A partire dal 2017, la O¨sterreichische Post ha raccolto informazioni sulle affinita` politiche della popolazione austriaca. Con l’ausilio di un algoritmo, essa ha definito «indirizzi di gruppi destinatari», secondo taluni criteri sociali e demografici. I dati cosi` raccolti hanno indotto la O¨sterreichische Post a stabilire che un determinato cittadino aveva un’elevata affinita` con un determinato partito politico austriaco. Per contro, i dati trattati non sono stati trasferiti a terzi.

Il cittadino coinvolto, che non aveva acconsentito al trattamento dei suoi dati personali, afferma di aver provato una grave contrarieta`, una perdita di fiducia, nonche´ un sentimento di umiliazione a causa della particolare affinita` che era stata stabilita con il partito in questione. A titolo di risarcimento del danno immateriale che ritiene di avere subito, egli reclama dinanzi ai giudici austriaci un importo di 1000 euro.

La Corte suprema austriaca ha espresso dubbi in merito alla portata del diritto al risarcimento che il regolamento generale sulla protezione dei dati1 prevede in caso di danno materiale o immateriale derivante da una violazione di tale regolamento. Tale organo giurisdizionale chiede alla Corte di giustizia se la mera violazione del RGPD sia sufficiente per conferire il suddetto diritto e se il risarcimento sia possibile solo oltre un determinato grado di gravita` del danno immateriale subito. Esso desidera anche sapere quali siano i requisiti del diritto dell’Unione in ordine alla determinazione dell’importo del risarcimento.

Con sentenza del 4 maggio 2023, nella causa C-300/21, la Corte di Giustizia dell'UE ha enunciato che:

1. il diritto al risarcimento previsto dal RGPD e` subordinato in modo univoco a tre condizioni cumulative: una violazione del RGPD, un danno materiale o immateriale derivante da tale violazione e un nesso di causalita` tra il danno e la violazione. Pertanto, qualsiasi violazione del RGPD, da sola, non da` diritto al risarcimento.

2.il diritto al risarcimento non e` riservato ai danni immateriali che raggiungono una determinata soglia di gravita`. Il RGPD non menziona un requisito del genere e una tale restrizione sarebbe in contraddizione con l’ampia concezione delle nozioni di «danno» o di «pregiudizio», adottata dal legislatore dell’Unione. Per giunta, subordinare il risarcimento di un danno immateriale ad una determinata soglia di gravita` rischierebbe di nuocere alla coerenza del regime istituito dal RGPD. Infatti, la graduazione da cui dipenderebbe la possibilita` o meno di ottenere il risarcimento potrebbe variare in funzione della valutazione dei giudici aditi.

3.Per quanto riguarda, le norme relative alla valutazione del risarcimento, il RGPD non contiene disposizioni aventi tale oggetto. Spetta dunque all’ordinamento giuridico di ciascuno Stato membro fissare le modalita` delle azioni intese a garantire la salvaguardia dei diritti derivanti per i singoli dal RGPD a tal riguardo e, in particolare, i criteri che consentono di determinare l’entita` del risarcimento dovuto in tale contesto, fatto salvo il rispetto dei principi di equivalenza e di effettivita`. A tal proposito, la Corte sottolinea la funzione compensativa del diritto al risarcimento previsto dal RGPD e ricorda che tale strumento tende a garantire un risarcimento pieno ed effettivo del danno subito.