Corte di Cassazione, Sentenza n.9382/2019
Precedenti giurisprudenziali: Corte di Cassazione, sezioni unite, Sentenza n. 9687 del 22 aprile 2013; Corte di Cassazione, civile, Sentenza n. 20085 del 21 luglio 2008; Corte di Cassazione, civile, Sentenza n. 14326 del 24 giugno 2014.
Fatto
La questione esaminata dalla Corte di Cassazione nella Sentenza in commento riguarda un ricorso presentato dal Garante per la protezione dei dati personali avverso una sentenza del Tribunale di Foggia, che aveva annullato una sanzione irrogata dal Garante alla Provincia di Foggia per la diffusione di un “dato sensibile” di una propria dipendente.
In particolare, il Garante per la protezione dei dati personali aveva ingiunto una sanzione da Euro 20.000 alla Provincia di Foggia per avere questa diffuso il dato “sensibile” relativo allo stato di salute di una propria dipendente, giustificandolo con ragioni connesse alla trasparenza amministrativa. La Provincia di Foggia non aveva presentato scritti difensivi, all’interno del procedimento amministrativo dinanzi al Garante privacy, avverso detta ingiunzione ed aveva però successivamente promosso ricorso giurisdizionale dinanzi al Tribunale di Foggia. Il ricorso della Provincia al giudice di prime cure si fondava sulla asserita insussistenza della violazione della normativa in materia di protezione dei dati personali in considerazione del fatto che l’esigenza di trasparenza della pubblica amministrazione prevaleva sulla tutela della privacy. La difesa del Garante, invece, si fondava sul duplice motivo della intervenuta acquiescenza al provvedimento sanzionatorio da parte della Provincia in considerazione del fatto che la stessa non avesse impugnato il provvedimento nel procedimento amministrativo e della infondatezza del ricorso stante la prevalenza delle esigenze di tutela dei dati personali rispetto alla trasparenza amministrativa.
Il giudice pugliese accoglieva il ricorso della provincia, respingendo entrambe le eccezioni sollevate dal Garante, in quanto riteneva il provvedimento sanzionatorio non definitivo e pertanto ancora impugnabile con ricorso giurisdizionale e fondato il ricorso in considerazione del fatto che la sola diffusione del dato sulla salute della dipendente, nel caso di specie, non fosse lesivo della privacy.
Il Garante per la protezione dei dati personali ha, quindi, promosso ricorso per la cassazione della sentenza del tribunale di foggia, fondandolo su due motivi: (i) l’erroneità della sentenza in quanto non aveva considerato che la mancata proposizione del ricorso avverso il provvedimento del Garante privacy entro i 30 giorni successivi alla sua comunicazione al destinatario, determinava la definitività del provvedimento stesso; (ii) l’erroneità della sentenza per aver ritenuto illegittima la sanzione per la diffusione del dato sensibile della dipendente.
La decisione della Corte di Cassazione
Preliminarmente occorre rilevare come il fatto oggetto di contestazione e irrogazione della sanzione da parte del Garante sia avvenuto prima della entrata in vigore del nuovo Regolamento Europeo del 2016 per la tutela dei dati personali (il GDPR) e pertanto si parlava ancora – secondo la normativa allora vigente – di “dati sensibili”. Tuttavia il principio espresso dalla Corte di Cassazione può essere traslato, senza alcuna modifica, anche rispetto alle attuali “categorie particolari di dati”, nozione introdotta appunto dal GDPR e fra i quali rientrano i dati relativi alla salute dell’interessato (che rientravano precedentemente nel concetto di “dato sensibile”).
Gli ermellini hanno ritenuto fondato il ricorso promosso dal Garante ed hanno pertanto accolto la richiesta di cassazione della sentenza emessa dal Tribunale di Foggia impugnata, rinviando allo stesso tribunale per una nuova decisione della causa, tenendo conto del principio affermato dalla Cassazione nella sentenza in commento.
La corte ha, in primo luogo, ritenuto infondato il primo motivo di ricorso, ritenendo che la mancata presentazione degli scritti difensivi avverso il provvedimento del Garante privacy da parte del destinatario, non determina una acquiescenza a detto provvedimento e quindi non impedisce al destinatario di proporre il ricorso giurisdizionale. In particolare, la Corte di cassazione ha ritenuto che il provvedimento originariamente emesso dal Garante e non contestato con gli scritti difensivi dal destinatario fosse un atto presupposto e quindi non definitivo. Pertanto, la mancata presentazione di detti scritti non poteva determinare acquiescenza al provvedimento, la quale può essere considerata avvenuta soltanto in presenza di atti del destinatario che dimostrino in maniera inequivocabile la volontà di non impugnare il provvedimento.
La corte di cassazione ha, invece, ritenuto fondato il secondo motivo di ricorso promosso dal Garante.
In particolare, gli Ermellini hanno affermato che la tutela del dato sensibile prevale rispetto alla generica esigenza di trasparenza amministrativa. Tale prevalenza emerge sia effettuando il bilanciamento dei due interessi costituzionalmente rilevanti nella fattispecie di causa (cioè la tutela dei dati sensibili e la trasparenza amministrativa), sia considerando la normativa in materia di protezione dei dati personali (soprattutto rispetto alla tutela di quelli “sensibili”), la quale sarebbe elusa se si facessero prevalere le esigenze di trasparenza della pubblica amministrazione per diffondere i dati relativi alla salute degli interessati.
Ciò detto, i giudici di legittimità hanno ricordato che la stessa Suprema Corte ha già chiarito che l’estrazione e il successivo utilizzo dei dati personali configurano un trattamento ai sensi della normativa in materia di protezione dei dati personali e che, pertanto, se tale attività non è preceduta da una idonea informativa all’interessato e dalla acquisizione del suo consenso al trattamento del dato, si configura una violazione della (allora vigente) normativa in materia di privacy.
Infine, gli Ermellini hanno precisato che la pubblica amministrazione può trattare i “dati sensibili”, idonei a rivelare lo stato di salute dell’interessato, soltanto quando utilizza modalità organizzative idonee a rendere non identificabile l’interessato.
Sulla base di tali argomentazioni, la Corte di Cassazione ha quindi accolto il ricorso presentato dal Garante per la protezione dei dati personali ed ha cassato la sentenza del tribunale di Foggia impugnata, rinviando allo stesso Tribunale per la emissione di una nuova decisione che tenga conto dei principi sanciti dalla stessa Corte Suprema e che disponga altresì sulla regolamentazione fra le due parti delle spese legali di entrambi i gradi di giudizio.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento