Richieste di accesso ai dati personali, la Corte UE apre alla possibilità di respingerle se presentate con intento abusivo

Dati personali e richieste di accesso, la Corte di giustizia dell’Unione europea stabilisce che possono essere considerate “eccessive” e quindi respinte se presentate con l’unico scopo di ottenere un risarcimento per una presunta violazione del GDPR. Per ottenere un indennizzo, l’interessato deve dimostrare un danno reale e non causato dal proprio comportamento.

Quando il diritto di accesso diventa strumento di abuso

La vicenda nasce in Germania, dove una persona residente in Austria si era iscritta alla newsletter di una azienda di ottica, fornendo volontariamente i propri dati personali. Solo tredici giorni dopo, la stessa persona ha presentato una richiesta di accesso ai sensi dell’articolo 15 del GDPR.

Il comunicato ricorda che “un interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali” e, in caso positivo, di accedere ai dati e alle informazioni correlate.

L’azienda ha però respinto la richiesta, ritenendola abusiva. Secondo l’azienda ottica, la persona in questione avrebbe presentato numerose richieste simili ad altre imprese, sempre seguite da richieste di risarcimento.

La domanda alla Corte UE: una prima richiesta può essere “eccessiva”?

Il tribunale di Arnsberg ha chiesto alla Corte di giustizia se una prima richiesta di accesso possa essere considerata “eccessiva” ai sensi dell’articolo 12, paragrafo 5, del GDPR, e se l’interessato possa ottenere un risarcimento per il rigetto della richiesta.

La Corte ha risposto affermativamente: “una prima richiesta di accesso può, in determinate circostanze, essere già considerata eccessiva ai sensi del RGPD e quindi abusiva”.

Quando una richiesta diventa abusiva, i criteri indicati dalla Corte

Secondo la Corte, una richiesta è abusiva quando:

• rispetta formalmente i requisiti del GDPR, ma non è presentata per conoscere il trattamento dei dati o verificarne la liceità;
• è finalizzata a «creare artificiosamente le condizioni necessarie per ottenere un risarcimento»;
• il comportamento dell’interessato mostra un pattern sistematico di richieste seguite da domande di indennizzo.

Il documento sottolinea che possono essere considerate anche informazioni pubbliche, come il fatto che l’interessato abbia presentato «diverse richieste di accesso ai propri dati personali, seguite da domande di risarcimento» verso più titolari.

Risarcimento solo se il danno è reale e non autoindotto

La Corte ha ribadito che il GDPR riconosce il diritto al risarcimento per danni materiali o immateriali derivanti da una violazione, compresa la violazione del diritto di accesso.

Tuttavia, precisa che:

• l’interessato deve dimostrare di aver subito un danno effettivo;
• non può ottenere un risarcimento se il danno deriva dal proprio comportamento.

Come riportato nel press release, “l’interessato non può ottenere il risarcimento […] nel caso in cui la causa determinante di detto danno sia il suo proprio comportamento”.

Implicazioni per imprese e cittadini

La sentenza introduce un principio rilevante per il mondo della privacy e della compliance:

• le aziende possono respingere richieste di accesso se dimostrano un intento abusivo;
• non basta invocare il GDPR per ottenere automaticamente un risarcimento;
• il diritto di accesso resta fondamentale, ma non può essere strumentalizzato.

Per i titolari del trattamento, la decisione offre un margine di tutela contro pratiche opportunistiche, purché il rigetto sia adeguatamente motivato e documentato.

GDPR mai pretesto

La Corte UE chiarisce che il GDPR non può essere utilizzato come leva per ottenere risarcimenti pretestuosi. Il diritto di accesso rimane un pilastro della protezione dei dati, ma deve essere esercitato in buona fede. Una pronuncia che rafforza l’equilibrio tra tutela degli interessati e prevenzione degli abusi, offrendo alle imprese un quadro più chiaro per gestire richieste sospette.