La Corte di giustizia UE precisa quando una richiesta di accesso può essere “eccessiva” e conferma il risarcimento anche per la sola violazione del diritto di accesso.

Con sentenza del 19 marzo 2026, resa nella causa C-526/24, Brillen Rottler GmbH & Co. KG c. TC, la Corte di giustizia dell’Unione europea ha affrontato un tema di grande rilievo pratico per i titolari del trattamento: se e quando una richiesta di accesso ex art. 15 GDPR possa essere respinta come “eccessiva” ai sensi dell’art. 12, par. 5 GDPR, e se la violazione del diritto di accesso possa, di per sé, fondare una domanda risarcitoria ex art. 82 GDPR.

La controversia nasce dal caso di un interessato che, dopo essersi iscritto alla newsletter di un’impresa tedesca del settore ottico e avere conferito i propri dati personali tramite il relativo form online, aveva presentato tredici giorni dopo una richiesta di accesso; la società l’aveva rigettata come abusiva, mentre l’interessato aveva poi formulato anche una domanda di risarcimento del danno morale pari ad almeno 1.000 euro.

La Corte chiarisce anzitutto che neppure una prima richiesta di accesso è, in linea di principio, immune dalla possibile qualificazione come “eccessiva”. Tuttavia, tale possibilità opera soltanto in via eccezionale e deve essere letta restrittivamente, perché l’art. 12, par. 5 GDPR costituisce una deroga all’obbligo del titolare di agevolare l’esercizio dei diritti dell’interessato. In altri termini, il fatto che si tratti della prima istanza non impedisce, di per sé, al titolare di invocare l’abuso; ma i criteri per farlo sono elevati e il relativo onere probatorio grava interamente sul titolare stesso.

Sul punto, la Corte afferma che il carattere “eccessivo” non può essere desunto in modo automatico né dal solo numero delle richieste né da un generico sospetto circa le intenzioni dell’interessato. Occorre, invece, dimostrare, alla luce di tutte le circostanze del caso concreto, che la richiesta non è stata proposta per conoscere il trattamento e verificarne la liceità, cioè per perseguire la finalità tipica dell’art. 15 GDPR, bensì con un intento abusivo, quale la creazione artificiale dei presupposti per ottenere un vantaggio derivante dal regolamento, in particolare una pretesa risarcitoria. La Corte indica anche alcuni elementi da valutare: il fatto che i dati siano stati conferiti spontaneamente, lo scopo del loro conferimento, il tempo trascorso tra il conferimento e la richiesta di accesso, nonché il comportamento complessivo dell’interessato.

Un passaggio particolarmente significativo riguarda il possibile rilievo di informazioni pubblicamente accessibili da cui emerga che la stessa persona abbia avanzato richieste di accesso e successive domande di risarcimento verso molteplici titolari del trattamento secondo un modus operandi analogo. La Corte ammette che tali elementi possano essere presi in considerazione per accertare l’esistenza di un’intenzione abusiva, ma solo se corroborati da altri elementi pertinenti. Non basta, dunque, invocare l’esistenza di un “ricorrente seriale” per respingere la richiesta: serve una dimostrazione non equivoca dell’abuso nel caso specifico.

La seconda direttrice della pronuncia concerne l’art. 82 GDPR. La Corte afferma in modo netto che il diritto al risarcimento non è limitato ai soli danni derivanti da un trattamento illecito in senso stretto. Anche la violazione del diritto di accesso di cui all’art. 15, par. 1, può fondare, di per sé, un diritto al risarcimento, ove l’interessato dimostri di avere subito un danno materiale o morale causalmente collegato a tale violazione. Il punto è importante perché la Corte esclude una lettura restrittiva dell’art. 82 basata sull’idea che debba sempre esservi, come presupposto, un trattamento illecito ulteriore rispetto alla lesione del diritto dell’interessato. In questa prospettiva, il rifiuto ingiustificato di dare seguito a una richiesta di accesso può generare responsabilità risarcitoria.

La sentenza, tuttavia, non introduce alcun automatismo risarcitorio. La Corte ribadisce che il diritto al risarcimento presuppone tre elementi cumulativi: una violazione del GDPR, un danno effettivamente subito e un nesso causale tra la violazione e il danno. La sola violazione della norma non basta. Con specifico riguardo al danno morale, la Corte conferma che esso può consistere anche nella perdita di controllo sui dati personali o nell’incertezza circa il fatto che tali dati siano stati o meno trattati; ma anche in questo caso l’interessato deve provare di avere realmente subito tale pregiudizio. Non è sufficiente una mera allegazione astratta o una preoccupazione ipotetica. Inoltre, il risarcimento può essere escluso se il comportamento dell’interessato ha costituito la causa determinante del danno lamentato, come potrebbe accadere quando sia stato lo stesso interessato a creare artificiosamente le condizioni della pretesa.