Il diritto di accesso, pensato come strumento di trasparenza e controllo, può diventare un meccanismo di attivazione seriale di pretese risarcitorie? La vicenda che ha condotto alla sentenza della Corte di giustizia del 19 marzo 2026 (C-526/24, Brillen Rottler) si colloca in un punto di frizione evidente nella prassi applicativa del GDPR.
La decisione suscita grande interesse e molti operatori la vedono già come una via per difendere il rifiuto da parte delle aziende. Ma basta andare oltre i titoli “facili” per vedere che la Corte non apre scorciatoie ma, al contrario, alza la soglia per rifiutare l’accesso.
Indice degli argomenti
Diritto di accesso e abuso: la vicenda
Il fatto è semplice, quasi minimale. Un interessato, cittadino austriaco, si iscrive alla newsletter di un’azienda di ottica (a conduzione familiare) e, dopo poco più di una decina di giorni, esercita il diritto di accesso.
Il titolare rifiuta la richiesta e la rigetta, ritenendola abusiva, sulla scorta della presunta “litigiosità” dell’interessato che (secondo una serie di blog e fonti online non meglio precisate) non sarebbe nuovo a questo tipo di pratiche. L’interessato insiste e, a fronte del rigetto, formula una domanda di risarcimento del danno.
Se la vicenda si fosse fermata qui, probabilmente non avrebbe mai oltrepassato i confini di un contenzioso locale. Ciò che la rende invece giuridicamente rilevante è il sospetto che il diritto di accesso venga utilizzato come leva per costruire un contenzioso.
Il giudice del rinvio coglie perfettamente la tensione e passa la palla, per le opportune statuizioni sulle questioni pregiudiziali che si sono delineate, alla CGUE.
La possibilità di pratiche opportunistiche è reale, così come è un fatto che la struttura stessa del GDPR si fondi sull’accessibilità e sull’effettività dei diritti dell’interessato. Comprimere il diritto di accesso, anche solo in via interpretativa, significa in ogni caso intervenire su uno degli snodi più delicati dell’intero sistema.
La vera questione pregiudiziale è capire fino a che punto il titolare può opporre un rifiuto all’esercizio di un diritto da parte dell’interessato, senza trasformare un’eccezione in una prassi difensiva.
La sentenza CGUE sul diritto di accesso
La Corte di giustizia torna invero a confrontarsi con uno dei diritti più sensibili del GDPR, quello di accesso, affrontando però, per la prima volta in modo esplicito, il tema del suo possibile uso abusivo.
La Corte chiarisce che anche una prima richiesta può, in via eccezionale, essere qualificata come “eccessiva” ai sensi dell’art. 12, par. 5, ma solo a condizione che il titolare dimostri, con criteri particolarmente rigorosi, che essa non è finalizzata a conoscere il trattamento, bensì a costruire artificiosamente i presupposti per una pretesa risarcitoria.
Allo stesso tempo, ribadisce la centralità del diritto di accesso nel sistema del regolamento e conferma che la sua violazione può dar luogo a un diritto al risarcimento del danno, anche in assenza di un trattamento illecito in senso stretto.
Ne emerge una decisione che, pur aprendo alla categoria dell’abuso, ne delimita fortemente l’operatività, evitando che essa si traduca in una compressione generalizzata dei diritti degli interessati.
La decisione della CGUE: una prima richiesta può essere “eccessiva”
La Corte affronta la questione partendo da un presupposto che, nella prassi, era spesso dato per implicito: il carattere eccessivo di una richiesta non coincide necessariamente con la sua ripetizione.
L’articolo 12, paragrafo 5, del GDPR fa riferimento, infatti, a richieste manifestamente infondate o eccessive, menzionando la ripetitività solo come esempio. La Corte chiarisce quindi che tale riferimento non è limitativo e che l’eccessività può essere anche qualitativa, non solo quantitativa.
Questo passaggio è, a prima vista, dirompente. Ammettere che anche una prima richiesta possa essere eccessiva significa aprire uno spazio interpretativo potenzialmente molto ampio. Tuttavia, la Corte si affretta a circoscriverlo, precisando che si tratta di individuare una “fattispecie eccezionale” e non di introdurre una clausola generale di rifiuto.
Secondo la Corte una richiesta può essere formalmente conforme all’articolo 15 e, allo stesso tempo, sostanzialmente distonica rispetto alla sua ratio ed è su questa frattura che si innesta la nozione di eccessività.
La Corte, anziché ampliare il potere del titolare in modo indiscriminato, ridefinisce il perimetro concettuale della norma, spostando l’attenzione dalla quantità alla qualità dell’esercizio del diritto.
Abuso del diritto e onere della prova: criteri stringenti per il titolare
Il vero cuore della sentenza sta poi nella qualificazione dell’eccessività come espressione dell’abuso del diritto. Per la Corte, ogni richiesta abusiva è, per definizione, eccessiva e, su questo, richiama un principio consolidato del diritto dell’Unione, vale a dire quello per cui le norme non possono essere invocate per fini fraudolenti o distorti.
Trasposto nel contesto del GDPR, ciò significa che il diritto di accesso non può essere utilizzato (o, meglio, strumentalizzato) per creare artificiosamente le condizioni di un vantaggio.
La formulazione è, ancora una volta, calibrata, e chiarisce che non è sufficiente che l’interessato abbia anche un interesse economico o contenzioso.
Il diritto di accesso può legittimamente precedere e supportare un’azione giudiziaria, ma quello che rileva è la finalità predominante. Pertanto, se la richiesta è concepita appositamente per provocare una violazione e monetizzarla, anziché per conoscere il trattamento, allora si entra nel terreno dell’abuso.
La Corte, oltre a definire l’abuso, ne disciplina l’accertamento in termini rigorosi, asserendo che l’onere della prova è interamente a carico del titolare, e la prova richiesta è particolarmente esigente. L’evocazione di un comportamento seriale (ad esempio attraverso il richiamo di informazioni pubbliche sul profilo dell’interessato) non può essere un elemento sufficiente da solo a determinare un abuso, ma può concorrere come “indizio” nella valutazione solo unitamente ad altri tasselli.
Nel caso di specie, colpisce, e non poco, la natura delle fonti su cui il titolare fonda l’accusa di abuso nei confronti dell’interessato: non fa riferimento né a provvedimenti di autorità, né a precedenti giurisdizionali, bensì a generici “reportage” e articoli online su “blog di avvocati”. Un materiale informativo che, per quanto pubblico, resta ontologicamente fragile sul piano probatorio e difficilmente idoneo a sostenere, da solo, una qualificazione così incisiva come quella dell’abuso del diritto.
La Corte, non a caso, si guarda bene dall’attribuire a tali fonti un valore determinante, relegandole appunto al rango di meri indizi e imponendo che siano corroborate da elementi ulteriori, specifici e convergenti.
Il messaggio è implicito ma chiarissimo: non basta costruire una narrazione (per quanto suggestiva essa sia) su comportamenti seriali riportati in sedi non ufficiali per giustificare il rifiuto di un diritto fondamentale. Diversamente, il rischio sarebbe quello di legittimare una sorta di “prova per reputazione”, in cui il sospetto di un uso opportunistico finisce per precedere (e sostituire) l’accertamento concreto del caso.
Occorre dimostrare, nel caso concreto, che la richiesta si inserisce in una strategia artificiale e che la finalità perseguita si discosta in modo significativo da quella tipica del diritto di accesso: una prova complessa, che richiede una lettura sistemica del comportamento dell’interessato e del contesto in cui questo si inserisce.
La Corte introduce pertanto una soglia elevata, che impedisce al titolare di utilizzare la categoria dell’abuso come argomento difensivo standardizzato.
Il confronto con le conclusioni dell’Avvocato generale Szpunar
La sentenza si colloca in linea di continuità con le conclusioni dell’Avvocato Generale Szpunar, che avevano già individuato nell’abuso del diritto la chiave di lettura della controversia.
L’Avvocato Generale aveva proposto un’analisi articolata, fondata sulla struttura bifasica dell’abuso (elemento oggettivo ed elemento soggettivo) e sulla nozione di strumentalizzazione del sistema GDPR. La Corte recepisce questa impostazione, ma la semplifica e la rende concretamente applicabile.
Dove le conclusioni insistevano sulla ricostruzione sistematica del principio, la sentenza privilegia un criterio operativo, centrato sulla finalità concreta della richiesta, in una scelta che riflette una tensione tipica della giurisprudenza della Corte, cioè quella di mantenere coerenza teorica senza sacrificare l’applicabilità pratica.
La differenza più significativa emerge sul piano del risarcimento. L’Avvocato Generale affrontava in modo più problematico il rapporto tra violazione e trattamento, mentre la Corte adotta una posizione più netta, orientata a garantire l’effettività della tutela.
Nel complesso, tuttavia, la decisione può essere letta come una trasposizione delle conclusioni dell’AG in una forma più immediata e meno speculativa.
Il diritto di accesso nel GDPR: funzione sistemica e ruolo strategico
L’articolo 15 è, nel GDPR, il punto di accesso all’intero impianto dei diritti dell’interessato. Senza accesso, non vi è consapevolezza del trattamento; senza consapevolezza, non vi è possibilità di esercitare rettifica, cancellazione, limitazione, opposizione.
Del resto, il considerando 63 esprime con chiarezza che l’accesso serve a verificare la liceità del trattamento. Tuttavia, questa formulazione, spesso letta in modo riduttivo, nasconde una dimensione più ampia, poiché il diritto di accesso è anche uno strumento di riequilibrio informativo tra titolare e interessato, in un contesto in cui il primo detiene una posizione strutturalmente dominante.
Se si considera questo aspetto, la compressione del diritto di accesso è in grado di incidere sull’intero ecosistema del GDPR ed è per questo che la Corte insiste sulla sua centralità e sulla necessità di interpretare restrittivamente le eccezioni.
La sentenza rafforza indirettamente la tutela del diritto di accesso, chiarendo che il rifiuto è possibile solo in presenza di condizioni rigorose.
Accesso e maturità organizzativa: la trasparenza come leva reputazionale
Andando oltre la dimensione strettamente giuridica, il diritto di accesso rappresenta uno dei momenti in cui la compliance diventa effettivamente “visibile”, poiché consiste in un’interazione diretta con l’interessato e non in un mero adempimento. In questo senso, la sua gestione riflette la qualità stessa dell’organizzazione.
Rispondere a una richiesta di accesso implica sapere dove sono i dati, come sono trattati, chi li gestisce e significa avere processi tracciabili e responsabilità definite. È, in ultima analisi, una prova di maturità per l’azienda stessa e dimostra il grado di trasparenza nei confronti dei clienti/interessati.
Il rifiuto, al contrario, può essere percepito come un segnale di mancata trasparenza e di difficoltà gestionale; così, anche laddove fosse giuridicamente giustificato, resta comunque una scelta che espone a un rischio reputazionale, a fronte di un’attività che, nel caso di un’organizzazione consapevole e matura, non comporta attività complesse o sforzi eccessivi.
Ecco perché il diritto di accesso si colloca al confine tra compliance e comunicazione, rappresentando uno strumento di tutela dell’interessato e, al tempo stesso, un’occasione per il titolare di dimostrare la propria affidabilità.
Un dato trascurato: la dimensione del titolare e il peso del contesto
Un elemento che merita di essere esplicitato, e che nella sentenza resta solo sullo sfondo, riguarda la natura del titolare coinvolto.
L’azienda Brillen Rottler non è un operatore digitale globale esposto a volumi massivi di richieste da parte degli interessati. È una realtà imprenditoriale familiare, con dimensioni riconducibili al tessuto tipico del Mittelstand tedesco: in altre parole, una struttura organizzata, apparentemente non caratterizzata da complessità sistemiche tali da rendere la gestione dei diritti degli interessati particolarmente onerosa.
Questo aspetto appare rilevante e potrebbe avere un peso concreto nella decisione del giudice del rinvio, quale elemento che caratterizza il contesto di riferimento in cui si colloca la richiesta.
In un’organizzazione di questo tipo, la gestione di una richiesta di accesso (per quanto potenzialmente strumentale) difficilmente può essere considerata sproporzionata sotto il profilo operativo. Al contrario, come detto poc’anzi, questo tipo di richieste rappresentano uno dei momenti in cui la struttura del titolare si misura concretamente con le proprie capacità di governo del dato e il grado di trasparenza che riesce a trasmettere agli interessati.
A ben vedere, rispondere all’interessato non avrebbe comportato alcun reale sacrificio per l’azienda: il rigetto appare quindi una scelta deliberata, piuttosto che una reale necessità.
Se il diritto di accesso è concepito come strumento ordinario di trasparenza, il rifiuto, soprattutto alla prima richiesta, non può diventare una risposta “difensiva di default”, specie in contesti in cui la gestione operativa del diritto appare fisiologicamente sostenibile. In caso contrario, il rischio è quello di trasformare una clausola eccezionale (vale a dire, pensata per intercettare abusi reali) in un meccanismo anticipato di contenimento del diritto.
Il risarcimento del danno nel GDPR: l’evoluzione della giurisprudenza UE
La sentenza si inserisce in un percorso giurisprudenziale ormai consolidato in materia di risarcimento del danno ai sensi dell’articolo 82 GDPR.
La Corte ribadisce che il diritto al risarcimento richiede la presenza di un danno effettivo e di un nesso causale con la violazione e che pertanto la mera violazione del regolamento non è sufficiente a legittimare un danno e una conseguente una richiesta di risarcimento. Questo principio, già affermato in precedenti decisioni (vedi: sentenza Österreichische Post C-300/21), viene qui riconfermato con chiarezza.
La Corte chiarisce comunque che il danno può derivare anche dalla violazione del diritto di accesso e che non è necessario che vi sia un trattamento illecito in senso stretto, rafforzando così la centralità del diritto di accesso e garantendone l’effettività.
Sul danno morale, la Corte mantiene un approccio equilibrato, riconoscendo che la perdita di controllo sui dati può costituire un danno risarcibile, escludendo però qualsiasi automatismo: il danno deve essere sempre provato e corroborato da elementi concreti riferiti anche al contesto, anche se non è richiesta una soglia minima di gravità.
Un punto particolarmente interessante è il ruolo attribuito al comportamento dell’interessato: quando il danno è il risultato di una condotta artificiale, il nesso causale può risultare interrotto. In parole povere: se è lo stesso interessato a determinare, con una strategia deliberata, la situazione da cui discenderebbe il pregiudizio (ad esempio fornendo volontariamente i dati al solo scopo di attivare una richiesta e provocarne il rigetto), viene meno il rapporto diretto tra violazione e danno che costituisce il presupposto essenziale della responsabilità ai sensi dell’art. 82.
In questo modo, la Corte introduce un ulteriore filtro nei confronti dell’abuso, impedendo l’utilizzo del risarcimento come strumento puramente opportunistico.
Il giudice del rinvio e l’esito ancora aperto del caso
La decisione della Corte non chiude la controversia, poiché dopo essersi pronunciata sulle pregiudiziali indicate, rimette al giudice del rinvio la valutazione finale, sulla base dei criteri individuati. Il giudice del rinvio aveva invero già manifestato una certa cautela rispetto alla possibilità di limitare il diritto di accesso e, di fatto, la sentenza non smentisce questa impostazione, anzi introduce un parametro ulteriore, cioè la stringente verifica dell’abuso.
Spetterà ora al giudice nazionale stabilire se, nel caso concreto, esaminato il contesto, le condotte e tutti gli elementi disponibili, possa ritenersi dimostrato un intento abusivo. Una valutazione complessa, che richiede un bilanciamento tra la tutela del diritto e la prevenzione di pratiche opportunistiche.
L’esito, a parere di chi scrive, non è affatto scontato.
La soglia probatoria elevata indicata dalla Corte rischia, nonostante gli intenti, di trasformare il riconoscimento teorico dell’abuso in una categoria difficilmente utilizzabile nella pratica. Dimostrare che una richiesta di accesso è stata formulata per costruire artificialmente una pretesa risarcitoria e non per conoscere il trattamento, implica un accertamento particolarmente penetrante dell’intento soggettivo dell’interessato, che difficilmente potrà emergere in modo univoco.
In questo senso, la sentenza della CGUE sembra muoversi su un crinale sottile: da un lato apre, almeno in astratto, alla possibilità per il titolare di difendersi da pratiche opportunistiche; dall’altro, nel definire criteri probatori così rigorosi, finisce per ridurre sensibilmente lo spazio effettivo di tale difesa.
L’abuso potrebbe in pratica restare una figura di principio e non uno strumento realmente operativo, lasciando i titolari esposti a dinamiche contenziose che, pur sospette, risultano difficilmente neutralizzabili sul piano giuridico.
Una sentenza da non strumentalizzare
Non convince, infine, una certa lettura (già diffusa tra alcuni operatori) che tende a presentare questa pronuncia come una sorta di “legittimazione preventiva” del rigetto delle richieste di accesso. Si tratta di una lettura semplificata e, addirittura, rischiosa.
La sentenza, infatti, non introduce alcuna inversione di tendenza nella tutela dei diritti degli interessati. Al contrario, ribadisce con forza che il diritto di accesso costituisce la regola e che il rifiuto rappresenta un’eccezione, da interpretare restrittivamente e da giustificare sulla base di elementi probatori particolarmente severi.
Pensare di poter opporre questa decisione come argomento difensivo generalizzato (ad esempio nei confronti dell’autorità di controllo) significa trascurare proprio il punto centrale della pronuncia: l’abuso non si presume e, soprattutto, non si costruisce ex post per giustificare inerzie o dinieghi non adeguatamente motivati.
Sotto questo profilo, la posizione tradizionalmente rigorosa delle autorità, incluso il Garante italiano, appare difficilmente scalfibile. Da tempo, infatti, tali autorità insistono sulla necessità di garantire un esercizio effettivo e non ostacolato dei diritti, proprio per evitare che siano i titolari (più che gli interessati) a introdurre, nella prassi, forme di compressione indebita attraverso risposte incomplete, tardive o immotivatamente negative.
La sentenza della Corte non modifica questo equilibrio, semmai lo rafforza, delimitando con precisione l’area dell’abuso e impedendo che essa venga utilizzata come argomento difensivo di comodo.
Il vero rischio, in definitiva, non è tanto quello di un uso opportunistico del diritto di accesso da parte degli interessati, quanto quello (ben più sistemico) di una sua progressiva normalizzazione al ribasso da parte dei titolari, che potrebbero essere tentati di trasformare una pronuncia puntuale in una giustificazione generalizzata del rifiuto.
