Intervista al Prof. Angelo Maietta. Il danno da perdita di controllo del dato personale

Questa intervista nasce in occasione degli Stati Generali del Diritto di Internet e dell’Intelligenza (V edizione), tenutisi presso l’LUISS Guido Carli nel novembre 2025. L’intervento di Angelo Maietta sul danno da perdita di controllo del dato personale fa da spunto per approfondire alcuni profili chiave del rapporto tra diritto, dati e tecnologie digitali.

Il Prof. Angelo Maietta

L’art. 82 GDPR riconosce il diritto a un “pieno ed effettivo risarcimento”, ma la sua interpretazione ha generato orientamenti opposti. Qual è, a suo avviso, il nodo centrale del contrasto tra approccio tradizionalista ed evolutivo?

Il contrasto tra l’approccio “tradizionalista” e quello “evolutivo” in merito al risarcimento del danno ai sensi dell’art. 82 del Regolamento Generale sulla Protezione dei Dati (GDPR) ruota attorno alla definizione stessa di “danno immateriale” e ai presupposti per la sua risarcibilità.

L’approccio tradizionalista, radicato in molti ordinamenti nazionali, tra cui quello italiano, tende a interpretare il danno non patrimoniale in modo restrittivo. Secondo questa visione, la mera violazione di una norma non è sufficiente a generare un diritto al risarcimento (il danno non è in re ipsa). È necessario che l’interessato fornisca la prova di aver subito un pregiudizio concreto, che superi una soglia minima di tollerabilità. La giurisprudenza italiana, ad esempio, ha a lungo richiesto la prova di una lesione “grave” e di un danno “serio”, operando un bilanciamento con il principio di solidarietà di cui all’art. 2 della Costituzione, che implica una certa tolleranza per le lesioni minime. In questa prospettiva, il risarcimento è subordinato alla dimostrazione di conseguenze negative tangibili, come un’offesa sensibile alla portata effettiva del diritto alla riservatezza.

L’approccio evolutivo, promosso e consolidato dalla Corte di Giustizia dell’Unione Europea (CGUE), interpreta la nozione di danno in modo ampio, in linea con gli obiettivi del GDPR di garantire una tutela piena ed effettiva dei diritti degli interessati. Il nodo centrale di questa evoluzione risiede nel riconoscimento che la “perdita del controllo dei dati personali” può costituire di per sé un danno risarcibile. La CGUE ha chiarito tre punti fondamentali che definiscono questo approccio:

1. Rifiuto di una soglia di gravità: L’art. 82 GDPR osta a una prassi nazionale che subordini il risarcimento di un danno immateriale al raggiungimento di un certo grado di gravità. Anche un danno minimo, purché provato, deve essere risarcito.
2. Necessità della prova del danno: La mera violazione del GDPR non è sufficiente per conferire un diritto al risarcimento. L’interessato deve dimostrare l’esistenza di una violazione, di un danno (anche immateriale) e di un nesso di causalità tra i due.
3. Ampia nozione di danno immateriale: Il concetto di danno immateriale include non solo pregiudizi conclamati, ma anche il semplice “timore” che i propri dati personali possano essere oggetto di un futuro utilizzo abusivo da parte di terzi. Questa ansia e preoccupazione, se provate, costituiscono un danno risarcibile.

Il fulcro del contrasto, quindi, risiede nella qualificazione del pregiudizio risarcibile: mentre l’approccio tradizionalista cerca conseguenze negative esteriori e di una certa entità, l’approccio evolutivo della CGUE valorizza anche le conseguenze puramente emotive e psicologiche, come l’ansia e la sensazione di impotenza derivanti dalla perdita di controllo sui propri dati, riconoscendole come un “danno” a tutti gli effetti, a condizione che l’interessato ne dimostri l’effettiva sussistenza.

 Secondo l’impostazione più recente, la perdita di controllo sui dati personali può costituire di per sé un danno risarcibile. In che senso questa nozione rappresenta un’evoluzione rispetto alla concezione classica del danno non patrimoniale?

