Il pagamento delle sanzioni privacy del Garante non è dovuto decorso il termine di 90 giorni

Il giudice di merito può determinare che il pagamento delle sanzioni privacy non sia dovuto per decorso del termine tra accertamento e contestazione della violazione da parte del Garante per la protezione dei dati personali.

Con Sentenza n. 38510 del 6 dicembre 2021, la Suprema Corte di Cassazione si pronuncia in merito ad un punto molto delicato che concerne l’articolo 14, comma 6 della Legge 689 del 24 novembre 1981, ritenendo che, trascorso il termine di novanta giorni tra l’accertamento della violazione e la sua contestazione, l’obbligo di pagare le sanzioni privacy si estingue, collocando il dies a quo nel momento in cui l’autorità (in questo caso il Garante) ha acquisito e valutato i dati a sua disposizione.

La decisione in oggetto riguarda il ricorso proposto dall’Azienda Ospedaliera Sant’Andrea avverso l’ordinanza con la quale, in data 5 aprile 2018, il Garante privacy aveva ingiunto alla stessa il pagamento di € 10.000 a titolo di sanzione amministrativa per la violazione dell’art. 162, comma 2 bis del Codice Privacy.

Il tribunale di merito aveva accolto la fondatezza del ricorso, ritenendo che in questo caso intervenisse l’esenzione dell’obbligo di pagamento ai sensi dell’art. 14, co. 6 della Legge Bosetti & Gatti, posto che l’accertamento della violazione, secondo il tribunale, si era completato in data 6 marzo 2015, data in cui il Garante privacy avrebbe ricevuto dall’Azienda Ospedaliera Sant’Andrea la copia delle designazioni dei soggetti incaricati del trattamento, mentre, la contestazione era avvenuta solo in data 18 giugno 2015, e notificata in data 25 giugno 2015 oltre il termine di 90 giorni dal completamento attività ispettiva.

Il Garante privacy aveva ricorso dunque in Cassazione contro la sentenza del tribunale di merito per falsa applicazione dell’art. 14 della Legge Bosatti & Gatti in relazione all’articolo 360 c.p.c. comma 3, in particolar modo perché il tribunale non avrebbe considerato la complessità dell’accertamento.

La Suprema Corte ha osservato che, il momento dell’accertamento della violazione, da cui poi decorre il termine di 90 giorni dell’attività ispettiva, “non coincide con quello in cui viene acquisito il fatto nella sua materialità da parte dell’autorità cui è stato trasmesso il rapporto, ma va individuato nel momento in cui detta autorità abbia acquisito e valutato tutti i dati indispensabili ai fini della verifica dell’esistenza della violazione segnalata, ovvero in quello in cui il tempo decorso non risulti ulteriormente giustificato dalla necessità di tale acquisizione e valutazione” ma, il compito di individuare il dies a quo e definire la complessità dell’accertamento spetta al giudice di merito e non è sindacabile in cassazione se non per omesso esame di fatti decisivi risultanti della sentenza stessa.

Alla luce di quanto sopra indicato, la Cassazione ha dichiarato inammissibile il ricorso dell’Autorità Garante per la protezione dei dati personali e condannato l’Autorità al pagamento delle spese di lite.

Si tratta di una sentenza di una rilevanza notevole alla luce della lunghezza degli attuali procedimenti privacy davanti al Garante per la protezione dei dati personali in cui la contestazione viene emessa a volte a distanza di anni dalla asserita violazione. Questo scenario pregiudica il diritto di difesa dei soggetti nei cui confronti vengono sollevate contestazioni e anche la certezza del diritto. Tale ultimo aspetto è rilevante ancor più quando ci sono contestazioni riguardanti l’inadeguatezza delle misure di sicurezza perchè non è verosimile che sia contestata a distanza di anni l’assenza di misure adeguate che al momento degli eventi non rappresentavano uno standard di mercato. Inoltre, la lunghezza dei procedimenti impedisce alle aziende di valutare se creare una riserva di bilancio per coprire eventuali sanzioni privacy.

Sarà interessante analizzare l’impatto di questa decisione sugli attuali ricorsi contro le contestazioni del Garante privacy.

Su di un simile argomento, può essere interessante anche questo articolo “Cassazione: Nei controlli difensivi si possono raccogliere solo i dati successivi al sospetto di attività illecita”.