Privacy, il mancato consenso è illecito permanente

Importante pronuncia della Cassazione per i diritti degli utenti “profilati” di Alessandro Galimberti Andrea Monti  – IlSole24Ore del 10 settembre 2020


Gli illeciti amministrativi, in materia di privacy, di omessa informativa e omessa acquisizione del consenso per i dati tratti dalle liste elettorali, sono illeciti «permanenti», hanno quindi effetti perduranti e non beneficiano della prescrizione/decadenza quandanche rimangano “silenti” per anni.

Con l’ordinanza 18288/20 depositata il 3 settembre scorso la seconda sezione civile della Corte di Cassazione pone un principio destinato a incidere nell’attività di molti titolari di banche dati, non solo per le Big-Tech ma anche per i data-broker, gli intermediari che forniscono dati e profili alle aziende, e per i fornitori di servizi tecnologici come cloud e Saas.

La Corte ha infatti ritenuto che il trattamento di dati personali senza prestazione dell’informativa e senza la raccolta del consenso dell’interessato siano illeciti permanenti e dunque soggetti alla sanzione ratione temporis prevista all’atto dell’accertamento da parte delle autorità di controllo.

Il caso risolto dalla Cassazione riguardava l’ingiunzione inflitta sette anni fa dal Garante privacy a Postel (340 mila euro di sanzione, ridotti del 15% dal Tribunale di Roma) per la violazione degli articoli 162.2-bis, 164 e 164-bis.2 del dlgs 196/2003. Tra i motivi dell’impugnazione – oltre a profili di incostituzionalità respinti alla radice – anche la lamentata intervenuta prescrizione/decadenza dell’azione amministrativa. Rilievi a cui però la Seconda civile ha opposto la natura permanente di quegli illeciti seriali commessi addirittura nella prima metà del decennio scorso, pur rimasti “silenti” a lungo.

La soluzione interpretativa adottata dalla Corte, comprensibile nell’ottica e nella dinamica di una tutela aumentata dei diritti dell’interessato, suscita qualche perplessità circa l’impatto sulla prescrizione dell’illecito amministrativo e sulla ragionevole durata dei procedimenti.

Sotto il primo profilo, andrebbe quantomeno differenziato, in termini di qualificazione della condotta, il trattamento istantaneo direttamente lesivo dei diritti dall’interessato dalla mera (eventuale) conservazione “inerte” dei dati personali. Sotto il secondo profilo, stabilire che il dies a quo per la contestazione della violazione decorre da quando l’ufficio ha terminato di elaborare i dati acquisiti (giurisprudenza peraltro ampiamente consolidata negli ultimi anni) significa lasciare il soggetto verificato in uno stato di limbo che potrebbe durare a tempo indeterminato per le ragioni più disparate, anche solo dipendenti da carenze di organico o eccessiva complessità della materia.
© RIPRODUZIONE RISERVATA

Possibly Related Posts: