La Commissione europea ha avviato una fase di confronto strategico in vista dell’elaborazione del futuro…
Accesso ai dati personali e abuso del diritto: la Corte UE chiarisce i limiti delle richieste ai sensi del GDPR
Una richiesta di accesso ai propri dati personali può essere respinta se utilizzata in modo strumentale, ad esempio con l’unico obiettivo di ottenere un risarcimento. È quanto emerge da una pronuncia della Corte di giustizia dell’Unione europea, chiamata a chiarire l’interpretazione del diritto di accesso previsto dal Regolamento generale sulla protezione dei dati (GDPR).
Il caso trae origine da una controversia tra una persona residente in Austria e la società tedesca Brillen Rottler. Dopo essersi iscritta alla newsletter dell’azienda, l’interessata ha presentato una richiesta di accesso ai propri dati personali. La società ha però respinto la richiesta, ritenendola abusiva, sostenendo che la persona avrebbe adottato un comportamento sistematico: iscriversi a servizi online, esercitare il diritto di accesso e successivamente avanzare richieste di risarcimento.
La questione è stata portata davanti al tribunale circoscrizionale di Arnsberg, che ha deciso di interpellare la Corte di giustizia per chiarire se una prima richiesta di accesso possa essere considerata eccessiva e se, in caso di rifiuto, l’interessato abbia diritto a un risarcimento.
Nella sua risposta, la Corte ha affermato che, in determinate circostanze, anche una prima richiesta può essere qualificata come “eccessiva” e quindi abusiva. Ciò avviene quando il titolare del trattamento riesce a dimostrare che, pur rispettando formalmente i requisiti previsti dalla normativa, la richiesta non è finalizzata a conoscere il trattamento dei dati o a verificarne la liceità, ma piuttosto a creare le condizioni per una successiva azione risarcitoria.
Tra gli elementi che possono essere presi in considerazione vi è anche l’eventuale comportamento reiterato dell’interessato, come la presentazione di richieste analoghe nei confronti di più soggetti, seguite da domande di risarcimento. Questo contesto può contribuire a dimostrare l’esistenza di un intento abusivo.
La Corte ha tuttavia ribadito che il diritto al risarcimento resta pienamente riconosciuto quando una violazione del GDPR provoca un danno, sia materiale sia immateriale. Per ottenere il risarcimento, però, l’interessato deve dimostrare in modo concreto l’esistenza del danno subito. Inoltre, non è possibile ottenere un indennizzo se il danno deriva dal comportamento stesso della persona che lo invoca.
Spetterà ora al giudice nazionale applicare questi principi al caso concreto e stabilire se la richiesta di accesso e la successiva domanda di risarcimento siano effettivamente riconducibili a un uso abusivo dei diritti previsti dalla normativa europea.
Articoli correlati
