Versione preprint dell’articolo pubblicato sul n. 4/2020 della rivista Diritto di internet – Pacini editore
Corte di cassazione; sez. II civile; ordinanza 3 settembre 2020; Pres. Felice Manna; Rel. Chiara Besso Marcheis; Postel S.p.a. (Avv. Paolo Ricchiuto) c. Autorità garante per la protezione dei dati personali (Avvocatura generale dello Stato)
In materia di trattamento di dati personali, gli illeciti amministrativi di omessa informativa e omessa raccolta del consenso hanno carattere continuativo e “perdurante” fino alla conclusione degli accertamenti compiuti dall’autorità nazionale di protezione dei dati (1)
In materia di illeciti amministrativi relativi al trattamento di dati personali il dies a quo computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad esso relativa, ma richiede l’elaborazione dei dati cosi? ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (2)
…Omissis…
Motivi della decisione
c) Il primo motivo di impugnazione denuncia “violazione e/o falsa applicazione dell’art. 1 della legge n. 689/1981 e dell’art. 13, comma 4, e 161 del codice della privacy”.
Il motivo e? infondato. Esso si impernia sul rilievo che non potendo le violazioni (omessa informativa di cui al richiamato art. 161 e omessa acquisizione del consenso per i dati acquisiti dalle liste elettorali dei cittadini) essere sanate da un comportamento successivo, si sarebbero consumate uno actu (nel 2004, nel 2006 e nel maggio 2008), prima della vigenza del d.l. 207/2008, cosi? che alla data degli accertamenti del Garante, nell’aprile del 2009, le sanzioni previste dalla novella non sarebbero state applicabili. La ricorrente non considera, come ha gia? sottolineato la sentenza impugnata, il carattere invece continuativo dell’illecito, “perdurante” fino agli accertamenti, in quanto la condotta di gestione, trattamento e conservazione dei dati si e? protratta fino alla data indicata nel provvedimento del Garante, potendo la societa? fare cessare tali condotte in qualsiasi momento.
d) Il secondo motivo – rubricato “violazione e/o falsa applicazione dell’art.14 L. n. 689/1981 in relazione all’art. 360 n. 3 c.p.c. nonche? omesso esame di un fatto decisivo per il giudizio che e? stato oggetto di discussione tra le parti in relazione all’art. 360 n. 5 c.p.c.” – lamenta che il Tribunale non abbia considerato violato il termine di novanta giorni previsto dall’art. 14 della legge n. 689/1981 per la contestazione delle condotte della ricorrente a causa della ritenuta complessita? delle indagini svolte nonche? dell’incompletezza delle informazioni fornite da tale societa?.
Il motivo e? infondato quanto alla violazione di legge, essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad esso relativa, ma richiede l’elaborazione dei dati cosi? ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (cosi?, ex multis, Cass. 14678/2018). Il Tribunale, con accertamento in fatto ampiamente argomentato, ha affermato la complessita? degli accertamenti ispettivi, anche dovuta al deficit collaborativo e informativo della stessa ricorrente, accertamenti che si sono conclusi solo nel marzo 2010. Non puo? quindi essere accolto il motivo pure ai sensi del n. 5 dell’art. 360 c.p.c., sostanziandosi in una inammissibile richiesta di rielaborazione di dati di fatto considerati dal Tribunale.
e) Il terzo motivo denuncia “violazione e/o falsa applicazione dell’art. 28 della legge n. 689/1981 e degli art. 13, comma 4, e 161 codice della privacy”: gli illeciti ascritti alla societa? ricorrente hanno natura di illeciti omissivi “istantanei e non permanenti”, cosi? che al momento della irrogazione della ordinanza-ingiunzione il termine di prescrizione di cinque anni era ormai decorso da anni.
La ricorrente sostiene la prescrizione degli illeciti sulla stessa premessa del primo motivo, il carattere istantaneo delle fattispecie, cosi? che anche questo motivo – per le medesime ragioni (supra, sub c) – non puo? essere accolto.
Il ricorso principale va quindi rigettato.
2. Il ricorso incidentale del Garante per la protezione dei dati personali e? articolato in unico motivo con cui si contesta violazione e falsa applicazione di legge in relazione agli artt. 164-bis, 161 e 162 del codice in materia di trattamento dei dati personali”: il Tribunale ha erroneamente ritenuto che l’applicazione congiunta di tali norme al caso di specie determinasse una violazione del principio del ne bis in idem.
Il motivo e? fondato. Il Tribunale ha erroneamente annullato la sanzione applicata dall’art. 162, comma 2-bis del codice della privacy, ritenendola assorbita in quella dell’art. 164-bis stesso codice.
Come riconosce la stessa ricorrente principale in memoria, questa Corte ha infatti affermato che “in tema di illeciti amministrativi di cui al d.lgs. n. 196 del 2003, la fattispecie prevista dall’art. 164-bis, comma 2, costituisce non un’ipotesi aggravata rispetto alle violazioni semplici ivi richiamate, ma una figura di illecito del tutto autonoma, atteso che essa prevede la possibilita? che vengano infrante dal contravventore, anche con piu? azioni e in tempi diversi, una pluralita? di ipotesi semplici, unitariamente considerate dalla norma con riferimento a «banche di dati di particolare rilevanza o dimensioni», sicche?, in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, ne deriva un’ipotesi di cumulo materiale delle sanzioni amministrative” (Cass. 17143/2016).
Il ricorso incidentale va quindi accolto.
.…Omissis…
IL COMMENTO
di Andrea Monti
Sommario: 1. Il caso. – 2. Alcune considerazioni generali. – 3. Osservazioni sulla qualificazione dell’omessa informativa e della mancata raccolta del consenso come “illeciti perduranti” – 4. Decorso del dies a quo per la contestazione e diritto di difesa. – 5. Questioni aperte – 6. Conclusioni
Questo commento analizza due principi di diritto espressi dalla Corte di Cassazione in materia di illeciti amministrativi connessi al trattamento dei dati personali. Il primo è che il mancato conferimento all’interessato delle informazioni obbligatorie richieste dalla legge sulla protezione dei dati è un illecito “perdurante” piuttosto che “istantaneo” e che, pertanto, la condizione di illegalità permane fino alla cessazione del trattamento da parte del Titolare. Il secondo è che il termine per la contestazione della violazione inizia a decorrere dal momento in cui l’autorità termina la sua indagine e non dal momento in cui il Titolare ha commesso l’infrazione. Entrambi sono principi discutibili perché la lettera della legge stabilisce chiaramente che l’obbligo di fornire le informazioni obbligatorie deve essere adempiuto prima dell’inizio del trattamento; pertanto, una volta effettuato il trattamento specifico non è possibile renderlo lecito rispettando a posteriori l’obbligo di informazione preventiva. Per quanto riguarda la questione relativa al decorso del termine per la contestazione, il principio enunciato dalla Corte pregiudica gravemente il diritto ad una ragionevole durata del procedimento e lascia il titolare del trattamento in una condizione di incertezza che ostacola il suo diritto sancito dall’articolo 42 della Costituzione sulla libertà di impresa.
This comment analyses two principles of law expressed by the Court of Cassation on administrative offences related to the processing of personal data. The first is that failing to provide the data subject with the mandatory information required by the Data Protection Act is a “permanent” rather than an “instantaneous” offence and that, therefore, the condition of illegality remains until the Data Controller ceases the processing. The second is that the term for issuing the fine starts ticking from the moment the authority ends its investigation rather than from the moment the Data Controller infringed the law. Both are questionable principles because the letter of the law clearly states that the duty to provide the mandatory information must be fulfilled before the processing begins; therefore, once the specific processing is performed, it is not possible to make it lawful by abiding ex-post with the duty of preemptive information. By making the deadline to notify the fines uncertain, the principle stated by the Court badly affects the right to a reasonable duration of a process. It leaves the defendant in a condition of uncertainty that hampers its right set forth by Article 42 of the Constitution protecting the freedom of entrepreneurship.
