Bollettino Legale n. 93 – Marzo 2026. 

 

Accesso ai dati personali: riconoscimento dell'abuso di diritto?

Una recente sentenza della Corte di giustizia dell'Unione europea (CGUE) chiarisce le condizioni del diritto di accesso degli individui ai propri dati personali, e in particolare le circostanze in cui una richiesta di accesso può essere considerata abusiva da parte del titolare del trattamento.

Sebbene l'articolo 12 del GDPR colleghi la natura abusiva delle richieste al loro aspetto ripetitivo, la Corte di giustizia dell'Unione europea ha chiarito il 19 marzo nella causa C-526/24 – Brillen Rottler che tale criterio di ripetizione è esemplificativo: il numero delle richieste non è determinante e una richiesta iniziale di accesso può essere considerata abusiva se l'interessato utilizza tale diritto per ottenere un vantaggio, ad esempio, se cerca di crearsi artificialmente un diritto al risarcimento nei confronti del titolare del trattamento. In tal caso, si configura un abuso di diritto.

Il rifiuto di rispondere a una richiesta di accesso deve tuttavia rimanere un'eccezione ai sensi del GDPR, e il titolare del trattamento deve essere in grado di dimostrare l'intento abusivo del richiedente.

In questo caso specifico, il responsabile ha dovuto dimostrare, sulla base di prove concrete, che la richiesta non era finalizzata a verificare il trattamento dei dati, bensì a creare artificialmente le condizioni per una richiesta di risarcimento danni.

Era noto che il ricorrente avesse presentato numerose richieste a diversi titolari del trattamento dei dati, dopo aver fornito loro i propri dati, al fine di ottenere un risarcimento.

La Corte ribadisce che, affinché venga concesso un risarcimento, devono essere soddisfatte tre condizioni:

• Una violazione del GDPR,
• Danno
• E un nesso causale tra i due.

Il danno immateriale può derivare da una perdita di controllo o da incertezza in merito al trattamento dei dati, ma il danno deve essere provato dal ricorrente e non può essere stato causato dalla sua condotta.

In questo caso specifico, il nesso causale si è interrotto a causa del comportamento della persona in questione, che ha agito con l'intento di creare artificialmente le condizioni per il danno.

Quando le tre condizioni sopra indicate sono soddisfatte, una violazione del diritto di accesso può quindi dare luogo a un diritto di ricorso, anche se tale violazione non deriva direttamente dal trattamento dei dati in senso stretto.

Il rifiuto di rispondere a una richiesta di accesso può esporre la parte responsabile a una richiesta di risarcimento da parte di un richiedente in buona fede.

Il titolare del trattamento che sospetta una richiesta abusiva deve pertanto esercitare particolare cautela e conservare le prove di tale natura abusiva prima di negare l'accesso. 

I chiarimenti forniti dalla Corte di giustizia dell'Unione europea sono coerenti con le linee guida pubblicate nel 2022 dal Comitato europeo per la protezione dei dati (EDPB) in materia, che forniscono ulteriori indicazioni.

Pertanto, la natura eccessiva delle richieste può dipendere dalle caratteristiche specifiche del settore in cui opera il titolare del trattamento dei dati.

"Quanto più frequenti sono le modifiche apportate al database del titolare del trattamento, tanto più probabile è che all'interessato venga consentito di richiedere l'accesso ai propri dati senza che ciò venga considerato eccessivo."

In caso di richieste ripetute, il titolare del trattamento può, anziché negare l'accesso, decidere di addebitare all'interessato un importo corrispondente ai costi delle procedure amministrative rese necessarie dalle richieste.

Infine, va notato che la Commissione europea intende anche, nella sua proposta di un regolamento omnibus digitale, fornire maggiore certezza giuridica ai titolari del trattamento dei dati quando si trovano ad affrontare abusi dei diritti da parte degli interessati.

Sebbene il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) condividano questa esigenza di chiarimento nel loro parere del 10 febbraio, ritengono che l'esercizio del diritto di accesso per scopi diversi dalla protezione dei dati personali non debba essere un elemento determinante per stabilire cosa costituisca un abuso... purché non sia messa in discussione la buona fede del richiedente.

 

Il decreto attuativo della legge SREN, pubblicato il 24 marzo, introduce requisiti aggiuntivi. per l'hosting di dati sanitari (HDS) esclusivamente nel territorio dell'UE o del SEE.Requisiti accolti favorevolmente dalla CNIL, in quanto mirano ad aumentare la trasparenza nei confronti delle persone interessate e a rafforzare il controllo dei dati sanitari da parte delle parti contraenti del contratto di hosting, con riferimento al rischio di accesso extraeuropeo.

Più in generale, l'intero sistema informatico statale intende migrare verso soluzioni sovrane.

Pertanto, una settimana dopo l'annuncio dell'implementazione della piattaforma collaborativa LaSuite per gli 80.000 agenti dell'Assicurazione Sanitaria, la Direzione Digitale Interministeriale (DINUM) ha annunciato ufficialmente il 9 aprile la sua intenzione di abbandonare Windows per Linux e di passare a una soluzione sovrana entro la fine dell'anno.

Questi obiettivi si sono concretizzati a partire dal seminario dell'8 aprile, che ha riunito per la prima volta ministeri, operatori pubblici e soggetti privati con lo scopo di individuare quali software e servizi stranieri siano oggi alla base della dipendenza dello Stato, al fine di poterne fare a meno domani.

"A partire da questo autunno, ogni ministero (e gli enti pubblici che dipendono da esso) dovrà presentare la propria tabella di marcia per ridurre la dipendenza digitale dall'estero."

La tabella di marcia statale per la sicurezza digitale per il periodo 2026-2027 è stata pubblicata all'inizio di aprile.

Si tratta di un'iniziativa volta ad adeguare le amministrazioni statali alla direttiva NIS2 e a coinvolgerle nella transizione verso la crittografia post-quantistica. 

"In un contesto di elevata minaccia e di deterioramento della situazione geopolitica, il documento definisce le priorità che i ministeri devono perseguire nell'ambito della sicurezza digitale: consolidamento della governance, rafforzamento della gestione degli accessi, controllo dell'ambiente dei sistemi informativi, ecc."

Il 3 aprile la CNIL ha pubblicato i suoi temi prioritari di controllo per il 2026.  Si concentrerà su

• Reclutamento,
• Il registro elettorale unico
• Federazioni sportive.

Ulteriori annunci relativi alla sicurezza informatica saranno resi noti in occasione della pubblicazione del rapporto annuale a maggio.

Ha inoltre pubblicato il suo programma di lavoro per il supporto ai professionisti.che metterà in evidenza

• L'uso dell'IA,
• Dati sanitari,
• Condizioni del diritto di accesso
• Sicurezza informatica.

Sul suo sito web è inoltre disponibile una nuova guida relativa ai periodi di conservazione dei dati delle risorse umane. Infine, in una pubblicazione del 20 marzo, la CNIL ribadisce le condizioni molto restrittive per la registrazione audio da parte delle telecamere di videosorveglianza.

Sebbene l'attacco informatico alle Agenzie Sanitarie Regionali (ARS) sia stato ufficialmente confermato nel settembre 2025, la situazione sta assumendo oggi una piega più allarmante. Il gruppo di hacker DumpSec ha rivendicato la responsabilità dell'attacco e ora sta vendendo un enorme database del sistema sanitario francese.

Più di 35 milioni di pazienti sarebbero interessati e i dati includerebbero informazioni sensibili relative ai percorsi di cura.

La violazione dei dati deriva dal furto delle credenziali dei professionisti sanitari sui server di GRADeS (gruppo regionale di supporto alla sanità elettronica).

Il 19 marzo la Corte di giustizia dell'Unione europea ha emesso una sentenza che incide sulle condizioni per la raccolta dei dati biometrici da parte della polizia francese.

Nella causa C 371/24 – Comdribus, la Corte ha stabilito che la legislazione nazionale è incompatibile con la direttiva europea “Giustizia di polizia” quando autorizza un servizio di polizia a trattare sistematicamente i dati biometrici dei sospettati senza richiedere all'autorità competente di giustificare l'assoluta necessità e la proporzionalità di tale trattamento.

