Edizione provvisoria

SENTENZA DELLA CORTE (Quarta Sezione)

4 settembre 2025 (*)

« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Diritti dell’interessato – Articolo 17 – Diritto alla cancellazione di dati – Articolo 18 – Diritto alla limitazione del trattamento – Articolo 79 – Diritto a un ricorso giurisdizionale effettivo – Trattamento illecito di dati personali – Ricorso teso ad ingiungere al titolare del trattamento di astenersi dall’effettuare in futuro qualsiasi nuovo trattamento illecito – Fondamento – Condizioni – Articolo 82, paragrafo 1 – Diritto al risarcimento – Nozione di “danno immateriale” – Valutazione del risarcimento – Eventuale presa in considerazione della gravità della colpa del responsabile del trattamento – Eventuale incidenza del beneficio di un’“ingiunzione ad astenersi” »

Nella causa C‑655/23,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Bundesgerichtshof (Corte federale di giustizia, Germania), con decisione del 26 settembre 2023, pervenuta in cancelleria il 7 novembre 2023, nel procedimento

IP

contro

Quirin Privatbank AG,

LA CORTE (Quarta Sezione),

composta da I. Jarukaitis, presidente di sezione, N. Jääskinen (relatore), A. Arabadjiev, M. Condinanzi e R. Frendo, giudici,

avvocato generale: M. Campos Sánchez‑Bordona

cancelliere: A. Calot Escobar

vista la fase scritta del procedimento,

considerate le osservazioni presentate:

–        per IP, da M. Rodenhausen, Rechtsanwältin;

–        per la Quirin Privatbank AG, da F. Buchmann, Rechtsanwalt;

–        per la Commissione europea, da A. Bouchagiar e M. Heller, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 20 marzo 2025,

ha pronunciato la seguente

Sentenza

1        La domanda di pronuncia pregiudiziale verte sull’interpretazione degli articoli 17, 18, 79, 82 e 84 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2        Tale domanda è stata presentata nell’ambito di una controversia che oppone IP, una persona fisica, alla Quirin Privatbank AG, una società, in merito alla domanda di detta persona volta ad ottenere, da un lato, un’ingiunzione nei confronti di tale società ad astenersi da una nuova divulgazione non autorizzata a terzi dei suoi dati personali e, dall’altro, il risarcimento del danno immateriale asseritamente subìto a seguito della divulgazione iniziale di tali dati.

 Contesto normativo

 Diritto dell’Unione

3        I considerando 1, 10, 11, 75, 85 e 146 del RGPD sono così formulati:

«(1)      La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della [Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la “Carta”)] e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(...)

(10)      Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. (...) Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali (“dati sensibili”). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.

(11)      Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.

(...)

(75)      I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; (...)

(...)

(85)      Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...)

(...)

(146)      Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (...)».

4        L’articolo 1 del RGPD, intitolato «Oggetto e finalità», dispone, al paragrafo 2, quanto segue:

«Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali».

5        L’articolo 4 di detto regolamento, dal titolo «Definizioni», recita:

«Ai fini del presente regolamento s’intende per:

1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)

2)      “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come (...) la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7)      “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (...)

(...)

10)      “terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

(...)

12)      “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

(...)».

6        Il capo II del RGPD, intitolato «Principi», comprende gli articoli da 5 a 11 di tale regolamento.

7        L’articolo 5 del regolamento in parola, intitolato «Principi applicabili al trattamento di dati personali», prevede quanto segue:

«1.      I dati personali sono:

a)      trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b)      raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in [un] modo che non sia incompatibile con tali finalità (...) (“limitazione della finalità”);

c)      adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

(...)

f)      trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”);

2.      Il titolare del trattamento è [responsabile] per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

8        L’articolo 6 del medesimo regolamento, intitolato «Liceità del trattamento», dispone, al paragrafo 1, quanto segue:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)      l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

(...)».

9        Il capo III del RGPD, intitolato «Diritti dell’interessato», comprende gli articoli da 12 a 23 di tale regolamento.

10      Nell’ambito della sezione 3 del suddetto capo III, intitolata «Rettifica e cancellazione», l’articolo 17 del citato regolamento, recante il titolo «Diritto alla cancellazione (“diritto all’oblio”)», prevede, al paragrafo 1, quanto segue:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione [di] dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

(...)

c)      l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d)      i dati personali sono stati trattati illecitamente;

(...)».

11      Del pari contenuto nella citata sezione 3, l’articolo 18 del medesimo regolamento, intitolato «Diritto [alla] limitazione di trattamento», dispone, al paragrafo 1, quanto segue:

«L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

(...)

b)      il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c)      benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

(...)».

12      Il capo VIII del RGPD, intitolato «Mezzi di ricorso, responsabilità e sanzioni», comprende gli articoli da 77 a 84 di tale regolamento.

13      L’articolo 77 del RGPD è intitolato «Diritto di proporre reclamo all’autorità di controllo», mentre l’articolo 78 di detto regolamento ha il titolo «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo».

14      L’articolo 79 del regolamento summenzionato, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», prevede, al paragrafo 1, quanto segue:

«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento [dei suoi dati personali non conforme al presente regolamento]».

15      Ai sensi dell’articolo 82 del RGPD, intitolato «Diritto al risarcimento e responsabilità»:

«1.      Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

(...)

3.      Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2[,] se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

(...)».

16      L’articolo 83 del medesimo regolamento, intitolato «Condizioni generali per infliggere sanzioni amministrative pecuniarie», dispone, al paragrafo 2, quanto segue:

«(...) Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a)      la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b)      il carattere doloso o colposo della violazione;

c)      le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

(...)

k)      eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione».

17      L’articolo 84 del suddetto regolamento, intitolato «Sanzioni», prevede, al paragrafo 1, quanto segue:

«Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive».

 Diritto tedesco

18      L’articolo 2, paragrafo 1, del Grundgesetz für die Bundesrepublik Deutschland (Legge fondamentale della Repubblica federale di Germania), del 23 maggio 1949 (BGBl. 1949 I, pag. 1), nella versione applicabile alla controversia di cui al procedimento principale, è così formulato:

«Ogni persona ha diritto di esprimere liberamente la propria personalità, a condizione di non ledere i diritti di altri e di non violare l’ordine costituzionale o la legge morale».

19      L’articolo 253 del Bürgerliches Gesetzbuch (codice civile), nella versione applicabile alla controversia di cui al procedimento principale (in prosieguo: il «BGB»), intitolato «Danno immateriale», così dispone:

«(1)      Per un danno non patrimoniale può essere richiesto un risarcimento in denaro soltanto nei casi stabiliti dalla legge.

(2)      Qualora debba essere corrisposto un risarcimento del danno a causa di una lesione pregiudizievole per integrità fisica, salute, libertà o autodeterminazione sessuale, può essere richiesto un equo risarcimento in denaro anche per il danno avente carattere non patrimoniale».

20      L’articolo 823 del BGB, dal titolo intitolato «Obbligo di risarcimento del danno», così dispone:

«(1)      Chiunque pregiudichi in modo illegittimo, dolosamente o colposamente, la vita, l’integrità fisica, la salute, la libertà, la proprietà od un altro diritto di un’altra persona, è obbligato a risarcire quest’ultima per il danno derivatone.

(2)      Lo stesso obbligo grava su colui che violi una legge intesa a tutelare un altro. Qualora, in virtù del contenuto della legge, sia possibile violare quest’ultima anche in assenza di colpevolezza, l’obbligo di risarcimento sorge soltanto ove sussista una condotta colpevole».

21      L’articolo 1004 del BGB, intitolato «Diritto di ottenere la rimozione di molestie o l’astensione da atti di molestia», stabilisce, al paragrafo 1, quanto segue:

«Se il diritto di proprietà di qualcuno viene pregiudicato mediante una condotta diversa dalla sottrazione o dalla ritenzione del possesso, il proprietario può esigere dall’autore delle molestie la rimozione degli atti pregiudizievoli. Qualora siano da temere nuove condotte pregiudizievoli, il proprietario può agire in giudizio per ottenere un ordine di astensione».

22      Secondo il giudice del rinvio, l’articolo 1004 del BGB è applicabile per analogia, nel procedimento principale, alla violazione di diritti assoluti o alla violazione di una legge intesa a proteggere altri, ai sensi, rispettivamente, del paragrafo 1 e del paragrafo 2 dell’articolo 823 di detto codice.

 Procedimento principale e questioni pregiudiziali

23      Il ricorrente di cui al procedimento principale ha offerto, tramite un social network professionale on-line, la propria disponibilità a ricoprire una posizione lavorativa presso la Quirin Privatbank, una società di diritto tedesco. Successivamente, un’impiegata di questa società ha utilizzato il servizio di messaggeria elettronica di detto network per inviare a un terzo, non interessato da questa procedura di assunzione, un messaggio destinato unicamente al ricorrente di cui al procedimento principale, nel quale essa informava quest’ultimo del rigetto delle sue pretese salariali e gli proponeva una diversa retribuzione (in prosieguo: il «messaggio in questione»). Questa terza persona, che conosceva il ricorrente di cui al procedimento principale per aver lavorato con lui in passato, gli ha trasmesso tale messaggio e gli ha chiesto se era alla ricerca di un impiego.

24      Il ricorrente di cui al procedimento principale ha proposto, dinanzi al Landgericht Darmstadt (Tribunale del Land, Darmstadt, Germania), un’azione intesa ad ottenere che la Quirin Privatbank venga condannata, da un lato, ad astenersi da qualsiasi trattamento dei dati personali che lo riguardano in relazione alla sua candidatura, il quale reiteri la divulgazione non autorizzata di tali dati a seguito dell’invio del messaggio in questione, e, dall’altro, a corrispondergli un importo a titolo di risarcimento del danno immateriale che sarebbe derivato da tale evento. Egli ha sostenuto, in sostanza, che tale danno consisteva nelle sue inquietudini sorte dal fatto che almeno una terza persona che lo conosceva e lavorava nel suo stesso settore professionale era stata messa in condizione di trasmettere tali dati riservati ad ex datori di lavoro o a potenziali datori di lavoro, di beneficiare di un vantaggio rispetto a lui in una possibile situazione di concorrenza per un’assunzione, e di percepire l’umiliazione da lui provata in occasione del fallimento delle sue trattative salariali.

25      Con sentenza del 26 maggio 2020, il giudice di primo grado ha condannato la Quirin Privatbank ad astenersi dalle condotte oggetto della domanda giudiziale e a versare al ricorrente di cui al procedimento principale un importo di EUR 1 000 a titolo di risarcimento danni, maggiorato di interessi. La Quirin Privatbank ha interposto appello contro tale sentenza.

26      Con sentenza del 2 marzo 2022, l’Oberlandesgericht Frankfurt (Tribunale superiore del Land, Francoforte sul Meno, Germania) ha parzialmente riformato la suddetta sentenza. Esso ha considerato che il ricorrente di cui al procedimento principale aveva il diritto, a norma dell’articolo 17, paragrafo 1, del RGPD, di esigere che la Quirin Privatbank si astenesse in futuro dal trattare i suoi dati personali in una forma analoga a quella utilizzata per il messaggio in questione e che esisteva un rischio di reiterazione al riguardo. Per contro, detto giudice ha respinto la domanda di risarcimento danni a titolo dell’articolo 82 del citato regolamento, a motivo del fatto che vi era stata indubbiamente una violazione delle norme sulla protezione dei dati personali, a causa della trasmissione di tali dati ad un terzo non interessato, ma che la prova di un danno concreto non era stata fornita dal ricorrente di cui al procedimento principale e che, anche supponendo che quest’ultimo avesse subìto un’umiliazione, questa non poteva essere qualificata come danno immateriale.

27      Il ricorrente di cui al procedimento principale e la Quirin Privatbank hanno proposto entrambi un ricorso per Revision contro detta sentenza dinanzi al Bundesgerichtshof (Corte federale di giustizia, Germania), odierno giudice del rinvio. Dinanzi a tale giudice, il primo di detti ricorrenti ribadisce le proprie pretese iniziali, mentre la seconda conclude chiedendo il rigetto integrale delle stesse.

28      Il giudice del rinvio considera che le operazioni contestate dal ricorrente di cui al procedimento principale rientrano nell’ambito di applicazione del RGPD. Esso osserva che tali operazioni costituiscono un «trattamento» di «dati personali» dell’«interessato» e che la Quirin Privatbank riveste la qualità di «titolare del trattamento», ai sensi dell’articolo 4, punti 1, 2 e 7, di detto regolamento. A suo avviso, è pacifico che le operazioni summenzionate, che hanno assunto la forma di una trasmissione non autorizzata di tali dati ad un «terzo», ai sensi dell’articolo 4, punto 10, del RGPD, hanno violato delle disposizioni di tale regolamento e rivestono carattere illecito in virtù dell’articolo 6, paragrafo 1, di quest’ultimo, segnatamente perché il ricorrente di cui al procedimento principale non vi aveva acconsentito.