1. Il caso.
Per quanto di interesse in questa sede, al titolare del trattamento veniva contestato in sede di accertamento amministrativo di avere, in tre occasioni, proceduto al trattamento di dati personali senza avere somministrato agli interessati l’obbligatoria informativa sul trattamento e senza avere acquisito preventivamente il consenso, pure richiesto ex lege. Nello specifico, la vicenda ha evidenziato che il titolare aveva la disponibilità di un database contenente dati relativi ad aziende (periodicamente alimentato da fornitori di informazioni) e dati personali provenienti anche da liste elettorali acquisiti direttamente o tramite fornitori terzi. A richiesta dei propri clienti, il titolare estraeva dal database (secondo criteri non esplicitati nel provvedimento commentato) un sottoinsieme di dati che comunicava loro in modo da consentire di operare in autonomia per finalità di marketing nell’ambito di attività “profit”, ma sempre conservando la “proprietà” dei dati che non potevano essere utilizzati in modo diverso da quanto contrattualmente pattuito.
2. Alcune considerazioni generali.
L’analisi delle argomentazioni utilizzate dalla Cassazione per motivare il provvedimento qui commentato implica preventivamente il richiamo di alcuni aspetti sistematici sull’ambito di operatività del D.lgs. 196/03[1] (applicato ratione temporis dalla Corte), sulla “riattrazione” degli illeciti amministrativi nella materia penale operata dalla Corte europea dei diritti umani, e infine sul ruolo —ancora largamente inesplorato— dell’articolo 134 del R.D. 773/31[2] Testo unico delle leggi di pubblica sicurezza (TULPS).
Sotto il primo profilo, l’ordinanza in commento ripropone la sostanziale coincidenza fra diritto alla privacy e diritto alla protezione dei dati personali. La decisione perpetua una lettura sistematicamente discutibile della normativa comunitaria dell’epoca (la direttiva 95/46/CE[3]) e che rimane tuttora criticabile anche nel regime vigente previsto dal Reg. UE 679/16[4]. Come già fu rilevato su questa Rivista, << sia la direttiva 95/46, sia il Regolamento 679/16 costituiscono un diritto “strumentale” alla protezione dei diritti e delle liberta? fondamentali dell’individuo. Il diritto alla protezione dei dati personali, in altri termini, ha senso nella misura in cui e? funzionale all’affermazione di altri diritti, privacy compresa e non come sinonimo di diritto alla privacy. >> [5] Continuare, come invece fa la Corte, a non prendere in considerazione questa differenza, implica la difficoltà di giustificare “in nome della privacy” l’applicazione della normativa a ipotesi, come quella in commento, che con la tutela della riservatezza individuale hanno poco o nulla a che vedere.[6]
L’altro tema rilevante (e ingombrante) è quello del rapporto fra sanzioni amministrative e “materia penale”.
Da un lato, la giurisprudenza della Corte di cassazione ha sancito il progressivo discostarsi dall’applicazione dei principi penalistici agli illeciti ammistrativi. Dall’altro lato, e in senso inverso, la CEDU ha elaborato una autonoma e sostanzialistica definizione di “materia penale” indipendente dalla qualificazione giuridica che il singolo ordinamento interno attribuisce alla norma sanzionatrice. Allo scopo di garantire la più ampia applicazione dei principi del giusto processo e di legalità di cui agli articoli 6 e 7 della Convenzione europea sui diritti umani <<a fronte della qualificazione giuridica interna civilistica, amministrativistica o disciplinare di un illecito o di una sanzione, la Corte dovrebbe ricorrere all’applicazione degli autonomi criteri di giudizio elaborati dalla sentenza Engel[7] al fine di indagarne la reale natura. >> [8] Nello specifico, la CEDU ha ritenuto applicabili gli Engel Criteria (ma anche la più recente sentenza Grande Stevens[9]) alle sanzioni irrogate dalle autorità indipendenti in ragione della loro finalità punitiva[10]. Il prosieguo chiarirà l’importanza di questo orientamento giurisprudenziale.
3. Osservazioni sulla qualificazione dell’omessa informativa e della mancata raccolta del consenso come “illeciti perduranti”.
Per affermare la natura “perdurante” (rectius “permanente”) dell’illecito di cui all’articolo 161 D.lgs. 196/03 la Corte ritiene <<che la condotta di gestione, trattamento e conservazione dei dati si e? protratta fino alla data indicata nel provvedimento del Garante, potendo la societa? fare cessare tali condotte in qualsiasi momento. >> Ora, pur volendo —dovendo, in realtà— applicare le definizioni del vecchio Codice dei dati personali e non quelle più recenti del GDPR emerge invece che la struttura della fattispecie di cui alla norma violata è palesemente quella di un illecito istantaneo.
L’articolo 13 del Codice (richiamato espressamente dall’articolo 161 quale elemento integratore del precetto) stabilisce al quarto comma che <<Se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione. >> La norma, dunque, pone due “ostacoli” che vanno alternativamente superati prima di procedere oltre nella manipolazione dei dati. In altri termini, in un ipotetico e ideale diagramma di flusso che descrivesse le varie fasi del trattamento, il titolare prima “raccoglie”, poi “registra”, poi (prima opzione) invia l’informativa, poi “elabora”, poi (se non lo ha fatto all’atto della registrazione) invia l’informativa e, infine “utilizza” i dati personali. L’obbligo di informativa si caratterizza dunque come un elemento che, se non rispettato, ha un effetto preclusivo rispetto alle fasi ulteriori del trattamento. In altri termini, l’illecito amministrativo si consuma alternativamente (e di necessità) in uno dei due momenti nei quali il titolare, dovendo fornire l’informativa, procede senza farlo. Né si potrebbe qualificare l’illecito in questione come “istantaneo ad effetti permanenti” dal momento che, in concreto, il trattamento oggetto di sanzione è stato uno specifico utilizzo da parte del titolare destinato ad esaurirsi con la comunicazione di un sottoinsieme di dati personali a specifici clienti (i quali peraltro, a loro volta, avrebbero dovuto autonomamente somministrare l’informativa e richiedere il consenso agli interessati).
Discorso analogo vale per la mancata raccolta del consenso degli interessati[11], oggetto di sanzione ai sensi degli articoli 162 comma II bis, 167 e 23 del Codice. Da un lato, anche per questa ipotesi vale la natura preclusiva del consenso dell’interessato rispetto a ulteriori trattamenti. Tuttavia, a differenza dell’omessa informativa che indica un momento temporale preciso entro il quale è obbligatorio l’adempimento, l’articolo 23 del Codice non specifica quando sarebbe necessario richiedere il consenso all’interessato. Considerando, però, che la richiesta di consenso è necessariamente preceduta dall’informativa, è evidente che la prima deve per forza essere formulata dopo la seconda. In altri termini, dunque, una lettura coordinata degli articoli 13 e 23 del D.lgs. 196/03 impone di concludere per la natura di illecito istantaneo ad effetti non permanenti anche del monstrum sanzionatorio costituito dal coacervo degli articoli 162 comma II bis, 167 e 23 del Codice in relazione alle condotte contestate.
Se, dunque, le condotte illecite contestate dall’autorità nazionale di protezione dei dati consistono specificatamente nei soli tre episodi riportati nell’ordinanza in commento, la “gestione”, la “conservazione” e il generico “trattamento” dei dati personali sono irrilevanti ai fini della configurabilità dell’illecito tipizzato dagli articoli 161 e 162 comma IIbis del Codice dei dati personali, potendo al più essere considerati atti prodromici a commettere le violazioni e non violazioni essi stessi. Di conseguenza, l’unica condotta rilevante ai fini della configurabilità dei due illeciti contestati è, appunto, l’utilizzo dei dati senza preventivamente avere adempiuto alle prescrizioni, a nulla rilevando ulteriori e diverse modalità di trattamento che, al limite, avrebbero dovuto costituire oggetto di autonoma sanzione —in ipotesi— anche di natura penale. Consegue da quanto precede che il principio di diritto formulato dalla Corte circa la natura degli illeciti de qua non è condivisibile.
