10.000 euro di danni per una risposta ritardata alla richiesta di informazioni di un ex dipendente? Il tribunale del lavoro di Duisburg ha ordinato a un'azienda di pagare una somma sorprendentemente alta, ma alla fine è stato contrastato dal Tribunale federale del lavoro (BAG): sebbene i giudici potessero comprendere la rabbia, non l'hanno ritenuta sufficiente per il risarcimento del GDPR.
Perdita di controllo dovuta a informazioni tardive?
Il ricorrente è stato impiegato dalla convenuta per tutto il mese di dicembre 2016 e quindi per un breve periodo di tempo. Nel 2020 ha chiesto e ricevuto informazioni sul trattamento dei suoi dati personali ai sensi dell'art. 15 GDPR. Due anni dopo, nell'ottobre 2022, ha presentato un'altra richiesta di informazioni. Voleva verificare se i dati fossero ancora trattati. Il convenuto inizialmente non ha risposto, quindi l'attore ha reiterato la richiesta di informazioni, fissando una scadenza. Solo dopo un'altra richiesta il convenuto ha fornito una risposta, che l'attore ha contestato in quanto incompleta.
L'attore ha quindi richiesto danni morali dovuti alla perdita di controllo sui propri dati e ha chiesto un risarcimento di almeno 2.000 euro. Il Tribunale del lavoro di Duisburg ha condannato il convenuto a pagare un risarcimento di 10.000 euro. In appello, tuttavia, il Tribunale del lavoro di Düsseldorf ha respinto la richiesta. Il BAG ha infine confermato questo licenziamento.
L'uso improprio dei dati deve essere oggettivamente rintracciabile
Nella sua decisione del 20 febbraio 2025 (8 AZR 61/24), il Tribunale federale del lavoro chiarisce che una richiesta di risarcimento per danni morali ai sensi dell'art. 82 par. 1 GDPR sussiste solo se il ricorrente può dimostrare e provare un danno concreto. In primo luogo, la Corte sottolinea che una violazione del Regolamento generale sulla protezione dei dati da sola - come un ritardo nel fornire informazioni ai sensi dell'art. 15 GDPR - non dà automaticamente luogo a una richiesta di risarcimento. Piuttosto, devono essere soddisfatte cumulativamente tre condizioni: una violazione del regolamento, un danno specifico e un nesso causale tra i due.
Nel caso specifico, il ricorrente non era riuscito a dimostrare l'effettiva perdita di controllo sui propri dati personali. Il tribunale ha sottolineato che non è stata addotta né una fuoriuscita non autorizzata di dati né un uso improprio degli stessi. La mera allegazione di reazioni emotive, come preoccupazione o rabbia, non è giuridicamente sufficiente per stabilire un danno immateriale ai sensi del GDPR. Il fattore decisivo è l'esistenza di un timore oggettivamente comprensibile e giustificato di un uso improprio dei dati - un rischio meramente ipotetico non è sufficiente.
Nella sua sentenza, il BAG fa riferimento alla Corte di Giustizia dell'Unione Europea: "La Corte di Giustizia dell'Unione Europea intende quindi la perdita di controllo solo come una situazione in cui l'interessato ha un fondato timore di abuso dei dati. La semplice invocazione di un certo stato emotivo non è sufficiente. Piuttosto, il tribunale deve esaminare se il sentimento "può essere considerato fondato" tenendo conto delle circostanze specifiche (CGCE C-340/21). Ciò richiede l'applicazione di uno standard oggettivo. Quanto più gravi sono le conseguenze di una violazione del Regolamento generale sulla protezione dei dati, tanto più è probabile che vi sia un fondato timore di abuso dei dati. Ad esempio, la pubblicazione di dati sensibili su Internet a causa di una fuga di dati costituisce di norma una base per tali timori. Al contrario, un semplice ritardo nel fornire informazioni non costituisce di per sé una perdita di controllo sui dati ai sensi del GDPR. rischio di uso improprio, ma solo un ritardo nel fornire le informazioni".
Il BGH ammette che la perdita di controllo sia sufficiente per i danni da GDPR
A differenza del BAG, il BGH ammette che una presunta perdita di controllo sia sufficiente per il risarcimento dei danni.
Ad esempio, nella sua sentenza di scraping contro Facebook, la Corte federale di giustizia ha rafforzato le richieste di risarcimento danni non materiali di coloro che sono stati colpiti da violazioni della protezione dei dati. Riconoscendo come danno la semplice perdita di controllo, non è più necessario dimostrare conseguenze psicologiche o materiali concrete.
Suggerimento di lettura: Scraping di Facebook: il BGH riconosce agli utenti un risarcimento danni
Nella sentenza dell'11 febbraio 2025 (caso n. VI ZR 365/22), la Corte federale di giustizia ha inoltre riconosciuto che la perdita di controllo sui dati personali può già costituire un danno morale risarcibile, anche senza la necessità di provare un ulteriore svantaggio specifico.
Tuttavia, il BGH limita regolarmente il danno a un basso importo a tre cifre, il che rende il risarcimento quasi simbolico.
Implicazioni per la pratica
In futuro, i dipendenti o ex dipendenti interessati dovranno presentare danni immateriali concreti e comprensibili. Sentimenti generici come rabbia o frustrazione ("essere infastiditi") non sono più sufficienti. Questo aumenta significativamente gli ostacoli per le richieste di risarcimento danni.
Le aziende responsabili, invece, possono tirare un sospiro di sollievo: una violazione del GDPR in un contesto di diritto del lavoro non comporta automaticamente una richiesta di pagamento. Tuttavia, rimane l'obbligo di fornire informazioni complete in modo tempestivo, anche per evitare danni all'immagine e alla reputazione.
Fonte: Sentenza del Tribunale federale del lavoro del 20 febbraio 2025 (8 AZR 61/24)
Italian 
German 
English 
French