Una persona che si rifiuta di autorizzare la raccolta dei propri dati biometrici può essere sanzionata solo se la raccolta prevista soddisfa tali condizioni, valutate alla luce delle circostanze al momento in cui le autorità competenti decidono di procedere alla raccolta.

La motivazione della raccolta dei dati è necessaria per consentire all'interessato di esercitare il proprio diritto a un ricorso legale effettivo.

In questo caso specifico, durante un'azione svoltasi a Parigi nel maggio 2020 da attivisti per il clima, diversi partecipanti, tra cui il denunciante, sono stati arrestati dalle forze dell'ordine per aver organizzato una manifestazione non autorizzata.

Posto in stato di fermo dalla polizia, il denunciante si è rifiutato di sottoporsi al rilevamento delle impronte digitali e alla fotografia.

Il 3 aprile, durante una sessione di interrogazioni parlamentari al governo, il Ministro dell'Interno ha dichiarato al Senato che l'utilizzo del software di riconoscimento facciale da parte delle forze dell'ordine sui dispositivi di controllo dell'identità Neo non è legale, se non nell'ambito di un'indagine diretta da un giudice.

Il ministro ha indicato che la CNIL sta attualmente esaminando la questione.

Il responsabile di un'azienda di sicurezza informatica vincitrice del programma French Tech 2030 è stato arrestato alla fine di marzo nell'ambito di una vasta operazione europea contro una piattaforma di pedopornografia.

L'ingegnere, a capo di una start-up specializzata nell'anticipare le minacce informatiche – tra i cui clienti figurano l'FBI e la Commissione europea – è sospettato di aver acquistato immagini e video pedopornografici tramite una piattaforma di pornografia infantile sul Darknet.

Grazie al tracciamento e alla de-anonimizzazione dei pagamenti in criptovaluta effettuati dagli inquirenti in tutta Europa, le forze dell'ordine hanno effettuato oltre 200 arresti nell'ambito di un'operazione coordinata.

 

istituzioni e organismi europei

L'11 marzo, il Parlamento europeo ha approvato l'estensione delle norme (eccezionali) che consentono il controllo delle comunicazioni elettroniche ("Controllo delle chat"). pur limitando la loro portata.

Anziché concedere un'autorizzazione generalizzata per le tecnologie di scansione, il Parlamento ha richiesto che questi strumenti vengano utilizzati solo contro sospetti noti e unicamente per individuare materiale pedopornografico accertato.

Nel frattempo, Google, Meta, Microsoft e Snap (Chat) hanno comunque ribadito in un comunicato stampa congiunto "che continueranno ad adottare misure volontarie in merito ai loro servizi di comunicazione interpersonale interessati".

I negoziati interistituzionali sono tuttora in corso: la Presidenza cipriota del Consiglio mira a finalizzare il progetto entro luglio 2026 e la questione è attualmente oggetto di negoziazione nell'ambito del trilogo tra Parlamento, Consiglio e Commissione.

Il 26 marzo, i membri del Parlamento europeo hanno preso posizione in seduta plenaria sulla componente relativa all'intelligenza artificiale del pacchetto Digital Omnibus.

Hanno votato per rinviare l'entrata in vigore di diverse disposizioni del regolamento sull'IA.

I sistemi di intelligenza artificiale che utilizzano la biometria e quelli impiegati in infrastrutture critiche, istruzione, lavoro, servizi essenziali, forze dell'ordine, giustizia e gestione delle frontiere verrebbero quindi posticipati da agosto 2026 al 2 dicembre 2027.

I parlamentari propongono di rinviare l'adeguamento di altri sistemi soggetti a regolamentazione settoriale (sicurezza e sorveglianza del mercato) al 2 agosto 2028.

I triloghi tra la Commissione europea, il Parlamento e il Consiglio mirano a raggiungere un accordo provvisorio sul testo entro il 28 aprile.

