Pubblicità in violazione GDPR: azienda responsabile per l'errore del dipendente

La Corte di Giustizia dell’Unione Europea, con Sentenza dell’11 aprile 2024, relativa alla causa C-741/21  in tema di  violazione dei  dati personali attraverso attività di  marketing diretto,  ha ritenuto responsabile il titolare aziendale del trattamento, precisando che non è rilevante che  il danno sia stato causato dall’errore del dipendente che ha violato le istruzioni ricevute.

La sentenza ha fornito inoltre chiarimenti sul diritto al risarcimento in caso di violazione del Regolamento (UE) 2016/679,  Regolamento Generale sulla Protezione dei Dati (GDPR).

Vediamo in maggiore dettaglio la vicenda e la sentenza della Corte.

1) Marketing diretto nonostante la revoca del consenso

Il caso specifico affrontato dalla Corte di Giustizia dell'Unione Europea (CGUE) riguardava un avvocato  tedesco che aveva revocato il proprio consenso alla ricezione di materiale pubblicitario da parte di una società che gestisce una banca dati giuridica. 

Nonostante la revoca del consenso, il ricorrente continuava a ricevere materiale pubblicitario, il che ha portato a una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).

Il ricorrente ha adito il Tribunale del Land di Saarbrücken ( Germania) per ottenere:

• il risarcimento del danno materiale, relativo alle spese sostenute per l'ufficiale giudiziario e il notaio,  e per 
•  il risarcimento per danno immateriale, affermando di aver subito una perdita di controllo sui propri dati personali.

 Ha sostenuto che tale perdita di controllo costituisse di per sé un danno immateriale, indipendentemente dalla gravità o dagli effetti ulteriori di tale perdita, sulla base del diritto garantito dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e precisato dal GDPR.

La società imputata, per parte sua ha negato ogni responsabilità, sostenendo di aver istituito un adeguato sistema di gestione delle opposizioni al marketing diretto e attribuendo la mancata considerazione delle opposizioni del ricorrente, ipoteticamente  

• a un errore umano di un collaboratore oppure
• al fatto che sarebbe stato eccessivamente oneroso tenerne conto.

Inoltre, ha argomentato che la mera violazione di un obbligo del GDPR non costituisce automaticamente un "danno" ai sensi dell'articolo 82 del regolamento.

Il tribunale tedesco ha  quindi sollevato la questione presso la  CGUE  cercando chiarimenti sull'interpretazione di varie disposizioni del GDPR, specialmente riguardo :

• al diritto al risarcimento per danni immateriali senza la necessità di dimostrare la gravità del danno e 
• sulle condizioni di responsabilità del titolare del trattamento quando il danno è causato dall'errore di una persona sotto la sua autorità.

2) I chiarimenti della CGUE su risarcimento e responsabilità

 La decisione della Corte chiarisce i seguenti punti:

• Violazione e Danno Immateriale: La Corte ha stabilito che una violazione del GDPR non è di per sé sufficiente per stabilire un danno immateriale. Per avere diritto al risarcimento, l'interessato deve dimostrare di aver subito un danno immateriale reale causato dalla violazione. Non è necessario che il danno raggiunga una certa gravità, ma deve essere comunque dimostrato.
• Responsabilità del Titolare del Trattamento: In caso di violazione del GDPR causata dall'errore di un dipendente, il titolare del trattamento non può automaticamente esimersi dalla responsabilità. La Corte ha sottolineato che il titolare del trattamento deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile. Non basta quindi soltanto indicare che il danno è stato causato dall'errore di un dipendente per liberarsi da ogni responsabilità.
• Calcolo del Risarcimento: I criteri previsti dall'articolo 83 del GDPR per la determinazione delle sanzioni amministrative pecuniarie non devono essere applicati nel calcolo del risarcimento per i danni ai sensi dell'articolo 82 del GDPR. Il risarcimento dovuto dovrebbe riflettere una compensazione per il danno effettivamente subito, non avendo una natura punitiva ma compensativa.

Si ribadisce  quindi la necessità che gli ordinamenti nazionali  rafforzino il diritto delle persone fisiche alla protezione dei loro dati personali, garantendo che possano ottenere un risarcimento effettivo in caso di violazione, e assicurando al contempo che i titolari del trattamento adottino misure adeguate per prevenire tali violazioni.