Cosa ha effettivamente deciso la Corte

La controversia all'origine della sentenza era abbastanza ordinaria. Un'azienda della Bassa Sassonia ha citato in giudizio un ex dipendente accusato di rivendere attrezzature aziendali tramite un account eBay privato, costruendo il proprio caso su dati estratti da quell'account senza autorizzazione. Quell'accesso costituiva di per sé una violazione del GDPR. Il giudice del rinvio, il LAG Niedersachsen, ha posto alla Corte di giustizia UE una domanda più incisiva di quanto le parti si aspettassero: un giudice viola egli stesso il diritto sulla protezione dei dati solo per il fatto di esaminare prove raccolte illecitamente.

La Corte di giustizia UE ha risposto di no. Nella sua sentenza del 18 giugno 2026 (C-484/24) ha respinto un divieto assoluto di utilizzare dati personali ottenuti illecitamente e ha stabilito che un giudice può fondarsi su tali dati quando sono necessari e rilevanti ai fini della decisione. I giudici si sono basati sul dovere della corte stessa di accertare i fatti e sul diritto a un processo equo ai sensi dell'articolo 47 della Carta, richiedendo al contempo che la minimizzazione dei dati sia comunque rispettata e che l'anonimizzazione sia valutata prima della divulgazione. Il punto è se una prova entri in un fascicolo civile, non se sussista una colpevolezza penale.

Perché questo ribalta un presupposto comodo

Molti imprenditori e i loro consulenti hanno operato secondo una regola empirica non dichiarata: se la controparte ha ottenuto il proprio materiale in modo improprio, lo si può tenere fuori, quindi un illecito sulla protezione dei dati è uno scudo affidabile. La sentenza indebolisce questo scudo. A un giudice che valuta i fatti si dice ora di bilanciare l'interesse a un processo equo con la violazione della riservatezza, anziché scartare la prova per principio, per cui il documento scomodo, il messaggio recuperato o l'estratto dell'account potrebbero trovarsi davanti al giudice indipendentemente da come sono stati ottenuti.

Questo taglia in entrambe le direzioni, e il secondo filo è quello da tenere d'occhio. La stessa logica che consente a chi agisce in giudizio di usare prove ottenute in modo imperfetto consente a una controparte di usare le vostre. Un'indagine interna che ecceda i limiti, un registro di monitoraggio raccolto senza una base adeguata o la casella di posta di un ex socio consultata con troppa disinvoltura non diventano innocui per il fatto di essere stati raccolti male. Possono comunque finire agli atti contro di voi, mentre la violazione sottostante resta separatamente esposta alle autorità di controllo. Vi preghiamo di considerare questo come un resoconto e non come una consulenza legale, e di verificare la sentenza e la sua portata sui vostri fatti specifici.

Cosa valutare prima della prossima controversia

La risposta pratica non è rincorrere scappatoie, ma presumere che la maggior parte dei dati rilevanti sarà prima o poi ammissibile, chiunque li detenga e comunque siano stati raccolti. Questo riformula l'igiene delle prove come un rischio d'impresa anziché come una nota a margine di conformità. Vale la pena rivedere come vengono condotte le vostre indagini interne, come si accede ai dati di dipendenti e controparti durante una controversia, e dove le vostre stesse pratiche di raccolta potrebbero essere trasformate in documenti probatori dalla controparte.

Vale altrettanto la pena mappare, prima che un contenzioso sia all'orizzonte, quali dati sulle vostre operazioni esistono, dove risiedono e chi potrebbe ottenerli. La portata di questa sentenza si sta ancora assestando e la sua applicazione varia da uno Stato membro all'altro e a seconda del tipo di procedimento, quindi qualsiasi aspetto specifico va affrontato con il vostro consulente sui vostri fatti concreti. Il punto per chi decide è più semplice: la vecchia scommessa che i dati compromessi spariscano non è più sicura da fare.