La Corte di Giustizia UE pone un freno a strumentalizzazioni e abusi del diritto di accesso ai dati personali previsto dal GDPR
C’è un equilibrio sottile, e sempre più difficile da mantenere, tra tutela dei diritti e loro possibile strumentalizzazione. Con la sentenza nella causa C-526/24 (caso Brillen Rottler), la Corte di giustizia dell’Unione europea interviene proprio su questo crinale, chiarendo fino a che punto il diritto di accesso ai dati personali possa essere esercitato — e quando invece rischi di trasformarsi in un’arma impropria.
Il caso nasce in Germania, ma il problema è ormai diffuso in tutta Europa: l’uso massivo delle richieste di accesso previste dal GDPR, spesso accompagnate — o seguite — da richieste di risarcimento danni. Una strategia che, secondo molte imprese e amministrazioni pubbliche, sta assumendo i contorni di una vera e propria pressione sistematica.
La Corte non ignora questo contesto. Ma, al tempo stesso, non arretra sulla centralità del diritto di accesso. Anzi, lo ribadisce con forza: una prima richiesta non può essere considerata, di regola, eccessiva. È un passaggio tutt’altro che secondario, perché chiude la porta a interpretazioni troppo disinvolte da parte dei titolari del trattamento che, negli ultimi anni, hanno tentato di respingere le richieste invocandone la presunta sproporzione.
Eppure, è sull’altro versante che la sentenza segna il punto più interessante — e, per certi versi, più “politico”. La Corte, infatti, mette un argine chiaro a un fenomeno crescente: l’idea che ogni violazione, della privacy anche minima o meramente formale, possa automaticamente tradursi in un diritto al risarcimento.
Il GDPR non è uno strumento punitivo né, tantomeno, una leva per ottenere compensazioni automatiche. Perché il risarcimento entri in gioco, serve qualcosa di più: un danno reale, concreto, e un legame diretto tra quel danno e la violazione subita.
È qui che la pronuncia assume un valore sistemico. Da un lato, tutela gli interessati, preservando intatto il diritto di accesso come strumento di trasparenza e controllo. Dall’altro, manda un segnale netto a chi utilizza il GDPR in modo opportunistico, moltiplicando le richieste non tanto per conoscere i propri dati, quanto per costruire le basi di una futura pretesa economica.
In altre parole, la Corte di Giustizia dell'UE distingue — con una certa fermezza — tra esercizio legittimo di un diritto e sua strumentalizzazione.
Il messaggio per le imprese è altrettanto chiaro. Non ci sono scorciatoie: le richieste di accesso vanno gestite con serietà, tempestività e completezza. Ma, allo stesso tempo, non ogni errore aprirà automaticamente la porta a risarcimenti. Il contenzioso, se ci sarà, dovrà poggiare su qualcosa di più solido di una semplice irregolarità procedurale.
In un contesto in cui il GDPR è sempre più al centro di tensioni — tra diritti individuali, sostenibilità organizzativa e nuove forme di contenzioso — la decisione della Corte contribuisce a ristabilire un equilibrio. Non ridimensiona i diritti, ma ne delimita l’uso distorto.
Ed è forse proprio questo il punto più rilevante: il GDPR resta uno strumento di tutela, non di pressione.
Fonte: Corte di Giustizia UE
