Per sfuggire alle sanzioni del Garante Privacy non è sufficiente dimostrare che il sito web era in manutenzione

La Cassazione ha infatti confermato la sanzione inflitta dall’Autorità ad una società respingendo la tesi difensiva secondo cui la mancanza dell’informativa ex articolo 13 cod. privacy era dovuta ad un malfunzionamento momentaneo del proprio sito web, in quel momento in manutenzione presso una società esterna.

Il Garante dei dati personali, a seguito dell'accertamento da parte del Nucleo speciale privacy della Guardia di Finanza, ingiungeva una sanzione amministrativa pecuniaria ad una società per violazione degli articolo 13,37 e 38 d.lgs. numero 196/2003 cod. privacy . Era infatti emerso che la società, che si occupava dell'analisi dello stato di salute di cellule staminali destinate alla conservazione anche presso laboratori terzi europei, nel trattamento sui dati personali aveva omesso la notifica al Garante ex articolo 37, comma 1, lett. b e 38 cod. privacy. Mancava inoltre l'informativaex articolo 13 cod. privacy sul trattamento dei dati personali dei visitatori del sito internet, raccolti tramite form. La società proponeva opposizione dinanzi al Tribunale di Milano, senza però avere successo. Veniva infatti respinta la tesi difensiva del malfunzionamento temporaneo del sito posto che l'affidamento dell'incarico di risistemazione del sito ad una società esterna non esonerava da responsabilità l'opponente, unico soggetto tenuto all'obbligo di informativa nei confronti della propria clientela. La decisione è stata impugnata in Cassazione dalla società che torna ad invocare il temporaneo malfunzionamento del sito. Il motivo è però inammissibile. Secondo la consolidata giurisprudenza in tema di violazioni amministrative, per integrare l'elemento soggettivo dell'illecito è sufficiente la semplice colpa, per cui l'eventuale buona fede e l'erronea convinzione della liceità della condotta può rilevare in termini di esclusione della responsabilità amministrativa al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni. Occorre dunque che esso risulti inevitabile, riconducibile ad un elemento positivo estraneo all'autore dell'infrazione ed idoneo ad ingenerare la convinzione della liceità. Inoltre, è richiesto all'autore di dimostrare di aver fatto tutto il possibile e che nessun rimprovero possa essergli mosso, solo così si può ritenere che l'errore sia stato incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza Cass. civ. numero 33441/2019 Cass. civ. numero 11977/2020 . Nel caso di specie, correttamente ha ritenuto il Tribunale che l'affidamento alla società esterna dell'incarico di rifacimento del sito non costituisse elemento positivo sufficiente per escludere la responsabilità della società. Risulta invece fondato il secondo motivo di ricorso relativo alla determinazione della sanzione da parte del Garante. Secondo la società ricorrente, ha errato il Tribunale nell'affermare che «la ratio sottesa all'esclusione dell'articolo 164-bis, comma 1, può presumibilmente ravvisarsi nella particolare gravità dell'omessa comunicazione al Garante dell'attività di trattamento di dati personali sensibili». Così infatti «in nessun caso potrebbe applicarsi l'articolo 164-bis , comma 1, alle violazioni di cui agli articolo 37, comma 1, lett. b e 38 del Codice della Privacy in altri termini, giammai la mancata notificazione al GPDP del trattamento potrebbe beneficiare della riduzione della sanzione pecuniaria di cui al comma 1 della norma citata, nonostante l'eventuale minore gravità anche dovuta alla natura economica o sociale dell'attività concretamente svolta possa giustificare – come nel caso di specie - tale riduzione». La sentenza viene dunque cassata sul punto con rinvio al Tribunale di Milano per rapportare la violazione alla sua gravità, verificando il comportamento tenuto dall'azienda rispetto alla progettazione della tutela dei dati personali trattati e al pericolo di danno, anche con riferimento alle dimensioni economiche dell'azienda.

Presidente Manna – Relatore Amato Rilevato che 1. Con ricorso depositato in data 22.01.2018 innanzi al Tribunale di Milano, la società omissis S.r.l. proponeva opposizione ad ordinanza-ingiunzione numero […] del 23.11.2017 emessa dal Garante per la Protezione dei Dati Personali GPDP , a seguito di accertamento del Nucleo Speciale per la privacy della Guardia di Finanza, recante importo di Euro22.400,00 a titolo di sanzione amministrativa pecuniaria, per violazione degli articolo 13, 37 e 38 del codice in materia di protezione dei dati personali Codice della Privacy , di cui al D.Lgs. numero 30 giugno 2003, numero 196. 1.1. Rispetto ai trattamenti sui dati personali effettuati dalla omissis S.r.l., idonei a rivelare lo stato di salute di cellule staminali destinate alla conservazione presso laboratori terzi, ubicati anche all'estero nel territorio UE contenute nel sangue del cordone ombelicale, la Guardia di Finanza accertava a la mancata notificazione al GPDP, ai sensi dell'articolo 37, comma 1, lett. b e 38 del Codice della Privacy b la mancata informativa, ex articolo 13 dello stesso codice, sul trattamento dei dati personali dei visitatori del sito internet, raccolti tramite form in esso inserito. 1.2. Con riguardo alle violazioni contestate, il GPDP determinava le sanzioni previste, rispettivamente, dagli articolo 163 e 161 del Codice della Privacy individuando, per la prima mancata notificazione al GPDP dei trattamenti, ai sensi dell'articolo 37, comma 1, lett. b e 38 , il minimo edittale Euro20.000,00 senza, tuttavia, applicare la riduzione dei 2/5 consentita dall'articolo 164-bis, comma 1, dello stesso Codice per la seconda mancata informativa, ex articolo 13 individuava la sanzione minima Euro6.000,00 riducendola del coefficiente dei 2/5, applicando cioè l'articolo 164-bis per un importo di Euro2.400,00 . 2. Il Tribunale di Milano, con sentenza numero 298/2019, rigettava in toto l'opposizione. Con riferimento alla violazione di cui all'articolo 13 Codice della Privacy, non ravvisava la presenza di errore inescusabile dedotto dall'opponente, per il quale la mancata informativa rilevata dalla Guardia di Finanza era dovuta ad un malfunzionamento temporaneo del sito, immediatamente rispristinato lo stesso giorno dell'accertamento come risulta dal verbale di accertamento . Secondo il giudice dell'opposizione, l'affidamento ad una società esterna dell'incarico di risistemazione del sito non esonera da responsabilità la omissis S.r.l., che resta l'unico soggetto tenuto all'obbligo di informativa nei confronti della propria clientela. Con riferimento alla violazione di cui all'articolo 37 del Codice della Privacy, riteneva lo stesso giudice che la mancata applicazione della riduzione del minimo edittale prevista dall'articolo 164-bis dello stesso Codice sia pienamente giustificata dalla particolare gravità della fattispecie, anche in considerazione del fatto che il trattamento dei dati personali raccolti dall'opponente riguarda le condizioni di salute di partorienti e neonati, in vista dell'eventuale conservazione delle loro cellule staminali. 3. Avverso detta sentenza proponeva ricorso per cassazione la omissis S.r.l., affidandolo a due motivi, illustrati da memoria depositata in prossimità dell'adunanza. Resisteva il GPDP con controricorso. Considerato che 1. Con il primo motivo la omissis S.r.l. lamenta violazione di legge - articolo 13 Codice della Privacy articolo 161 e 164-bis del Codice della Privacy e articolo 11 L. 24 novembre 1981, numero 689. Deduce la ricorrente che, sebbene non sia stato possibile produrre esatta prova dell'esiguità del lasso temporale durante il quale l'informativa ex articolo 13 non compariva sul sito web a causa del malfunzionamento, un semplice e giustificato ritardo nel completamento della privacy policy non integra il coinvolgimento doloso o colposo che configura la componente soggettiva della violazione. 