Corte di giustizia dell'Unione Europea
Quarta Sezione
Sentenza 19 marzo 2026
Presidente: Jarukaitis - Relatrice: Frendo
«Rinvio pregiudiziale - Protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento (UE) 2016/679 - Articolo 12, paragrafo 5 - Articolo 15, paragrafo 1 - Diritto di accesso dell'interessato ai dati personali che lo riguardano - Diritto del titolare del trattamento di rifiutare di soddisfare la richiesta di accesso - Carattere eccessivo della richiesta - Abuso del diritto - Prima richiesta di accesso - Diritto al risarcimento e responsabilità - Articolo 82, paragrafo 1 - Azione fondata sulla violazione del diritto di accesso - Danno immateriale - Perdita del controllo dei dati personali».
Nella causa C‑526/24, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dall'Amtsgericht Arnsberg (Tribunale circoscrizionale di Arnsberg, Germania), con decisione del 31 luglio 2024, pervenuta in cancelleria il medesimo giorno, nel procedimento Brillen Rottler GmbH & Co. KG contro TC.
[...]
1. La domanda di pronuncia pregiudiziale verte sull'interpretazione dell'articolo 4, punto 2, dell'articolo 12, paragrafo 5, e dell'articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
2. Tale domanda è stata presentata nell'ambito di una controversia tra la Brillen Rottler GmbH & Co. KG, un'impresa di ottica a conduzione familiare, e TC, un privato, in merito al rifiuto, da parte di tale impresa, di soddisfare la richiesta di accesso ai suoi dati personali presentata da TC ai sensi dell'articolo 15 del RGPD.
Contesto normativo
3. I considerando 4, 10, 11, 63, 85, 141 e 146 del RGPD enunciano quanto segue:
«(4) Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla [Carta dei diritti fondamentali dell'Unione europea (in prosieguo: la «Carta»)], sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all'interno dell'Unione [europea], il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un'applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l'Unione. (...)
(11) Un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
(...)
(63) Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che [lo] riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. (...)
(85) Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (...)
(...)
(141) Ciascun interessato dovrebbe avere il diritto di proporre reclamo a un'unica autorità di controllo, in particolare nello Stato membro in cui risiede abitualmente, e il diritto a un ricorso giurisdizionale effettivo a norma dell'articolo 47 della Carta qualora ritenga che siano stati violati i diritti di cui gode a norma del presente regolamento (...).
(...)
(146) Il titolare del trattamento (...) dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. (...) Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. (...)».
4. Ai sensi dell'articolo 4 di tale regolamento, intitolato «Definizioni»:
«Ai fini del presente regolamento s'intende per:
(...)
2) "trattamento" qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(...)».
5. L'articolo 12 di detto regolamento, intitolato «Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato», ai paragrafi 1, 2 e 5 prevede quanto segue:
«1. Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento (...)
2. Il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22. (...)
(...)
5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell'articolo 34 sono gratuite. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta; oppure
b) rifiutare di soddisfare la richiesta.
Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta».
6. L'articolo 15 del medesimo regolamento, intitolato «Diritto di accesso dell'interessato», al paragrafo 1 così dispone:
«L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:
(...)».
7. L'articolo 26 del RGPD, intitolato «Contitolari del trattamento», al paragrafo 1 così dispone:
«Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. (...)».
8. L'articolo 30 di tale regolamento, intitolato «Registri delle attività di trattamento», al paragrafo 1 così recita:
«Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. (...)».
9. L'articolo 57 di detto regolamento, intitolato «Compiti», ai paragrafi 1 e 4 così dispone:
«1. Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
(...)
f) tratta i reclami proposti da un interessato, o da un organismo, un'organizzazione o un'associazione ai sensi dell'articolo 80, e svolge le indagini opportune sull'oggetto del reclamo (...);
(...)
4. Qualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, l'autorità di controllo può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. Incombe all'autorità di controllo dimostrare il carattere manifestamente infondato o eccessivo della richiesta».
10. L'articolo 79 del medesimo regolamento, intitolato «Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento», al paragrafo 1 dispone quanto segue:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un'autorità di controllo ai sensi dell'articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento».
11. L'articolo 82 del RGPD, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi 1, 2 e 4 prevede quanto segue:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (...)
(...)
4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato».
Procedimento principale e questioni pregiudiziali
12. Nel mese di marzo 2023 TC, una persona fisica residente in Austria, si è abbonato alla newsletter della Brillen Rottler, un'impresa di ottica a conduzione familiare con sede ad Arnsberg (Germania), inserendo i propri dati personali nel modulo di iscrizione disponibile sul sito Internet di tale impresa ed esprimendo il suo consenso al trattamento di tali dati. Tredici giorni dopo TC ha presentato alla Brillen Rottler una richiesta di accesso ai sensi dell'articolo 15 del RGPD.