29      Detto giudice si chiede, in primo luogo, se il RGPD conferisca, ad una persona i cui dati personali siano stati oggetto di un trattamento illecito, il diritto di esigere che il titolare del trattamento si astenga dal reiterare questo trattamento, anche nel caso in cui tale persona non chieda la cancellazione dei suoi dati. Alla luce della giurisprudenza nazionale e delle discussioni in dottrina al riguardo, il giudice summenzionato desidera sapere se tale diritto, che esso puntualizza essere esercitato a puro titolo preventivo, possa trovare un fondamento nell’articolo 17 del citato regolamento, relativo al diritto a tale cancellazione, nell’articolo 18 del medesimo, relativo al diritto alla limitazione del trattamento, nell’articolo 79 del citato regolamento, relativo al diritto ad un ricorso giurisdizionale effettivo contro il titolare del trattamento o il responsabile del trattamento, o in qualsiasi altra disposizione del medesimo regolamento.

30      In secondo luogo, nell’ipotesi di risposta affermativa a tali interrogativi, il giudice del rinvio intende stabilire, in considerazione della propria giurisprudenza fondata sull’articolo 2 della Legge fondamentale della Repubblica federale di Germania e su un’applicazione combinata degli articoli 823 e 1004 del BGB, da un lato, se un siffatto diritto di esigere dal titolare del trattamento che si astenga da una nuova violazione del RGPD sia subordinato all’esistenza di un rischio di reiterazione e, dall’altro, se quest’ultimo debba, eventualmente, essere presunto in considerazione della violazione iniziale.

31      In terzo luogo, nell’ipotesi opposta, in cui alle due parti della sua prima questione venisse data risposta negativa, detto giudice desidera sapere se da una lettura combinata degli articoli 79 e 84 del RGPD, riguardanti, rispettivamente, il diritto ad un ricorso giurisdizionale effettivo contro il titolare del trattamento e le sanzioni in caso di violazione di tale regolamento, risulti che un giudice di uno Stato membro è autorizzato ad ordinare al titolare del trattamento un’astensione da un trattamento di dati sulla scorta di disposizioni nazionali, riconoscendo al tempo stesso all’interessato il beneficio dei diritti previsti dagli articoli 17, 18 e 82 di detto regolamento.

32      In quarto luogo, il giudice del rinvio si interroga in merito ai presupposti ai quali è subordinato il diritto al risarcimento di un danno ai sensi dell’articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 75 e 85 di quest’ultimo. Esso si chiede, più in particolare, quali siano gli elementi che permettono di dar vita a un «danno immateriale», ai sensi del citato articolo 82, paragrafo 1, nel caso in cui l’interessato faccia valere soltanto dei sentimenti negativi che, ad avviso del giudice del rinvio, rientrano nel rischio inerente alla normale esperienza di vita.

33      In quinto luogo, detto giudice si chiede se il grado di colpevolezza sotteso alla violazione commessa dal titolare del trattamento debba essere preso in considerazione nel valutare il risarcimento di un danno immateriale dovuto ai sensi dell’articolo 82, paragrafo 1, del RGPD. Esso precisa che, nel diritto tedesco, il risarcimento in denaro di un danno immateriale impone di tener conto, segnatamente, del grado di colpevolezza dell’autore del danno, in quanto tale ristoro pecuniario soddisfa, al tempo stesso, una funzione di compensazione del pregiudizio subìto dal soggetto leso e una funzione di soddisfazione dovuta al danneggiato da parte dell’autore del danno, in conformità alla giurisprudenza formatasi intorno all’articolo 253 del BGB.

34      In sesto luogo, in caso di risposta affermativa ad una delle due parti della sua prima questione o alla sua terza questione, il giudice del rinvio desidera sapere se il diritto dell’interessato di esigere che il titolare del trattamento si astenga da una nuova violazione del RGPD costituisca un criterio pertinente per ridurre, o addirittura escludere, il risarcimento di un danno immateriale ai sensi dell’articolo 82, paragrafo 1, di tale regolamento, al pari di quanto sarebbe possibile ai sensi del diritto tedesco.

35      Alla luce di tali circostanze, il Bundesgerichtshof (Corte federale di giustizia) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1)      a)      Se l’articolo 17 del RGPD debba essere interpretato nel senso che l’interessato, i cui dati personali siano stati illecitamente divulgati dal titolare del trattamento mediante trasmissione a terzi, abbia nei confronti del titolare del trattamento un diritto a che quest’ultimo si astenga da una nuova trasmissione illecita di tali dati, nel caso in cui detto interessato non esiga dal titolare del trattamento la cancellazione dei dati.

b)      Se un siffatto diritto all’astensione del terzo possa derivare (anche) dall’articolo 18 del RGPD o da un’altra disposizione del RGPD.

2)      In caso di risposta affermativa [alla prima questione, lettera a) e/o lettera b)]:

a)      Se il diritto di ottenere un ordine di astensione da una determinata condotta, fondato sul diritto dell’Unione, sussista soltanto nel caso in cui si debbano temere per il futuro ulteriori violazioni dei diritti dell’interessato risultanti dal RGPD (rischio di reiterazione).

b)      Se il rischio di reiterazione possa eventualmente presumersi in virtù della violazione del RGPD già commessa.

3)      In caso di risposta negativa [alla prima questione, lettera a) e lettera b)]:

Se l’articolo 84 e, in combinato disposto, l’articolo 79 del RGPD debbano essere interpretati nel senso che essi consentono al giudice nazionale di riconoscere, giusta le disposizioni del diritto nazionale, all’interessato i cui dati personali siano stati divulgati illecitamente dal titolare del trattamento mediante trasmissione a terzi, oltre al risarcimento del danno materiale o immateriale ai sensi dell’articolo 82 del RGPD e ai diritti derivanti dall’articolo 17 e dall’articolo 18 del RGPD, un diritto di esigere dal titolare del trattamento che questi si astenga da una nuova trasmissione illecita di tali dati.