1.1. Il motivo è inammissibile, ex articolo 360-bis, numero 1 . È costantemente affermato dalla giurisprudenza di questa Corte che in tema di violazioni amministrative, ai sensi dell'articolo 3 della L. 24 novembre 1981, numero 689, per integrare l'elemento soggettivo dell'illecito è sufficiente la semplice colpa, per cui l'errore sulla liceità della relativa condotta, correntemente indicato come buona fede , può rilevare in termini di esclusione della responsabilità amministrativa, al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni, solo quando esso risulti inevitabile, occorrendo a tal fine un elemento positivo, estraneo all'autore dell'infrazione, idoneo ad ingenerare in lui la convinzione della sopra riferita liceità, oltre alla condizione che da parte dell'autore sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l'errore sia stato incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza Cass. Sez. 2, Ordinanza numero 33441 del 17/12/2019, Rv. 656323 - 01 Cass. Sez. 6 - 2, Ordinanza numero 19759 del 02/10/2015 Cass. nnumero 16320/10, 13610/07, 11012/06, 9862/06, 5426/06 e 11253/04 . L'onere della prova degli elementi positivi che riscontrano l'esistenza della buona fede è a carico dell'opponente e la relativa valutazione costituisce un apprezzamento di fatto di stretta competenza del giudice di merito, non sindacabile in sede di legittimità se non sotto il profilo del vizio di motivazione Cass. Sez. 2, numero 11977 del 19/06/2020, Rv. 658272 - 01 Cass. numero 23019/09 Cass. Sez. 2, numero 21280/2015 Cass. numero 19759/2015 Cass. Sez. 5, numero 23019 del 30/10/2009, Rv. 610357 - 01 . 1.2. Nel caso di specie, correttamente ha ritenuto il Tribunale di Milano che l'affidamento alla società esterna dell'incarico di rifacimento del sito non costituisse elemento positivo sufficiente per escludere la responsabilità dell'odierna ricorrente, unico soggetto tenuto all'obbligo di comunicazione dell'informativa privacy rispetto alla propria clientela. 2. Con il secondo motivo si deduce violazione ed errata applicazione degli articolo 163 e 164-bis l. numero 196/2003 omessa valutazione ed applicazione di tale ultima disposizione, con riferimento all'articolo 360, commi 3 e 5 c.p.c., per non avere il Tribunale ridotto, nei limiti dei 2/5, anche la seconda delle due infrazioni. Secondo la prospettazione della ricorrente, erra il Tribunale nell'affermare che la ratio sottesa all'esclusione dell'articolo 164-bis, comma 1, può presumibilmente ravvisarsi nella particolare gravità dell'omessa comunicazione al Garante dell'attività di trattamento di dati personali sensibili . Così argomentando, in nessun caso potrebbe applicarsi l'articolo 164-bis, comma 1, alle violazioni di cui agli articolo 37, comma 1, lett. b e 38 del Codice della Privacy in altri termini, giammai la mancata notificazione al GPDP del trattamento potrebbe beneficiare della riduzione della sanzione pecuniaria di cui al comma 1 della norma citata, nonostante l'eventuale minore gravità anche dovuta alla natura economica o sociale dell'attività concretamente svolta possa giustificare - come nel caso di specie - tale riduzione. 2.1. Il motivo è fondato. Il ragionamento del giudice di merito non è condivisibile, in quanto effettivamente esclude dalla violazione del precetto, ossia la mancata notifica al GDPD ex articolo 37 e 38 Codice della Privacy, la fattispecie sanzionatoria completa, costituita dalla sanzione amministrativa pecuniaria prevista dall'articolo 163, e dalla riduzione della sanzione nei casi di minore gravità dell'infrazione, e si risolve perciò nella disapplicazione dell'articolo 164-bis, comma 1, in esame che peraltro espressamente a sua volta richiama l'articolo 163 rispetto agli articolo 37 e 38 Codice delle Privacy. 2.2. La pronuncia merita, pertanto, di essere cassata. Spetta al giudice del rinvio - in applicazione delle norme sopra riportate, vigenti all'epoca della commissione della trasgressione sebbene ora tutte abrogate - rapportare la violazione del precetto alla sua gravità, verificando il comportamento tenuto dall'azienda rispetto alla progettazione della tutela dei dati personali trattati e al pericolo di danno, anche con riferimento alle dimensioni economiche dell'azienda. P.Q.M. La Corte Suprema di Cassazione dichiara inammissibile il primo motivo di ricorso in accoglimento del secondo motivo, cassa la sentenza impugnata e rinvia al Tribunale di Milano nella persona di diverso magistrato, che deciderà anche sulle spese del presente giudizio.