Con sentenza del 19 marzo 2026 (causa C-526/24), la Corte di giustizia dell’Unione europea si è pronunciata sull’interpretazione dell’art. 12, par. 5, del Regolamento (UE) 2016/679 (“GDPR”), fornendo chiarimenti di rilievo sulla nozione di richiesta “eccessiva” formulata dall’interessato.
La pronuncia assume particolare interesse per titolari del trattamento, DPO e operatori del diritto, offrendo criteri operativi per individuare condotte abusive nell’esercizio del diritto di accesso ex art. 15 GDPR.
La vicenda trae origine dal seguente quadro fattuale:
- un soggetto si iscriveva alla newsletter della società Brillen Rottler — impresa di ottica a conduzione familiare con sede in Germania — compilando l’apposito modulo presente sul sito web e prestando il proprio consenso al trattamento dei dati;
- a distanza di tredici giorni, il medesimo soggetto presentava alla società una richiesta di accesso ai propri dati ai sensi dell’art. 15 GDPR;
- la Brillen Rottler respingeva la richiesta, ritenendola abusiva, ed invitava l’interessato a desistere;
- l’interessato, lungi dal rinunciare, avanzava una pretesa risarcitoria pari a 1.000 euro;
- la società adiva il Tribunale di Arnsberg al fine di far accertare l’insussistenza del diritto al risarcimento;
- il giudice tedesco sollevava questione pregiudiziale dinanzi alla Corte di giustizia, chiedendo chiarimenti sull’applicazione dell’art. 12, par. 5, GDPR (oltre ad ulteriori questioni qui non esaminate).
Occorre precisare che, secondo quanto risulta da fonti pubbliche, l’interessato era solito presentare sistematicamente richieste di accesso ai propri dati a seguito dell’iscrizione a newsletter, formulando successivamente domande di risarcimento per asserite violazioni. Su tale modus operandi si fondava, in larga misura, la difesa della società.
La cosiddetta “weaponisation of DSARs”, un fenomeno diffuso
Il caso si inscrive in un fenomeno ormai diffuso, noto come “weaponisation of DSARs” (dall’inglese Data Subject Access Requests): si tratta della strumentalizzazione del diritto di accesso, che da strumento di tutela dell’interessato in materia di protezione dei dati personali viene piegato a finalità estranee — segnatamente di natura economica — da parte di soggetti che ne fanno un uso seriale e pretestuoso.
Il principio affermato dalla Corte
La Corte, interpretando l’art. 12, par. 5, GDPR secondo il canone letterale, sistematico e teleologico, individua le condizioni in presenza delle quali una richiesta di accesso, ancorché formalmente conforme al dettato normativo, può essere qualificata come “eccessiva” e, conseguentemente, legittimamente respinta dal titolare del trattamento.
Si riporta il passaggio decisorio:
«l’art. 12 par. 5, del GDPR … deve essere interpretato nel senso che: una prima richiesta di accesso ai dati personali presentata dall’interessato al titolare del trattamento ai sensi dell’articolo 15 di tale regolamento può essere considerata “eccessiva”, ai sensi di detto articolo 12, paragrafo 5, qualora tale titolare del trattamento dimostri, alla luce di tutte le circostanze pertinenti del caso di specie, che, nonostante il rispetto formale delle condizioni previste da tali disposizioni, detta richiesta è stata presentata dall’interessato non già per essere consapevole del trattamento di tali dati e per verificarne la liceità, al fine di poter, successivamente, ottenere una tutela dei diritti che gli derivano da detto regolamento, bensì con un intento abusivo, come la creazione artificiosa delle condizioni richieste per ottenere un vantaggio derivante dal medesimo regolamento. Il fatto che, secondo informazioni accessibili al pubblico, l’interessato abbia presentato numerose richieste di accesso ai suoi dati personali, seguite da domande di risarcimento, nei confronti di diversi titolari del trattamento, può essere preso in considerazione al fine di dimostrare l’esistenza di un siffatto intento abusivo».
L’onere probatorio circa l’intento abusivo grava, dunque, sul titolare del trattamento che intenda rifiutare il riscontro alla richiesta. La Corte precisa, altresì, che siffatto intento può ritenersi sussistente allorché l’interessato presenti la richiesta non al fine di acquisire consapevolezza del trattamento, bensì allo scopo di creare artificiosamente i presupposti per conseguire un risarcimento.
Gli indici sintomatici dell’intento abusivo
Tra le circostanze rilevanti — nel caso di specie — ai fini della prova dell’intento abusivo, la Corte annovera:
- la fornitura dei dati personali da parte dell’interessato in assenza di costrizione;
- la finalità della fornitura dei dati;
- il tempo intercorso tra la fornitura dei dati e la presentazione della richiesta di accesso;
- il comportamento complessivo dell’interessato;
- il modus operandi del medesimo.
Con riferimento a tale ultimo elemento, la Corte osserva che esso «può certamente essere preso in considerazione al fine di dimostrare l’intento abusivo dell’interessato, purché sia corroborato da altri elementi pertinenti».
Conclusioni
La sentenza rappresenta uno sviluppo significativo nell’interpretazione dell’art. 12, par. 5, GDPR, in quanto offre criteri concreti per contrastare le condotte abusive perpetrate da soggetti seriali. Si rammenta, tuttavia, che il rifiuto di riscontro deve essere adeguatamente motivato e sorretto da elementi probatori puntuali, atteso che l’onere della prova continua a gravare sul titolare del trattamento, il quale dovrà operare con la dovuta cautela onde non incorrere, a propria volta, in violazione del Regolamento.
