Diritto di accesso al bivio: abuso del diritto e nuove frontiere risarcitorie nella sentenza brillen rottler della corte di giustizia europea

La recente pronuncia della Corte di Giustizia dell’Unione Europea (CGUE) nel caso C-526/24, Brillen Rottler, segna un punto di svolta fondamentale nell’applicazione del GDPR, affrontando per la prima volta in modo esplicito il delicato tema dell’abuso del diritto di accesso.

La sentenza si colloca in un punto di frizione evidente nella prassi applicativa, ossia il confine tra l'esercizio di un diritto fondamentale e la sua potenziale strumentalizzazione a fini pretestuosi.

Il caso nasce dal fatto, apparentemente minimale, di un cittadino austriaco che si iscrive alla newsletter di un’azienda di ottica tedesca a conduzione familiare e, decorsi appena tredici giorni, decide di esercitare il diritto di accesso ai propri dati personali, come da art. 15 del Reg. UE 679/2016.

Per mera completezza rammentiamo che l’art. 15 riconosce all’interessato il diritto di:

• ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di accedere a tali dati;
• ricevere una copia dei dati trattati e ottenere una serie di informazioni rilevanti, tra cui le finalità del trattamento, le categorie di dati coinvolti, i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, il periodo di conservazione, nonché l’esistenza di diritti ulteriori come la rettifica, la cancellazione o la limitazione del trattamento etc.

La società titolare del trattamento, Brillen Rottler, nega l’accesso ritenendo la richiesta "eccessiva", ciò in quanto l’interessato - pur essendo la prima istanza che inviava - risultava notoriamente dedito a iscrizioni seriali a newsletter finalizzate esclusivamente all'esercizio strumentale dei propri diritti per il radicamento di cause risarcitorie. Il titolare del trattamento assume tale decisione sulla base di informazioni reperite online, come blog di avvocati e reportage, che descrivono il soggetto come un "litigante seriale".

Con la sentenza di oggi la CGUE stabilisce il dirompente principio secondo cui anche una prima richiesta di accesso può essere considerata "eccessiva" e quindi rifiutata ai sensi dell'art. 12, par. 5 del GDPR. La Corte chiarisce infatti che l'eccessività non è solo quantitativa (legata alla ripetitività), ma può anche essere qualitativa, ovvero legata alla natura stessa dell'istanza.

Per qualificare una condotta come abusiva, la Corte richiama un principio immanente al sistema giuridico dell'Unione, che richiede la concorrenza di due elementi:

• Elemento oggettivo, ossia una deviazione reale dalla ratio della normativa (conoscere e verificare la liceità del trattamento), pur nel rispetto formale della legge,
• Elemento soggettivo, cioè la volontà dolosa dell'interessato di ottenere un vantaggio indebito, creando artificiosamente i presupposti per una violazione.

Se, da un lato, la Corte apre alla categoria dell'abuso del diritto di accesso, dall'altro alza notevolmente la soglia per il rifiuto evidenziando come l'onere probatorio incomba interamente sul titolare del trattamento e debba basarsi su elementi rigorosi e non sul mero “sospetto”.

Un passaggio cruciale della sentenza riguarda infatti la qualità delle prove che, assumendo nel caso in esame le sembianze di informazioni pubblicamente reperibili come blog o reportage online, vengono declassate dalla Corte al rango di meri indizi. Tali prove, definite "ontologicamente fragili", non possono dunque giustificare da sole il diniego di un diritto fondamentale senza essere corroborate da elementi ulteriori e specifici.

Vi è da dire, poi, che gestire le richieste di accesso non è solo un obbligo di compliance delle organizzazioni, ma una prova di maturità organizzativa e una leva reputazionale.

Nel caso Brillen Rottler, trattandosi di una realtà medio-piccola, rispondere alla richiesta non avrebbe comportato sacrifici reali, con la conseguenza che il rigetto appare più una scelta deliberata che una necessità operativa.

Parallelamente, la sentenza segna altresì un significativo ampliamento della tutela risarcitoria. La Corte ha chiarito che, ai fini dell’art. 82 GDPR:

• non occorre la sussistenza di un trattamento illecito in senso stretto, ma è sufficiente una qualsiasi violazione del Regolamento (come il negato accesso non abusivo) che abbia cagionato un danno;
• la perdita di controllo sui dati può costituire un danno risarcibile, anche se deve essere provata e non è soggetta ad automatismi;
• tuttavia, se è l'interessato stesso a determinare deliberatamente la situazione di pregiudizio per "monetizzarla", il nesso causale tra violazione e danno si interrompe.

Sebbene la teorizzazione dell’abuso del diritto sia condivisibile sul piano dottrinale, la sua applicazione pratica appare estremamente scivolosa, prestandosi paradossalmente ad abusi di segno opposto da parte dei titolari del trattamento. Gli esperti hanno già evidenziato diversi punti di frizione della sentenza che potrebbero minare l'effettività del GDPR, quali:

• L'erosione di un presidio di riequilibrio  Il diritto d’accesso è un presidio indispensabile quanto fragile, la cui funzione principale è il riequilibrio informativo tra un titolare in posizione dominante e un interessato strutturalmente debole. Indebolire questo snodo significa compromettere l'intero "ecosistema" dei diritti e senza la consapevolezza derivante dall'accesso, l'interessato non può verificare la liceità del trattamento né esercitare rettifica, cancellazione o opposizione;
• Il rischio della "profilazione negativa"  Basare il rifiuto sul pregresso soggettivo del richiedente introduce il pericolo di una "prova per reputazione", in cui il sospetto precede l’accertamento concreto. Questo rischia di creare una categoria di cittadini con diritti attenuati o azzerati a causa della loro condotta passata, trasformando la valutazione del titolare in una forma di profilazione negativa essa stessa problematica;
• Un labirinto di discrezionalità e assenza di metriche  La mancanza di parametri oggettivi (ad esempio, quanti giorni debbano intercorrere tra un'iscrizione e una richiesta per non apparire sospetti) lascia ampio spazio ad apprezzamenti soggettivi. Affidare al titolare — spesso in conflitto di interessi — il compito di determinare l'intenzione "impalpabile" dell'interessato rischia di generare un'incertezza giuridica nociva per la certezza del diritto;
• Il pericolo di una "normalizzazione al ribasso" Esiste il timore sistemico che i titolari utilizzino questa sentenza come una legittimazione preventiva o un argomento difensivo standardizzato per giustificare inerzie o dinieghi immotivati.

La Corte si muove evidentemente su un crinale sottile perché se, da un lato, riconosce la necessità di difendersi da pratiche opportunistiche, dall'altro impone criteri probatori talmente rigorosi che l'abuso potrebbe restare una figura di principio difficilmente applicabile, lasciando i titolari comunque esposti a dinamiche contenziose difficili da neutralizzare.

In conclusione, la sentenza non deve essere letta come una "legittimazione preventiva" al rigetto delle istanze perché il diritto di accesso resta la regola, e l'abuso l'eccezione da interpretare in senso stretto.