Una persona residente in Austria si è iscritta alla newsletter dell’impresa di ottica a conduzione familiare Brillen Rottler, con sede ad Arnsberg, in Germania, inserendo i propri dati personali nel modulo di iscrizione disponibile sul sito Internet dell’impresa.
Tredici giorni dopo, essa ha presentato alla Brillen Rottler una richiesta di accesso ai sensi del regolamento generale sulla protezione dei dati (RGPD) 1. Ai sensi di tale regolamento 2, un interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, quando vi sia in corso un trattamento, il diritto di accedere a tali dati e alle relative informazioni.
La Brillen Rottler ha respinto la richiesta, ritenendola abusiva. Secondo la Brillen Rottler, da vari servizi giornalistici, contenuti di blog e newsletter di avvocati risulta che tale persona si iscrive sistematicamente alle newsletter di varie imprese, prima di presentare una richiesta di accesso e poi una domanda di risarcimento. Detta persona ha invece ritenuto che la sua richiesta di accesso fosse legittima e ha chiesto alla Brillen Rottler un risarcimento di almeno 1 000 euro a titolo di risarcimento del danno immateriale che essa sostiene di aver subito a causa del rigetto di tale richiesta di accesso.
Il tribunale circoscrizionale di Arnsberg, investito della controversia tra la Brillen Rottler e tale persona in merito alla legittimità della richiesta di accesso e della domanda di risarcimento, ha chiesto alla Corte di giustizia se una prima richiesta di accesso ai dati personali presentata dall’interessato possa essere considerata “eccessiva” e se detto interessato abbia diritto al risarcimento del danno derivante da una violazione del diritto di accesso a tali dati.
La Corte risponde che una prima richiesta di accesso può, in determinate circostanze, essere già considerata “eccessiva” ai sensi del RGPD 3 e quindi abusiva. È quanto avviene nel caso in cui il titolare del trattamento dimostri che, nonostante il rispetto formale delle condizioni previste dal RGPD per la presentazione di una richiesta di accesso, tale richiesta è stata presentata non per prendere conoscenza del trattamento dei dati e verificarne la liceità 4, ma con l’intento, qualificabile come «abusivo», di creare artificiosamente le condizioni necessarie per ottenere un risarcimento ai sensi del RGPD 5.
Il fatto che, secondo informazioni accessibili al pubblico, l’interessato abbia presentato diverse richieste di accesso ai propri dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento può essere preso in considerazione al fine di stabilire l’esistenza di tale intento abusivo.
Inoltre, una persona che subisca un danno materiale o immateriale causato da una violazione del RGPD 6, ivi compresa una violazione del diritto di accesso ai propri dati personali, ha il diritto di ottenere dal titolare del trattamento il risarcimento di tale danno. La Corte precisa tuttavia che, per ottenere detto risarcimento, l’interessato deve dimostrare, in particolare, di aver effettivamente subito tale danno. Inoltre, detto interessato non può ottenere il risarcimento del danno 7 ai sensi del RGPD nel caso in cui la causa determinante di detto danno sia il suo proprio comportamento.
Spetta al tribunale circoscrizionale di Arnsberg decidere sulla controversia tenendo conto delle risposte fornite dalla Corte.