4)      Se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, per ritenere sussistente un danno immateriale ai sensi di tale disposizione, sono sufficienti semplici sentimenti negativi, come rabbia, contrarietà, insoddisfazione, inquietudine e paura, che di per sé rientrano nel rischio inerente alla normale esperienza di vita e che spesso sono parte del vissuto di ogni giorno. O se invece, per ritenere sussistente un danno, sia necessario un pregiudizio sofferto dalla persona fisica interessata che vada oltre tali sentimenti.

5)      Se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, per valutare l’entità del danno immateriale da risarcire, il grado di colpevolezza del titolare del trattamento o del responsabile del trattamento e/o dei collaboratori di tali soggetti costituisce un criterio pertinente.

6)      In caso di risposta affermativa [alla prima questione, lettera a) o lettera b), o alla terza questione]:

Se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che, per valutare l’entità del danno immateriale da risarcire, può essere preso in considerazione, quale circostanza atta a diminuire l’importo del risarcimento, il fatto che all’interessato spetti, oltre al diritto al risarcimento del danno, anche quello ad ottenere che l’autore della violazione si astenga dal commettere ulteriori violazioni».

 Sulle questioni pregiudiziali

 Sulle questioni prima, seconda e terza

36      Con le sue questioni prima, seconda e terza, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se le disposizioni del RGPD debbano essere interpretate nel senso che esse prevedono, a beneficio della persona interessata dal trattamento illecito di dati personali, nell’ipotesi in cui questa non chieda la cancellazione dei propri dati, un mezzo di ricorso giurisdizionale che permette a tale persona di ottenere, a titolo preventivo, che al titolare del trattamento venga ingiunto di astenersi in futuro dall’effettuare un nuovo trattamento illecito, e se, in caso di risposta negativa, dette disposizioni impediscano agli Stati membri di prevedere un siffatto mezzo di ricorso nei loro rispettivi ordinamenti giuridici.

37      In via preliminare, occorre ricordare che, per interpretare una disposizione del diritto dell’Unione, occorre tener conto non soltanto della formulazione di quest’ultima, ma anche del suo contesto e degli obiettivi perseguiti dalla normativa di cui essa fa parte (sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punto 52 e giurisprudenza citata).

38      A questo proposito, in primo luogo, occorre rilevare che il RGPD è fondato sull’esistenza di un diritto riconosciuto a qualsiasi persona fisica di beneficiare di una protezione con riguardo al trattamento dei dati personali che la riguardano. Tale protezione costituisce un diritto fondamentale, sancito dall’articolo 8, paragrafo 1, della Carta, cui fa rinvio il considerando 1 di detto regolamento. L’obiettivo di garantire l’effettività di tale diritto fondamentale, assicurando una protezione ad un livello elevato e omogeneo in tutti gli Stati membri, informa l’applicazione di detto regolamento, come risulta dall’articolo 1 e dal considerando 10 del medesimo [v., in tal senso, sentenze del 5 ottobre 2023, Ministerstvo zdravotnictví (Applicazione mobile Covid‑19), C‑659/22, EU:C:2023:745, punto 28; del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punto 28, nonché del 3 aprile 2025, Ministerstvo zdravotnictví (Dati riguardanti il rappresentante di una persona giuridica), C‑710/23, EU:C:2025:231, punto 29].

39      Conformemente ad una consolidata giurisprudenza della Corte, qualsiasi trattamento di dati personali deve rispettare i principi disciplinanti il trattamento di tali dati nonché i diritti dell’«interessato», ai sensi dell’articolo 4, punto 1, del RGPD, che sono enunciati, rispettivamente, nei capi II e III di detto regolamento. In particolare, detto trattamento deve essere conforme ai principi relativi al trattamento di tali dati previsti dall’articolo 5 del citato regolamento e soddisfare le condizioni di liceità del trattamento elencate nell’articolo 6 di quest’ultimo [v., in tal senso, sentenze del 19 dicembre 2024, K GmbH (Trattamento dei dati personali dei dipendenti), C‑65/23, EU:C:2024:1051, punto 46, e del 3 aprile 2025, Ministerstvo zdravotnictví (Dati riguardanti il rappresentante di una persona giuridica), C‑710/23, EU:C:2025:231, punto 33].

40      Come rilevato, in sostanza, dall’avvocato generale ai paragrafi 32, 34 e 38 delle sue conclusioni, l’articolo 8 della Carta sancisce, al paragrafo 1, il diritto alla protezione dei dati personali, ma impone anche, nel successivo paragrafo 2, che tali dati vengano trattati nel rispetto di determinate condizioni, dal quale dipende la liceità del trattamento in questione. Allo stesso modo, gli obblighi enunciati nel capo II del RGPD, che gravano sul titolare del trattamento, trovano corrispondenza, dall’altro lato, in diritti specifici previsti da tale regolamento che sono conferiti alle persone interessate. Pertanto, queste ultime beneficiano di un diritto ad un trattamento lecito dei loro dati personali, che è il corollario dell’obbligo generale, posto a carico di detto titolare, di non trattare tali dati in maniera non conforme alle prescrizioni dettate dal citato regolamento.

41      In secondo luogo, la Corte ha statuito a più riprese che il diritto dell’Unione, che comprende anche le disposizioni della Carta, non ha l’effetto di costringere gli Stati membri a istituire rimedi giuridici diversi da quelli stabiliti dal diritto interno, a meno che dall’economia generale dell’ordinamento giuridico nazionale interessato risulti che non esiste alcun mezzo di ricorso giurisdizionale che permetta, anche solo in maniera incidentale, di assicurare il rispetto dei diritti che i singoli si vedono riconosciuti dal diritto dell’Unione (sentenza dell’8 maggio 2025, Barało, C‑530/23, EU:C:2025:322, punto 99 e giurisprudenza citata).

42      Nel caso di specie, occorre anzitutto sottolineare che la situazione in discussione nel procedimento principale concerne non la possibilità, per un giudice nazionale, di adottare misure provvisorie, bensì la possibilità eventuale, per l’interessato, di ottenere nel merito, mediante un’azione giudiziale a carattere preventivo, un’ingiunzione che vieti al titolare del trattamento di commettere una nuova violazione dei suddetti diritti.

