Aristotelis Zervos
Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.
Nella decisione „Brillen Rottler“, la Corte di giustizia europea ha chiarito i limiti del diritto all'informazione ai sensi dell'articolo 15. GDPR e, allo stesso tempo, i contorni del risarcimento ai sensi del diritto dell'UE in conformità con l'art. 82 GDPR affilata. Secondo la Corte di giustizia europea, anche una prima richiesta di informazioni può essere „eccessiva“ ai sensi dell'articolo 12 (5) del GDPR. GDPR essere, se il Persone responsabili dimostrare che la richiesta non serve a controllare il trattamento dei dati, ma è fatta impropriamente per creare artificiosamente richieste di risarcimento danni.
La richiesta di informazioni viene respinta per eccesso
In pratica, le richieste di informazioni ai sensi dell'art. 15 GDPR ai diritti più importanti degli interessati. Per Persone responsabili Tuttavia, essi rappresentano regolarmente un'area di tensione. Da un lato, la Diritto all'informazione uno strumento di trasparenza fondamentale e un prerequisito per la realizzazione effettiva di ulteriori Diritti degli interessati. D'altra parte, è in aumento il numero di costellazioni in cui le richieste di informazioni non sono ovviamente basate in primo luogo su Trasparenza, ma di generare pressioni, costi o richieste di risarcimento danni.
La Corte di giustizia europea doveva ora decidere su un rinvio da parte del Tribunale di Arnsberg. Il colpiti La persona si era iscritta alla newsletter di un'azienda di ottica e così facendo Dati personali nel modulo online. Solo 13 giorni dopo, ha presentato una richiesta di informazioni ai sensi dell'art. 15 del regolamento. GDPR. La società Brillen Rottler ha respinto la richiesta in quanto abusiva. Dai vari resoconti dei media, dai post sui blog e dai resoconti degli avvocati è emerso che il richiedente si è sistematicamente registrato per ricevere newsletter da varie società, poi ha chiesto informazioni e infine ha preteso un risarcimento. Il colpiti Person, invece, ha ritenuto legittima la sua richiesta e ha chiesto almeno 1.000 euro di danni morali per il rifiuto di fornire informazioni.
La Corte ha quindi dovuto rispondere a due domande pratiche molto rilevanti: a quali condizioni una richiesta di informazioni può essere respinta in quanto eccessiva e abusiva? E se la violazione del diritto all'informazione in quanto tale possa dar luogo a una richiesta di risarcimento danni ai sensi dell'art. 82 del Codice Civile. GDPR giustificare?
La prima richiesta di informazioni può essere eccessiva
La prima conclusione centrale della Corte di giustizia europea è che una richiesta di informazioni non deve essere stata fatta ripetutamente per essere considerata eccessiva ai sensi dell'articolo 12 (5) del GDPR. GDPR da applicare. Sebbene la norma menzioni esplicitamente la „ripetizione frequente“, questa è solo a titolo di esempio. La Corte respinge quindi qualsiasi visione schematica secondo la quale una prima applicazione non può mai essere concettualmente eccessiva.
Con la sua decisione, la Corte di giustizia europea si ricollega alla formulazione e al sistema della Convenzione di Ginevra. GDPR an. Nel linguaggio comune, il termine „eccessivo“ descrive un comportamento che supera ciò che è ragionevole o ammissibile. Tuttavia, ciò non significa che si possa parlare solo di eccessi quantitativi. Anche un'applicazione qualitativamente abusiva può essere eccessiva. Allo stesso tempo, la Corte sottolinea che l'art. 12 par. 5 GDPR come un'eccezione al fondamentale esercizio libero e facilitato del diritto di proprietà. Diritti degli interessati deve essere interpretato in modo restrittivo. Pertanto, l'ipotesi di un'applicazione iniziale eccessiva è soggetta a standard elevati.
Ai fini pratici, è particolarmente importante che la CGUE abbia riconosciuto l'art. 12, par. 5, del Trattato CE. GDPR nel principio generale dell'abuso ai sensi del diritto dell'UE. Diritti degli interessati non devono essere strumentalizzati in modo fraudolento o abusivo. La sentenza rafforza quindi i responsabili quando le applicazioni non sono chiaramente utilizzate per il controllo della protezione dei dati, ma per la produzione di richieste di risarcimento.
È richiesta la prova dell'intenzione di abusare
La Corte di giustizia richiede una valutazione complessiva di tutte le circostanze rilevanti per ipotizzare un'applicazione abusiva eccessiva. Il fattore decisivo è se l'applicazione soddisfa effettivamente lo scopo dell'art. 15. GDPR cioè di prendere coscienza della Elaborazione e il controllo della loro legalità. Se questo scopo manca e l'obiettivo è invece quello di creare artificialmente le condizioni per un vantaggio finanziario da parte della GDPR per creare un nuovo lavoro, ciò potrebbe costituire un uso improprio.
La Corte di giustizia europea cita diverse circostanze che possono essere prese in considerazione in questa valutazione:
- la fornitura volontaria di dati,
- lo scopo di questa disposizione,
- il breve intervallo di tempo che intercorre tra la fornitura di dati e la richiesta di informazioni e
- il comportamento complessivo della persona interessata.
Va sottolineato in particolare che possono essere prese in considerazione anche le informazioni disponibili al pubblico su un approccio sistematico. Tuttavia, tali informazioni non sono sufficienti da sole. Possono essere un'indicazione, ma devono essere confermate da altre circostanze. Ciò corrisponde anche al carattere eccezionale dell'articolo 12, paragrafo 5. GDPR. Secondo la Corte di giustizia europea, una prima applicazione può essere abusiva se non è soggetta al controllo del Elaborazione, ma serve esclusivamente a creare le condizioni per il risarcimento. Diversi casi simili possono essere un'indicazione in tal senso.
