Tratti i dati personali senza consenso? Per la Cassazione è illecito permanente

Con l’ordinanza 18288/20 la seconda sezione civile della Corte di Cassazione pone un principio destinato a incidere nell’attività di molti titolari di banche dati, non solo per le Big-Tech ma anche per i data-broker, gli intermediari che forniscono dati e profili alle aziende e per i fornitori di servizi tecnologici.
 
La fattispecie

Il casus belli esaminato dai giudici ermellini riguardava l’ingiunzione di 340 mila euro comminata nel 2013 al Garante per la protezione dei dati personali a Postel per aver violato gli obblighi di idonea informativa e di raccolta del consenso, unitamente agli articoli 162.2-bis, 164 e 164-bis del decreto legislativo 196/2003. Tra i motivi di gravame – oltre a profili di incostituzionalità – anche l’intervenuta prescrizione dell’azione amministrativa. Rilievi a cui però la Suprema Corte ha opposto la natura permanente di quegli illeciti, ancorché rimasti “dormienti” per un lungo periodo.

Il principio

Questo orientamento fa desumere un importante principio: il termine di prescrizione non decorre sino a quando sussiste l’illecito. La vittima avrà quindi la possibilità di agire contro il responsabile in qualsiasi momento – anche dopo molti anni – se medio tempore la condotta illecita non è terminata. Il dies a quo del termine prescrizionale decorrerà dal primo giorno di avvenuta cessazione dell’illecito.

Conclusioni

La Corte ha ritenuto che il trattamento di dati personali senza adeguata informativa e senza la raccolta del consenso dell’interessato siano illeciti permanenti e dunque soggetti alla sanzione ratione temporis prevista all’atto dell’accertamento da parte delle autorità di controllo.

La soluzione interpretativa, resa nell’ottica di una tutela rafforzata dei diritti dell’interessato, suscita molte perplessità circa l’impatto sulla prescrizione dell’illecito amministrativo e sulla ragionevole durata dei procedimenti.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti