GDPR: richiesta accesso dati "eccessiva" non genera risarcimento UE
La Corte UE chiarisce che una prima richiesta di accesso dati personali può essere respinta se abusiva e mirata solo al risarcimento, delineando limiti al diritto.
Richiesta di accesso dati personali: quando può essere "eccessiva"?
La Corte di Giustizia dell'Unione Europea ha emesso una pronuncia che segna un importante precedente nell'applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR, Reg. UE 2016/679). In particolare, la Corte ha stabilito che una prima richiesta di accesso ai dati personali presentata dall'interessato al titolare del trattamento può essere considerata "eccessiva" ai sensi dell'articolo 12, paragrafo 5, del GDPR. Questa interpretazione si applica qualora il titolare del trattamento dimostri, con circostanze pertinenti, che la richiesta non mirava a conoscere il trattamento dei dati e a verificarne la liceità per tutelare i propri diritti, bensì a perseguire un intento abusivo, come la creazione artificiosa di condizioni per ottenere un vantaggio economico o un risarcimento.
L'intento abusivo: come provarlo e le implicazioni
La pronuncia della Corte UE sottolinea che l'onere della prova dell'intento abusivo ricade sul titolare del trattamento. Per dimostrare l'esistenza di un tale intento, si può tenere in considerazione il fatto che l'interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, come desumibile anche da informazioni accessibili al pubblico. Questo elemento diventa cruciale per distinguere una richiesta legittima da una strumentale, offrendo ai titolari uno strumento per difendersi da pretese infondate e salvaguardare la finalità originaria del diritto di accesso sancito dall'articolo 15 del GDPR.
Diritto al risarcimento GDPR: ambito e criteri
La Corte di Giustizia ha inoltre chiarito alcuni aspetti fondamentali relativi al diritto al risarcimento ai sensi dell'articolo 82, paragrafo 1, del GDPR. Ha confermato che tale articolo conferisce all'interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso (Art. 15, § 1). Per quanto riguarda il danno immateriale, la Corte specifica che esso può includere la perdita del controllo sui propri dati personali o l'incertezza sulla loro effettiva elaborazione. Tuttavia, è imprescindibile che l'interessato dimostri di aver effettivamente subito tale danno e che il suo comportamento non sia stata la causa determinante della violazione o del danno subito. Questa precisazione è fondamentale per delimitare la portata del risarcimento, evitando richieste speculative e garantendo che solo i danni effettivi e non auto-inflitti siano indennizzabili.