4. Decorso del dies a quo per la contestazione e diritto di difesa
Giurisprudenza consolidata, risalente e debitamente citata dall’ordinanza in commento vuole che <<in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad esso relativa, ma richiede l’elaborazione dei dati cosi? ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni>>. La ratio dell’orientamento può essere cercata nell’esigenza di garantire una tutela aumentata agli interessati, evitando che includere nel termine de qua anche il tempo necessario al completamento dell’istruttoria si traduca nell’impossibilità per l’amministrazione (o, nel caso di specie, per l’autorità indipendente) di finalizzare la contestazione in casi di particolare complessità. Ma questa argomentazione spiega troppo e lascia il dubbio che l’orientamento segnalato serva piuttosto, mondanamente, a supplire alle carenze organizzative degli organi accertatori, ponendo in secondo piano l’esigenza di tutela delle parti deboli. A meno che, infatti, l’autorità non emani contestualmente all’apertura dell’istruttoria un provvedimento di blocco dei trattamenti, l’assenza di un dies a quo perentorio per la comunicazione degli esiti della verifica si traduce nel perdurare del rischio per i diritti e le libertà fondamentali dell’interessato, i cui dati personali continuano ad essere utilizzati in attesa che l’autorità si pronunci. Dall’altro lato, l’interpretazione seguita dalla Corte pone il titolare in un limbo nel quale esso deve permanere in attesa delle determinazioni dell’ufficio che ipoteticamente potrebbero arrivare a distanza di anni,[12] diversamente da quanto accadrebbe nel caso di un procedimento penale.
A questa ultima considerazione sarebbe facile rispondere ricordando che in materia di illeciti amministrativi non si applicano (tutti) i principi penalistici e che, dunque, non sussiste alcun obbligo di dare certezze sui tempi dell’azione dell’autorità indipendente. Ma sarebbe altrettanto facile ribattere che le decisioni della CEDU ricordate supra consentono di superare l’apparenza della qualificazione formale di violazione amministrativa in tutti quei casi nei quali la sanzione ha un chiaro effetto punitivo ed ha una afflittività tale da ricondurla nell’alveo della “materia penale”.[13] La natura punitiva delle sanzioni previste per gli illeciti in materia di trattamento dei dati personali è evidente, come è fuori discussione la particolare afflittività delle stesse. Di conseguenza —per non parlare delle sanzioni ulteriormente aggravate dall’entrata in vigore del Reg. UE 679/16— non è impossibile pensare che l’orientamento ribadito dalla Corte nell’ordinanza in commento possa essere superato a favore di una lettura più bilanciata che consideri anche tutti i diritti del titolare e dunque anche quello costituzionalmente tutelato della libertà d’impresa.
Specie nei casi di sanzioni monetarie particolarmente consistenti e in quelli di possibile blocco del trattamento o distruzione dei dati personali illecitamente trattati, l’incertezza della durata del procedimento costringe il titolare a destinare a riserva delle somme per far fronte all’eventuale sanzione e a subire forti limitazioni nella propria operatività quotidiana. Fino a quando non gli viene notificata la contestazione —o non riceve la comunicazione di chiusura senza provvedimenti dell’accertamento— esso titolare permane in uno stallo operativo non potendo sapere se modificare o meno i propri processi interni (e quali?) e le proprie strategie produttive e commerciali.
La certezza dei tempi del procedimento e la sua ragionevole durata, peraltro, sono da coltivare non solo per evitare di aggravare le condizioni del titolare ma anche, e soprattutto, per proteggere l’interessato. Tanto è vero questo che l’autorità nazionale di protezione dei dati olandese è stata condannata dal tribunale di Rotterdam per non avere comunicato ad un interessato le proprie determinazioni nei termini previsti dalla legge olandese[14]. Pur nella evidente differenza fra ordinamenti giuridici, nella giurisprudenza richiamata spicca senz’altro il valore super partes dell’obbligo di rispetto dei termini del procedimento amministrativo al quale invece la giurisprudenza italiana non attribuisce lo stesso peso. Di conseguenza, nemmeno appare condivisibile il principio di diritto che, ai fini del decorso del dies a quo per la notifica del verbale di contestazione, fa coincidere la conclusione degli accertamenti con la fine della ulteriore elaborazione dei dati raccolti nella fase istruttoria che dunque può concludersi nell’arco dei cinque anni dalla commissione del fatto.
5. Questioni aperte
L’ordinanza in commento e i provvedimenti intermedi dei quali essa è la sintesi contengono molti altri spunti critici che avrebbero meritato un autonomo approfondimento. Uno è, per esempio, quello della non applicabilità ratione temporis del Codice dei dati personali anche a dati aziendali —rectius di persone giuridiche— che invece l’autorità nazionale di protezione dei dati ha ritenuto sussistente: <<fino alla data del 6 dicembre 2011 (entrata in vigore dell ?art. 40 del d.l. n. 201/2011), la disciplina della protezione dei dati personali riguardava anche i dati riferibili a persone giuridiche, enti o associazioni.>>[15] In realtà, la direttiva 95/46/CE, della quale il Codice dei dati personali era il precipitato nazionale, affermava chiaramente già nella propria intitolazione che l’oggetto, anzi, il soggetto, della tutela era la persona fisica e (al Considerando 24) <<che la presente direttiva lascia impregiudicate le normative relative alla tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano>>[16]. Anche prima dell ?entrata in vigore dell’articolo 40 del d.l. n. 201/2011 il trattamento dei dati delle persone giuridiche non poteva dunque essere sottoposto al D.lgs. 196/03. La circostanza è rilevante perché ai fini dell’ulteriore contestazione della violazione dell’articolo 164bis comma II del Codice dei dati personali (banca dati di particolare rilevanza) sarebbe stato necessario escludere dal totale dei 24 milioni di record quelli afferenti, appunto, a soggetti diversi dalle persone fisiche.
Sempre ai fini dell’applicabilità della norma citata, inoltre, brilla per la sua assenza nell’ordinanza in commento qualsiasi rilievo sul bilanciamento fra la natura dei dati personali, le finalità del trattamento e il rischio per i diritti e le libertà fondamentali dell’interessato. È vero che si tratta di una valutazione esplicitamente richiesta dal Reg. UE 679/16, ma è anche vero che la direttiva 95/46 aveva lo stesso fine del GDPR, pertanto sotto il suo vigore era già necessario formulare una valutazione di questo genere. Ad essersi concretizzata invece, come dimostrano l’ordinanza ingiunzione del Garante dei dati personali, la sentenza di primo grado e la decisione della Corte di cassazione, è una oggettivizzazione di marca puramente civilistica della responsabilità del titolare, basata su automatismi “numerici” piuttosto che su un’analisi delle conseguenze per la vita dell’interessato delle modalità e delle finalità del trattamento.
Un’altra carenza che sarebbe stato utile (anche se non obbligatorio) colmare è quella relativa alla possibilità di valutare, nel caso di specie, se l’organizzazione dei dati personali predisposta dal titolare ai fini dell’estrazione di sottoinsiemi informativi da comunicare ai propri clienti costituisse “profilazione” o mera “clusterizzazione” secondo parametri indifferenti rispetto alla finalità perseguita dal cliente finale. Ci si sarebbe potuto chiedere, in altri termini, quando una classificazione per età, area geografica di riferimento, professione o attività lavorativa si trasforma da mero criterio organizzativo in “profilo” individuale e individualizzante a seguito, per esempio, dell’aggiunta di informazioni nominative su preferenze di consumo. In termini ancora diversi: un conto è classificare persone per parametri oggettivi, senza disporre di informazioni ulteriori su preferenze individuali. Un altro conto è aggiungere a questi dati personali anodini delle informazioni ulteriori che consentono di “mettere a fuoco” quella che fino a un momento prima era un’immagine indistinta, sfocata e come tale non identificata o identificabile.
