Con due rispettive decisioni della Corte di Giustizia europea arrivano dei chiarimenti su importanti temi in materia di privacy. In particolare, con la sentenza nella causa C-487/21 viene chiarito che il diritto di ottenere una “copia” dei dati personali implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme dei dati. Ciò implica il diritto di ottenere copia di estratti di documenti o anche di documenti interi o, ancora, di estratti da banche dati contenenti detti dati, se ciò è indispensabile per consentire all’interessato di esercitare effettivamente i diritti conferitigli dal GDPR. Nella vertenza, infatti, la CRIF austriaca, riscontrando una richiesta di un privato, gli aveva trasmesso l’elenco dei suoi dati oggetto di trattamento solo in forma sintetica. Ritenendo, dunque, che tale elenco fosse insufficiente, la parte presentava reclamo al Garante privacy e successivamente alla Corte di Giustizia che, partendo da un’interpretazione letterale dell’art. 15, par. 3, del GDPR, accertava il diritto dell’interessato ad ottenere una riproduzione fedele dei suoi dati personali, intesi in senso ampio, oggetto di operazioni qualificabili come trattamento.
Per altro verso, però, la sentenza della Corte nella causa C-300/21 ha altresì acclarato che la mera violazione del Regolamento UE sulla protezione dei dati personali non fa sorgere di per sé un diritto al risarcimento sottolineando che, per la sussistenza della pretesa, non sia comunque necessario che il danno immateriale subito raggiunga una determinata soglia di gravità. La questione era sorta dopo che un giornale aveva raccolto informazioni sulle affinità politiche della popolazione austriaca. Con l’ausilio di un algoritmo, il quotidiano aveva definito “indirizzi di gruppi destinatari” utilizzando criteri sociali e demografici tali da individuare un determinato cittadino e allinearlo con un determinato partito politico austriaco. Il soggetto coinvolto, che non aveva acconsentito al trattamento dei suoi dati personali, affermava di aver provato una grave contrarietà ed una perdita di fiducia ed ha chiesto a titolo di risarcimento un importo di € 1.000,00. Interrogata sul punto, la Corte di Giustizia ha evidenziato, in primo luogo, che il diritto al risarcimento previsto dal GDPR è subordinato in modo univoco a tre condizioni cumulative: (i) una violazione del regolamento, (ii) un danno materiale o immateriale derivante da tale violazione ed (iii) un nesso di causalità tra il danno e la violazione. Pertanto, qualsiasi violazione del Regolamento sulla protezione dei dati, da sola, non dà diritto ad alcun risarcimento. Accertato ciò, però, la Corte ha altresì evidenziato che il diritto al risarcimento non è riservato ai danni immateriali che raggiungono una determinata soglia di gravità: il GDPR infatti non menziona alcun requisito di tale genere, spettando all’ordinamento giuridico di ciascuno Stato membro l’onere di fissare i criteri che consentono di determinare l’entità di un eventuale risarcimento.