La nozione di “perdita di controllo sui dati personali” rappresenta una significativa evoluzione rispetto alla concezione classica del danno non patrimoniale, specialmente come inteso nell’ordinamento italiano.

La concezione classica lega il danno non patrimoniale a categorie ben definite, come il danno biologico (lesione dell’integrità psicofisica), il danno morale (sofferenza interiore) e il danno esistenziale (peggioramento della qualità della vita), richiedendo quasi sempre la lesione di un diritto costituzionalmente protetto e il superamento della soglia della “grave lesione”.

L’evoluzione introdotta dal GDPR e interpretata dalla CGUE consiste nel riconoscere una nuova forma di pregiudizio, intrinsecamente legata alla società digitale. Il Considerando 85 del GDPR elenca esplicitamente la “perdita del controllo dei dati personali” tra i possibili danni immateriali derivanti da una violazione. La giurisprudenza europea ha dato concretezza a questa nozione, stabilendo che essa costituisce un danno autonomo e risarcibile.

L’evoluzione si manifesta su più piani:

• Autonomia del pregiudizio: La perdita di controllo è risarcibile anche in assenza di ulteriori conseguenze negative, come perdite finanziarie o un furto d’identità effettivo. Il danno risiede nella lesione del diritto dell’interessato di determinare autonomamente le modalità di trattamento dei propri dati.
• Valorizzazione della dimensione emotiva: La CGUE ha affermato che il “timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi” può, di per sé, costituire un “danno immateriale” risarcibile.
• Irrilevanza della durata: Anche una perdita di controllo di breve durata può causare un danno immateriale risarcibile, a condizione che l’interessato dimostri di averlo effettivamente subito, per quanto minimo.

Questa nozione rappresenta un’evoluzione perché adatta la categoria del danno non patrimoniale alle specificità del mondo digitale, dove il controllo sulle informazioni personali è un bene primario e la sua perdita genera una forma di vulnerabilità e disagio che l’ordinamento ora riconosce come meritevole di tutela risarcitoria.

 La giurisprudenza italiana ha a lungo escluso il danno in re ipsa, richiedendo la prova di una lesione “grave” e non meramente futile. Le pronunce della Corte di Giustizia UE stanno superando definitivamente questa impostazione?

Le pronunce della Corte di Giustizia UE stanno inequivocabilmente superando l’impostazione della giurisprudenza italiana che esclude il risarcimento per danni non “gravi” o meramente “futili”.

La giurisprudenza italiana, inclusa quella della Corte di Cassazione, ha costantemente affermato che il danno non patrimoniale, anche in materia di privacy, “non si sottrae alla verifica della ‘gravità della lesione’ e della ‘serietà del danno’”. Questo orientamento si basa sull’idea che il sistema della responsabilità civile non debba essere gravato da pretese risarcitorie per pregiudizi minimi o insignificanti, in ossequio a un principio di “tolleranza della lesione minima”.

Tuttavia, la CGUE ha adottato una posizione diametralmente opposta e vincolante per i giudici nazionali. In diverse sentenze, ha stabilito che l’articolo 82 del GDPR deve essere interpretato nel senso che:

“…osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità…” (Sentenza della Corte (Terza Sezione) dell’11 aprile 2024. GP contro juris GmbH. Causa C-741/21.)

La Corte ha ulteriormente precisato che non è richiesta una “soglia de minimis” per il danno immateriale affinché possa essere risarcito.

Questo crea un evidente contrasto normativo. L’approccio della Cassazione, che richiede una valutazione di “gravità” e “serietà”, è incompatibile con l’interpretazione del diritto dell’Unione fornita dalla CGUE. Pertanto, i giudici italiani sono tenuti a disapplicare la prassi nazionale e ad attenersi all’interpretazione della Corte di Giustizia, riconoscendo il diritto al risarcimento anche per danni immateriali di lieve entità, a condizione che siano stati effettivamente provati dall’attore. Una recente decisione di merito del giudice nazionale (Tribunale di Latina, n.675 del 9 Maggio 2025) pur citando ancora l’orientamento della Cassazione, mostra la tensione esistente nel tentativo di conciliare i due approcci, ma la prevalenza del diritto europeo e della sua interpretazione autentica da parte della CGUE è un principio cardine dell’ordinamento.

 La sentenza del Tribunale di Lipsia del 29 luglio 2025 ha attribuito rilievo alla pervasività del monitoraggio e al valore economico dei dati per il titolare del trattamento. Che impatto può avere questo criterio sulla quantificazione del danno e sul comportamento delle imprese digitali?

L’introduzione di criteri come la pervasività del monitoraggio o il valore economico dei dati per il titolare del trattamento sarebbe in netto contrasto con la funzione che la CGUE attribuisce al risarcimento previsto dall’art. 82 GDPR. La Corte ha ripetutamente e chiaramente affermato che tale articolo ha una funzione esclusivamente compensativa e non punitiva o deterrente.

La funzione punitiva e deterrente è invece affidata agli articoli 83 e 84 del GDPR, che prevedono sanzioni amministrative pecuniarie e altre sanzioni. La CGUE ha specificato che:

“…la gravità della violazione di tale regolamento che ha causato l’asserito danno materiale o immateriale non può incidere sull’importo del risarcimento concesso ai sensi di tale disposizione. Ne consegue che tale importo non può essere fissato ad un livello che vada oltre la piena compensazione di tale danno” (Sentenza della Corte (Terza Sezione) dell’ 11 aprile 2024. GP contro juris GmbH. Causa C-741/21).

Pertanto, criteri come la “pervasività del monitoraggio” o il “valore economico dei dati” attengono alla gravità della condotta del titolare o al profitto che egli ne trae, e non al “danno concretamente subito” dall’interessato. Utilizzarli per quantificare il risarcimento significherebbe introdurre un elemento punitivo, volto a sanzionare il comportamento del trasgressore, anziché limitarsi a compensare la perdita subita dalla vittima.

L’impatto di un simile criterio, ammesso dal Tribunale di Lipsia nella sentenza citata, è dirompente:

• Sulla quantificazione del danno: Sposta, infatti, il focus dal pregiudizio della vittima alla condotta del colpevole, aprendo a risarcimenti di natura “punitiva” che la CGUE ha escluso.
• Sul comportamento delle imprese: Induce le imprese digitali a riconsiderare non solo la conformità al GDPR per evitare le sanzioni dell’art. 83, ma anche per limitare l’esposizione a risarcimenti civili potenzialmente molto elevati, commisurati al valore dei dati che trattano.

Tuttavia, allo stato attuale della giurisprudenza europea, un simile approccio è da considerarsi non conforme all’interpretazione dell’art. 82 GDPR. Personalmente ritengo che la prospettiva sia molto interessante e vada approfondita anche alla luce di una rimodulazione del concetto di dato personale che non più e semplicemente un quid di natura strettamente personalistica ma un elemento di relazione per il quale e dal quale non è più possibile prescindere per qualsiasi operazione nel mondo sia reale che digitale con la conseguenza che la considerazione sulla pervasività del monitoraggio e del valore economico del dato è sicuramente uno degli elementi da considerare ai fini del “pieno” risarcimento di cui il GDPR discute laddove vi sia una violazione del Regolamento Comunitario (679/16).

5. Nel testo emerge una tensione tra funzione compensativa e funzione deterrente del risarcimento. È ancora sostenibile una lettura dell’art. 82 GDPR come rimedio esclusivamente compensativo?

La tensione tra funzione compensativa e deterrente del risarcimento è stata risolta in modo netto dalla Corte di Giustizia UE. Non è più sostenibile una lettura dell’art. 82 GDPR come rimedio con una funzione primariamente deterrente o punitiva.

La CGUE ha stabilito con giurisprudenza costante che l’art. 82 GDPR “riveste una funzione non punitiva, bensì compensativa”. L’obiettivo è garantire un “pieno ed effettivo risarcimento per il danno subito”, il che significa che l’importo liquidato deve “compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento”.

La funzione deterrente e punitiva è invece assolta da altri strumenti previsti dal Capo VIII del GDPR, in particolare l’art. 83 (sanzioni amministrative pecuniarie) e l’art. 84 (altre sanzioni).La Corte sottolinea che esiste una “differenza” ma anche una “complementarità” tra questi strumenti.

Tuttavia, pur avendo una funzione esclusivamente compensativa, il diritto al risarcimento previsto dall’art. 82 produce un effetto deterrente indiretto. La stessa CGUE riconosce che “il diritto di chiunque a chiedere il risarcimento di un danno rafforza l’operatività delle norme di protezione previste da tale regolamento ed è atto a scoraggiare la reiterazione di comportamenti illeciti”.

In sintesi:

• La funzione dell’art. 82 è puramente compensativa: mira a ristorare il patrimonio (materiale e immateriale) della vittima.
• L’effetto dell’art. 82 può essere anche deterrente: la prospettiva di dover pagare numerosi risarcimenti può incentivare i titolari del trattamento a rispettare le norme.

Io ritengo, in ogni caso, che l’apertura segnalata dal Tribunale di Lipsia apre la porta ad un ripensamento della funzione compensativa del danno in chiave anche deterrente sia in maniera diretta o anche indiretta (di fatto già lo è per quanto appena segnalato). Evidentemente in una economia sempre più digitale e globale un approccio esclusivamente compensativo non assolve alla funzione di “pienezza” risarcitoria richiesta dalla norma anche per le difficoltà processuali inevitabilmente connesse ai soggetti coinvolti.

6. Considerando l’evoluzione giurisprudenziale europea, la “perdita di controllo del dato” può ormai essere considerata una categoria autonoma di danno, capace di rafforzare l’effettività della tutela dei diritti fondamentali nell’economia digitale?

Considerando l’evoluzione giurisprudenziale europea, la “perdita di controllo del dato” può ormai essere considerata una categoria autonoma di danno, capace di rafforzare l’effettività della tutela dei diritti fondamentali nell’economia digitale.

Questa affermazione trova fondamento in diversi elementi:

1. Fonte normativa: Il Considerando 85 del GDPR menziona la “perdita del controllo dei dati personali” come un esempio specifico di danno immateriale che può derivare da una violazione. Questo fornisce una base testuale solida per il suo riconoscimento.
2. Interpretazione della CGUE: La Corte di Giustizia ha dato sostanza a questa nozione. Nella causa C-340/21, ha affermato che la “semplice «perdita di controllo» sui loro dati” rientra nella nozione di danno, anche se non si è ancora verificato un uso abusivo. Nella causa C-456/22, ha confermato che anche una perdita di controllo temporanea può causare un danno risarcibile.
3. Autonomia concettuale: La perdita di controllo è un danno autonomo perché non necessita del verificarsi di un ulteriore pregiudizio (es. finanziario, reputazionale) per essere risarcibile. Il danno consiste nella lesione stessa del diritto all’autodeterminazione informativa e nella conseguente ansia e preoccupazione per la sorte dei propri dati. L’interessato deve provare di aver subito questo stato emotivo negativo, ma non deve attendere che il rischio di abuso si concretizzi.
4. Rafforzamento della tutela: Riconoscere la perdita di controllo come danno autonomo rafforza enormemente l’effettività della tutela. In un’economia basata sui dati, il valore del controllo è fondamentale. Sanzionare la sua perdita con un risarcimento, anche in assenza di altre conseguenze, attribuisce un valore giuridico ed economico concreto al diritto alla protezione dei dati, incentivando i titolari a implementare misure di sicurezza adeguate (principio di “integrità e riservatezza” ex art. 5 GDPR).

In conclusione, la “perdita di controllo del dato” si è affermata, attraverso l’interazione tra il testo del GDPR e l’interpretazione della CGUE, come una categoria di danno immateriale autonoma e specifica dell’era digitale, essenziale per garantire che il diritto al risarcimento previsto dall’art. 82 sia uno strumento di tutela realmente “pieno ed effettivo”.