L’Avvocato Generale della Corte di Giustizia UE Sànchez-Bordona ha presentato le proprie conclusioni il 20 marzo 2025 nella causa C‑655/23 (IP contro Quirin Privatbank AG), sul diritto di proporre un’azione inibitoria, affinché il titolare del trattamento dei suoi dati personali si astenga, in futuro, dal ripetere una condotta contraria al GDPR.
Inoltre, se, in caso di concessione dell’inibitoria, il titolare del trattamento debba essere condannato in ogni caso a risarcire al proprietario dei dati personali il danno immateriale conseguente alla violazione, già commessa, del GDPR.
Queste le conclusioni presentate:
“Il combinato disposto dell’articolo 5, paragrafo 1, lettera a), dell’articolo 6, paragrafo 1, dell’articolo 79, paragrafo 1 e dell’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:
– ai sensi dell’articolo 5, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 1, in combinato disposto con l’articolo 79, paragrafo 1, del regolamento 2016/679, l’interessato i cui dati personali siano stati illecitamente divulgati dal titolare del trattamento ha diritto di intentare un’azione affinché detto titolare si astenga, in futuro, dall’effettuare nuove trasmissioni illecite dei dati, analoghe a quelle già avvenute;
– compete all’ordinamento nazionale, nel rispetto dei principi di equivalenza ed effettività, regolamentare le condizioni per esercitare l’azione inibitoria nei confronti del titolare del trattamento dei dati personali. Nulla impedisce di richiedere, a tal fine, la prova del rischio di recidiva né, se del caso, di stabilire una presunzione (relativa) di tale rischio, derivante dall’esistenza di una precedente violazione del regolamento 2016/679;
– a norma dell’articolo 82, paragrafo 1, del regolamento 2016/679, in sede di quantificazione dell’importo del danno immateriale da risarcire, detto importo non è ridotto per il fatto che all’interessato, oltre al diritto al risarcimento, spetti anche quello di proporre un’azione inibitoria affinché il titolare del trattamento si astenga, in futuro, da un ulteriore trattamento illecito analogo a quello già effettuato“.
Sul diritto all’inibitoria per il trattamento illecito futuro di dati personali
Il diritto dell’interessato di richiedere al titolare del trattamento dei suoi dati personali che non venga reiterato un trattamento illecito, ove quest’ultimo si sia già verificato in precedenza, per l’Avvocato Generale si può dedurre dall’art. 5, par. 1, lett. a), e dall’art. 6, par. 1, GDPR, in combinato disposto con l’art. 79, par. 1, del GDPR.
E ciò anche se gli artt. 5 e 6 sono inclusi nel capo II (“Principi“) invece che nel capo III, dedicato specificamente ai “Diritti dell’interessato“.
Ma, per l’Avvocato Generale, il catalogo dei diritti dell’interessato tutelati dal GDPR non si esaurisce con l’elencazione di quelli contenuti nel capo III: sotto il titolo “Principi”, il capo II del GDPR non si limita a dichiarazioni programmatiche o semplicemente utili ai fini dell’interpretazione di altre norme, ma istituisce obblighi di legge per tutti coloro cui è rivolto il regolamento e a tali obblighi corrispondono interessi soggettivi meritevoli di tutela oppure veri e propri diritti degli interessati.
L’art. 5, par. 1, enuncia principi direttamente vincolanti, mentre il paragrafo 2 conferma il loro carattere normativo, poiché traduce il rispetto del paragrafo 1 in un obbligo materiale, imposto soprattutto al titolare del trattamento; inoltre, la violazione dei “principi di base del trattamento” è passibile di sanzioni pecuniarie.
Pertanto, la violazione, da parte del titolare del trattamento, di uno dei principi previsti agli artt. 5 e 6 del GDPR implica l’illiceità di tale trattamento; nella stessa misura, un trattamento illecito dei dati personali viola il diritto alla protezione dei dati personali.
L’Avvocato Generale ricorda che esiste, come contropartita immediata del precetto dell’art. 5, par. 1, lett. a), e dell’art. 6, par. 1, del GDPR, un diritto dell’interessato a che ogni trattamento dei suoi dati personali sia lecito: pertanto, il diritto dell’interessato di richiedere che il titolare del trattamento non reiteri un trattamento illecito, analogo a quello già verificatosi in precedenza, può essere incluso come corollario del diritto dell’interessato stesso a che ogni trattamento dei suoi dati personali sia lecito.
A tale diritto deve pertanto necessariamente essere abbinato un meccanismo di reazione giudiziaria indispensabile ai fini del GDPR, meccanismo cui fa riferimento l’art. 79; altrimenti, la tutela giuridica assicurata per i dati personali sarebbe imperfetta.
Peraltro, l’Avvocato Generale ricorda che, tra i poteri del Garante privacy nazionale ex art. 58, par. 2, lett. d) e f), del GDPR vi sono:
- quello di ingiungere di conformare il trattamento al GDPR in una determinato modo
- quello di imporre limitazioni provvisorie o definitive ai trattamenti di dati, incluso il divieto di trattamento.
Quindi, per l’Avvocato Generale, il fatto di dotare l’autorità di controllo di tali poteri è pienamente compatibile con il ricorso, da parte dell’interessato, qualora lo ritenga opportuno, a un organo giurisdizionale per richiedere la tutela effettiva dei suoi diritti violati: in conclusione, l’interessato può esperire un’azione giudiziaria nei confronti del titolare del trattamento, ai sensi dell’art. 79, par. 1, del GDPR, richiedendo altresì la condanna del titolare a non reiterare un trattamento illecito.
Gli artt. 5, 6 e 79 del GPDR, interpretati in tal senso quindi, costituiscono un fondamento sufficiente per giustificare il diritto dell’interessato di proporre un’azione inibitoria, affinché il titolare del trattamento si astenga dall’effettuare nuove trasmissioni illecite dei suoi dati personali.
Sul risarcimento del danno immateriale
Secondo una giurisprudenza consolidata della Corte di Giustizia UE, il risarcimento integrale persegue esclusivamente una finalità compensativa: anche se il diritto di chiedere il risarcimento di un danno può anche scoraggiare la reiterazione di comportamenti illeciti, la Corte di giustizia sostiene che la finalità del risarcimento di cui all’art. 82 del GDPR non è dissuasiva né punitiva.
Alla luce di tale giurisprudenza, l’Avvocato chiarisce che, a suo parere:
- l’obiettivo del risarcimento richiesto od ottenuto ai sensi dell’art. 82 del GDPR non coincide con quello delle azioni inibitorie, proposte affinché il titolare non reiteri, in futuro, un trattamento illecito dei dati analogo a quello già effettuato
- un’ingiunzione inibitoria, volta a evitare la reiterazione di comportamenti che hanno causato danni affinché non ne avvengano altri, non risarcisce quelli già subiti.
In conclusione, in sede di quantificazione dell’importo del danno immateriale derivante da un trattamento illecito già verificatosi, non può essere considerata un’attenuante il fatto che all’interessato, oltre al diritto al risarcimento, spetti anche un’azione intesa a richiedere, pro futuro, l’inibizione dal reiterare un trattamento illecito analogo a quello già effettuato.