La conseguenza diretta dell’avere omesso di trattare il tema che precede è stata la perdita della possibilità di occuparsi di un ulteriore questione: l’applicabilità al caso di specie del divieto stabilito dall’articolo 134 TULPS di raccogliere informazioni per conto di privati senza licenza prefettizia. L’argomento, parte del più esteso dibattito sul rapporto fra esigenze di prevenzione criminale e terroristica e diritti individuali[17], è stato del tutto ignorato dall’Autorità garante per la protezione dei dati personali nel provvedimento che irrogava la sanzione amministrativa e dalle corti che si sono occupate del vaglio giurisdizionale, ma riveste una importanza fondamentale nel “riparto di giurisdizione” fra l’autorità indipendente e il Ministero dell’interno e per la conseguente sottrazione alla potestà (quantomeno diretta) del Garante dei dati personali dei trattamenti finalizzati alla profilazione.
L’articolo 134 TULPS è tradizionalmente applicato alle società che raccolgono informazioni commerciali, ma la norma non contiene alcuna limitazione espressa in questo senso. Essa è dunque applicabile anche a qualsiasi altra forma di raccolta informativa, coerentemente con la ratio che ispirava il TULPS all’epoca della sua emanazione e che vedeva nella creazione di dossier un pericoloso strumento di sovversione dell’ordine costituito. Non è un caso che per ragioni di pubblica sicurezza l’articolo 8 comma IV della legge 121/81[18] prevedesse l’obbligo di notificare al Ministero dell’interno la detenzione di “archivi magnetici”. Dimentico del fatto che per dichiarazione espressa del legislatore comunitario la protezione dei dati personali non si estendeva alla sicurezza pubblica, il Parlamento abrogò la norma in questione con l’articolo 43 della legge 675/96,[19] ma non anche l’articolo 134 TULPS. Di conseguenza, pur essendo venuta meno la possibilità di conoscere la localizzazione degli “archivi magnetici”, rimane il diritto/dovere dell’esecutivo di sapere chi opera nel settore del dossieraggio non solo commerciale o finanziario ma anche posto in essere nell’ambito di attività di marketing. In questa ottica, dunque, l’attività di profilazione di persone identificate o identificabili (anche quella eseguita da soggetti che utilizzano servizi di analytics) esercitata senza licenza del prefetto non sarebbe consentita e, come tale, andrebbe sottoposta a misure e sanzioni di pubblica sicurezza.
6. Conclusioni
L’ordinanza in commento, nei limiti degli aspetti oggetto di analisi, stabilisce due principi di diritto la cui tenuta logica e sistematica suscita qualche perplessità. Essi appaiono piuttosto ispirati da un favor verso la (para)amministrazione piuttosto che dalla necessità di garantire un equo bilanciamento dei diritti delle parti coinvolte direttamente (il titolare del trattamento) e indirettamente (gli interessati) nell’attività di accertamento.
È vero che il sindacato della Corte è limitato alle questioni devolute dalle parti, ma è anche vero che nulla avrebbe impedito di contribuire alla sistematica dell’interpretazione di una normativa, come quella sul trattamento dei dati personali, oggettivamente complessa da applicare per via della sua sostanziale inadeguatezza ai problemi posti dall’accelerazione forsennata nell’accumulazione di dati personali resa possibile dalla ubiqua diffusione di periferiche e strumenti “intelligenti”.
