Protezione dei dati personali e pluralità dei poteri pubblici: il coordinamento tra tutela inibitoria, sanzioni amministrative e responsabilità civile nel GDPR

Il commento analizza la sentenza Corte di giustizia dell’Unione europea (C-655/23) come tassello di chiarimento sull’“architettura dei rimedi” nel GDPR, cioè su come si coordinano tutela giurisdizionale e poteri delle autorità di controllo per rendere effettivo il diritto fondamentale alla protezione dei dati. I contenuti principali sono tre: - Tutela inibitoria e spazio agli ordinamenti nazionali: la Corte non ricava dal GDPR un obbligo di prevedere un’azione inibitoria preventiva “uniforme” a livello UE, ma ammette che gli Stati possano introdurre rimedi nazionali ulteriori (anche preventivi) purché rispettino i principi di effettività ed equivalenza. Ne emerge un’impostazione che lascia agli ordinamenti interni la scelta delle tecniche processuali, entro cornici europee. - Danno non patrimoniale ex art. 82 GDPR: viene ribadita una nozione europea uniforme e l’esclusione di soglie minime di gravità (non serve un danno “serio” in astratto). Al tempo stesso, la risarcibilità non è automatica: occorre provare conseguenze negative concrete e il nesso causale con la violazione. - Funzione del risarcimento e rapporto con sanzioni/ingiunzioni: il risarcimento ex art. 82 è qualificato come solo compensativo, non punitivo né propriamente deterrente; la deterrenza è affidata alle sanzioni amministrative. Inoltre, un provvedimento inibitorio (se previsto dal diritto nazionale) non può sostituire né comprimere il risarcimento dovuto, perché ha funzione preventiva, non riparatoria. In sintesi, il commento sottolinea che la decisione consolida un modello “a più strumenti” (autorità di controllo, giudici, rimedi preventivi nazionali e responsabilità civile) e richiama la necessità di coordinarli senza che l’uno riduca l’effettività dell’altro, soprattutto quanto al ristoro pieno dei pregiudizi risarcibili.