Carattere continuativo degli illeciti privacy e conseguenze sulla prescrizione
Gli illeciti amministrativi per omessa informativa e omessa acquisizione del consenso per il trattamento dei dati non si consumano uno actu, ma hanno carattere continuativo, potendo le violazioni essere sanate da un comportamento successivo.
Il principio – lungi dall’essere una questione squisitamente dottrinale – ha grande impatto per titolari e gestori di banche dati, incidendo profondamente sulla prescrizione dell’illecito e, dunque, anche sulla durata dei procedimenti.
Il caso Postel
L’ordinanza n. 18288 del 3 settembre 2020 (udienza 12 novembre 2019) della Corte di Cassazione, seconda sezione civile, trae origine dall’ingiunzione inflitta a Postel S.p.A. dal Garante privacy nel 2013. La sanzione di euro 340.000 per omessa informativa, omessa acquisizione del consenso e omessa informazione o esibizione al Garante, era stata successivamente ridotta dal Tribunale di Roma, che aveva altresì rigettato le questioni di legittimità costituzionale in quella sede proposte.
Le questioni di legittimità costituzionale
Postel ha riproposto anche, con ricorso per Cassazione, le due questioni di legittimità costituzionale.
Secondo la ricorrente, infatti, le norme sulle quali si basava l’ingiunzione del Garante (e cioè gli articoli 162, comma 2-bis e 164-bis[1] Codice della privacy) sarebbero state introdotte con decreto legge (D.L. 207/2008), pur non sussistendo casi straordinari di necessità e urgenza, requisito previsto dalla Costituzione, all’art. 77[2], per l’adozione di tali atti.
La Corte ha considerato la questione manifestamente infondata, ritenendo che l’introduzione di inasprimenti sanzionatori con decreto legge fosse giustificata dalla necessità e urgenza di tutelare l’interessato, proprio in contesti di abuso di banche dati a fini di promozione commerciale e telemarketing.
Parallelamente, si evidenziava nel ricorso che l’art. 164-bis comma 2 del Codice privacy avrebbe sanzionato le medesime condotte già oggetto degli articoli 161 e 162 comma 2-bis, in violazione del ne bis in idem, principio generale che tutela il cittadino dalla possibilità di essere giudicato due volte per la stessa azione[3].
La questione è stata dalla Corte ritenuta inammissibile nel caso specifico e comunque infondata, posto che il principio ne bis in idem, anche nella giurisprudenza della Corte Europea dei diritti dell’uomo, ha il fine di evitare una duplicazione sanzionatoria di ipotesi punibili al contempo sul piano amministrativo e penale. Nel caso in esame, invece, non vi era stata applicazione di sanzioni penali né avvio parallelo di procedimenti penali per i medesimi fatti e dunque non poteva ravvisarsi alcuna duplicazione.
Il carattere continuativo degli illeciti privacy
Postel S.p.A. ha basato l’impugnazione su tre motivi:
- le violazioni contestate (omessa informativa di cui all’art. 161 e omessa acquisizione del consenso per i dati acquisiti dalle liste elettorali dei cittadini), non potendo essere sanate da un comportamento successivo, si sarebbero consumate uno actu prima della vigenza del Decreto Legge n. 207/2008, così che alla data degli accertamenti del Garante, nell’aprile del 2009, le sanzioni previste dalla novella non sarebbero state applicabili;
- per la stessa ragione, al momento dell’irrogazione dell’ordinanza-ingiunzione doveva ritenersi ormai decorso il termine di prescrizione degli illeciti ascritti, pari a cinque anni;
- il Tribunale, infine, erroneamente non avrebbe considerato violato il termine di novanta giorni previsto (dalla Legge 689/1981, art. 14) per la contestazione delle condotte.
Il terzo motivo è stato considerato dalla Corte infondato sulla base del consolidato indirizzo secondo cui il termine di novanta giorni previsto per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, laddove deve intendersi per accertamento non il momento della generica e approssimativa percezione del fatto e l’acquisizione della documentazione, ma l’elaborazione dei dati ottenuti per individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018).
Il Tribunale ha, secondo l’ordinanza, correttamente affermato – e ampiamente argomentato – la complessità degli accertamenti ispettivi, dovuta anche alla mancanza di collaborazione ed informazione da parte della stessa ricorrente, accertamenti che si sono conclusi solo nel marzo 2010.
Anche gli altri due motivi di ricorso sono stati ritenuti infondati, sulla base del principio – di grande rilevanza pratica – secondo il quale l’illecito non si esaurisce uno actu, ma si protrae nel tempo, ha carattere continuativo e dunque “perdurante” fino agli accertamenti. Ciò perché la condotta di gestione, trattamento e conservazione dei dati in mancanza di informativa e raccolta del necessario consenso – e dunque l’offesa del bene giuridico tutelato – si è protratta nel tempo e sino alla data indicata nel provvedimento del Garante, pur potendo la società farla cessare in qualsiasi momento.
Le conseguenze di tale principio, è evidente, hanno un enorme impatto sulla prescrizione dell’illecito amministrativo e, dunque, sulla ragionevole durata dei procedimenti.
Il cumulo materiale delle sanzioni amministrative
L’altro principio di grande interesse espresso con l’ordinanza in commento origina, invece, dal ricorso incidentale del Garante per la protezione dei dati personali, secondo il quale il Tribunale aveva erroneamente annullato parte della sanzione originariamente comminata per il principio ne bis in idem, del quale si è detto nei paragrafi precedenti (in particolare, la sanzione applicata dall’art. 162, comma 2-bis Codice della privacy era stata ritenuta assorbita in quella dell’art. 164-bis del citato codice)[4].
La Corte ha accolto il ricorso incidentale, ribadendo un altro principio di grande rilevanza pratica: in tema di illeciti amministrativi di cui al Codice privacy, la fattispecie prevista dall’art. 164-bis, comma 2 (vedasi il testo in nota), costituisce non un’ipotesi aggravata rispetto alle violazioni semplici ivi richiamate, ma una figura d’illecito del tutto autonoma. Essa prevede, infatti, la possibilità che una pluralità di ipotesi semplici vengano infrante – anche con più azioni e in tempi diversi – con specifico riferimento a «banche di dati di particolare rilevanza o dimensioni».
Nel caso, dunque, in cui violazioni di altre disposizioni concorrano con la violazione di cui all’art. 164-bis, comma 2, non costituendo questa un’aggravante ma un’autonoma figura di illecito, ne deriva un’ipotesi di cumulo materiale delle sanzioni amministrative.
Note
[1] Ai sensi dell’art. 164-bis, comma 2 del Codice della privacy: «In caso di più violazioni di un’unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta».
[2] Sui requisiti di necessità e urgenza ex art. 77 Cost. si vedano, tra le più recenti, Corte Cost. n. 170/2017, n. 22/2012, n. 93/2011, n. 355/2010.
[3] Sul principio ne bis in idem, si veda la scheda predisposta dalla Corte Europea dei Diritti dell’Uomo a questo link: https://www.echr.coe.int/Documents/FS_Non_bis_in_idem_ENG.pdf.
[4] Sul cumulo materiale delle sanzioni amministrative, si veda anche Cass. civ. Sez. I, 17/08/2016, n. 17143.
Articolo a cura di Maria Elena Iafolla
Avvocato del Foro di Milano e titolare dello Studio Legale Iafolla, si occupa di diritto dell’informatica e delle nuove tecnologie, innovazione, trattamento dei dati e cyber-security.
Laureata presso l’Università Cattolica del Sacro Cuore di Milano, autrice e formatrice sui temi del diritto dell’informatica e privacy/GDPR.
Vice Presidente dell’associazione DFA – Digital Forensics Alumni.