Chi viola la privacy non può impugnare direttamente il verbale di accertamento
La sezione I della Cassazione con l'Ordinanza n. 19947 ha pronunciato due principi di diritto in materia di tutela della privacy. Questo è il primo: «in tema di protezione di dati personali, con riferimento a fattispecie non disciplinate dalle norme introdotte dal decreto legislativo n. 101 del 2018, di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, l'atto di accertamento e di contestazione dell'illecito amministrativo non è irrogativo della sanzione e non risulta idoneo, come tale, a produrre effetti sulla sfera giuridica del presunto trasgressore, sicché questi è carente dell'interesse ad agire con riferimento a una domanda di accertamento negativo dell'illecito solo contestato, potendo unicamente proporre opposizione avverso il provvedimento sanzionatorio che sia successivamente emanato nei suoi confronti dal Garante a norma dell'art. 18 Iegge n. 689 del 1981 (Principio enunciato in motivazione, ai sensi dell'art. 384 Cpc)».
Ed ecco il secondo: «In tema di protezione di dati personali, con riferimento a fattispecie non disciplinate dalle norme introdotte dal decreto legislativo n.101 del 2018, di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, l'irrogazione di sanzioni amministrative è regolamentata dalle disposizioni della legge n. 689 del 1981, in quanto applicabili, stante il richiamo contenuto nell'art. 166 decreto legislativo n. 196 del 2003, vigente ratione temporis; in conseguenza, il presunto trasgressore non può impugnare il verbale di accertamento, che costituisce atto a carattere procedimentale inidoneo a produrre alcun effetto sulla propria sfera soggettiva, che è di contro incisa solo a seguito e per effetto della emanazione dell'ordinanza ingiunzione, unico atto contro cui è possibile proporre opposizione (Principio enunciato in motivazione, ai sensi dell'art. 384 Cpc)».
Due principi inediti - Questioni nuove sulle quali non risultano precedenti. Per qualche riferimento cfr.:
- nel senso che in tema di illeciti amministrativi di cui al decreto legislativo n. 196 del 2003 (cd. codice della privacy), il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall'accertamento della violazione, il quale non coincide sic et simpliciter con la generica ed approssimativa percezione del fatto e l'acquisizione di documentazione ad esso relativa, ma richiede l'avvenuta elaborazione dei dati così ottenuti al fine di individuare gli elementi costituitivi delle eventuali violazioni, Cassazione, ordinanza 6 giugno 2018, n. 14678;
- per il rilievo che qualora la stessa condotta materiale (nella specie, illecito trattamento di dati personali) integri sia una fattispecie penale sia una fattispecie di illecito amministrativo, deve escludersi che l'esistenza del reato dipenda dall'accertamento della violazione amministrativa, con la conseguenza che non sussiste la connessione obiettiva per pregiudizialità richiesta dall'articolo 24 della legge n. 689 del 1981 per radicare la competenza del giudice penale nell'accertamento della responsabilità per l'illecito amministrativo, Cassazione, ordinanza 6 marzo 2018, n. 5341.
Alcuni precedenti sulla protezione dei dati personali - In termini generali, si è affermato, tra l'altro, da ultimo:
- in tema di protezione dei dati personali, il trattamento da parte di enti pubblici a base elettiva di dati giudiziari riguardanti il corpo elettorale ed i diritti di elettorato attivo e passivo, risponde ad una finalità di rilevante interesse pubblico ed è consentito, nei limiti indicati dall'articolo 65 del decreto legislativo n. 196 del 2003, solo ove siano stati preventivamente individuati, ai sensi dei precedenti artt. 20 e 21, i tipi di dati trattati e le operazioni eseguibili, in modo da predeterminare e circoscrivere l'attività discrezionalmente consentita, Cassazione, ordinanza 16 giugno 2021, n. 17208;
- il diritto all'oblio consiste nel non rimanere esposti senza limiti di tempo ad una rappresentazione non più attuale della propria persona con pregiudizio alla reputazione ed alla riservatezza, a causa della ripubblicazione, a distanza di un importante intervallo temporale, di una notizia relativa a fatti del passato, ma la tutela del menzionato diritto va posta in bilanciamento con l'interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e quindi di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica, sicché nel caso di notizia pubblicata sul web, il medesimo può trovare soddisfazione anche nella sola deindicizzazione dell'articolo dai motori di ricerca, Cassazione, ordinanza 19 maggio 2020, n. 9147, in Foro it., 2020, I, c. 2684 (con nota di Pardolesi R., Oblio a regime), nonché in Responsabilità civile e previdenza, 2021, II, p. 175 (con nota di Cocuccio M., Deindicizzare per non censurare: il "ragionevole compromesso" tra diritto all'oblio e diritto di cronaca), che ha cassato con rinvio la sentenza impugnata che, nel disporre senz'altro la cancellazione della notizia relativa ad una vicenda giudiziaria mantenuta on line, non aveva operato il necessario bilanciamento tra il diritto all'oblio e quelli di cronaca giudiziaria e di documentazione ed archiviazione;
- nel procedimento dinanzi al Garante per la protezione dei dati personali, la compensazione delle spese "per giusti motivi", prevista dall'articolo 152 del decreto legislativo n. 196 del 2003 (nel testo vigente prima dell'abrogazione disposta dall'articolo 27, comma 1, lett. c), del decreto legislativo n. 101 del 2018), deve basarsi su considerazioni giuridiche o di fatto idonee a rendere manifeste le ragioni della disposta compensazione, Cassazione, sentenza 11 giugno 2019, n. 15712 che, nel correggere la motivazione del Tribunale, basata sull'inapplicabilità dell'articolo 92 Cpc, ha rilevato che il Garante aveva compensato le spese in considerazione dell'adesione del titolare del trattamento alla domanda nel corso del procedimento;
- il concetto di dati personali è idoneo a ricomprendere, stante l'ampiezza della nozione cui è approdata la Corte di Giustizia UE, qualsiasi tipo di affermazione su una persona e può includere quindi informazioni sia oggettive che soggettive, come valutazioni, concernenti la persona interessata, riguardando anche le dichiarazioni e le opinioni formulate tramite l'indirizzo di posta elettronica privata nel corso di uno scambio di corrispondenza elettronica, Cassazione, ordinanza 31 maggio 2021, n. 15161, che ha disatteso il ragionamento svolto dal giudice di merito, secondo il quale i messaggi di posta elettronica non rientrerebbero nella nozione di dato personale, non trattandosi di un'informazione ovvero di un elemento identificativo della persona, di un suo tratto o di un suo comportamento;
- il trattamento di dati sensibili non richiede il consenso dell'interessato quando sia necessario per adempiere ad un obbligo imposto dalla legge, come nel caso di svolgimento di attività istituzionali da parte di soggetti pubblici, nelle quali rientrano i compiti connessi all'esercizio del potere disciplinare da parte della Pubblica Amministrazione nei confronti dei propri dipendenti, Cassazione, ordinanza 31 maggio 2021, n. 15161;
- è legittima la comunicazione da parte di un'azienda sanitaria, su richiesta dell'autorità di pubblica sicurezza, in relazione ad un procedimento per la revoca del porto d'armi, di dati sensibili contenuti in una cartella clinica relativa al ricovero di un paziente nel reparto psichiatrico di un ospedale, trattandosi di dati indispensabili per lo svolgimento di attività istituzionali a cura di soggetti pubblici, previste dalla legge e non esercitabili "mediante il trattamento di dati anonimi o di dati personali di natura diversa", purché il trattamento avvenga in modo corretto e riservato, secondo le modalità fissate dalla legge e senza una indiscriminata diffusione dei medesimi verso soggetti inderminati, atteso che, in materia di porto d'armi l'assenza di alterazioni neurologiche e di disturbi mentali di personalità o comportamentali rientra tra i requisiti psicofisici minimi richiesti per il rilascio e il rinnovo, tanto che, ai sensi dell'articolo 43 TULPS la licenza di porto d'armi può essere revocata non solo in relazione a pregresse condanne per fatti penalmente rilevanti, ma anche quando la persona non dà affidamento di non abusare delle armi, Cassazione, 5 maggio 2021, n. 11800;
- in tema di trattamento dei dati personali, la nozione di "dato sensibile", oggetto di tutela, si ricava dall'articolo 4, comma 1, lettera d), Dlgs n. 196 del 2003 e comprende anche i dati idonei a rivelare le opinioni politiche dell'interessato, la cui protezione ha fondamento costituzionale, riconducibile all'esigenza di evitare trattamenti discriminatori per ragioni attinenti alle caratteristiche, condizioni o convinzioni dell'individuo, Cassazione, ordinanza 24 dicembre 2020, n. 29584, che ha confermato la decisione impugnata, che aveva ritenuto illecita l'acquisizione e la diffusione in una trasmissione radiofonica di opinioni politiche espresse da un ministro uscente, che pensava di parlare al telefono con un politico suo amico e, invece, era stato contattato da un imitatore di quest'ultimo;
- la nozione di dato personale contempla qualsiasi informazione che consenta di identificare, anche indirettamente, una determinata persona fisica e ricomprende pure i dati identificativi, quali il nome, il cognome e l'indirizzo di posta elettronica, i quali sono dati personali che permettono la detta identificazione direttamente. Da ciò consegue che anche per utilizzare questi ultimi dati è prescritta la previa informativa di cui all'articolo 13 del decreto legislativo n. 196 del 2003 ai fini dell'acquisizione del consenso degli interessati all'impiego dei dati di loro pertinenza, Cassazione, ordinanza 5 luglio 2018, n. 17665;
- dati sensibili idonei a rivelare lo stato di salute possono essere trattati dai soggetti pubblici e dalle persone giuridiche private che agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o di adempimento di un obbligo contrattuale, soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l'interessato. Ne consegue che i suddetti titolari sono tenuti all'osservanza delle predette cautele nel trattamento dei dati in questione, Cassazione, sezioni unite, sentenza 27 dicembre 2017, n. 30981, che ha cassato la sentenza di merito affermando che il soggetto pubblico – la Regione – e il soggetto persona giuridica privata – la banca – sono tenuti, in qualità di titolari del trattamento dei dati personali, nel procedimento di riconoscimento, erogazione ed accredito dell'indennità di cui alla legge n. 210 del 1992, ad occultare, mediante tecniche di cifratura o criptatura, il riferimento alla detta legge, in quanto idoneo a rivelare lo stato di salute del beneficiario dell'indennità;
- in tema di trattamento dei dati sensibili, è illecita la pubblicazione, su un sito internet liberamente accessibile, di un provvedimento giurisdizionale che indichi lo stato di salute del ricorrente e le sue invalidità, atteso che si tratta di dati la cui tutela è posta a protezione del diritto alla riservatezza della sfera privata dell'individuo, Cassazione, sentenza 20 maggio 2016, n. 10510.
Fonte: Il Sole 24 Ore del 6 settembre 2021