È opportuno ricordare che i principi essenziali del regolamento sono già entrati in vigore e sono soggetti al controllo della CNIL (Autorità francese per la protezione dei dati).

Il 24 marzo, la Commissione europea ha rilevato un attacco informatico che ha colpito l'infrastruttura cloud che ospita il suo sito web sulla piattaforma Europa.eu, e che si è rivelato più grave di quanto inizialmente indicato nel comunicato stampa.

I dati compromessi riguardano 71 clienti del servizio di hosting Europa. Il CERT-EU, il servizio europeo per la sicurezza dei dati, conferma la presenza di nomi, nomi utente, indirizzi e-mail e contenuto delle e-mail nella fuga di dati.

Sul dark web sono stati pubblicati 340 GB di dati e quasi 52.000 file di posta elettronica.

Nell'editoriale e nelle notizie provenienti dalla Francia sono state discusse due importanti sentenze della Corte di giustizia dell'Unione europea del 19 marzo, Brillen Rottler e Comdribus.

Il consorzio europeo per le infrastrutture digitali “Digital Commons” (EDIC) Il progetto prende forma con l'adesione di nuovi paesi e il lancio dei primi progetti, tra cui un progetto pilota per un fondo sovrano europeo per la tecnologia.

L'obiettivo del consorzio è quello di aiutare gli Stati membri dell'Unione europea a sviluppare infrastrutture digitali aperte e a rafforzare la sovranità digitale dell'Europa.

 

Notizie dai paesi membri dell'Unione europea.

Un tribunale tedesco ha stabilito che Meta ha trattato illegalmente i dati personali di individui non registrati tramite la sua funzione "Trova amici" su Facebook.

Inoltre, l'azienda non avrebbe alcuna base giuridica per trattare i dati personali degli utenti della propria piattaforma a fini pubblicitari.

In un caso recente, un tribunale austriaco ha stabilito che l'autorità per la protezione dei dati ha agito correttamente nel rifiutare di esaminare un reclamo ai sensi dell'articolo 57, paragrafo 4, del GDPR, dopo che un individuo aveva tentato di abusare del meccanismo di reclamo per ritardare il recupero di un credito.

L'Autorità belga per la protezione dei dati (APD) ha ritenuto che un datore di lavoro avesse soddisfatto pienamente la richiesta di accesso di un dipendente fornendogli i suoi dati tramite una riproduzione, anziché estraendo integralmente le e-mail in questione.

In Finlandia, l'Autorità per la protezione dei dati ha emesso un avvertimento a un'agenzia di rating del credito per la gestione impropria delle richieste di accesso ai dati.

Il titolare del trattamento ha indirizzato gli interessati al proprio portale di accesso ai dati senza dare seguito alle richieste, e ha indicato che sarebbe stata addebitata una tariffa per qualsiasi richiesta effettuata più di una volta nell'arco di dodici mesi.

L'Agenzia spagnola per la protezione dei dati (APD) ha multato un fornitore di servizi di identificazione digitale e verifica dell'età (YOTI) per 950.000 euro per aver raccolto dati biometrici senza un valido consenso (mancanza di sufficiente granularità e di garanzie in merito ai dati relativi ai minori) e per non aver limitato il periodo di conservazione dei dati.

L'Autorità belga per la protezione dei dati (APD) ha inoltre multato Hyundai per 2.000.000 di euro a seguito di un attacco informatico che ha esposto i dati di oltre un milione di persone, inclusi nomi, recapiti e numeri di identificazione dei veicoli. L'APD ha stabilito che il titolare del trattamento dei dati non aveva garantito un livello di sicurezza adeguato, in particolare perché i dati in questione non erano crittografati.

Infine, l'Autorità belga per la protezione dei dati (APD) ha inflitto una sanzione particolarmente pesante (10 milioni di euro) al gestore aeroportuale Aena per le modalità di implementazione del suo sistema di imbarco tramite riconoscimento facciale. Il sistema consente ai passeggeri di salire a bordo semplicemente guardando una telecamera. L'autorità ha riscontrato che questo sistema biometrico è stato implementato senza una preventiva valutazione d'impatto sulla protezione dei dati.

