Un’ottica a conduzione familiare con sede ad Arnsberg, in Germania, è diventata il riferimento di una sentenza che interessa l’intera platea delle imprese europee attive online. La Corte di giustizia dell’Unione europea ha risposto a una domanda di rinvio pregiudiziale posta dal tribunale circoscrizionale della stessa città, sciogliendo due nodi che da anni agitano chi gestisce dati personali nell’ambito di attività digitali: fino a dove arriva il diritto di accesso garantito dal GDPR, e quando il suo esercizio smette di essere legittimo per trasformarsi in uno strumento di pressione economica verso le aziende.
Il caso Brillen Rottler e lo schema delle iscrizioni strategiche
Il procedimento trae origine da una vicenda avviata nel marzo 2023. Un privato residente in Austria si era iscritto volontariamente alla newsletter della Brillen Rottler, inserendo i propri dati nel modulo disponibile sul sito dell’azienda ed esprimendo il consenso al trattamento. Tredici giorni dopo aveva inviato via fax una richiesta formale di accesso ai sensi dell’articolo 15 del GDPR, il diritto che consente a qualsiasi interessato di sapere se i propri dati vengono trattati, con quali finalità e secondo quali modalità. L’azienda aveva rifiutato di rispondere, ritenendo la richiesta strumentale: fonti pubbliche disponibili online (articoli di blog, newsletter di studi legali, servizi giornalistici specializzati) documentavano come la stessa persona avesse replicato lo stesso schema con numerose altre imprese, iscrivendosi alle newsletter, presentando poi richiesta di accesso e avanzando infine pretese risarcitorie quando i titolari del trattamento non rispondevano nei tempi previsti dal regolamento.
Dopo il rifiuto, anche in questo caso era arrivata la richiesta di almeno mille euro per danno immateriale.
Il tribunale circoscrizionale di Arnsberg, investito della controversia, ha ritenuto di non poter decidere autonomamente su questioni di questa portata e ha sottoposto alla Corte di giustizia otto quesiti pregiudiziali. Le risposte arrivate il 19 marzo scorso ridisegnano in modo preciso i confini entro cui si muovono sia i diritti degli interessati sia le facoltà di difesa dei titolari del trattamento, con effetti diretti su tutti i procedimenti analoghi pendenti nei tribunali degli Stati membri, poiché le pronunce pregiudiziali della Corte vincolano l’intera giurisdizione europea su questioni di interpretazione del diritto UE.
Quando una richiesta di accesso diventa abusiva secondo la Corte
Sul primo nodo – le condizioni in cui una richiesta di accesso può essere considerata eccessiva e quindi respinta – la Corte ha chiarito che anche una prima richiesta, formalmente conforme ai requisiti dell’articolo 15 del GDPR, può essere rifiutata se il titolare del trattamento dimostra che il suo scopo reale era costruire artificiosamente i presupposti per ottenere un risarcimento, piuttosto che conoscere o verificare la liceità del trattamento. Il punto non è il numero di richieste presentate in passato – un elemento che da solo non basta – ma la finalità perseguita nel caso concreto. A tal fine, la Corte indica come rilevanti diversi indicatori da valutare complessivamente: il fatto che i dati siano stati forniti volontariamente dall’interessato senza alcuna costrizione, la finalità dichiarata dell’iscrizione, il tempo intercorso tra la registrazione e la richiesta, e il comportamento complessivo dell’interessato documentato da fonti pubblicamente accessibili. La combinazione di questi elementi, letta in modo sistematico, può consentire al titolare di dimostrare l’intento abusivo con un grado di certezza sufficiente a giustificare il rifiuto. L’onere della prova rimane in capo all’azienda, e il giudice nazionale è chiamato a valutare tutte le circostanze del caso specifico prima di pronunciarsi.
La sentenza non riduce in alcun modo la portata del diritto di accesso come strumento di trasparenza e controllo: la Corte ribadisce che si tratta di un diritto centrale nell’impianto del RGPD, la cui limitazione va interpretata in modo rigoroso e circoscritto a ipotesi eccezionali.
Il nodo del risarcimento e le conseguenze per le imprese digitali
Sul versante risarcitorio, la pronuncia affronta una questione che negli ultimi anni ha generato un contenzioso seriale in diversi Paesi europei: se la sola violazione del diritto di accesso – indipendentemente dalla liceità del trattamento sottostante – sia sufficiente a far scattare l’obbligo di risarcimento ai sensi dell’articolo 82 del RGPD. La Corte ha confermato che una violazione del diritto di accesso può dare origine a responsabilità risarcitoria anche quando il trattamento dei dati in sé fosse perfettamente regolare. Questo è un punto di espansione importante della platea dei casi potenzialmente risarcibili. Al tempo stesso, i giudici hanno ribadito con chiarezza che il risarcimento presuppone la prova concreta di un danno effettivo e di un nesso causale diretto con la violazione subita: la sola irregolarità formale non produce automaticamente un diritto al ristoro economico. A ciò si aggiunge il principio – affermato in modo esplicito per la prima volta in questo contesto – secondo cui chi ha causato il danno con il proprio comportamento non può pretendere di essere risarcito dal titolare del trattamento. In altri termini, chi costruisce artificiosamente le condizioni per far scattare una violazione, con l’unico scopo di monetizzarla, non può poi far valere quella stessa violazione come fonte di danno risarcibile a proprio favore.
Per le imprese europee che gestiscono dati personali attraverso siti, newsletter, applicazioni o piattaforme digitali, la sentenza Brillen Rottler offre uno strumento difensivo concreto, ma impone anche un approccio documentato e proattivo alla gestione delle richieste di accesso. Rifiutare senza prove adeguate resta rischioso: la Corte non ha abbassato la soglia probatoria richiesta alle aziende, e chi sbaglia nella gestione ordinaria delle richieste legittime continua a essere esposto a conseguenze risarcitorie. Il procedimento torna ora al tribunale di Arnsberg per la decisione definitiva, che dovrà applicare i criteri europei alla controversia concreta tra le parti.
