5 min read

ECJ ruling no. 741/2024 on privacy violation damages: is there a minimum severity threshold for damages that can be awarded by a court?

Read more

By Giulio Di Fabio & Michele Zucca

|

Published 10 July 2024

Overview

Per leggere questo articolo in italiano clicca qui.

In its recent judgment No. 741 of 11 April 2024, the European Court of Justice provided an important ruling on privacy violation damages. The case examined by the Court concerns the alleged damages suffered by the plaintiff due to the processing of his personal data for direct marketing purposes by a German company.

In the main proceeding, the applicant brought an action before the Landgeright Saarbrüken (Land Court, Saarbrüken, Germany) seeking compensation pursuant to Article 82(1) of the GDPR[1] for the material damage (costs incurred for the bailiff and notary) and immaterial damage (loss of control over personal data) allegedly suffered. Specifically, the claimant maintained t to be entitled to compensation for damages without having to prove the effects or severity of the infringement of his rights, as guaranteed by Article 8 of the Charter of Fundamental Rights of the European Union. The defendant rejected any liability, arguing that the mere breach of an obligation under the GDPR cannot constitute a <<damage>> within the meaning of Article 82(1) of the GDPR.

Against this background, the Landgeright Saarbrüken decided to stay the proceedings and referred some preliminary questions to the Court, including:

(1) whether an infringement of GDPR provisions which confer rights to the data subject is sufficient, in itself, to constitute an «intangible damage» within the meaning of Article 82(1) of the GDPR, regardless the severity of the damage suffered by that person;

(2) whether it is allowed or necessary to quantify the intangible damage on the basis of the criteria set out in Article 83 of the GDPR, in particular paragraphs 2 and 5 thereof;

(3) whether the compensation for damages should be determined for each individual violation or whether multiple breaches should be sanctioned with an single indemnity that is not determined by summing the individual amounts, but results from an overall assessment.

 

Can a breach of the Article 82 of the GDPR be sufficient to confer a right to compensation?

As just highlighted, with its first question, the referring Court asks whether Article 82(1) of the GDPR should be interpreted as meaning that a violation of GDPR provisions conferring rights to the data subject is sufficient, in itself, to constitute «intangible damage», regardless of the seriousness of the damage suffered by that person.

The Court[2] had already interpreted Article 82(1) of the GDPR to the effect that a mere breach of the GDPR is not sufficient, as the person seeking compensation must also prove that he or she has suffered damage as a result of such a breach.

In fact, in a previous decision[3], the Court had held that losing control over data, even for a short period of time, may constitute «intangible damage» within the meaning of Article 82(1) of the GDPR and entitle the data subject to compensation, provided that the data subject can demonstrate that he or she has actually suffered such damage, however minimal.

In this case, the applicant in the main proceeding sought compensation for the intangible damage represented by the loss of control over his personal data that had been processed despite his opposition, arguing that he does not have to prove that such damage had exceeded a certain threshold of severity.

The Court held however that Article 82(1) of the GDPR must be interpreted as meaning that a violation of a GDPR provision conferring rights to the data subject is not, in itself, sufficient to be qualified as «intangible damage», regardless of the degree of seriousness of the damage suffered by that person.

 

How to determine the amount for damage compensation

The referring Judge also asked whether, in order to determine the amount for damage compensation based on Article 82(1) of the GDPR, the judge should apply mutatis mutandis the criteria for determining administrative fines laid down in Article 83 of the GDPR.

To answer this question, the Court first pointed out that Articles 82 and 83 pursue different objectives. Indeed, while the former regulates the «[d]irect right to compensation and [the] liability», the latter sets out the «[g]eneral conditions for imposing administrative pecuniary sanctions».

Therefore, in light of the differences in wording and purpose between Article 82 and Article 83 of the GDPR, the assessment criteria specifically set out in that Article 83 cannot be considered to be applicable mutatis mutandis in the context of Article 82, even though the remedies provided for in those two provisions are indeed complementary to ensure compliance with the same regulation.

Indeed, the Court has previously held[4] that the GDPR does not contain provisions relating to the assessment of damages due under the right to compensation enshrined in its Article 82. Thus, national courts must apply the domestic rules of each Member State concerning the amount of monetary compensation, provided that the principles of equivalence and effectiveness of EU law (as defined by the Court's settled case-law) are respected.

 

The compensatory function of Article 82 of the GDPR

Lastly, the referring Court asked whether it is necessary to take into account the fact that multiple violations of GDPR related to the same data processing operation affect the person seeking compensation, in order to determine the amount due as damage compensation based on Article 82(1) of the GDPR.

According to the Court, given the non-punitive but compensatory function of Article 82 of the GDPR, the fact that several infringements were committed by the data controller against the same data subject is not a relevant criterion for assessing the damage to be awarded to that data subject under Article 82(1). Indeed, only the damage actually suffered by the data subject must be considered to determine the amount of financial compensation due as reparation. Consequently, Article 82(1) of the GDPR must be interpreted as meaning that, for the purposes of determining the amount due as compensation for damage based on that provision, it is not necessary to take into account the fact that multiple violations of that regulation related to the same processing operation affect the person seeking compensation.

 

[1] GDPR, Article 82(1): «Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the controller or processor for the damage suffered».

[2] MediaMarktSaturn Case C-687/21, 25/01/2024, paragraphs 58, 60, 61.

[3] MediaMarktSaturn Case C-687/21, 25/01/2024, paragraph 66.

[4] Krankenversicherung Nordrhein, Case C-667/21, 21/12/2023, paragraphs 83 and 101.

See also: MediaMarktSaturn Case C-687/21, 25/01/2024, paragraph 53.

 

 

La pronuncia n. 741/2024 della Corte giustizia UE sul danno alla privacy: esiste una gravità minima del danno risarcibile?

To read this article in English please click here.

Nella recente sentenza n. 741 dell'11 aprile 2024, la Corte di Giustizia dell'Unione Europea si è pronunciata in materia di danno alla privacy. La controversia esaminata dalla Corte ha ad oggetto un danno che il ricorrente ritiene di aver subito a causa del trattamento dei suoi dati personali per finalità di marketing diretto, operato da una società tedesca.

Il ricorrente nel procedimento principale ha adito il Landgeright Saarbrüken (Tribunale del Land, Saarbrüken, Germania) per ottenere, sulla base dell'articolo 82, paragrafo 1, del GDPR[1], il risarcimento del danno materiale (spese sostenute per l'ufficiale giudiziario e il notaio) e immateriale (perdita di controllo sui dati personali) da lui subito. Il ricorrente riteneva di poter ottenere un risarcimento senza dover dimostrare gli effetti o la gravità della lesione dei suoi diritti, garantiti dall'articolo 8 della Carta dei diritti fondamentali dell'Unione Europea. La società convenuta ha respinto ogni responsabilità, sostenendo che la mera violazione di un obbligo derivante dal GDPR non può costituire un <<danno>> ai sensi dell'articolo 82, paragrafo 1, del regolamento di cui trattasi.

Il Landgeright Saarbrüken ha deciso di sospendere il procedimento e di sottoporre alla Corte talune questioni pregiudiziali, tra cui:

1) se la violazione di disposizioni del GDPR, che conferiscono diritti alla persona interessata, sia sufficiente, di per sé, a costituire un «danno immateriale» ai sensi dell'articolo 82 paragrafo 1 del GDPR, indipendentemente dal grado di gravità del danno subito da tale persona;

2) se sia consentito oppure sia necessario basare la quantificazione dei danni immateriali sui criteri di determinazione previsti dall'articolo 83 del GDPR, in particolare dai suoi paragrafi 2 e 5;

3) se il risarcimento dei danni debba essere stabilito per ogni singola violazione oppure se più violazioni debbano essere sanzionate con un indennizzo complessivo, non determinato dalla somma dei danni per le singole violazioni, bensì sulla base di una valutazione globale.

 

Può una violazione dell'articolo 82 del GDPR essere sufficiente a costituire un «danno immateriale»?

Con la sua prima questione, il giudice del rinvio chiede se l'articolo 82, paragrafo 1, del GDPR debba essere interpretato nel senso che una violazione di disposizioni del GDPR che conferiscono diritti alla persona interessata sia sufficiente, di per sé, a costituire un «danno immateriale», indipendentemente dal grado di gravità del danno subito da tale persona.