L'Autorità Garante per la protezione dei dati personali (APD) ha multato una banca per 31.800.000 euro per non aver adottato misure di sicurezza adeguate a impedire a un dipendente di accedere ai dati finanziari di oltre 3.500 persone per scopi estranei alle proprie mansioni.

Il titolare del trattamento non ha inoltre informato tempestivamente l'APD e gli interessati di questa violazione dei dati.

Un'altra banca è stata multata di 17.628.000 euro per aver trasferito i conti di 275.000 clienti alla sua controllata senza il loro consenso. La banca aveva utilizzato la profilazione per selezionare gli individui considerati clienti "prevalentemente digitali".

In Lussemburgo, la Corte amministrativa suprema ha annullato una multa di 746 milioni di euro inflitta ad Amazon. La decisione non mette in discussione il trattamento illecito dei dati personali a fini di pubblicità mirata, ma impone all'Autorità garante per la protezione dei dati (APD) di rivalutare la gravità del reato e la proporzionalità della sanzione prima di imporre nuove misure.

In un procedimento sommario, un tribunale olandese ha vietato alla piattaforma di social media X di produrre e distribuire, tramite Grok, contenuti intimi non consensuali e materiale pedopornografico. Il tribunale ha inoltre vietato a X di offrire le funzionalità di Grok finché persisteranno tali violazioni.

L'Autorità rumena per la protezione dei dati (APD) ha multato Renault Romania per 637.262,50 RON (125.000 euro) per non aver implementato adeguate misure di sicurezza a seguito di una violazione dei dati relativa a un'applicazione gestita da un subappaltatore, che ha comportato la pubblicazione di dati personali divulgati su una piattaforma online.

 

In Brasile è entrata ufficialmente in vigore la legge sulla tutela dei minori online, accompagnata da un decreto del Ministro della Giustizia che si concentra direttamente sulle scelte di design utilizzate dai colossi tecnologici per attirare l'attenzione dei giovani.

Il regolamento sposta la sicurezza online dei minori dalla moderazione reattiva dei contenuti alla regolamentazione preventiva dell'architettura delle piattaforme, includendo restrizioni sullo scorrimento infinito, la riproduzione automatica, le notifiche manipolative, la pubblicità mirata tramite profilazione rivolta ai minori e requisiti più rigorosi per la verifica dell'età.

Agli inizi di aprile, il Ministero dell'Industria e dell'Informatica cinese, insieme ad altri otto ministeri, ha pubblicato le "Misure sperimentali relative alla valutazione etica e alla fornitura di tecnologie di intelligenza artificiale".

Il documento offre una panoramica di ciò che la Cina intende per "governance etica dell'IA" e dei tipi di politiche e misure tecniche che ritiene necessarie per contrastare la banalizzazione dell'etica attraverso strategie di marketing che promettono servizi rispettosi ma che in realtà non sono conformi alle normative sull'IA.

Il 24 aprile, Meta è stata condannata a pagare 375 milioni di dollari di sanzioni civili da una giuria dello stato americano del Nuovo Messico, che ha stabilito che la società non aveva protetto adeguatamente i minori sulle sue piattaforme. Questa sanzione derivava da violazioni di una legge sulle pratiche commerciali sleali.

L'8 aprile, una corte d'appello federale di Washington, DC, ha rifiutato di bloccare l'inserimento dell'azienda di intelligenza artificiale Anthropic nella lista nera del Pentagono per la sicurezza nazionale, una vittoria per l'amministrazione Trump.

Tuttavia, un'altra corte d'appello ha emesso una sentenza contraria in un procedimento legale separato avviato da Anthropic.

L'azienda, sviluppatrice dell'assistente virtuale Claude, sostiene che il Segretario alla Difesa abbia oltrepassato i propri poteri designando l'azienda come un rischio per la catena di approvvigionamento della sicurezza nazionale.

Anthropic si era rifiutata di rimuovere alcune restrizioni sull'uso dei suoi prodotti, in considerazione del loro impiego da parte della difesa statunitense.