Corte di Cassazione: i limiti di impugnazione dei provvedimenti del Garante per la protezione dei dati personali

Corte di Cassazione: i limiti di impugnazione dei provvedimenti del Garante per la protezione dei dati personali
Con l’ordinanza 29049/2022, la seconda sezione civile della Corte di Cassazione si è pronunciata sul ricorso della regione Abruzzo richiedente l’annullamento del provvedimento irrogato dall’autorità garante in materia di protezione dei dati personali. La pronuncia segue ad un procedimento particolarmente articolato. La regione Abruzzo, difatti, aveva indetto una procedura concorsuale dalla quale promanava un’illegittima diffusione dei dati sensibili circa lo stato di salute di alcuni dei candidati. L’autorità garante interveniva, in un primo momento, con provvedimento n. 313/2014, vietando l’ulteriore diffusione dei dati in rete, prescrivendo, inoltre, misure utili alla protezione delle informazioni dei candidati e riservandosi di verificare, con autonomo procedimento, la violazione delle disposizioni per la tutela dei dati. L’istruttoria si concludeva, dunque, con l’irrogazione di una sanzione amministrativa pecuniaria per euro 20.000. Così, la regione adiva il tribunale di prime cure; quest’ultimo rigettava l’opposizione, pertanto la regione Abruzzo ricorreva in cassazione per ottenere l’annullamento definitivo del provvedimento.
Quali le motivazioni a fondamento del rigetto in primo grado?

Il giudice di merito, valutati i motivi dell’opposizione all’ingiunzione, si pronunciava con sentenza n. 355/2018, rigettando le istanze della regione. Più nello specifico, il tribunale riteneva irrilevanti le censure inerenti il procedimento amministrativo, ritenendo che, in applicazione dell’art. 7 di cui alla l. 241/1990, non potesse trovare applicazione l’illegittimità o l’invalidità del provvedimento per difetto di mancata comunicazione di avvio del procedimento, sottolineando che la regione avrebbe potuto palesare tutte le controdeduzioni in sede procedimentale, essendo stata la stessa ascoltata. Inoltre, dall’istruttoria, emergeva chiaramente che, di fatto, la regione avrebbe potuto (e dovuto) trattare i dati dei partecipanti nel pieno rispetto della normativa privacy vigente, preoccupandosi di bilanciare adeguatamente gli interessi in gioco: la pubblicità della procedura concorsuale e la riservatezza dei dati dei candidati; peraltro, era stato considerato sussistente l’elemento soggettivo della colpa, dal momento che parte ricorrente era stata informata dall’autorità garante circa la necessità di trattare i dati sensibili mediante le dovute cautele. Per queste ragioni, ed in considerazione dell’elevato numero di soggetti coinvolti, il tribunale confermava l’ingiunzione emessa dal Garante.

La pronuncia della Corte di Cassazione

Emessa la sentenza di prime cure, la regione adiva i giudici della suprema corte per ottenere la cassazione del provvedimento, adducendo ulteriori ragioni a sostegno della propria posizione. Tuttavia, gli ermellini, di diverso avviso, rigettavano il ricorso con l’ordinanza in esame, depositata lo scorso 6 ottobre. Le motivazioni addotte dalla regione Abruzzo sono state ritenute irragionevoli e infondate. Cerchiamo di comprendere l’iter argomentativo messo a punto dalla Corte. Come poc’anzi anticipato, la regione lamentava un vizio nella decisione di primo grado: il giudice aveva mal interpretato l’eccezione di mancata comunicazione di avvio del procedimento, avendola ritenuta diretta all’ordinanza di ingiunzione emessa all’esito del procedimento istruttorio invece che al provvedimento n. 313/2014 irrogato inizialmente dall’Autorità garante; contestava, inoltre, la mancata applicazione delle disposizioni che regolano il processo amministrativo. La Cassazione specificava che il procedimento preordinato all’irrogazione di sanzioni amministrative sfugge all’applicazione della legge n. 241 del 1990, che regolamenta in maniera uniforme e generale i procedimenti amministrativi, in virtù del principio di specialità che prescinde dalla successione cronologica delle norme; sicché anche quelle posteriori non comportano la caducazione di norme precedenti che disciplinano diversamente la stessa materia, come nel procedimento in oggetto, che è compiutamente retto dai principi insiti nella legge n. 689 del 1981. Inoltre, in tema di protezione dei dati personali, secondo quanto sostenuto dalla Corte, l’impugnazione del provvedimento emesso dal Garante deve avere ad oggetto elementi di fatto o valutativi che, se acquisiti, siano tali da influire sulla decisione finale modificandola nella sostanza. Pertanto, e con riferimento al caso di specie, il menzionato difetto di comunicazione risulta ininfluente e non bastevole ad annullare il provvedimento, anche in considerazione del fatto che il contenuto non sarebbe comunque potuto essere diverso da quello in concreto adottato. Ancora, parte ricorrente lamentava la violazione di cui all’art. 3 della legge n. 689, sostenendo di aver agito in buona fede ed in presenza di elementi concreti tali da ingenerare convincimento circa la liceità della condotta, con particolare riferimento agli obblighi di trasparenza prescritti dall’impianto del diritto amministrativo. Di contro, gli ermellini, hanno statuito che, in tema di illecito amministrativo l’error iuris è invocabile solo a fronte della inevitabilità dell’ignoranza del precetto violato, il cui risultato è l’effetto di una valutazione complessiva circa l’obbligo di conoscenza delle leggi che grava sull’agente in relazione alla qualità professionale posseduta, oltre che al suo dovere di informazione e di interpretazione delle norme che si riferiscono direttamente all’attività svolta. Nel caso di specie, si tratta di interpretazione di disposizioni per le quali non è ammessa ignoranza e su cui si era già correttamente pronunciato il giudice di primo grado.

Avv. Rossella Bucca e Dott.ssa Rossella Taddei

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori