Trattamento dei dati personali: sanzionabili anche le persone giuridiche

Il richiamo al principio dell’imputabilità personale della sanzione, di cui alla l. n. 689/1981, non può giustificare la sostanziale irresponsabilità dell’Ente tenuto al trattamento dei dati sensibili protetti dalla legge.

La Suprema Corte di Cassazione, con sentenza n. 13657/16, depositata in cancelleria il 5 luglio, ha accolto il ricorso principale. Il caso. La Provincia di Avellino adiva il Tribunale proponendo opposizione avverso l’ordinanza-ingiunzione con la quale il Garante per la protezione dei dati personali irrogava una sanzione per violazione dell’art. 162, comma 2 bis, del d.lgs. n. 196/2003 – Codice in materia dei dati personali. Il Garante, tuttavia, resisteva all’impugnazione proposta eccependone l’inammissibilità e, in ogni caso, l’infondatezza. Il Tribunale adito, ritenutane la tempestività, accoglieva invece la proposta opposizione, annullando l’ordinanza-ingiunzione e compensando interamente le spese del giudizio. Per la cassazione della suddetta decisione del Tribunale ricorre il Garante con atto affidato ad un unico motivo. Il principio dell’imputabilità personale della sanzione. Con l’unico motivo, il Garante pone in sostanza la questione dei limiti di compatibilità del rinvio alla l. 689/1981 da parte dell’art. 166 del d.lgs. 196/2003 e, quindi, della identificazione” del soggetto titolare del trattamento e della imputabilità delle sanzioni. Domanda, dunque, se sia possibile o meno l’irrogazione della sanzione amministrativa prevista ex lege anche ad un Ente in questo caso la Provincia , oppure solo ad una persona fisica. Con il motivo in esame il principio di cui il ricorrente chiedere l’affermarsi è quello per cui la sanzione de qua è applicabile anche all’Ente. Per la Suprema Corte il motivo è fondato. Il richiamo al principio dell’imputabilità personale della sanzione, di cui alla l. 689/1981, non può giustificare – come invece ritenuto nella decisione gravata – la sostanziale irresponsabilità dell’Ente tenuto al trattamento dei dati sensibili protetti dalla legge. Infatti, la diversa natura giuridica delle sanzioni amministrative contenute nel Codice in materia di protezione dei dati personali, è confermata dal tenore della norma di cui all’art. 162, comma 2 bis del detto codice, laddove si prevede testualmente che in caso di trattamento di dati personali effettuato in violazione delle disposizioni indicate dall’art. 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma . Con la suddetta norma di legge, si prevede dunque una sanzione amministrativa che si aggiunge a quella penale, con un regime proprio ed autonomo e che scatta in ogni caso e, quindi, anche nei confronti di un Ente e non solo della persona fisica. La Corte aveva comunque già avuto modo di affermare in passato che il titolare del trattamento è la persona giuridica, come tale perfettamente sanzionabile ai sensi della normativa in materia di trattamento dei dati personali . In conclusione, il motivo deve essere accolto e la decisione impugnata cassata con rinvio al Tribunale di Avellino.

Corte di Cassazione, sez. II Civile, sentenza 3 marzo - 5 luglio 2016, n. 13657 Presidente Petitti – Relatore Oricchio Considerato in fatto Con ricorso depositato il 16 novembre 2010 la Provincia di Avellino adiva il Tribunale di quella stessa Città proponendo opposizione avverso l’ordinanza-ingiunzione notificata il precedente 19 ottobre con la quale il Garante per la protezione dei dati personali irrogava la sanzione di F 20mila per violazione dell’art. 162, co. II bis del d.lvo. n. 196/2003 - Codice in materia di protezione dei dati personali. Resisteva il Garante alla proposta impugnazione eccependone l’inammissibilità ed, in ogni caso, l’infondatezza. Con sentenza n. 374/2012 l’adito Tribunale, ritenutane la tempestività e, quindi, l’ammissibilità, accoglieva la proposta opposizione, annullando conseguentemente l’ordinanza-ingiunzione e compensando interamente le spese del giudizio. Per la cassazione della succitata decisione del Tribunale ricorre il Garante con atto affidato ad un unico articolato motivo. Resiste con controricorso l’intimata Provincia, che propone – inoltre - ricorso incidentale condizionato fondato su quattro ordini di motivi. Ritenuto in diritto 1.- Con l’unico motivo del ricorso principale si censura il vizio di violazione e falsa applicazione degli artt. 4, 28, 162 e 166 del d.lgs. n. 196/2003 in relazione all’art. 360, n. 3 c.p.c Con il motivo si pone, nella sostanza, la questione dei limiti di compatibilità del rinvio alla L. 689/1981 da parte dell’art. 166 d.lvo. 196/2003 e, quindi, della identificazione del soggetto titolare del trattamento e della imputabilità delle sanzioni. E, quindi, conseguentemente se sia possibile o meno l’irrogazione delle sanzione amministrativa prevista ex lege anche ad un Ente quale, in ipotesi, la Provincia oppure solo ad una persona fisica. Il principio che, con il motivo in esame, parte ricorrente chiede affermarsi è quello per cui la sanzione de qua è applicabile anche all’ente. Il motivo è fondato. Il richiamo al noto principio della imputabilità personale della sanzione, di cui alla L. n. 689/1981, non può giustificare - come ritenuto nella decisione gravata - la sostanziale irresponsabilità dell’Ente tenuto al trattamento dei dati sensibili protetti dalla legge. Non è corretto, in particolare, il richiamo, operato dalla sentenza impugnata, al dictum di Cass. n. 12664/2007 e, quindi, al principio in essa pure richiamato della natura personale della responsabilità e dei conseguenti profili della imputabilità, dell’elemento soggettivo della violazione, delle cause di esclusione della responsabilità e del concorso di persone. Giova al riguardo evidenziare che quanto affermato dalla citata decisione di questa Corte attiene, più propriamente, al regime sanzionatorio considerato dalla generale legge di depenalizzazione. Quest’ultima preesisteva alla normativa sanzionatoria specifica del Codice e quest’ultimo, pur richiamando al suo art. 166 la L. n. 689/1981 rende possibile la configurabilità di una responsabilità solidale della persona giuridica, ma non esclude di per sé la possibile autonoma responsabilità della stessa siffatta persona quanto al successivo e specifico regime sanzionatorio previsto dal predetto Codice stesso. Infatti la diversa natura giuridica delle sanzioni amministrative contenute nel Codice in materia di protezione dei dati personale D.lvo. n. 196/2003 è confermata dal tenore della norma di cui all’art. 162, co. II-bis aggiunto ex D.L. n. 207/2008 conv. in L. n. 14/2009 del detto codice laddove si prevede testualmente che in caso di trattamento di dati personali effettuato in violazione .delle disposizioni indicate nell’art. 167 è altresì applicata in - sede amministrativa, in ogni caso, la sanzione del pagamento di una somma . Insomma con l’anzidetta norma di legge si prevede una sanzione amministrativa che si aggiunge a quella penale, con un regime proprio ed autonomo e che scatta in ogni caso e, quindi, anche nei confronti di un Ente e non solo della persona fisica. Peraltro la suddetta previsione appare in linea proprio con l’inquadramento generale dato dal citato Codice quanto alla configurazione dei soggetti persone fisiche o giuridiche titolari del trattamento dei dati. Difatti, ai sensi dell’art. 4 del predetto Codice, è considerato titolare del trattamento dei dati non solo la persona fisica, ma espressamente anche la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono . . D’altra parte questa Corte, già con nota pronuncia Cass. civ., Sez. VI-2, Ord. 8 aprile 2014, n. 8184 , ha già avuto modo di affermare che il titolare del trattamento è la persona giuridica , come tale perfettamente sanzionabile ai sensi della normativa in materia di trattamento dei dati personali. In conclusione il motivo esaminato deve essere accolto con conseguente cassazione dell’impugnata decisione e rinvio, anche per le spese del presente giudizio, al Tribunale di Avellino in diversa composizione, che provvederà alla stregua dei principi innanzi enunciati. 2.- Con il ricorso incidentale condizionato sono stati dedotti i vizi di seguito, in breve, doverosamente e per completezza riportati a violazione artt. 7 ss L. n. 242/1990 e Reg.to 1/2000 del Garante b l’inesistenza presupposti per irrogazione sanzione amministrativa c la violazione dell’art. 19 e dell’art. 20 d.lvo. n. 196/2003 d violazione art. 4 L. 689/1981. Il ricorso incidentale proposto, stante l’accoglimento, per le motivazioni innanzi esposte e il conseguente necessario riesame del giudizio, deve ritenersi inammissibile. P.Q.M. La Corte accoglie il ricorso principale, dichiara inammissibile quello incidentale, cassa l’impugnata sentenza e rinvia, anche per le spese, al Tribunale di Avellino in diversa composizione.