Accesso ai dati e abuso del Regolamento (UE) 2016/679 : quando la richiesta diventa strumentale al risarcimento

Corte di Giustizia dell'Unione Europea C-526/24

Massima: Ai sensi degli artt. 12, par. 5, 15 e 82 del Regolamento (UE) 2016/679, anche una prima richiesta di accesso può essere qualificata come "eccessiva" ove il titolare dimostri un intento abusivo dell'interessato, volto non alla verifica del trattamento ma alla creazione artificiosa dei presupposti per un risarcimento.

A cura di Dott.ssa Rosa de Rosa

La sentenza adottata dalla Corte di giustizia dell'Unione europea il 19 marzo 2026 (causa C-526/24) si inserisce nel quadro della disciplina europea in materia di protezione dei dati personali delineata dal Regolamento (UE) 2016/679, con particolare riguardo al diritto di accesso dell'interessato.

Tale diritto, riconosciuto dall'art. 15 GDPR, consente all'interessato di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle informazioni relative alle modalità del trattamento. 

Al contempo, l'art. 12, par. 5, GDPR, introduce un limite, riconoscendo al Titolare del trattamento la possibilità di rifiutare richieste manifestamente infondate o eccessive.

In tale contesto normativo si colloca la pronuncia in esame, che affronta il delicato equilibrio tra esercizio del diritto di accesso e possibile abuso dello stesso.

La vicenda traeva origine da una controversia tra una società di ottica tedesca e un privato che, dopo essersi iscritto alla newsletter presentava una richiesta di accesso ai sensi dell'art. 15 GDPR e, a seguito del rifiuto della società, avanzava una domanda di risarcimento del danno. 

La società sosteneva il carattere abusivo della richiesta, sostenendo che l'interessato avrebbe adottato una prassi ripetitiva consistente nell'iscriversi a servizi online, esercitare il diritto di accesso e successivamente avanzare pretese risarcitorie, con finalità meramente speculative. L'interessato, invece, rivendicava la piena legittimità della propria iniziativa.

Per tale ragione, il giudice nazionale, investito della controversia, sottoponeva alla Corte diverse questioni pregiudiziali, incentrate, in particolare, sulla possibilità di qualificare come "eccessiva" una prima richiesta di accesso e sulla configurabilità del danno risarcibile. Investita della questione, la Corte giunge ad affermare, in primo luogo, che anche una prima richiesta di accesso può, in via eccezionale, essere qualificata come "eccessiva" ai sensi dell'art. 12, par. 5, GDPR, evidenziando come il carattere "eccessivo" non sia limitato alle richieste ripetitive, ma possa emergere anche sotto il profilo qualitativo. Allo stesso tempo, però, riconosce al titolare del trattamento la possibilità di rifiutare la richiesta laddove dimostri, alla luce di tutte le circostanze del caso concreto, l'esistenza di un intento abusivo, consistente nell'utilizzo strumentale del diritto di accesso per finalità diverse da quelle proprie del GDPR, quali, ad esempio, la creazione artificiosa dei presupposti per ottenere un risarcimento. 

Sotto tale profilo, la Corte richiama il principio generale del divieto di abuso del diritto nell'ordinamento dell'Unione, richiedendo la sussistenza di un duplice elemento: oggettivo, consistente nel mancato conseguimento della finalità della norma, pur nel rispetto formale delle sue condizioni; soggettivo, rappresentato dalla volontà di ottenere un vantaggio indebito mediante un uso distorto dello strumento giuridico. Tra gli elementi rilevanti ai fini della valutazione, la Corte indica, tra gli altri, il comportamento complessivo dell'interessato, il contesto in cui i dati sono stati forniti e l'eventuale esistenza di pratiche analoghe nei confronti di altri titolari.

In secondo luogo, la Corte affronta il tema del risarcimento del danno a mente dell'art. 82 del GDPR, affermando che tale disposizione si applica anche alle violazioni del diritto di accesso, indipendentemente dall'esistenza di un trattamento illecito in senso stretto. Ne deriva che il diritto al risarcimento può sorgere anche a fronte del mero rifiuto illegittimo di soddisfare una richiesta di accesso, purché sussistano tre condizioni cumulative, quali, violazione del GDPR, danno materiale o immateriale, nesso causale tra violazione e danno. 

A tal proposito, la Corte precisa che il nesso causale può essere escluso qualora il danno sia stato determinato dal comportamento stesso dell'interessato, come nel caso in esame, quando questi abbia fornito volontariamente i propri dati al solo scopo di creare le condizioni per una successiva richiesta risarcitoria.

Dunque, la pronuncia in esame assume particolare rilievo, in quanto contribuisce a definire i confini tra esercizio legittimo dei diritti riconosciuti dal GDPR e loro uso abusivo. Da un lato, la Corte ribadisce la centralità del diritto di accesso quale strumento essenziale di trasparenza e controllo; dall'altro, introduce un importante correttivo volto a prevenire fenomeni opportunistici e strumentali, salvaguardando l'equilibrio tra tutela dell'interessato e sostenibilità degli obblighi gravanti sui titolari del trattamento. In tal modo, la decisione rafforza l'idea di un sistema di protezione dei dati fondato non solo sull'ampiezza dei diritti riconosciuti, ma anche sul loro esercizio conforme a buona fede e proporzionalità.