De (GDPR) minimis non curat praetor ovvero: non tutte le violazioni del GDPR sono sanzionabili

Sulla base del fatto che violazioni minori non sono coperte dalla legislazione sulla protezione dei dati,  la decisione 4 U 760/19 dell’Oberlandesgericht di Dresda ha respinto un’azione risarcitoria in materia di protezione dei dati intentata contro una piattaforma di condivisione di contenuti, accusata dall’attore di aver provocato “angoscia” consentendo la pubblicazione di un video.

Questa applicazione contemporanea nell’ambito GDPR del vecchio adagio del diritto romano “de minimis non curat praetor” è molto importante, in quanto ha un forte “potere di arresto” contro la miriade di pretese basate su presunte “sofferenze insopportabili” e “lesioni della reputazione” che in realtà risolvono in nessun danno.

Inoltre, il principio di diritto espresso in questa decisione mette in discussione la possibilità, per un’Autorità garante dei dati personali, di sanzionare un titolare del trattamento se la violazione del GDPR non causa alcun danno effettivo.

Nella sua decisione, la Corte ha dichiarato che:

Il semplice blocco dei  dati, così come la perdita di dati, non costituisce un danno ai sensi della DSGVO …. La presunta inibizione dello sviluppo personale causata dal blocco di tre giorni ha al massimo un carattere banale …. Anche se in letteratura, con riferimento al considerando 146 della DSGVO, si ritiene a volte che l’effettiva applicazione della normativa europea sulla protezione dei dati richiede un effetto dissuasivo …, ciò non giustifica il risarcimento di danni minori non materiali. La legge sulla protezione dei dati protegge di per sé un diritto soggettivo che ha un forte legame con la dimensione personale dell’individuo. Tuttavia, l’art. 82 non deve essere interpretato in modo tale da fondare una richiesta di risarcimento danni in caso di disagi patiti individualmente o in caso di violazioni minori che non compromettono gravemente l’immagine personale o la reputazione di una persona. 1

  1. Dass dem Kläger durch die Sperrung ein materieller oder immaterieller Schaden im Sinne des Art. 82 DSGVO entstanden wäre, kann der Senat überdies nicht erkennen. Die bloße Sperrung seiner Daten stellt ebenso wie der Datenverlust noch keinen Schaden im Sinne der DSGVO dar (Wybitu/Haß/Albrecht, NJW 2018 S. 113 (114). Die behauptete Hemmung in der Persönlichkeitsentfaltung durch die dreitägige Sperrung hat allenfalls Bagatellcharakter (s.o.). Auch wenn in der Literatur unter Bezug auf Erwägungsgrund 146 der DSGVO vereinzelt die Auffassung vertreten wird, eine wirksame Durchsetzung europäischen Datenschutzrechts erfordere einen Abschreckungseffekt und den Verzicht auf die nach bisherigem Recht (vgl. hierzu BGH, Urteil vom 29.11.2016 – VI Z 530/15) geltende Erheblichkeitsschwelle (Gola, DSGVO, 2. Aufl. Art 82 Rn 13 m.w.N.; so auch AG Dietz, Urteil vom 7.11.2018 – 8 C 130/18 -juris), rechtfertigt dies keinen Ausgleich immaterieller Bagatellschäden. Das Datenschutzrecht schützt zwar per se ein subjektives Recht, das einen starken Bezug zum persönlichen Empfinden des Einzelnen hat. Dennoch ist Art. 82 nicht so auszulegen, dass er einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet (Becker in: Plath, DSGVO/BDSG, 3. Aufl. 2018, Artikel 82 DSGVO, Rn. 4c).

Possibly Related Posts: