österreichische Datenschutzbehörde (Richieste eccessive), punto 50.
[7] CGUE 21.12.2023, BMW Bank e a., Cause riunite C‑38/21, C‑47/21 e C‑232/21, punti 285-286.
[8] CGUE 09.01.2025, Causa C‑416/23, Österreichische Datenschutzbehörde (Richieste eccessive), punti 50-56
[9] L’articolo 82 GDPR, intitolato “Diritto al risarcimento e responsabilità”, al paragrafo 1 dispone: “… Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento…”.
[10] L’articolo 4 GDPR, intitolato “Definizioni”, al punto 2 dispone: “… Ai fini del presente regolamento s’intende per:
(…)
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione…”.
[11] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punto 141.
[12] Ibidem, punto 145.
[13] CGUE 14.12.2023, Causa C‑456/22, Gemeinde Ummendorf, punti 22-23.
[14] CGUE 20.06.2024, Causa C‑590/22, PS (Indirizzo errato), punti 33-35.
[15] CGUE 04.10.2024, Causa C‑200/23, Agentsia po vpisvaniyata, punto 143.
[16] CGUE 18.12.2025, Causa C‑679/23 P, WS e a./Frontex (Operazione congiunta di rimpatrio), punti 151-152.