Preoccupa inoltre, anche se non era oggetto della decisione, la conferma della tendenza all’abbandono del principio di colpevolezza in favore di una oggettivizzazione civilistica della responsabilità derivante dalla commissione degli illeciti amministrativi in materia.
È auspicabile che non si deva aspettare la CEDU per leggere decisioni che riportino le sanzioni amministrative in materia di trattamento dei dati personali nel loro alveo orginario, così come è auspicabile che venga sciolto quanto prima il nodo del rapporto fra disciplina del trattamento dei dati personali e pubblica sicurezza nel governo delle attività di profilazione. Una scelta del genere, tuttavia, difficilmente potrebbe essere lasciata soltanto alla giurisprudenza delle autorità di protezione dei dati e delle corti.
- Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali. ?
- Regio Decreto 18 giugno 1931, n. 773 Testo unico delle leggi di pubblica sicurezza (TULPS). ?
- Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. ?
- Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) ?
- Monti Tutela della vita privata, protezione dei dati personali e privacy. Ambiguita? semantiche e problemi definitori in questa Rivista 1/2019. ?
- Vedi estesamente sul punto Wacks Privacy. A very short introduction Oxford (UK), II ed. 2015 ed. it. Privacy. Una sintentica introduzione, Pescara, 2016, e Monti – Wacks Protecting Personal Information, Oxford (UK), 2019. ?
- Corte Europea dei Diritti umani, Sessione plenaria Engel e altri c. Paesi Bassi, Application no. 5100/71; 5101/71; 5102/71; 5354/72; 5370/72, 8 Giugno 1976. ?
- Mancini La “materia penale” negli orientamenti della Corte EDU e della Corte costituzionale, con particolare riguardo alle misure limitative dell’elettorato passivo in Federalismi n.1/2018 p. 4. ?
- Corte Europea dei Diritti umani, II Sezione Grande Stevens c. Italia, Application no. 18640/10, 4 marzo 2014 ?
- Mancini Idem p. 12 ?
- Sul ruolo dell’interessato nell’adempimento all’obbligo di richiesta del consenso da parte del titolare vedi Bellomo Consenso dell’interessato all’uso dei cookie: e? necessario un comportamento attivo affinche? sia validamente espresso in Diritto Pubblico Comparato Europeo online 2020/1 p. 853 e sgg. ?
- L’articolo 28 della l. 689/81 come interpretato da Cassazione civile, SS.UU., Sentenza 27 aprile 2006 n° 9591 Pres. Carbone, Est. Bucciante, P.M. Iannelli, impone che la contestazione deve essere in ogni caso formulata entro cinque anni dalla commissione del fatto, ?
- Sull’applicabilità nell’ordinamento comunitario —e di conseguenza in quello interno— dei principi stabiliti dalla Corte di Strasburgo in materia penale vedi Ferrara Eadem persona e ne bis in idem in materia tributaria in Diritto Pubblico Comparato Europeo online 2017/3 p. 698 e sgg. ?
- Rechtbank Rotterdam (NL), ROT 19/2947, J. Berkelaar v. Autoriteit Persoonsgegevens, I maggio 2020. Il caso riguardava una comunicazione inviata dall’autorità nazionale di protezione dei dati olandese a un interessato pervenuta oltre un mese dalla scadenza del termine per rispondere. La corte ha affermato il principio secondo il quale l’autorità di protezione è responsabile del ritardo nella comunicazione dei propri provvedimenti anche quando il ritardo dipende da terzi (nella specie, il servizio postale). ?
- Autorità garante per la protezione dei dati personali Ordinanza-ingiunzione n. 549/13 5 dicembre 2013. ?
- Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. ?
- Per una trattazione ex professo degli aspetti relativi al rapporto fra privacy e sicurezza vedi Perri Sorveglianza elettronica, diritti fondamentali ed evoluzione tecnologica, Milano 2020. ?
- Legge 1 Aprile 1981, n. 100 – Nuovo ordinamento dell’Amministrazione della pubblica sicurezza. ?
- Legge 31 dicembre 1996, n. 675 – Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. ?
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)