Processo civile e GDPR: la Corte di Giustizia UE chiarisce quando il giudice può utilizzare prove raccolte in violazione della privacy
Il rispetto della normativa sulla protezione dei dati personali non impedisce, di per sé, al giudice di valutare documenti e informazioni acquisiti in violazione del GDPR. Tuttavia, una volta entrati nel processo, tali dati devono essere gestiti secondo i principi di necessità e proporzionalità, evitando la diffusione di informazioni eccedenti o riferite a soggetti estranei alla controversia.

È questo il principio affermato dalla Corte di Giustizia dell'Unione europea, con la sentenza del 18 giugno 2026 nella causa C-484/24, destinata ad avere ricadute significative anche nell'ordinamento italiano.
Il diritto alla protezione dei dati non è assoluto - La Corte ribadisce un principio ormai consolidato nella giurisprudenza europea: il diritto alla protezione dei dati personali, pur essendo un diritto fondamentale, non ha carattere assoluto e deve essere bilanciato con altri diritti fondamentali riconosciuti dall'ordinamento dell'Unione. Nel caso esaminato, il bilanciamento riguarda il diritto a un ricorso effettivo e il diritto di difesa nell'ambito di un procedimento giudiziario.
La controversia nasce da una causa promossa da un'azienda tedesca nei confronti di una ex dipendente, accusata di essersi appropriata di beni aziendali per poi rivenderli online. L'impresa aveva scoperto tali vendite accedendo, senza il consenso dell'interessata, al suo account privato sulla piattaforma di e-commerce, circostanza che ha posto il problema della legittimità dell'utilizzo processuale delle informazioni così ottenute.
Il GDPR non introduce una regola generale di inutilizzabilità delle prove - La questione sottoposta alla Corte riguardava un tema particolarmente delicato: se documenti e informazioni acquisiti attraverso un trattamento illecito di dati personali debbano essere automaticamente esclusi dal processo. La risposta è stata negativa.
Secondo la Corte, il GDPR non contiene una norma che imponga al giudice di dichiarare inutilizzabili le prove raccolte in violazione della disciplina sulla protezione dei dati personali. La valutazione sull'ammissibilità della prova resta quindi affidata al giudice nazionale secondo le regole processuali applicabili.
In altri termini, l'illiceità del trattamento non determina automaticamente l'inutilizzabilità del documento nel processo.
Il giudice diventa titolare di un nuovo trattamento - La sentenza, tuttavia, precisa che l'ammissione della prova non esonera il giudice dal rispetto del GDPR. Quando acquisisce e utilizza documenti contenenti dati personali, infatti, il giudice effettua a sua volta un trattamento di dati e deve quindi rispettare i principi previsti dal Regolamento europeo.
Ne deriva che il magistrato è chiamato a verificare se tutti i dati contenuti nei documenti siano realmente necessari ai fini della decisione oppure se alcune informazioni possano essere oscurate o anonimizzate.
L'obbligo assume particolare rilievo quando i documenti contengono dati eccedenti rispetto all'oggetto della controversia oppure riguardano soggetti estranei al giudizio.
Particolare attenzione alla pubblicazione delle sentenze - La Corte richiama inoltre l'attenzione sulla successiva circolazione delle informazioni processuali. Quando dati personali vengono comunicati alle parti o, soprattutto, resi pubblici attraverso la pubblicazione delle decisioni giudiziarie, il giudice deve limitare la diffusione alle sole informazioni indispensabili, adottando, ove necessario, misure di anonimizzazione totale o parziale. La tutela dei terzi estranei al procedimento assume quindi un ruolo centrale, imponendo al giudice una verifica anche d'ufficio sulla presenza di dati personali non necessari.
Le conseguenze per l'ordinamento italiano - I principi espressi dalla Corte di Giustizia sono destinati a incidere anche sull'interpretazione della normativa italiana. In particolare, assumono rilievo le disposizioni dell'articolo 160-bis del Codice Privacy, che demandano al giudice la valutazione sulla validità, efficacia e utilizzabilità processuale di atti e documenti fondati su trattamenti di dati personali non conformi alla normativa privacy.
La pronuncia potrebbe inoltre influenzare l'interpretazione dell'articolo 4 dello Statuto dei lavoratori. La disciplina italiana prevede infatti che le informazioni raccolte attraverso strumenti dai quali derivi anche la possibilità di controllo a distanza dei lavoratori possano essere utilizzate a tutti i fini connessi al rapporto di lavoro soltanto nel rispetto della disciplina in materia di protezione dei dati personali.
Sarà quindi interessante verificare se e in quale misura i principi elaborati dalla Corte possano riflettersi anche sul delicato tema dell'utilizzabilità, in sede giudiziaria, di prove derivanti da controlli datoriali effettuati in violazione della normativa privacy.
Una decisione che conferma il ruolo del principio di proporzionalità - La sentenza C-484/24 conferma un orientamento sempre più evidente nella giurisprudenza europea: il GDPR non costituisce uno strumento per impedire l'accertamento della verità processuale, ma impone che ogni trattamento di dati personali effettuato nell'ambito del procedimento giudiziario rispetti i principi di necessità, proporzionalità e minimizzazione.
La pronuncia della Corte di Giustizia contribuisce così anche a chiarire un equivoco che, nella pratica, continua a riemergere con una certa frequenza: la violazione del GDPR non determina automaticamente l'inutilizzabilità delle prove. Il Regolamento europeo disciplina la liceità del trattamento dei dati personali, ma non introduce una generale regola di esclusione probatoria. Resta quindi affidato al giudice il delicato compito di bilanciare, caso per caso, il diritto alla protezione dei dati con l'esigenza di accertare i fatti e garantire il diritto di difesa, facendo applicazione dei principi di necessità, proporzionalità e minimizzazione che costituiscono il cuore della disciplina europea sulla protezione dei dati.






