Legittime le sanzioni amministrative previste dal codice della privacy (prima del Regolamento Europeo 2016/679)

In tema di illeciti amministrativi di cui al d.lgs. n. 196/2003 cd. codice della privacy , la fattispecie prevista dall'art. 164-bis, comma 2, costituisce non un'ipotesi aggravata rispetto alle violazioni semplici ivi richiamate, ma una figura di illecito del tutto autonoma, atteso che essa prevede la possibilità che vengano infrante dal contravventore, anche con più azioni ed in tempi diversi, una pluralità di ipotesi semplici, unitariamente considerate dalla norma con riferimento a banche di dati di particolare rilevanza o dimensioni , sicché, in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, ne deriva un'ipotesi di cumulo materiale delle sanzioni amministrative.

Con l’ordinanza n. 18288/20, depositata il 3 settembre, il S.C. interviene sulla natura delle sanzioni previste nel c.d. codice della privacy – prima dell’abrogazione ad opera del d.lgs. n. 101/2018 - statuendone la piena legittimità, sia con riferimento ad eventuali vizi di costituzionalità, sia affermando che le sanzioni previste definiscono ipotesi di illeciti autonomi, escludendo – almeno con riferimento agli artt. 162, 164 e 164-bis – la possibilità di sovrapposizioni tra diverse ipotesi sanzionatorie. Il caso. Avverso l’ordinanza - ingiunzione emessa dal Garante Privacy viene promosso ricorso, innanzi al Tribunale di Roma, dalla società destinataria delle sanzioni. In particolare, veniva contestato, da parte della società sanzionata, l’illegittimità delle sanzioni per asserita incostituzionalità sotto il vizio dell’eccesso di delega rispetto alla legge delega. Analogamente, le sanzioni comminate non sarebbero applicabili al caso di specie, poste che sarebbero state introdotte successivamente alle condotte illecite e, comunque, non sarebbero state tempestivamente contestate. Il Tribunale ha ritenuto parzialmente fondata l’opposizione promossa avverso l’ordinanza ingiunzione, disponendo l’annullamento della stessa limitatamente alla sanzione di 100.000 euro. Nei confronti della decisione del Tribunale, sia la società sanzionata, sia il Garante Privacy, promuovono ricorso. Le sanzioni tra Codice della Privacy e Regolamento Comunitario. È opportuno premettere che le sanzioni di cui si discute nel provvedimento in commento – nel quale, come visto, si ribadisce la legittimità delle stesse – sono state abrogate dall’art. 27 del d.lgs. n. 101/2018, che ha dato attuazione al Reg. Comunitario 2016/679. In particolare, il meccanismo sanzionatorio è stato ridisegnato dagli artt. 83 e 84 del d.lgs. n. 101/2018, uniformando il dato normativo nazionale con le previsioni del Regolamento comunitario. L’ordinanza in commento mantiene comunque un notevole interesse per il ragionamento formulato dalla Corte sulla natura delle sanzioni all’epoca vigenti, i cui principi sono certamente riferibili, più in generale, alle varie tipologie di sanzioni amministrative. Le eccezioni rigettate di incostituzionalità. Peraltro, in termini analoghi, le suddette sanzioni sono state ritenute – nel testo all’epoca vigente – perfettamente aderenti alle previsioni della legge delega, non sussistendo, ad avviso del S.C., un vizio di incostituzionalità per eccesso di delega, sul rilievo, di capitale importanza, della necessità di un intervento normativo volto a sanzionare, con maggiore incisività, le condotte che riguardavano la disciplina del trattamento dei dati personali in contesti di abusi di banche dati a fini di promozione commerciale, oltre che, in ambito complessivo, sulla posizione e sui poteri del Garante. Sanzione amministrative decorrenza dei termini della contestazione. Sotto un ulteriore profilo, le sanzioni all’epoca vigenti – e che vengono ridisegnate con la novella legislativa – risultavano in linea con le previsioni generali in tema di illeciti amministrativi. Secondo la società sanzionata, peraltro, le sanzioni sarebbero invalide in quanto giunte oltre il termine di 90 giorni di cui all’art. 14 della legge 689/1981. Il S.C., al contrario, richiama il proprio orientamento consolidato in argomento, per il quale, in tema di sanzioni amministrative, l'arco di tempo entro il quale l'Autorità – in senso ampio, comprensivo, nel caso di specie, del Garante Privacy - deve provvedere alla notifica della contestazione, ai sensi dell'art. 14 della legge n. 689/1981, è collegato non già alla data di commissione della violazione, ma al tempo di accertamento dell'infrazione, da intendersi in una prospettiva teleologicamente orientata e quindi non già alla notizia del fatto sanzionabile nella sua materialità, ma all'acquisizione della piena conoscenza della condotta illecita, implicante il riscontro dell'esistenza e della consistenza della infrazione e dei suoi effetti. Di conseguenza, il termine di novanta giorni previsto inizia a decorrere solo dal momento in cui è compiuta - o si sarebbe dovuta ragionevolmente compiere, anche in relazione alla complessità della fattispecie - l'attività amministrativa intesa a verificare l'esistenza dell'infrazione, comprensiva delle indagini intese a riscontrare la sussistenza di tutti gli elementi soggettivi e oggettivi dell'infrazione stessa. Cumulo giuridico e sanzioni amministrative. Le argomentazioni oggetto del ricorso della società sanzionata vengono rigettate, per quanto sopra riferito, mentre il S.C. ritiene di accogliere il controricorso del Garante avverso la parte della sentenza del Tribunale che aveva annullato parzialmente la sanzione comminata. Ad avviso della Corte, infatti, gli artt. 162 e 164- bi s descrivono fattispecie diverse, non potendo quindi ipotizzarsi una sovrapposizione o, per esprimersi in termini penalistici, un bis in idem insostenibile nel nostro ordinamento . Tanto più che il cumulo giuridico di cui all’art. 8 della legge n. 689/1991 – espressione di un più ampio principio vigente in tutto il diritto c.d. punitivo - ha una sua naturale e logica sfera di applicazione generalizzata a tutta la materia sanzionatoria, anche in assenza di un corrispondente principio a livello comunitario. Da qui l’accoglimento del controricorso con rinvio della causa al Tribunale di Roma, in persona di diverso magistrato.

Corte di Cassazione, sez. II Civile, ordinanza 12 novembre 2019 – 3 settembre 2020, n. 18288 Presidente Manna – Relatore Marcheis Premesso che 1. Con ricorso del 14 febbraio 2014 Postel s.p.a. proponeva opposizione avverso l'ordinanza ingiunzione n. 549 del 5 dicembre 2013 con cui il Garante per la protezione dei dati personali, rilevata la violazione del D.Lgs. n. 196 del 2003, art. 162, comma 2-bis, art. 164 e art. 164-bis, comma 2 c.d. codice della privacy , aveva irrogato la sanzione di Euro 340.000. Con sentenza 21 gennaio 2016, n. 1314, il Tribunale di Roma preliminarmente rigettata la questione di legittimità costituzionale dell'art. 162, comma 2-bis e art. 164-bis codice della privacy sollevata con riferimento all'art. 77 Cost. e al principio del ne bis in idem - in parziale accoglimento dell'opposizione, annullava l'ordinanza impugnata limitatamente alla sanzione di Euro 100.000 per la violazione di cui all'art. 162, comma 2-bis cit. codice rigettava invece l'opposizione per i rimanenti motivi. 3. Contro la sentenza ricorre per cassazione Postel s.p.a. Resiste con controricorso il Garante per la protezione dei dati personali, che propone altresì ricorso incidentale. Postel resiste con controricorso al ricorso incidentale. La ricorrente principale ha depositato memoria ai sensi dell'art. 380-bis 1 c.p.c. Considerato che 1. La ricorrente principale Postel propone due questioni di legittimità costituzionale e tre motivi di impugnazione. a La prima questione di legittimità concerne la violazione dell'art. 77 Cost. l'art. 162, comma 2-bis e l'art. 164-bis codice della privacy, la cui applicazione ha condotto all'ordinanza ingiunzione del Garante per 300.000 Euro sui 340.000 Euro complessivamente ingiunti , sono stati introdotti con il D.L. n. 207 del 2008 in assenza dei requisiti di necessità e di urgenza. La questione è manifestamente infondata. Come ha indicato la decisione impugnata, che ha respinto la questione già sollevata nella fase di merito, il sindacato del giudice costituzionale sulla legittimità del ricorso alla decretazione di urgenza è limitato ai soli casi di evidente mancanza dei presupposti richiesti dall'art. 77 Cost., o di manifesta irragionevolezza e arbitrarietà della relativa valutazione da ultimo, oltre alle pronunce già menzionate dal giudice a quo, v. Corte Cost. n. 170/2017, n. 22/2012, n. 93/2011, n. 355/2010 . Condizioni, queste, che devono escludersi nella specie, in cui - come osserva il Procuratore Generale nelle sue conclusioni scritte - inasprimenti sanzionatori che riguardavano la disciplina del trattamento di dati personali in contesti di abuso di banche dati a fini di promozione commerciale e di telemarketing si presentavano come necessari, proprio in ragione della condizione di oligopolio di alcune aziende nella raccolta e nel trattamento, senza consenso degli interessati, di dati acquisiti presso archivi pubblici o di pubblico dominio oltre all'esigenza, già sottolineata dal giudice di merito, della funzionalità del Garante. Nè vale ad escludere la manifesta infondatezza della questione il riferimento operato dalla ricorrente alla eterogeneità delle materie oggetto del decreto legge, rientrando le disposizioni in questione in quelle di carattere finanziario di cui alla rubrica del decreto. b La seconda questione di legittimità investe, attraverso il richiamo alla giurisprudenza della Corte Europea dei diritti dell'uomo a partire dalla sentenza del 2014 Grande Stevens c. Italia , la censura di incostituzionalità dell'art. 164-bis codice privacy per violazione del principio del ne bis in idem, derivabile dal protocollo 7 della Convenzione Europea dei diritti dell'uomo e dall'art. 50 della Carta dei diritti fondamentali dell'Unione Europea. La ricorrente lamenta come tramite l'art. 164-bis le stesse identiche condotte che abbiano concretato la violazione delle norme presupposto nel caso di specie l'omessa informativa ex art. 161 e il trattamento senza consenso ex art. 162, comma 2-bis vengono dall'art. 164-bis, comma 2 sanzionate un'altra volta, soltanto perchè a una violazione si è accompagnata l'altra, con evidente inosservanza del principio generale del ne bis in idem. La censura è manifestamente inammissibile, per evidente difetto di rilevanza il Tribunale, optando per una lettura complessiva del sistema e del rapporto tra le due norme, ha escluso l'applicazione della sanzione prevista per l'art. 162, comma 2-bis, sulla base di un argomento su cui cfr. infra in relazione al ricorso incidentale di assorbimento di essa nella fattispecie più grave di cui all'art. 164-bis, così svuotando di interesse la proposizione della questione di legittimità. La censura di illegittimità costituzionale, comunque, è manifestamente infondata in quanto la questione - come rimarca il Procuratore Generale nelle sue conclusioni scritte - è del tutto eccentrica rispetto a quelli che sono i criteri che la Corte Europea dei diritti dell'uomo ha elaborato per evitare una duplicazione sanzionatoria che abbia riguardo a ipotesi punibili al contempo sul piano amministrativo e su quello penale, in ciò consistendo la tematica del ne bis in idem convenzionale, laddove nel caso in esame non vi è traccia di applicazione di sanzioni penali nè tantomeno di avvio parallelo di procedimenti penali per i medesimi fatti , laddove la censura posta dal ricorso è piuttosto quella dell'utilizzo di criteri assorbimento, consunzione, specialità , che evitano l'applicazione cumulativa di sanzioni del medesimo tipo - nel caso in esame amministrative - per un medesimo fatto su cui v. Cass. 17143/2016 e infra in relazione al ricorso incidentale . c Il primo motivo di impugnazione denuncia violazione e/o falsa applicazione della L. n. 689 del 1981, art. 1 e art. 13, comma 4, e art. 161 codice della privacy . Il motivo è infondato. Esso si impernia sul rilievo che non potendo le violazioni omessa informativa di cui al richiamato art. 161 e omessa acquisizione del consenso per i dati acquisiti dalle liste elettorali dei cittadini essere sanate da un comportamento successivo, si sarebbero consumate uno actu omissis , prima della vigenza del D.L. n. 207 del 2008, così che alla data degli accertamenti del Garante, nell'aprile del 2009, le sanzioni previste dalla novella non sarebbero state applicabili. La ricorrente non considera, come ha già sottolineato la sentenza impugnata, il carattere invece continuativo dell'illecito, perdurante fino agli accertamenti, in quanto la condotta di gestione, trattamento e conservazione dei dati si è protratta fino alla data indicata nel provvedimento del Garante, potendo la società fare cessare tali condotte in qualsiasi momento. d Il secondo motivo - rubricato violazione e/o falsa applicazione della L. n. 689 del 1981, art. 14 in relazione all'art. 360 c.p.c., n. 3 nonchè omesso esame di un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti in relazione all'art. 360 c.p.c., n. 5 lamenta che il Tribunale non abbia considerato violato il termine di novanta giorni previsto dalla L. n. 689 del 1981, art. 14 per la contestazione delle condotte della ricorrente a causa della ritenuta complessità delle indagini svolte nonchè dell'incompletezza delle informazioni fornite da tale società. Il motivo è infondato quanto alla violazione di legge, essendo consolidato l'indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall'accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l'acquisizione della documentazione ad esso relativa, ma richiede l'elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni così, ex multis, Cass. 14678/2018 . Il Tribunale, con accertamento in fatto ampiamente argomentato, ha affermato la complessità degli accertamenti ispettivi, anche dovuta al deficit collaborativo e informativo della stessa ricorrente, accertamenti che si sono conclusi solo nel marzo 2010. Non può quindi essere accolto il motivo pure ai sensi dell'art. 360 c.p.c., n. 5 sostanziandosi in una inammissibile richiesta di rielaborazione di dati di fatto considerati dal Tribunale. e Il terzo motivo denuncia violazione e/o falsa applicazione della L. n. 689 del 1981, art. 28 e dell'art. 13, comma 4 e art. 161 codice della privacy gli illeciti ascritti alla società ricorrente hanno natura di illeciti omissivi istantanei e non permanenti , così che al momento della irrogazione della ordinanza-ingiunzione il termine di prescrizione di cinque anni era ormai decorso da anni. La ricorrente sostiene la prescrizione degli illeciti sulla stessa premessa del primo motivo, il carattere istantaneo delle fattispecie, così che anche questo motivo - per le medesime ragioni supra, sub c - non può essere accolto. Il ricorso principale va quindi rigettato. 2. Il ricorso incidentale del Garante per la protezione dei dati personali è articolato in unico motivo con cui si contesta violazione e falsa applicazione di legge in relazione agli artt. 164-bis, 161 e 162 codice in materia di trattamento dei dati personali il Tribunale ha erroneamente ritenuto che l'applicazione congiunta di tali norme al caso di specie determinasse una violazione del principio del ne bis in idem. Il motivo è fondato. Il Tribunale ha erroneamente annullato la sanzione applicata dall'art. 162, comma 2-bis codice della privacy, ritenendola assorbita in quella dell'art. 164-bis cit. codice. Come riconosce la stessa ricorrente principale in memoria, questa Corte ha infatti affermato che in tema di illeciti amministrativi di cui al D.Lgs. n. 196 del 2003, la fattispecie prevista dall'art. 164-bis, comma 2, costituisce non un'ipotesi aggravata rispetto alle violazioni semplici ivi richiamate, ma una figura di illecito del tutto autonoma, atteso che essa prevede la possibilità che vengano infrante dal contravventore, anche con più azioni e in tempi diversi, una pluralità di ipotesi semplici, unitariamente considerate dalla norma con riferimento a banche di dati di particolare rilevanza o dimensioni , sicchè, in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, ne deriva un'ipotesi di cumulo materiale delle sanzioni amministrative Cass. 17143/2016 . Il ricorso incidentale va quindi accolto. 3. L'accoglimento del ricorso incidentale comporta la cassazione del provvedimento impugnato in relazione al motivo accolto la causa deve pertanto essere rinviata al Tribunale che deciderà attenendosi al principio di diritto sopra ricordato il giudice di rinvio provvederà anche in relazione alle spese del presente giudizio. Ai sensi del D.P.R. 30 maggio 2002, n. 115, art. 13, comma 1 quater, si dà atto della sussistenza dei presupposti processuali per il versamento, da parte del ricorrente principale, di un ulteriore importo a titolo di contributo unificato, pari a quello previsto per il ricorso a norma dello stesso art. 13, comma 1 bis se dovuto. P.Q.M. La Corte rigetta il ricorso principale e accoglie il ricorso incidentale cassa la sentenza impugnata in relazione al motivo accolto e rinvia la causa, anche per le spese del giudizio di legittimità, al Tribunale di Roma, in persona di diverso magistrato. Sussistono, D.P.R. n. 115 del 2002, ex art. 13, comma 1-quater i presupposti processuali per il versamento, da parte del ricorrente principale, di un ulteriore importo a titolo di contributo unificato, pari a quello previsto per il ricorso a norma dello stesso art. 13, comma 1- bis se dovuto.