43      A questo proposito, occorre rilevare che il RGPD non contiene alcuna disposizione che preveda, esplicitamente o implicitamente, che l’interessato benefici, così come prospettato dal giudice del rinvio, di un diritto ad ottenere in via preventiva, mediante un’azione giudiziale, che il titolare del trattamento di dati personali venga costretto ad astenersi, in futuro, dal commettere una violazione delle disposizioni di tale regolamento, più specificamente sotto forma di reiterazione di un trattamento illecito. In particolare, come rilevato dall’avvocato generale ai paragrafi da 54 a 69 delle sue conclusioni, un siffatto diritto non può essere desunto né dall’articolo 17 del citato regolamento, né dall’articolo 18 del medesimo.

44      Quanto al capo VIII del RGPD, occorre ricordare come tale capo disciplini, segnatamente, i mezzi di ricorso che permettono di proteggere i diritti dell’interessato qualora i dati personali che lo riguardano siano stati oggetto di un trattamento asseritamente contrario alle disposizioni di detto regolamento. La protezione di tali diritti può essere reclamata, in particolare, direttamente dall’interessato, in applicazione degli articoli da 77 a 79 del citato regolamento, i quali prevedono diversi mezzi di ricorso, che possono essere esperiti da detto interessato in maniera concorrente e indipendente (v., in tal senso, sentenze del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punto 47 e giurisprudenza citata, nonché del 30 aprile 2025, Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 e C‑332/23, EU:C:2025:303, punto 128 nonché giurisprudenza citata).

45      Risulta dal tenore letterale delle disposizioni del capo VIII del RGPD che nessuna di esse obbliga gli Stati membri a prevedere un ricorso preventivo quale quello descritto al punto 42 della presente sentenza. In particolare, il testo dell’articolo 79, paragrafo 1, di tale regolamento si limita a prevedere che, fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del citato regolamento siano stati violati a seguito di un trattamento dei suoi dati personali effettuato in violazione del medesimo regolamento. Il tenore letterale della disposizione di cui sopra non impone agli Stati membri di prevedere un mezzo di ricorso specifico che permetta di ottenere mediante un’azione giudiziale, a titolo preventivo, un’ingiunzione di astensione come quella prospettata dal giudice del rinvio.

46      Ciò premesso, alla luce del tenore letterale delle disposizioni del capo VIII del RGPD e, segnatamente, del riconoscimento, ad opera dell’articolo 79, paragrafo 1, di quest’ultimo, del diritto di ciascun interessato di disporre di un ricorso giurisdizionale effettivo qualora esso ritenga che i diritti riconosciutigli da tale regolamento siano stati violati a causa di un trattamento dei suoi dati personali effettuato in violazione del regolamento stesso, «fatto salvo» qualsiasi altro ricorso amministrativo o extragiudiziale, occorre considerare che agli Stati membri non è precluso prevedere un siffatto ricorso preventivo al fine di ingiungere al titolare del trattamento di astenersi da qualsiasi nuova violazione di tali diritti (v., in tal senso, sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punto 53).

47      Occorre sottolineare, a questo proposito, che se il RGPD mira a garantire un’armonizzazione delle legislazioni nazionali relative alla protezione dei dati personali che è, in linea di principio, completa, ciò non toglie che varie disposizioni di detto regolamento offrono espressamente la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose o a carattere derogatorio, che lasciano loro un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura») (sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punto 57 e giurisprudenza citata).

48      Indubbiamente, le disposizioni del capo VIII del RGPD non contengono specificamente una siffatta clausola di apertura che permetta, in maniera espressa, agli Stati membri di prevedere la possibilità per l’interessato, che desideri impedire al titolare del trattamento di violare disposizioni sostanziali di detto regolamento, di proporre un ricorso al fine di ottenere, nei confronti di detto titolare, un’ingiunzione ad astenersi dall’agire in tal senso. Tuttavia, il legislatore dell’Unione non ha inteso procedere ad un’armonizzazione esaustiva dei mezzi di ricorso esperibili in caso di violazione delle disposizioni del citato regolamento e, in particolare, non ha escluso una siffatta possibilità di ricorso (v., in tal senso, sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punti 59 e 60).

49      Tale interpretazione è confermata dagli obiettivi perseguiti dal RGPD. Infatti, tale regolamento mira segnatamente, come indicato dal suo considerando 10, ad assicurare un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali che le riguardano. Inoltre, il considerando 11 di detto regolamento enuncia, specificatamente, che una protezione effettiva di tali dati esige il rafforzamento dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati (v., in tal senso, sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punto 61).

50      Orbene, la possibilità per l’interessato di proporre un ricorso in sede giurisdizionale affinché ad un titolare del trattamento venga ordinato di astenersi, in futuro, dal violare le disposizioni sostanziali del RGPD non pregiudica i suddetti obiettivi ma è, al contrario, atta a rafforzare l’effetto utile di tali disposizioni e dunque l’elevato livello di protezione degli interessati con riguardo al trattamento dei loro dati personali, ricercato da tale regolamento. Pertanto, le disposizioni del capo VIII del RGPD non ostano ad una normativa nazionale che conferisca all’interessato una siffatta possibilità di ricorso preventivo (v., in tal senso, sentenza del 4 ottobre 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punti 62 e 73).

51      Ne consegue che il RGPD non osta a che un diritto di ricorso inteso ad ottenere un’ingiunzione che permetta di prevenire l’eventuale commissione di una violazione delle disposizioni sostanziali di tale regolamento, segnatamente mediante una potenziale reiterazione di un trattamento illecito, sia disponibile sulla base di disposizioni del diritto di uno Stato membro che siano applicabili dinanzi al giudice nazionale adito.

52      Alla luce dell’insieme delle considerazioni che precedono, occorre rispondere alle questioni prima, seconda e terza dichiarando che le disposizioni del RGPD devono essere interpretate nel senso che esse non prevedono, a beneficio della persona interessata dal trattamento illecito di dati personali, nell’ipotesi in cui questa non chieda la cancellazione dei propri dati, un mezzo di ricorso giurisdizionale che permetta a tale persona di ottenere, a titolo preventivo, che al titolare del trattamento venga ingiunto di astenersi dall’effettuare in futuro un nuovo trattamento illecito. Tuttavia, tali disposizioni non impediscono agli Stati membri di prevedere un siffatto mezzo di ricorso nei loro rispettivi ordinamenti giuridici.

 Sulla quarta questione

53      Con la sua quarta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che la nozione di «danno immateriale» contenuta in tale disposizione include sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l’insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva degli stessi o da un pregiudizio alla sua reputazione.

54      Occorre ricordare che l’articolo 82, paragrafo 1, del RGPD prevede che chiunque subisca un danno materiale o immateriale causato da una violazione di tale regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

55      In conformità ad una consolidata giurisprudenza, tenuto conto dell’assenza di qualsiasi riferimento, nell’articolo 82, paragrafo 1, del RGPD, al diritto interno degli Stati membri, la nozione di «danno immateriale», ai sensi di tale disposizione, deve ricevere una definizione autonoma e uniforme, specifica del diritto dell’Unione (v., in tal senso, sentenze del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 64, e del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 139 nonché giurisprudenza citata).

56      A questo proposito, la Corte ha statuito a più riprese, segnatamente alla luce dei considerando 75, 85 e 146 del RGPD, che la semplice violazione di tale regolamento non è sufficiente per conferire un diritto al risarcimento ai sensi dell’articolo 82, paragrafo 1, di quest’ultimo. L’esistenza di un «danno», materiale o immateriale, che sia stato subìto, di una violazione di disposizioni del suddetto regolamento, nonché di un nesso di causalità tra tale danno e detta violazione costituiscono le tre condizioni cumulative, necessarie e sufficienti, di tale diritto al risarcimento. Pertanto, la persona interessata che chiede il risarcimento di un danno immateriale sul fondamento del citato articolo 82, paragrafo 1, è tenuta a dimostrare non soltanto la violazione di detto regolamento, ma anche che tale violazione gli ha effettivamente causato un danno siffatto [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 32, 33, 37 e 42; del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti da 140 a 142, nonché del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punti 24 e 25].

57      Nel caso di specie, il giudice del rinvio chiarisce che il ricorrente di cui al procedimento principale invoca essenzialmente, a titolo del danno immateriale che sostiene di aver subìto a causa della violazione del RGPD di cui trattasi, «il timore della divulgazione dei dati a terzi che lavorano nel medesimo settore, il fatto che una persona abbia appreso informazioni riguardo a circostanze per le quali vale una regola di discrezione, [nonché] l’umiliazione per il mancato accoglimento delle sue pretese salariali e per la conoscenza di tale circostanza da parte di terzi». Detto giudice desidera sapere se dei «sentimenti negativi, come rabbia, contrarietà, insoddisfazione, inquietudine e paura», che esso qualifica come «rischi inerenti alla normale esperienza di vita», siano sufficienti per dimostrare l’esistenza di un «danno immateriale», ai sensi dell’articolo 82 di detto regolamento, oppure se occorra che la persona interessata abbia subìto un pregiudizio che va al di là di tali sentimenti.

58      A questo proposito, in primo luogo, risulta dalla giurisprudenza della Corte che l’articolo 82, paragrafo 1, del RGPD osta ad una norma o ad una prassi nazionale che subordini il ristoro di un «danno immateriale», ai sensi di tale disposizione, alla condizione che il pregiudizio subìto dalla persona interessata abbia raggiunto un certo grado di gravità. La disposizione suddetta non esige che un danno immateriale fatto valere dall’interessato debba raggiungere una «soglia di rilevanza» perché tale danno possa essere risarcito [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 51, nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 147 e 149].

59      In secondo luogo, come rilevato dalla Commissione europea nelle sue osservazioni scritte, situazioni, quali quelle invocate nel procedimento principale, attinenti ad un «pregiudizio alla reputazione» derivante da una violazione di dati personali o ad una «perdita del controllo» su dati siffatti, figurano esplicitamente tra gli esempi di possibili danni che sono elencati nei considerando 75 e 85 del RGPD.

60      In particolare, la Corte ha sottolineato che risulta dall’elenco esemplificativo dei «danni» o dei «pregiudizi» che possono essere subiti dalle persone interessate, quale contenuto nel considerando 85, prima frase, del RGPD, che il legislatore dell’Unione ha inteso includere in queste due nozioni, segnatamente, la semplice «perdita del controllo» sui propri dati personali di tali persone, a seguito di una violazione del regolamento summenzionato, quand’anche non si sia concretamente verificato un uso abusivo dei dati in questione. Una siffatta perdita del controllo può essere sufficiente per causare un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, di detto regolamento, purché l’interessato dimostri di aver effettivamente subìto un danno di tal genere, fosse pure minimo, senza che tale nozione di «danno immateriale» esiga la dimostrazione dell’esistenza di tangibili conseguenze negative supplementari (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 145, 150 e 156 nonché giurisprudenza citata).

61      In terzo luogo, la Corte ha già statuito che il timore, provato dall’interessato, che i suoi dati personali siano oggetto di utilizzazione abusiva in futuro, a seguito di una violazione del RGPD, è idoneo a costituire, di per sé solo, un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, di detto regolamento, a condizione che tale timore, con le sue conseguenze negative, sia debitamente dimostrato, aspetto questo la cui verifica incombe al giudice nazionale adito [v., in tal senso, sentenze del 20 giugno 2024, PS (Indirizzo errato), C‑590/22, EU:C:2024:536, punti 32, 35 e 36, nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 143, 144 e 155 nonché giurisprudenza citata].

62      Pertanto, sebbene i sentimenti menzionati dal giudice del rinvio, in particolare il timore o l’insoddisfazione, possano peraltro far parte dei rischi inerenti alla normale esperienza di vita, come questo stesso giudice osserva, simili sentimenti negativi sono suscettibili di costituire un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del RGPD, purché, conformemente al requisito dell’esistenza di un nesso di causalità ricordato al punto 56 della presente sentenza, la persona interessata dimostri che prova sentimenti siffatti, con le loro conseguenze negative, proprio in ragione della violazione del suddetto regolamento di cui trattasi, come ad esempio una trasmissione non autorizzata dei suoi dati personali ad un terzo che ingeneri il rischio di un uso abusivo di questi ultimi, aspetto questo che deve essere valutato dai giudici nazionali aditi.

63      In quarto e ultimo luogo, tale interpretazione è conforme al tenore letterale dell’articolo 82, paragrafo 1, del RGPD, letto alla luce dei considerando 85 e 146 di tale regolamento, i quali invitano ad adottare un’accezione ampia della nozione di «danno immateriale», ai sensi di tale articolo 82, paragrafo 1. Inoltre, essa è corroborata dall’obiettivo del citato regolamento, risultante dall’articolo 1 nonché dai considerando 1 e 10 del medesimo, che consiste nell’assicurare un livello elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali (v., per analogia, sentenze del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punti 19 e 20, nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 144 e 146).

64      Visti i motivi sopra esposti, occorre rispondere alla quarta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che la nozione di «danno immateriale» contenuta in tale disposizione include sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l’insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva di questi ultimi o da un pregiudizio alla sua reputazione, purché detto interessato dimostri che prova sentimenti siffatti, con le loro conseguenze negative, a causa della violazione de qua del regolamento suddetto.

 Sulla quinta questione

65      Con la sua quinta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che esso autorizza che il grado di gravità dell’illecito commesso dal titolare del trattamento venga preso in considerazione ai fini della valutazione del risarcimento di un danno immateriale dovuto a titolo di tale articolo 82, paragrafo 1.

66      A questo proposito, risulta dalla giurisprudenza della Corte che, poiché il RGPD non contiene disposizioni miranti a definire le regole relative alla valutazione del risarcimento dei danni dovuto a titolo del diritto a riparazione sancito dall’articolo 82 di detto regolamento, i giudici nazionali devono, a tal fine, applicare le norme interne del rispettivo Stato membro riguardanti l’entità della riparazione pecuniaria, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 54 e 59, nonché del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punto 32].

67      Nel caso di specie, il giudice del rinvio si chiede se il grado di colpevolezza sotteso alla violazione commessa dall’autore del danno, che è un criterio previsto nel diritto tedesco ai fini della valutazione del risarcimento pecuniario dei danni immateriali, possa trovare applicazione anche nel caso dell’indennizzazione di un danno immateriale fondato sull’articolo 82 del RGPD.

68      Risulta dalle sentenze della Corte, alcune delle quali sono state pronunciate dopo la presentazione dell’odierna domanda di pronuncia pregiudiziale, che occorre dare risposta negativa a tale quinta questione.

69      Infatti, la Corte ha statuito che, tenuto conto della funzione compensativa del diritto al risarcimento previsto dall’articolo 82 del RGPD, i giudici nazionali sono tenuti ad assicurare un ristoro «pieno ed effettivo» del danno subìto, come indicato nel considerando 146 di tale regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento a titolo di danni punitivi [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 57 e 58, nonché del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punto 34].

70      A differenza di quanto l’articolo 83 del RGPD prevede per le sanzioni pecuniarie amministrative, i cui criteri non sono applicabili mutatis mutandis nell’ambito dell’articolo 82 di tale regolamento, il diritto al risarcimento previsto da tale articolo 82, segnatamente in caso di danno immateriale, assolve una funzione esclusivamente compensativa, in quanto un ristoro pecuniario fondato sul citato articolo 82 deve permettere di compensare integralmente il pregiudizio concretamente subìto in conseguenza della violazione di detto regolamento, e non anche una funzione dissuasiva o punitiva (v., in tal senso, sentenze del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 153, e del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punti da 39 a 41).

71      Pertanto, da un lato, l’insorgere della responsabilità del titolare del trattamento ai sensi dell’articolo 82 del RGPD è subordinata all’esistenza di una condotta illecita da lui messa in atto, la quale è presunta, a meno che tale titolare non dimostri che il fatto che ha provocato il danno non è a lui in alcun modo imputabile, e, dall’altro, tale articolo 82 non esige che il grado di colpevolezza sotteso a tale condotta venga preso in considerazione all’atto della fissazione dell’importo del risarcimento danni concesso a titolo di riparazione di un danno immateriale sul fondamento di detto articolo (sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 154).

72      Più precisamente, la funzione esclusivamente compensativa del diritto al risarcimento previsto dall’articolo 82, paragrafo 1, del RGPD osta a che il grado di gravità e l’eventuale carattere intenzionale della violazione di tale regolamento commessa dal titolare del trattamento vengano presi in considerazione ai fini del risarcimento di un danno su tale base. Ne consegue che, nel quadro di tale disposizione, l’atteggiamento e la motivazione del titolare del trattamento non possono essere presi in considerazione al fine, eventualmente, di concedere all’interessato un risarcimento inferiore al pregiudizio che quest’ultimo ha concretamente subìto, sotto il profilo, indifferentemente, del quantum o della forma di tale risarcimento (v., in tal senso, sentenza del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punti da 42 a 45 e giurisprudenza citata).

73      Alla luce delle considerazioni che precedono, occorre rispondere alla quinta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che esso osta a che il grado di gravità dell’illecito commesso dal titolare del trattamento venga preso in considerazione ai fini della valutazione del risarcimento di un danno immateriale dovuto a titolo di detto articolo.

 Sulla sesta questione

74      La sesta questione viene sollevata per l’eventualità in cui la Corte rispondesse in senso affermativo o a una delle parti che compongono la prima questione, o alla terza questione, ossia per il caso in cui si dovesse considerare, in sostanza, che un diritto di esigere che il titolare del trattamento si astenga in futuro da una nuova violazione di dati personali è riconosciuto, a beneficio della persona interessata, dal RGPD, direttamente in virtù di disposizioni di quest’ultimo o per il tramite di un’applicazione di disposizioni nazionali autorizzata da tale regolamento. Tenuto conto della risposta fornita, congiuntamente, alle questioni prima, seconda e terza, che figura al punto 52 della presente sentenza, occorre rispondere a tale sesta questione.

75      Al fine di precisare l’oggetto di quest’ultima questione, il giudice del rinvio osserva che, secondo il diritto tedesco e la sua propria giurisprudenza, il fatto che una persona che ha subìto un danno immateriale abbia chiesto, e addirittura ottenuto, che l’autore di quest’ultimo venga costretto ad astenersi da nuovi atti pregiudizievoli può essere preso in considerazione per diminuire, o addirittura escludere, un indennizzo pecuniario a titolo di tale danno. Detto giudice desidera sapere se tale criterio di valutazione della riparazione del danno possa essere applicato anche nell’ambito del RGPD, segnatamente in riferimento al principio di effettività del diritto dell’Unione, e, se così fosse, in quale misura.

76      Pertanto, con la sua questione, il giudice del rinvio chiede, in sostanza, se l’articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che il fatto che la persona interessata abbia ottenuto, in virtù del diritto nazionale applicabile, un’ingiunzione di astensione dalla reiterazione di una violazione di detto regolamento, opponibile al titolare del trattamento, può essere preso in considerazione al fine di ridurre l’entità del risarcimento pecuniario di un danno immateriale dovuto a titolo del citato articolo 82, paragrafo 1, o addirittura al fine di prendere il posto di tale risarcimento.

77      A questo proposito, occorre ricordare che, come menzionato al punto 66 della presente sentenza, il RGPD non contiene disposizioni che definiscano le regole per la valutazione del risarcimento danni dovuto a titolo dell’articolo 82 di tale regolamento, sicché i giudici nazionali devono, a tal fine, applicare le norme interne del rispettivo Stato membro riguardanti l’entità del risarcimento pecuniario, fatto salvo il rispetto dei principi di equivalenza e di effettività del diritto dell’Unione.

78      In particolare, occorre sottolineare che i criteri di valutazione del risarcimento dovuto nell’ambito delle azioni destinate ad assicurare la salvaguardia dei diritti che i singoli si vedono riconosciuti dall’articolo 82 del RGPD, criteri che sono fissati nell’ambito dell’ordinamento giuridico di ciascuno Stato membro, devono permettere di assicurare una riparazione piena ed effettiva del danno subìto dalla persona interessata a seguito di una violazione di tale regolamento (v., in tal senso, sentenze del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 152, e del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punto 34 nonché giurisprudenza citata).

79      La Corte ha già riconosciuto che, nei limiti risultanti dal principio di effettività, alcune circostanze possono influire sulla valutazione del risarcimento dovuto a titolo dell’articolo 82 del RGPD, specialmente per limitare tale risarcimento. La giurisprudenza ha statuito che, in caso di non gravità del danno subìto dall’interessato, il giudice nazionale può concedere a quest’ultimo un indennizzo minimo, purché l’importo poco elevato del risarcimento così concesso sia tale da compensare integralmente il danno suddetto, il che dev’essere verificato da tale giudice. Allo stesso modo, la presentazione di scuse può costituire una riparazione adeguata di un danno immateriale sul fondamento di tale articolo 82, segnatamente quando sia impossibile ripristinare la situazione antecedente al verificarsi di tale danno, purché tale forma di riparazione, laddove prevista dal diritto nazionale, permetta una siffatta compensazione integrale del suddetto pregiudizio (v., in tal senso, sentenza del 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punti da 35 a 37 nonché giurisprudenza citata).

80      Nel caso di specie, la questione sollevata mira a stabilire se, nell’ambito di applicazione dell’articolo 82 del RGPD, un giudice nazionale abbia la possibilità di tener conto del fatto che la persona interessata beneficia di un’ingiunzione di astensione per ridurre il risarcimento che può essere concesso a tale persona a titolo di un danno immateriale, sicché detto giudice, in pratica, ordinerebbe la riparazione di un danno siffatto in parte in forma pecuniaria e in parte sotto forma di detta ingiunzione, o addirittura soltanto in quest’ultima forma.

81      Orbene, risulta dalla giurisprudenza menzionata ai punti 78 e 79 della presente sentenza che una forma di riparazione prevista dal diritto nazionale applicabile può essere considerata conforme al RGPD soltanto a condizione che essa rispetti i principi di equivalenza e di effettività del diritto dell’Unione, il che presuppone, segnatamente, che essa sia idonea ad assicurare una riparazione piena ed effettiva del pregiudizio subìto dalla persona interessata.

82      In particolare, un risarcimento dovuto a titolo dell’articolo 82 di tale regolamento non può essere concesso sotto forma, in tutto o in parte, di un’ingiunzione di astensione, in quanto il diritto al risarcimento di un danno previsto da tale articolo 82 soddisfa una funzione esclusivamente compensativa, come si è ricordato al punto 70 della presente sentenza, mentre un’ingiunzione di astensione opposta nei confronti dell’autore del danno ha una finalità puramente preventiva. Infatti, come rilevato in sostanza dall’avvocato generale al paragrafo 86 delle sue conclusioni, un’ingiunzione di questa natura mira ad impedire la reiterazione di comportamenti che hanno causato dei danni, al fine di evitare il verificarsi di nuovi danni, ma essa non risarcisce quelli che sono già stati subiti dalla persona interessata.

83      Alla luce delle ragioni sopra esposte, occorre rispondere alla sesta questione dichiarando che l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che esso osta a che la circostanza che la persona interessata abbia ottenuto, in virtù del diritto nazionale applicabile, un’ingiunzione di astensione dalla reiterazione di una violazione di detto regolamento, opponibile al titolare del trattamento, venga presa in considerazione al fine di ridurre l’entità del risarcimento pecuniario di un danno immateriale dovuto a titolo di tale articolo o, a fortiori, al fine di prendere il posto di tale risarcimento.

 Sulle spese

84      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quarta Sezione) dichiara:

1)      Le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretate nel senso che:

esse non prevedono, a beneficio della persona interessata dal trattamento illecito di dati personali, nell’ipotesi in cui questa non chieda la cancellazione dei propri dati, un mezzo di ricorso giurisdizionale che permetta a tale persona di ottenere, a titolo preventivo, che al titolare del trattamento venga ingiunto di astenersi dall’effettuare in futuro un nuovo trattamento illecito. Tuttavia, tali disposizioni non impediscono agli Stati membri di prevedere un siffatto mezzo di ricorso nei loro rispettivi ordinamenti giuridici.

2)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

la nozione di «danno immateriale» contenuta in tale disposizione include sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l’insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva di questi ultimi o da un pregiudizio alla sua reputazione, purché detto interessato dimostri che prova sentimenti siffatti, con le loro conseguenze negative, a causa della violazione de qua del regolamento suddetto.

3)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

esso osta a che il grado di gravità dell’illecito commesso dal titolare del trattamento venga preso in considerazione ai fini della valutazione del risarcimento di un danno immateriale dovuto a titolo di detto articolo.

4)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

esso osta a che la circostanza che la persona interessata abbia ottenuto, in virtù del diritto nazionale applicabile, un’ingiunzione di astensione dalla reiterazione di una violazione di detto regolamento, opponibile al titolare del trattamento, venga presa in considerazione al fine di ridurre l’entità del risarcimento pecuniario di un danno immateriale dovuto a titolo di tale articolo o, a fortiori, al fine di prendere il posto di tale risarcimento.

Firme

*      Lingua processuale: il tedesco.