Risarcimento ai sensi dell'art. 82 GDPR anche in caso di violazione del diritto di accesso.
La seconda parte della decisione è altrettanto importante. La CGUE chiarisce che l'art. 82 par. 1 GDPR non si limita ai danni derivanti direttamente dal trattamento dei dati. Una richiesta di risarcimento danni può quindi derivare anche dalla violazione del diritto all'informazione ai sensi dell'art. 15, comma 1, del Codice Civile. GDPR vengono creati.
La Corte respinge quindi un'interpretazione ristretta e puramente tecnica dell'art. 82. GDPR indietro. Il GDPR non solo protegge da comportamenti illeciti Elaborazione, ma concede anche un'autonomia Diritti degli interessati, la cui effettiva applicazione deve essere garantita dal diritto dell'UE. Se l'art. 82 GDPR ai casi di immediata Elaborazione la tutela di questi diritti verrebbe parzialmente invalidata. Una richiesta di risarcimento danni può quindi essere fatta valere anche in caso di violazione del diritto all'informazione su Dati personali esistere.
Nessun automatismo: Violazione da solo non basta
Tuttavia, la Corte di giustizia europea chiarisce anche che non ogni Violazione contro il GDPR comporta automaticamente una richiesta di risarcimento danni. I tre requisiti noti sono comunque necessari.
- Violazione contro il GDPR,
- danni materiali o immateriali effettivi e
- Legame causale tra Violazione e danni.
È proprio qui che risiede la funzione perequativa della decisione. La Corte di giustizia estende l'art. 82 GDPR non è illimitato. Conferma che anche la violazione del diritto all'informazione può essere rilevante ai fini della responsabilità. Allo stesso tempo, però, rimane il fatto che la colpiti persona deve dimostrare e provare un danno reale. Una violazione astratta della legge non è sufficiente. Ciò corrisponde alla precedente linea della CGUE sull'art. 82. GDPR.
Perdita di controllo e incertezza come danno immateriale
Per quanto riguarda il danno morale, la Corte riconosce che la perdita di controllo sul Dati personali o l'incertezza sul trattamento dei dati può, in linea di principio, costituire un danno morale risarcibile. In particolare Diritto all'informazione mira a eliminare le asimmetrie informative e a dare agli interessati il controllo sui propri dati.
Tuttavia, anche in questo caso la CGUE rimane differenziata. La semplice affermazione di un timore non è sufficiente. Deve essere dimostrato un effettivo svantaggio non materiale. Inoltre, il nesso di causalità può essere interrotto se il comportamento della persona stessa è stato la causa determinante del presunto danno.
Pertanto, chiunque fornisca deliberatamente dati con l'intenzione di creare successivamente le condizioni per una richiesta di risarcimento danni non può semplicemente invocare una perdita di controllo che è stata creata in primo luogo.
Suggerimento di lettura: BAG: il “fastidio” per il ritardo delle informazioni non è sufficiente per il risarcimento dei danni
Classificazione della decisione "Brillen Rottler" nella pratica
La decisione non è né una „carta bianca” per rifiutare richieste di informazioni scomode né un invito a richieste strategiche di massa. Piuttosto, segna una via di mezzo equilibrata ai sensi del diritto dell'UE.
Per Persone responsabili questo significa inizialmente che gli ostacoli per l'accettazione di una domanda iniziale eccessiva rimangono alti. Non è ammissibile un'invocazione generalizzata dell'abuso. Chiunque presenti una domanda ai sensi dell'art. 12, par. 5, del Codice di procedura penale, non può essere considerato un abuso. GDPR Se il datore di lavoro desidera rifiutare la domanda, deve essere in grado di documentare in modo comprensibile le circostanze specifiche che indicano che il candidato non è in grado di soddisfare la domanda. Parti interessate non la legalità del Elaborazione vuole esaminare. Non sono sufficienti le semplici ipotesi, lo scetticismo generale o la ricerca di rivendicazioni orientate al conflitto.
Allo stesso tempo, la sentenza rafforza le possibilità di difesa nei casi di abuso. In costellazioni vistose Persone responsabili effettuare un controllo strutturato degli abusi. Gli indicatori rilevanti possono essere: un intervallo estremamente breve tra l'inserimento dei dati e la richiesta di informazioni, costellazioni di contatti create in modo palesemente artificiale, modelli di richiesta di risarcimento paralleli nei confronti di numerose parti responsabili e indicazioni pubbliche di una procedura standardizzata. Tuttavia, la visione d'insieme rimane sempre decisiva.
Per le pratiche di trattamento, la sentenza significa anche che i rifiuti devono essere giustificati con particolare attenzione. Articolo 12, paragrafo 5 GDPR L'onere della presentazione e della prova spetta alla persona che presenta la richiesta. Anche solo per questo motivo, si raccomanda di effettuare regolarmente una verifica documentata caso per caso, coinvolgendo i dipartimenti di protezione dei dati e legale.
La decisione stabilisce anche chiari limiti per le parti interessate. L'esecuzione giudiziaria delle richieste di informazioni rimane legittima. Anche la richiesta di risarcimento danni non è di per sé abusiva. Tuttavia, l'abuso esiste solo se il Diritto all'informazione è utilizzato in modo contrario alla sua funzione. In altre parole, non soddisfa più lo scopo protettivo dell'art. 15. GDPR ma viene semplicemente utilizzato come veicolo per la generazione artificiale di rivendicazioni.
Fonte: Decisione della CGCE “Brillen Rottler” (C-526/24 del 19 marzo 2026)
Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.
German 
English 
Italian 
French