La Corte[2] aveva già interpretato l'articolo 82, paragrafo 1 del GDPR nel senso che la mera violazione del suddetto regolamento non è sufficiente a conferire un diritto al risarcimento, in quanto la persona che chiede il risarcimento è tenuta a dimostrare anche di aver subito un danno a causa di siffatta violazione.

In un'ulteriore decisione, la Corte aveva dichiarato[3] che la perdita di controllo sui dati, anche per un breve lasso di tempo, può costituire un «danno immateriale», ai sensi dell'articolo 82, paragrafo 1, del GDPR che dà diritto al risarcimento, a condizione che l'interessato dimostri di aver effettivamente subito un danno, per quanto minimo.

Nel caso di specie, il ricorrente nel procedimento principale ha chiesto il risarcimento del danno immateriale rappresentato dalla perdita di controllo sui propri dati personali che sono stati oggetto di trattamento nonostante la sua opposizione, ritenendo di non dover dimostrare che tale danno abbia superato una certa soglia di gravità.

Al riguardo, la Corte ha tuttavia dichiarato che l'articolo 82, paragrafo 1, del GDPR deve essere interpretato nel senso che una violazione di disposizioni di tale regolamento che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito da tale persona.

 

Sulla determinazione del risarcimento

Il Giudice del rinvio ha inoltre chiesto se per determinare l'importo dovuto a titolo di risarcimento di un danno fondato sull'articolo 82, paragrafo 1, del GDPR occorra applicare mutatis mutandis i criteri di determinazione delle sanzioni amministrative pecuniarie previsti dall'articolo 83 di tale regolamento.

Per rispondere a questo interrogativo, la Corte in primo luogo ha evidenziato che gli articoli 82 e 83 perseguono obiettivi diversi. Infatti, mentre il primo disciplina il «[d]iritto al risarcimento e [la] responsabilità», il secondo determina le «[c]ondizioni generali per infliggere sanzioni amministrative pecuniarie».

Pertanto, alla luce delle differenze di formulazione e di finalità esistenti tra l'articolo 82 del GDPR e l'articolo 83 del regolamento summenzionato, non si può ritenere che i criteri di valutazione specificamente enunciati in tale articolo 83 siano applicabili mutatis mutandis nell'ambito dell'articolo 82, sebbene i rimedi previsti da tali disposizioni siano effettivamente entrambi finalizzati a garantire il rispetto del medesimo regolamento.

Del resto, la Corte aveva già in precedenza affermato[4] che il GDPR non contiene disposizioni relative alla valutazione del risarcimento danni dovuto in relazione al diritto sancito dall'articolo 82. Pertanto, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all'entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell'Unione, quali definiti dalla giurisprudenza costante della Corte.

 

La funzione compensativa dall'articolo 82 del GDPR

Infine, il giudice del rinvio ha chiesto se, per determinare l'importo dovuto a titolo di risarcimento di un danno fondato sull'articolo 82, paragrafo 1 del GDPR, occorra tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento dei dati riguardano la persona che richiede il risarcimento.

Secondo la Corte, tenuto conto della funzione non punitiva ma risarcitoria dell'articolo 82 del GDPR, la circostanza che più violazioni siano state commesse dal titolare del trattamento nei confronti dello stesso interessato, non costituisce un criterio rilevante ai fini della valutazione del danno da riconoscere a tale interessato ai sensi del suddetto articolo 82. Infatti, solo il danno concretamente subito da quest'ultimo deve essere preso in considerazione per determinare l'importo del risarcimento pecuniario dovuto. Di conseguenza, l'articolo 82, paragrafo 1, del GDPR deve essere interpretato nel senso che, per determinare l'importo dovuto a titolo di risarcimento del danno fondato sulla violazione di tale disposizione, non è necessario tener conto del fatto che più violazioni di detto regolamento riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento.

 

[1] L'articolo 82, paragrafo 1, del GDPR, dispone che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

[2] Sentenza MediaMarktSaturn, C-687/21, EU:C:2024:72, del 25 gennaio 2024, punto 58, 60, 61.

[3] Sentenza del 25 gennaio 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punto 66.

[4] V., in tal senso, sentenze del 21 dicembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punti 83 e 101 e del 25 gennaio 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punto 53.

Author