Un ottico, una newsletter e una pretesa da 1.000 euro

I fatti sono quasi comicamente piccoli per una sentenza di questa portata. Un uomo residente in Austria si è iscritto alla newsletter di Brillen Rottler, un ottico a conduzione familiare di Arnsberg, in Germania, inserendo i propri dati nel modulo di iscrizione. Tredici giorni dopo ha inviato all'azienda una richiesta di accesso ex articolo 15 GDPR. L'ottico ha rifiutato, richiamando articoli, blog e newsletter di studi legali che descrivono come la stessa persona si iscriva sistematicamente a newsletter, presenti richieste di accesso e poi pretenda risarcimenti. L'uomo ha chiesto almeno 1.000 euro per danno immateriale da diniego di accesso.

Il tribunale locale di Arnsberg ha posto a Lussemburgo due domande che migliaia di imprese europee, comprese molte italiane, si sono fatte in silenzio: può una prima richiesta essere già eccessiva, e chi si vede rifiutare l'accesso ha automaticamente diritto al risarcimento? Il 19 marzo 2026 la Corte ha risposto a entrambe.

Cosa ha davvero deciso la Corte

Primo: una singola richiesta di accesso formalmente corretta può già essere eccessiva ai sensi dell'articolo 12, paragrafo 5, GDPR e quindi essere respinta, quando non è stata presentata per conoscere il trattamento e verificarne la liceità, ma con l'intento abusivo di creare artificialmente le condizioni per un risarcimento ex articolo 82.

Secondo, la Corte ha elencato su cosa può poggiare il titolare per dimostrare quell'intento: tutte le circostanze del caso, in particolare il fatto che l'interessato abbia fornito i dati senza esservi obbligato, lo scopo del conferimento, il tempo trascorso tra iscrizione e richiesta e la condotta della persona. Le informazioni pubblicamente disponibili che mostrano uno schema di molte richieste seguite da pretese verso titolari diversi possono essere considerate, ma non come base esclusiva.

Terzo, il versante risarcitorio. Il risarcimento ex articolo 82 richiede la prova di un danno materiale o immateriale effettivo, e non spetta quando la condotta dello stesso richiedente è la causa determinante del danno. La perdita di controllo sui propri dati resta in linea di principio risarcibile, ma una perdita costruita a tavolino non è un danno causato dal titolare.

L'industria dei reclami che questa sentenza definanzia

Il modello di business descritto dalla Corte ha un nome nella pratica: GDPR hopping. Iscriversi a decine di newsletter, sparare richieste di accesso, aspettare che un titolare sfori il termine di un mese o risponda in modo incompleto, poi pretendere da qualche centinaio a qualche migliaio di euro per danno immateriale. Il modello scala perche rispondere costa e transigere costa poco. Le piccole imprese, esattamente il tipo familiare al centro di questo caso, erano i bersagli preferiti.

La sentenza attacca il modello da entrambe le estremità. La richiesta stessa può essere respinta dove l'intento abusivo è dimostrabile, e il pagamento crolla dove il danno è stato architettato dal richiedente. Resta intatto il richiedente onesto: la Corte ha ribadito che l'accesso esiste per verificare la liceità, e nulla nella sentenza autorizza a filtrare le richieste per sospetto o fastidio.

Cosa cambiare nella gestione delle richieste

La lettura sbagliata di questa sentenza è che ora si possano respingere le richieste scomode. L'onere di dimostrare l'abuso è vostro, le prove devono andare oltre una sensazione, e una richiesta respinta a torto vi espone ancora a reclami al Garante, sanzioni e risarcimenti. La lettura giusta è che la disciplina probatoria paga: registrate ogni richiesta con tempi e contesto, rispondete nei termini come regola, e trattate il rifiuto come eccezione documentata per cui prima si costruisce un fascicolo.

Per l'imprenditore la mossa operativa è un triage scritto delle richieste: chi le valuta, con quali criteri tratti da questa sentenza, chi firma un rifiuto e dove è archiviata la prova. Quella traccia cartacea trasforma una difesa approvata dalla Corte in una che potete davvero usare.