La tutela dei dati “sensibili” prevale sull’esigenza di trasparenza amministrativa

Scarica PDF Stampa
Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Corte di Cassazione, Sentenza n.9382/2019

Precedenti giurisprudenziali: Corte di Cassazione, sezioni unite, Sentenza n. 9687 del 22 aprile 2013; Corte di Cassazione, civile, Sentenza n. 20085 del 21 luglio 2008; Corte di Cassazione, civile, Sentenza n. 14326 del 24 giugno 2014.

Per approfondire il tema oggetto di questa pronuncia, leggi anche “Il nuovo Codice della privacy” di Pier Paolo Muià.

Fatto

La questione esaminata dalla Corte di Cassazione nella Sentenza in commento riguarda un ricorso presentato dal Garante per la protezione dei dati personali avverso una sentenza del Tribunale di Foggia, che aveva annullato una sanzione irrogata dal Garante alla Provincia di Foggia per la diffusione di un “dato sensibile” di una propria dipendente.

In particolare, il Garante per la protezione dei dati personali aveva ingiunto una sanzione da Euro 20.000 alla Provincia di Foggia per avere questa diffuso il dato “sensibile” relativo allo stato di salute di una propria dipendente, giustificandolo con ragioni connesse alla trasparenza amministrativa. La Provincia di Foggia non aveva presentato scritti difensivi, all’interno del procedimento amministrativo dinanzi al Garante privacy, avverso detta ingiunzione ed aveva però successivamente promosso ricorso giurisdizionale dinanzi al Tribunale di Foggia. Il ricorso della Provincia al giudice di prime cure si fondava sulla asserita insussistenza della violazione della normativa in materia di protezione dei dati personali in considerazione del fatto che l’esigenza di trasparenza della pubblica amministrazione prevaleva sulla tutela della privacy. La difesa del Garante, invece, si fondava sul duplice motivo della intervenuta acquiescenza al provvedimento sanzionatorio da parte della Provincia in considerazione del fatto che la stessa non avesse impugnato il provvedimento nel procedimento amministrativo e della infondatezza del ricorso stante la prevalenza delle esigenze di tutela dei dati personali rispetto alla trasparenza amministrativa.

Il giudice pugliese accoglieva il ricorso della provincia, respingendo entrambe le eccezioni sollevate dal Garante, in quanto riteneva il provvedimento sanzionatorio non definitivo e pertanto ancora impugnabile con ricorso giurisdizionale e fondato il ricorso in considerazione del fatto che la sola diffusione del dato sulla salute della dipendente, nel caso di specie, non fosse lesivo della privacy.

Il Garante per la protezione dei dati personali ha, quindi, promosso ricorso per la cassazione della sentenza del tribunale di foggia, fondandolo su due motivi: (i) l’erroneità della sentenza in quanto non aveva considerato che la mancata proposizione del ricorso avverso il provvedimento del Garante privacy entro i 30 giorni successivi alla sua comunicazione al destinatario, determinava la definitività del provvedimento stesso; (ii) l’erroneità della sentenza per aver ritenuto illegittima la sanzione per la diffusione del dato sensibile della dipendente.

La decisione della Corte di Cassazione

Preliminarmente occorre rilevare come il fatto oggetto di contestazione e irrogazione della sanzione da parte del Garante sia avvenuto prima della entrata in vigore del nuovo Regolamento Europeo del 2016 per la tutela dei dati personali (il GDPR) e pertanto si parlava ancora – secondo la normativa allora vigente – di “dati sensibili”. Tuttavia il principio espresso dalla Corte di Cassazione può essere traslato, senza alcuna modifica, anche rispetto alle attuali “categorie particolari di dati”, nozione introdotta appunto dal GDPR e fra i quali rientrano i dati relativi alla salute dell’interessato (che rientravano precedentemente nel concetto di “dato sensibile”).

Gli ermellini hanno ritenuto fondato il ricorso promosso dal Garante ed hanno pertanto accolto la richiesta di cassazione della sentenza emessa dal Tribunale di Foggia impugnata, rinviando allo stesso tribunale per una nuova decisione della causa, tenendo conto del principio affermato dalla Cassazione nella sentenza in commento.

La corte ha, in primo luogo, ritenuto infondato il primo motivo di ricorso, ritenendo che la mancata presentazione degli scritti difensivi avverso il provvedimento del Garante privacy da parte del destinatario, non determina una acquiescenza a detto provvedimento e quindi non impedisce al destinatario di proporre il ricorso giurisdizionale. In particolare, la Corte di cassazione ha ritenuto che il provvedimento originariamente emesso dal Garante e non contestato con gli scritti difensivi dal destinatario fosse un atto presupposto e quindi non definitivo. Pertanto, la mancata presentazione di detti scritti non poteva determinare acquiescenza al provvedimento, la quale può essere considerata avvenuta soltanto in presenza di atti del destinatario che dimostrino in maniera inequivocabile la volontà di non impugnare il provvedimento.

La corte di cassazione ha, invece, ritenuto fondato il secondo motivo di ricorso promosso dal Garante.

In particolare, gli Ermellini hanno affermato che la tutela del dato sensibile prevale rispetto alla generica esigenza di trasparenza amministrativa. Tale prevalenza emerge sia effettuando il bilanciamento dei due interessi costituzionalmente rilevanti nella fattispecie di causa (cioè la tutela dei dati sensibili e la trasparenza amministrativa), sia considerando la normativa in materia di protezione dei dati personali (soprattutto rispetto alla tutela di quelli “sensibili”), la quale sarebbe elusa se si facessero prevalere le esigenze di trasparenza della pubblica amministrazione per diffondere i dati relativi alla salute degli interessati.

Ciò detto, i giudici di legittimità hanno ricordato che la stessa Suprema Corte ha già chiarito che l’estrazione e il successivo utilizzo dei dati personali configurano un trattamento ai sensi della normativa in materia di protezione dei dati personali e che, pertanto, se tale attività non è preceduta da una idonea informativa all’interessato e dalla acquisizione del suo consenso al trattamento del dato, si configura una violazione della (allora vigente) normativa in materia di privacy.

Infine, gli Ermellini hanno precisato che la pubblica amministrazione può trattare i “dati sensibili”, idonei a rivelare lo stato di salute dell’interessato, soltanto quando utilizza modalità organizzative idonee a rendere non identificabile l’interessato.

Sulla base di tali argomentazioni, la Corte di Cassazione ha quindi accolto il ricorso presentato dal Garante per la protezione dei dati personali ed ha cassato la sentenza del tribunale di Foggia impugnata, rinviando allo stesso Tribunale per la emissione di una nuova decisione che tenga conto dei principi sanciti dalla stessa Corte Suprema e che disponga altresì sulla regolamentazione fra le due parti delle spese legali di entrambi i gradi di giudizio.

Volume consigliato

Il nuovo codice della privacy

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.

Pier Paolo Muià | 2019 Maggioli Editore

19.00 €  15.20 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento