La Commissione Europea è stata condannata dal Tribunale dell’Unione Europea a risarcire il danno morale patito da un interessato per violazione del diritto al controllo sui propri dati personali.
Il caso ha riguardato un cittadino residente in Germania il quale ha lamentato la violazione da parte della Commissione del diritto alla protezione dei suoi dati personali in occasione della consultazione da parte dello stesso, nel 2021 e nel 2022, del sito internet della Conferenza sul futuro dell’Europa, gestito dalla Commissione. Più precisamente, egli si era registrato tramite il sito per l’evento «GoGreen», utilizzando il servizio di autenticazione EU Login della Commissione e scegliendo l’opzione offerta di accedere utilizzando il proprio account Facebook.
L’interessato ha rappresentato come, in occasione delle sue consultazioni di tale sito Internet, taluni dati personali ad esso appartenenti sarebbero stati trasferiti verso destinatari stabiliti negli Stati Uniti, ossia verso la società Meta Platforms, Inc. Orbene, al tempo dei fatti gli Stati Uniti non avevano ancora un livello di protezione adeguato, di conseguenza tali trasferimenti avrebbero dato luogo ad un rischio di accesso ai dati da parte dei servizi americani di sicurezza e di intelligence. Inoltre, la Commissione non avrebbe menzionato alcuna delle garanzie adeguate idonee a giustificare tali trasferimenti, ingenerando nell’interessato un danno morale consistente nella perdita del controllo dei suoi dati e in una privazione dei suoi diritti e delle sue libertà.
Il risarcimento richiesto aveva natura simbolica e la condanna si è limitata all’importo di 400 euro. A tal riguardo, sembra comunque opportuno sottolineare come il tribunale abbia riconosciuto un risarcimento che, nel contesto italiano, sarebbe probabilmente stato negato per carenza del cosiddetto ‘danno conseguenza’, in quanto, il Tribunale ora, e la giurisprudenza della CGUE prima, dicono che il danno può rinvenirsi nell’esposizione al “pericolo” di un pregiudizio, che deriva dalla perdita del controllo sui propri dati personali.
Di seguito i passaggi più rilevati:
“195 Il ricorrente afferma che il trasferimento illegittimo del suo indirizzo IP a un’impresa stabilita negli Stati Uniti gli ha causato un danno morale consistente nella perdita del controllo dei suoi dati e in una privazione dei suoi diritti e delle sue libertà.
196 A tal riguardo, si deve considerare che l’articolo 65 del regolamento 2018/1725 dà diritto a un risarcimento non solo del danno materiale, ma anche del danno morale subito a causa di una violazione di tale regolamento, senza che sia necessario dimostrare una qualsivoglia soglia di gravità [v., in tal senso e per analogia, sentenza del 4 maggio 2023, Österreichische Post (Danno morale connesso al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 45 e 51].
197 Nel caso di specie, il danno morale invocato dal ricorrente deve essere considerato reale e certo, ai sensi della giurisprudenza richiamata al precedente punto 54, in quanto il trasferimento menzionato al precedente punto 188, effettuato in violazione dell’articolo 46 del regolamento 2018/1725, ha posto il ricorrente in una situazione di incertezza quanto al trattamento dei suoi dati personali, in particolare del suo indirizzo IP.
198 Inoltre, sussiste un nesso di causalità sufficientemente diretto, ai sensi della giurisprudenza richiamata al precedente punto 55, tra la violazione, da parte della Commissione, dell’articolo 46 del regolamento 2018/1725 e il danno morale subito dal ricorrente.
199 Nelle circostanze del caso di specie, occorre valutare ex aequo et bono l’importo del danno morale causato dalla Commissione nella somma di EUR 400.
200 Di conseguenza, occorre condannare la Commissione a versare al ricorrente la somma di EUR 400 a titolo di risarcimento del danno morale subito a seguito del trasferimento controverso in occasione della connessione con EU Login del 30 marzo 2022“.
Il testo completo della pronuncia è consultabile qui.
