L’Avvocato Generale Sánchez-Bordona propone un’interpretazione evolutiva del GDPR che apre alla legittimazione autonoma dell’azione inibitoria personale
1. Premessa metodologica
Le conclusioni di ieri, 20 marzo 2025, rese nell’ambito della causa C-655/23, offrono un contributo interpretativo potenzialmente dirompente in tema di tutela giurisdizionale contro i trattamenti illeciti di dati personali.
L’Avvocato Generale, pur nella consueta veste non vincolante, propone una ricostruzione sistematica e teleologica del Regolamento (UE) 2016/679 (GDPR) tale da legittimare l’azione inibitoria autonoma dell’interessato.
Il cuore dell’argomentazione risiede nella possibilità, per l’interessato, di ottenere un provvedimento giudiziale che imponga al titolare del trattamento di astenersi dal reiterare condotte già ritenute illecite — anche a prescindere dalla richiesta di cancellazione dei dati o da eventuali azioni risarcitorie.
2. Il fatto scatenante e il quadro normativo di riferimento
La vicenda trae origine da una divulgazione indebita di dati personali: un messaggio, contenente informazioni riservate su un’offerta retributiva, veniva erroneamente inviato da una dipendente di una banca a un soggetto terzo, estraneo alla procedura di selezione.
Il ricorrente chiede quindi alla giustizia tedesca:
- un risarcimento del danno immateriale subito,
- e un’ingiunzione volta a impedire che simili trattamenti illeciti si ripetano in futuro.
Il giudice del rinvio ha sollevato sei questioni pregiudiziali, tra cui spiccano quelle relative alla natura autonoma dell’azione inibitoria e alla compatibilità tra risarcimento e misura preventiva.
3. L’azione inibitoria nel GDPR: una previsione implicita
Sánchez-Bordona prende le mosse da un punto strutturale: il GDPR non contempla espressamente l’azione inibitoria individuale. Tuttavia, secondo l’Avvocato Generale, ciò non equivale a una negazione implicita del diritto.
Con una costruzione robusta, egli ricava la fonte normativa dell’azione inibitoria da un combinato disposto di:
- art. 5, par. 1, lett. a) (principio di liceità, correttezza e trasparenza);
- art. 6, par. 1 (basi di legittimità del trattamento);
- art. 79, par. 1 (diritto a un ricorso giurisdizionale effettivo);
- art. 82, par. 1 (diritto al risarcimento del danno).
Ne emerge che l’interessato ha un vero e proprio ius ad abstinendum: un diritto soggettivo ad ottenere che non si reiteri un trattamento illecito già accertato.
Questo diritto non è alternativo alla cancellazione o alla limitazione, ma coessenziale all’effettività della tutela giurisdizionale.
4. L’inidoneità degli articoli 17 e 18 a fondare un’azione inibitoria
L’Avvocato Generale chiarisce che:
- l’art. 17 GDPR tutela il diritto alla cancellazione (non alla prevenzione di futuri illeciti),
- l’art. 18 GDPR consente solo la limitazione del trattamento in situazioni specifiche e temporanee.
Di conseguenza, l’azione inibitoria non può fondarsi su tali articoli, se l’interessato non chiede la cancellazione né si oppone alla stessa.
5. Il ruolo del rischio di recidiva
Viene affrontato anche il tema della recidiva: è necessario dimostrare un rischio concreto affinché l’azione inibitoria sia accolta?
L’Avvocato Generale si mostra pragmatico:
- spetta agli ordinamenti nazionali regolare le condizioni dell’azione,
- è legittimo presumere la recidiva, in via iuris tantum, a partire da una violazione già avvenuta,
- questa presunzione può essere vinta dal titolare, qualora dimostri l’assenza di rischio futuro.
6. Azione inibitoria e risarcimento: rimedi distinti e non concorrenti
Un aspetto sottile ma fondamentale è la compatibilità fra risarcimento del danno immateriale e azione inibitoria.
L’Avvocato Generale nega recisamente che l’esercizio di un’azione inibitoria possa incidere sulla quantificazione del risarcimento ex art. 82 GDPR:
- il risarcimento ha funzione compensativa,
- l’azione inibitoria ha funzione preventiva e deterrente.
Non vi è sovrapposizione funzionale, né può ipotizzarsi che la concessione di un provvedimento inibitorio costituisca una forma di “soddisfazione” tale da giustificare la riduzione del quantum risarcitorio.
7. Considerazioni conclusive
Le conclusioni dell’Avvocato Generale Sánchez-Bordona costituiscono quello che potremmo ben definire un manifesto interpretativo per un’espansione coerente e sistematica delle garanzie del GDPR, colmando un vuoto normativo in tema di tutela preventiva dei dati personali.
Il suggerimento alla Corte è chiaro:
l’interessato dispone di un diritto autonomo a che il titolare si astenga da trattamenti illeciti futuri, fondato direttamente sul GDPR, e azionabile in giudizio senza necessità di invocare norme nazionali.
Implicazioni pratiche
In attesa della decisione della Corte, queste conclusioni rafforzano la tutela sostanziale dei dati personali, valorizzano la figura dell’interessato come soggetto attivo della protezione, e forniscono una chiave interpretativa utile a giurisdizioni nazionali che dovessero affrontare casi simili.
Il futuro della protezione giurisdizionale proiettata in avanti è ora nelle mani della Corte di Giustizia. Se ne accoglierà la logica, il GDPR si arricchirà di una tutela esplicita contro la reiterazione degli illeciti: un passo cruciale verso una protezione realmente effettiva.
Michele De Luca
Ultimi post di Michele De Luca (vedi tutti)
- Protezione dei dati e azioni inibitorie: verso un ampliamento delle tutele? - 21 Marzo 2025
- La notifica di atti estranei all’attività professionale è valida anche se fatta all’indirizzo PEC professionale - 23 Gennaio 2025
- La Sopraelevazione e il Divieto per Inidoneità Statica: Presunzioni di Pericolosità e Onere della Prova - 5 Dicembre 2024
- in caso di impossibilità di deposito telmatico per cause esterne, il giudice di merito deve valutare l’oggettività dell’impedimento - 26 Novembre 2024
- La notifica telematica e la saturazione della casella PEC: analisi della sentenza della Cassazione Civile, Sezioni Unite, n. 28452/2024 - 6 Novembre 2024