13. La Brillen Rottler, entro il termine legale di un mese, ha respinto la richiesta di accesso, ritenendola abusiva, ai sensi dell'articolo 12, paragrafo 5, primo comma, seconda frase, del RGPD. Essa ha intimato a TC di rinunciare definitivamente alla sua richiesta.
14. Dal momento che quest'ultimo non ha ritirato la sua richiesta di accesso, allegandovi al contempo una domanda di risarcimento ai sensi dell'articolo 82 del RGPD per un importo di EUR 1 000, la Brillen Rottler ha adito l'Amtsgericht Arnsberg (Tribunale circoscrizionale di Arnsberg, Germania), giudice del rinvio, con una domanda diretta a far dichiarare che TC non ha diritto ad alcun risarcimento.
15. A sostegno della sua domanda, la Brillen Rottler sostiene che da vari servizi giornalistici, contenuti di blog e newsletter di avvocati risulta che TC presenta sistematicamente e abusivamente richieste di accesso ai propri dati personali al solo scopo di ottenere risarcimenti a titolo di una presunta violazione, che egli causa deliberatamente, dei diritti che gli derivano dal RGPD. Il modus operandi di TC consisterebbe, anzitutto, nell'iscriversi a una newsletter, poi nel presentare una richiesta di accesso e, infine, nel presentare una domanda di risarcimento.
16. TC sostiene dinanzi al giudice del rinvio che la richiesta di accesso che egli ha presentato alla Brillen Rottler è legittima, che essa è espressione del diritto di accesso conferitogli dall'articolo 15 del RGPD e che tale società cerca di limitare illecitamente i diritti che gli derivano da tale regolamento. Con domanda riconvenzionale, egli chiede che la Brillen Rottler sia condannata a versargli un risarcimento di almeno EUR 1 000 a titolo di risarcimento del danno immateriale subito a causa del rifiuto di tale società di concedergli l'accesso ai suoi dati personali.
17. Il giudice del rinvio si chiede, in primo luogo, se una prima richiesta di accesso presentata dall'interessato possa essere considerata una «richiesta eccessiva» ai sensi dell'articolo 12, paragrafo 5, del RGPD e, quindi, costituire un abuso di diritto, e quali siano le circostanze che consentono di constatare un siffatto carattere eccessivo. Esso si chiede, in particolare, se, per respingere una richiesta di accesso sulla base di tale disposizione, un titolare del trattamento possa fondarsi su informazioni pubbliche rivelanti l'esistenza di numerose richieste di accesso e di domande di risarcimento presentate dalla stessa persona ad altri titolari del trattamento.
18. In secondo luogo, tale giudice solleva la questione se una richiesta di accesso presentata ai sensi dell'articolo 15, paragrafo 1, del RGPD e/o la risposta a tale richiesta costituiscano un «trattamento», ai sensi dell'articolo 4, punto 2, di tale regolamento.
19. In terzo luogo, detto giudice nutre dubbi quanto ai criteri di individuazione dei danni risarcibili ai sensi dell'articolo 82, paragrafo 1, del RGPD, e in particolare quanto alla questione se, anche in assenza di un trattamento, tale articolo conferisca un siffatto diritto in virtù della sola violazione del diritto di accesso previsto all'articolo 15, paragrafo 1, di detto regolamento.
20. In tali circostanze, l'Amtsgericht Arnsberg (Tribunale circoscrizionale, Arnsberg) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l'articolo 12, paragrafo 5, [primo comma,] seconda frase, del [RGPD] debba essere interpretato nel senso che non può sussistere una richiesta eccessiva di accesso da parte dell'interessato quando viene presentata la prima richiesta al titolare del trattamento.
2) Se l'articolo 12, paragrafo 5, [primo comma,] seconda frase, del RGPD debba essere interpretato nel senso che il titolare del trattamento può respingere una richiesta di accesso dell'interessato qualora quest'ultimo intenda dare origine, con detta richiesta, a domande di risarcimento nei confronti del titolare del trattamento.
3) Se l'articolo 12, paragrafo 5, [primo comma,] seconda frase, del RGPD debba essere interpretato nel senso che informazioni sull'interessato accessibili al pubblico, che consentano di concludere che, in un gran numero di casi, nell'ipotesi di violazioni in materia di protezione dei dati, lo stesso interessato invoca diritti al risarcimento nei confronti del titolare del trattamento, possono giustificare il rifiuto di accesso.
4) Se l'articolo 4, punto 2, del RGPD debba essere interpretato nel senso che la richiesta di accesso di un interessato nei confronti del titolare del trattamento ai sensi dell'articolo 15, paragrafo 1, del RGPD e/o la risposta ad essa costituiscono un trattamento ai sensi [della prima di dette disposizioni].
5) Se l'articolo 82, paragrafo 1, del RGPD, alla luce del considerando 146, prima frase, del RGPD, debba essere interpretato nel senso che possono essere risarciti solo i danni che l'interessato patisce o ha patito a causa di un trattamento. Se ciò implichi che, per avere diritto a un risarcimento ai sensi dell'articolo 82, paragrafo 1, del RGPD - supponendo l'interessato abbia patito un danno causale -, deve necessariamente essersi verificato un trattamento dei dati personali dell'interessato.
6) In caso di risposta positiva alla quinta questione, se ciò comporti che l'interessato - supponendo che sussista un danno causale - non abbia alcun diritto al risarcimento ai sensi dell'articolo 82, paragrafo 1, del RGPD per il solo fatto della violazione del suo diritto di accesso ai sensi dell'articolo 15, paragrafo 1, del RGPD.
7) Se l'articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che l'eccezione di abuso di diritto sollevata dal titolare del trattamento in relazione a una richiesta di accesso dell'interessato, alla luce del diritto dell'Unione, non può consistere nel fatto che l'interessato ha causato il trattamento dei suoi dati personali al solo scopo o anche allo scopo di invocare un diritto al risarcimento.
8) In caso di risposta negativa alle questioni quinta e sesta, se la perdita del controllo e/o l'incertezza riguardo al trattamento dei dati personali dell'interessato risultanti da una violazione dell'articolo 15, paragrafo 1, del RGPD costituiscano, di per sé, un danno immateriale dell'interessato ai sensi dell'articolo 82, paragrafo 1, del RGPD o se occorra altresì la sussistenza di un'ulteriore limitazione (oggettiva o soggettiva) e/o di un pregiudizio (tangibile) nei confronti dell'interessato».
Sulle questioni pregiudiziali
Sulle questioni dalla prima alla terza e settima
21. Con le sue questioni pregiudiziali dalla prima alla terza e settima, che occorre esaminare congiuntamente e in primo luogo, il giudice del rinvio chiede, in sostanza, se l'articolo 12, paragrafo 5, del RGPD debba essere interpretato nel senso che una prima richiesta di accesso ai dati personali presentata dall'interessato al titolare del trattamento ai sensi dell'articolo 15 di tale regolamento possa essere considerata «eccessiva», ai sensi di tale articolo 12, paragrafo 5, e, in caso affermativo, quali siano le circostanze che permettono, se del caso, di constatare un siffatto carattere eccessivo.
22. A tal riguardo, l'articolo 15, paragrafo 1, del RGPD garantisce il diritto dell'interessato di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, il diritto di accesso dell'interessato a tali dati e alle relative informazioni [v., in tal senso, sentenza del 26 ottobre 2023, FT (Copia della cartella medica), C‑307/22, EU:C:2023:811, punto 31].
23. Inoltre, l'articolo 12, paragrafo 5, del RGPD stabilisce il principio secondo cui l'esercizio di tale diritto di accesso non comporta spese per l'interessato. Tuttavia, quest'ultima disposizione prevede due motivi per i quali un titolare del trattamento può o addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi o rifiutare di soddisfare una richiesta. Tali motivi riguardano casi di abuso di diritto, in cui le richieste dell'interessato sono «manifestamente infondate» o «eccessive», in particolare a causa del loro carattere ripetitivo [sentenza del 26 ottobre 2023, FT (Copia della cartella medica), C‑307/22, EU:C:2023:811, punto 31].
24. Per quanto riguarda, in primo luogo, la questione se una prima richiesta di accesso presentata dall'interessato al titolare del trattamento ai sensi dell'articolo 15 del RGPD possa essere considerata «eccessiva», occorre rilevare che, poiché la nozione di «richieste eccessive» non è definita in tale regolamento, occorre, conformemente a una giurisprudenza costante, al fine di interpretarla, tener conto sia dei termini dell'articolo 12, paragrafo 5, di detto regolamento secondo il loro significato abituale nel linguaggio corrente, sia del contesto di tale disposizione e degli obiettivi perseguiti dalla normativa di cui essa fa parte [v. sentenze del 17 novembre 1983, Merck, 292/82, EU:C:1983:335, punto 12, e del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punto 24 nonché giurisprudenza citata].
25. A tal riguardo, per quanto riguarda la formulazione di tale articolo 12, paragrafo 5, e, in particolare, il significato abituale della nozione di «richieste eccessive» nel linguaggio corrente, l'aggettivo «eccessivo» designa qualcosa che eccede la misura ordinaria o ragionevole o, ancora, che oltrepassa la misura auspicabile o consentita [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punto 43]. Il solo impiego di tale aggettivo, che si riferisce a caratteristiche sia qualitative che quantitative, non consente quindi di escludere che una prima richiesta di accesso sia eccessiva.
26. Inoltre, è vero che dall'articolo 12, paragrafo 5, primo comma, seconda frase, del RGPD risulta che le richieste possono essere eccessive «in particolare per il loro carattere ripetitivo». Il moltiplicarsi delle richieste presentate da una persona può quindi costituire un indizio del loro carattere eccessivo [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punto 57]. Tuttavia, come sottolineato, in sostanza, dall'avvocato generale al paragrafo 28 delle sue conclusioni, poiché il carattere ripetitivo è menzionato in tale disposizione solo a titolo indicativo, la qualificazione di una richiesta di accesso come «eccessiva» non presuppone che tale richiesta si inserisca necessariamente nel contesto della presentazione di più richieste da parte dello stesso interessato.
27. Non si può quindi escludere, alla luce di un'interpretazione letterale dell'articolo 12, paragrafo 5, del RGPD, che una prima richiesta di accesso possa essere considerata «eccessiva», ai sensi di tale disposizione.
28. Tale constatazione è corroborata dal contesto in cui si inserisce l'articolo 12, paragrafo 5, primo comma, seconda frase, del RGPD. A tal riguardo, occorre ricordare che detto articolo 12, contenuto nel capo III di tale regolamento, che stabilisce i diritti dell'interessato, enuncia obblighi generali a carico del titolare del trattamento per quanto riguarda la trasparenza delle informazioni e delle comunicazioni e stabilisce le modalità per l'esercizio dei diritti dell'interessato. In forza del paragrafo 2, prima frase, di detto articolo 12, il titolare del trattamento deve agevolare l'esercizio dei diritti dell'interessato ai sensi, in particolare, dell'articolo 15 di detto regolamento, che completa il quadro di trasparenza istituito dal medesimo regolamento concedendo a tale persona un diritto di accesso ai suoi dati personali [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punti 45 e 46].
29. Pertanto, prevedendo anche per i titolari del trattamento la facoltà, qualora siano posti di fronte a richieste manifestamente infondate o eccessive, di addebitare un contributo spese ragionevole basato sui costi amministrativi o di rifiutarsi di soddisfare siffatte richieste, tale articolo 12, paragrafo 5, introduce un'eccezione all'obbligo di agevolare segnatamente il diritto di accesso, la quale deve essere interpretata restrittivamente [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punto 33].
30. Ciò premesso, dalla giurisprudenza della Corte relativa all'interpretazione della nozione di «richieste eccessive» di cui all'articolo 57, paragrafo 4, del RGPD, che può essere applicata alla presente causa, dal momento che detta disposizione è formulata in termini sostanzialmente analoghi a quelli dell'articolo 12, paragrafo 5, di tale regolamento e persegue lo stesso obiettivo di quest'ultimo articolo, risulta che detto articolo costituisce un'espressione del principio generale del diritto dell'Unione secondo cui i soggetti dell'ordinamento non possono avvalersi fraudolentemente o abusivamente delle norme dell'Unione [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punto 49]. Infatti, l'applicazione delle norme dell'Unione non può essere estesa sino a comprendere operazioni effettuate a scopo abusivo (v., in tal senso, sentenza del 19 settembre 2024, Matmut, C‑236/23, EU:C:2024:761, punto 52 e giurisprudenza citata).
31. Pertanto, il numero di richieste di accesso presentate dall'interessato al titolare del trattamento non determina, di per sé, il diritto di quest'ultimo di avvalersi della facoltà di non soddisfare una richiesta, offertagli dall'articolo 12, paragrafo 5, del RGPD, cosicché tale titolare del trattamento può servirsene anche nel caso di una prima richiesta di accesso, qualora dimostri, alla luce di tutte le circostanze pertinenti di ciascun caso, l'esistenza di un intento abusivo da parte di detto interessato. [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punto 50].
32. Tale interpretazione contestuale è conforme agli obiettivi perseguiti dal RGPD. In proposito occorre rilevare che, come precisato ai suoi considerando 10 e 11, tale regolamento ha la finalità di assicurare un livello coerente ed elevato di protezione delle persone fisiche all'interno dell'Unione nonché il rafforzamento e la disciplina dettagliata dei diritti degli interessati. Pertanto, gli obblighi del titolare del trattamento previsti all'articolo 12 di detto regolamento, relativi in particolare alla comunicazione ai sensi dell'articolo 15 del medesimo regolamento, sono concepiti come un meccanismo idoneo a salvaguardare efficacemente gli interessi e i diritti degli interessati [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punti 38 e 39 nonché giurisprudenza citata].
33. Tuttavia, il considerando 4 del RGPD stabilisce che il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, poiché dev'essere considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. La Corte ha altresì già sottolineato che i meccanismi che consentono di trovare un giusto equilibrio tra i diversi diritti e interessi in gioco sono contenuti nello stesso RGPD (sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punto 54 e giurisprudenza citata).
34. Pertanto, al fine di garantire l'attuazione di tale giusto equilibrio mediante detta eccezione, nonché l'effetto utile di quest'ultima, il criterio pertinente quanto all'accertamento di un comportamento abusivo è il carattere eccessivo della richiesta di accesso valutato dal punto di vista qualitativo, conformemente al punto 26 della presente sentenza, che non può dipendere dal solo numero di richieste di accesso presentate dall'interessato e quindi dal fatto che si tratti di una prima richiesta proveniente da quest'ultimo.
35. Ne consegue che una prima richiesta di accesso al titolare del trattamento ai sensi dell'articolo 15 del RGPD può essere considerata «eccessiva», ai sensi dell'articolo 12, paragrafo 5, di tale regolamento. Ciò premesso, poiché la nozione di «richieste eccessive» deve essere interpretata restrittivamente, come risulta dal punto 29 della presente sentenza, un titolare del trattamento può invocare un siffatto carattere eccessivo solo in via eccezionale e, come indicato dall'avvocato generale al paragrafo 34 delle sue conclusioni, i criteri per qualificare una prima richiesta di accesso come «eccessiva» devono essere rigorosi. Occorre altresì sottolineare che dall'articolo 12, paragrafo 5, secondo comma, del RGPD risulta esplicitamente che incombe al titolare del trattamento l'onere di dimostrare tale carattere eccessivo.
36. In secondo luogo, per quanto riguarda le circostanze in cui la prima richiesta di accesso dell'interessato può essere qualificata come «eccessiva» ai sensi dell'articolo 12, paragrafo 5, del RGPD ed essere quindi costitutiva di un abuso di diritto ai sensi della giurisprudenza citata ai punti 23 e 30 della presente sentenza, occorre rilevare che la prova di una pratica abusiva richiede, da una parte, un insieme di circostanze oggettive dalle quali risulti che, nonostante il rispetto formale delle condizioni previste dalla normativa dell'Unione, l'obiettivo perseguito da tale normativa non sia stato conseguito e, dall'altra, un elemento soggettivo consistente nella volontà di ottenere un vantaggio derivante dalla normativa dell'Unione per mezzo della creazione artificiosa delle condizioni necessarie per il suo ottenimento. Una siffatta qualificazione richiede, inoltre, che siano presi in considerazione tutti i fatti e le circostanze del caso di specie (v., in in tal senso, sentenza del 21 dicembre 2023, BMW Bank e a., C‑38/21, C‑47/21 e C‑232/21, EU:C:2023:1014, punti 285 e 286 nonché giurisprudenza citata).
37. Per quanto riguarda, in primo luogo, l'elemento oggettivo di una pratica abusiva, occorre rilevare che l'articolo 15 del RGPD, letto alla luce del suo considerando 63, mira a conferire a un interessato il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, al fine, in particolare, di essere consapevole del trattamento e verificarne la liceità per poter così esercitare, se del caso, il suo diritto di rettifica, il suo diritto alla cancellazione, il suo diritto di limitazione di trattamento nonché il suo diritto di opposizione e di ricorso in caso di danno subito [v., in tal senso, sentenza del 12 gennaio 2023, Österreichische Post (Informazioni relative ai destinatari di dati personali), C‑154/21, EU:C:2023:3, punti 37 e 38].
38. Nel caso di specie, come risulta dal fascicolo di cui dispone la Corte, TC ha presentato la richiesta di accesso di cui trattasi nel procedimento principale dopo essersi iscritto alla newsletter della Brillen Rottler e aver comunicato a quest'ultima, al momento di tale iscrizione, taluni dati personali, cosicché tale richiesta di accesso potrebbe costituire, sul piano formale, un'attuazione del diritto di accesso di TC al fine di conseguire l'obiettivo di tale normativa.
39. Tuttavia, alla luce della giurisprudenza citata al punto 36 della presente sentenza, il rispetto formale delle condizioni di applicazione dell'articolo 15 del RGPD non consente, di per sé, di escludere il carattere «eccessivo» di una richiesta di accesso e, pertanto, l'esistenza di un abuso di diritto.
40. A tal riguardo, per quanto riguarda, in secondo luogo, l'elemento soggettivo di una pratica abusiva, occorre rilevare che, per poter qualificare una richiesta di accesso come «eccessiva» ai sensi dell'articolo 12, paragrafo 5, del RGPD, il titolare del trattamento deve dimostrare, alla luce di tutte le circostanze pertinenti di ciascun caso, l'esistenza di un intento abusivo da parte dell'interessato, dato che un siffatto intento può essere accertato quando detto interessato presenta tale richiesta per una finalità diversa da quella di essere consapevole del trattamento di tali dati e di verificarne la liceità, per poter poi ottenere una protezione dei diritti che gli derivano da tale regolamento [v., in tal senso, sentenza del 9 gennaio 2025, Österreichische Datenschutzbehörde (Richieste eccessive), C‑416/23, EU:C:2025:3, punti 50 e 56].
41. Pertanto, nel caso di specie, tenuto conto, in particolare, di quanto risulta dal punto 35 della presente sentenza, incombe al titolare del trattamento l'onere di dimostrare inequivocabilmente che l'interessato ha presentato una richiesta di accesso ai sensi dell'articolo 15 del RGPD al fine non già di essere consapevole di tale trattamento, bensì di creare artificiosamente le condizioni richieste per ottenere un risarcimento da parte di detto titolare del trattamento.
42. A tal riguardo, occorrerà prendere in considerazione tutte le circostanze del caso di specie, in particolare il fatto che l'interessato abbia fornito dati personali senza esservi costretto, la finalità della fornitura di tali dati, il tempo trascorso tra quest'ultima e la richiesta di accesso nonché il comportamento di tale persona.
43. Nell'ambito del procedimento dinanzi ad esso pendente, il giudice del rinvio si interroga sulla possibilità di tener conto, ai fini della valutazione dell'esistenza di un abuso di diritto, delle informazioni pubbliche che segnalerebbero la presentazione sistematica, da parte di TC, di richieste di accesso ai suoi dati personali e di domande di risarcimento a diversi titolari del trattamento secondo un modus operandi paragonabile a quello messo in pratica nel caso di specie. Occorre rilevare, a tal riguardo, che detto elemento può certamente essere preso in considerazione al fine di dimostrare l'intento abusivo dell'interessato, purché sia corroborato da altri elementi pertinenti.
44. Pertanto, nel caso di specie, spetta al giudice del rinvio verificare se, tenuto conto di tutte le circostanze pertinenti, la Brillen Rottler abbia dimostrato l'esistenza di un intento abusivo da parte di TC per quanto riguarda la presentazione della richiesta di accesso di cui trattasi.
45. Considerato quanto precede, occorre rispondere alle questioni dalla prima alla terza e settima dichiarando che l'articolo 12, paragrafo 5, del RGPD deve essere interpretato nel senso che una prima richiesta di accesso ai dati personali presentata dall'interessato al titolare del trattamento ai sensi dell'articolo 15 di tale regolamento può essere considerata «eccessiva», ai sensi di detto articolo 12, paragrafo 5, qualora tale titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso di specie, che, nonostante il rispetto formale delle condizioni previste da tali disposizioni, detta richiesta è stata presentata dall'interessato non già per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei diritti che gli derivano da detto regolamento, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento. Il fatto che, secondo informazioni accessibili al pubblico, l'interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l'esistenza di un siffatto intento abusivo.
Sulle questioni quinta e sesta
46. Con le sue questioni quinta e sesta, che occorre esaminare congiuntamente e in secondo luogo, il giudice del rinvio chiede, in sostanza, se l'articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che esso conferisce all'interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all'articolo 15, paragrafo 1, di tale regolamento.
47. Come ricordato al punto 24 della presente sentenza, conformemente a una giurisprudenza costante, ai fini dell'interpretazione di una disposizione del diritto dell'Unione, si deve tener conto non soltanto del suo tenore letterale, ma anche del suo contesto e degli obiettivi che essa persegue.
48. Dalla formulazione dell'articolo 82, paragrafo 1, del RGPD risulta che una persona che subisca un danno materiale o immateriale «causato da una violazione [di tale] regolamento» ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento. È giocoforza constatare che detta disposizione non contiene alcun riferimento al «trattamento», cosicché tale diritto al risarcimento non può essere limitato ai danni derivanti da un trattamento di dati personali.
49. Tale constatazione è corroborata, in primo luogo, dall'analisi contestuale di detta disposizione, letta alla luce del considerando 141 del RGPD, il quale prevede che ogni interessato dovrebbe avere diritto a un ricorso giurisdizionale effettivo conformemente all'articolo 47 della Carta «qualora ritenga che siano stati violati i diritti di cui gode a norma [di detto] regolamento». Infatti, l'articolo 82, paragrafo 1, del RGPD figura al capo VIII di tale regolamento, che disciplina i mezzi di ricorso, le norme in materia di responsabilità e le sanzioni che consentono di tutelare detti diritti. Orbene, tali diritti includono sia il diritto di un interessato all'informazione, sancito all'articolo 12 di detto regolamento, sia il suo diritto di accesso ai sensi dell'articolo 15, paragrafo 1, del medesimo regolamento, cosicché essi devono essere tutelati dall'articolo 82 di quest'ultimo, che deve quindi essere interpretato nel senso che esso si applica anche ai danni derivanti dalle violazioni di tali articoli 12 e 15.
50. Una siffatta interpretazione non può essere messa in discussione dal fatto che, da un lato, dal considerando 146 del RGPD risulta che il titolare del trattamento dovrebbe risarcire i danni cagionati a una persona «da un trattamento» non conforme a tale regolamento e, dall'altro, che l'articolo 82 di detto regolamento menziona, ai suoi paragrafi 2 e 4, il «danno cagionato dal (...) trattamento».
51. Infatti, come fatto valere, in sostanza, dalla Commissione nelle sue osservazioni scritte, in caso di violazione dei diritti sanciti dalle disposizioni del capo III del RGPD, segnatamente i diritti di accesso ai dati e di rettifica nonché i diritti alla cancellazione, alla limitazione del trattamento e alla portabilità, l'asserita violazione può derivare non già da un trattamento effettivo dei dati personali in quanto tale, ma piuttosto dal rifiuto di soddisfare la richiesta dell'interessato quanto all'esercizio di tali diritti. Pertanto, subordinare il diritto al risarcimento ai sensi dell'articolo 82, paragrafo 1, del RGPD all'esistenza di danni derivanti da un trattamento in quanto tale avrebbe l'effetto di escludere siffatte fattispecie dall'ambito di applicazione di detta disposizione e, quindi, di pregiudicarne l'effetto utile.
52. Inoltre, la Corte ha già dichiarato che la violazione, da parte del titolare del trattamento, degli articoli 26 e 30 del RGPD relativi, il primo, alla conclusione di un accordo che determina i rispettivi ruoli dei titolari del trattamento nonché i loro rapporti con gli interessati e, il secondo, alla tenuta di un registro delle attività di trattamento, non costituisce un «trattamento illecito», che conferisce all'interessato un diritto alla cancellazione o alla limitazione del trattamento. Si deve quindi porre rimedio a una siffatta violazione mediante l'applicazione di altre misure previste dal RGPD, in particolare il risarcimento del danno eventualmente cagionato dal titolare del trattamento, ai sensi dell'articolo 82 dello stesso [v., in tal senso, sentenza del 4 maggio 2023, Bundesrepublik Deutschland (Casella di posta elettronica degli uffici giudiziari), C‑60/22, EU:C:2023:373, punti 66 e 67].
53. La constatazione di cui al punto 48 della presente sentenza è corroborata, in secondo luogo, dall'interpretazione teleologica dell'articolo 82, paragrafo 1, del RGPD, in quanto detto articolo mira a garantire l'attuazione degli obiettivi di tale regolamento tra cui, in particolare, l'obiettivo di rafforzare i diritti degli interessati nonché gli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, enunciato al considerando 11 di detto regolamento. Orbene, come indicato, in sostanza, dall'avvocato generale al paragrafo 72 delle sue conclusioni, tali diritti, tra i quali figura per l'appunto il diritto di accesso considerato dal giudice del rinvio, verrebbero indeboliti in modo significativo se l'articolo 82, paragrafo 1, dovesse essere interpretato come limitato ai soli danni derivanti da atti illeciti implicanti un trattamento di dati.
54. Ne consegue che, anche in presenza di una violazione del RGPD che non comporta, di per sé, un trattamento di dati, l'interessato può avvalersi del diritto al risarcimento previsto all'articolo 82 di tale regolamento.
55. Sulla base di quanto precede, occorre rispondere alle questioni quinta e sesta dichiarando che l'articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che esso conferisce all'interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all'articolo 15, paragrafo 1, di tale regolamento.
Sulla quarta questione
56. Tenuto conto della risposta fornita alle questioni pregiudiziali quinta e sesta, non occorre rispondere alla quarta questione.
Sull'ottava questione
57. Con la sua ottava questione pregiudiziale, che occorre esaminare in terzo e ultimo luogo, il giudice del rinvio chiede, in sostanza, se l'articolo 82, paragrafo 1, del RGPD debba essere interpretato nel senso che il danno immateriale subito dall'interessato comprende la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se tali dati siano stati oggetto di trattamento.
58. Poiché il RGPD non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui a tale disposizione, in particolare per quanto riguarda le nozioni di «danno materiale o immateriale» e di «risarcimento del danno», tali termini devono essere considerati, ai fini dell'applicazione di detto regolamento, come nozioni autonome del diritto dell'Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punto 30, nonché del 4 settembre 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, punto 55 e giurisprudenza citata].
59. A tal riguardo, occorre ricordare che non si può ritenere che qualsiasi «violazione» delle disposizioni del RGPD conferisca, di per sé, un diritto al risarcimento a favore dell'interessato. L'articolo 82, paragrafo 1, del RGPD enuncia che: «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». Da un lato, dalla formulazione di tale disposizione emerge chiaramente che l'esistenza di un «danno» che sia stato «subito» costituisce una delle condizioni del diritto al risarcimento previsto da detta disposizione, così come l'esistenza di una violazione del RGPD e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative [v., in tal senso, sentenze del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti da 31 a 33, e del 4 settembre 2025, Quirin Privatbank, C‑655/23, EU:C:2025:655, punto 56 e giurisprudenza citata].
60. Pertanto, la persona che chiede il risarcimento di un danno o di un pregiudizio immateriale sulla base di tale disposizione è tenuta a dimostrare non solo la violazione di disposizioni del RGPD, ma anche che tale violazione le ha causato un siffatto danno o pregiudizio. Un tale danno o pregiudizio non può dunque solamente essere presunto a causa del verificarsi di detta violazione (sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 141 e giurisprudenza citata).
61. Ciò premesso, la Corte ha già dichiarato che dall'elenco illustrativo dei «danni» che possono essere subiti dagli interessati, figurante al considerando 85, prima frase, del RGPD, risulta che il legislatore dell'Unione ha inteso includere in tale nozione, in particolare, la mera «perdita del controllo» sui loro dati personali, a seguito di una violazione di tale regolamento, quand'anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente (sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 145 e giurisprudenza citata).
62. La Corte ha altresì considerato che la nozione di «danno immateriale» non può essere circoscritta ai soli danni di una certa gravità. In particolare, una normativa o una prassi nazionale non può validamente fissare una «soglia de minimis» affinché sia configurabile un danno immateriale causato da una violazione del RGPD. Tuttavia, l'interessato è tenuto a dimostrare, da un lato, di aver effettivamente subito un simile danno, per quanto minimo, e, dall'altro, che le conseguenze di tale violazione che asserisce di aver subito costituiscono un danno che si differenzia dalla semplice violazione delle disposizioni di detto regolamento (v., in tal senso, sentenza del 14 dicembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punti 22 e 23).
63. Pertanto, la mera allegazione da parte dell'interessato di un timore causato da una perdita del controllo dei suoi dati personali non può dar luogo a risarcimento ai sensi dell'articolo 82, paragrafo 1, del RGPD. [v., in tal senso, sentenza del 20 giugno 2024, PS (Indirizzo errato), C‑590/22, EU:C:2024:536, punti 33 e 35]. In particolare, qualora una persona che chiede un risarcimento sulla base di tale disposizione invochi il timore che in futuro si verifichi un utilizzo abusivo dei suoi dati personali a causa dell'esistenza di una violazione di detto regolamento, il giudice nazionale adito deve verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell'interessato (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 143 e giurisprudenza citata).
64. Le considerazioni esposte ai punti da 59 a 63 della presente sentenza valgono anche in una situazione in cui l'interessato ritiene che esista un'incertezza quanto alla questione se i suoi dati personali siano stati oggetto di trattamento.
65. Per fornire una risposta utile al giudice del rinvio, occorre inoltre rilevare che il nesso di causalità tra l'asserita violazione e il danno lamentato può essere interrotto dal comportamento dell'interessato, qualora tale comportamento costituisca la causa determinante del danno. Un atto del genere può consistere, tra l'altro, in una decisione della persona lesa, purché, tuttavia, tale decisione non fosse inevitabile [v., per analogia, sentenza del 18 dicembre 2025, WS e a./Frontex (Operazione congiunta di rimpatrio), C‑679/23 P, EU:C:2025:976, punti 151 e 152 e giurisprudenza citata].
66. Inoltre, dalla giurisprudenza richiamata al punto 59 della presente sentenza risulta che l'esistenza di un nesso di causalità tra l'allegata violazione del RGPD e il danno asseritamente subito dall'interessato è una condizione sine qua non di un diritto al risarcimento in forza dell'articolo 82, paragrafo 1, di tale regolamento. Pertanto, all'interessato non può essere concesso, ai sensi di tale disposizione, un risarcimento dei danni asseritamente subiti a causa della perdita del controllo dei suoi dati personali o della sua incertezza quanto all'esistenza del loro trattamento, qualora il nesso di causalità sia interrotto a causa del suo comportamento ove tale perdita di controllo o tale incertezza siano state causate dalla decisione di detto interessato di fornire tali dati al titolare del trattamento al fine di creare artificiosamente le condizioni richieste ai fini dell'applicazione di detta disposizione.
67. Tenuto conto di quanto precede, occorre rispondere all'ottava questione dichiarando che l'articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che il danno immateriale subito dall'interessato ai sensi di tale disposizione include la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se i suoi dati siano stati oggetto di trattamento, purché sia dimostrato, in particolare, che tale interessato ha effettivamente subito un siffatto danno e che il suo comportamento non ha costituito la causa determinante di tale danno.
Sulle spese
68. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Quarta Sezione) dichiara:
1) L'articolo 12, punto 5, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che una prima richiesta di accesso ai dati personali presentata dall'interessato al titolare del trattamento ai sensi dell'articolo 15 di tale regolamento può essere considerata «eccessiva», ai sensi di detto articolo 12, paragrafo 5, qualora tale titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso di specie, che, nonostante il rispetto formale delle condizioni previste da tali disposizioni, detta richiesta è stata presentata dall'interessato non già per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei diritti che gli derivano da detto regolamento, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento. Il fatto che, secondo informazioni accessibili al pubblico, l'interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l'esistenza di un siffatto intento abusivo.
2) L'articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che esso conferisce all'interessato un diritto al risarcimento del danno derivante da una violazione del diritto di accesso sancito all'articolo 15, paragrafo 1, di tale regolamento.
3) L'articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il danno immateriale subito dall'interessato include la perdita del controllo dei suoi dati personali o la sua incertezza quanto alla questione se i suoi dati siano stati oggetto di trattamento, purché sia dimostrato, in particolare, che tale interessato ha effettivamente subito un siffatto danno e che il suo comportamento non ha costituito la causa determinante di tale danno.
