La Cassazione ha infatti confermato la sanzione inflitta dall’Autorità ad una società respingendo la tesi difensiva secondo cui la mancanza dell’informativa ex art. 13 cod. privacy era dovuta ad un malfunzionamento momentaneo del proprio sito web, in quel momento in manutenzione presso una società esterna.
Il Garante dei dati personali , a seguito dell'accertamento da parte del Nucleo speciale privacy della Guardia di Finanza, ingiungeva una sanzione amministrativa pecuniaria ad una società per violazione degli artt. 13, 37 e 38 d.lgs. n. 196/2003 cod. privacy . Era infatti emerso che la società, che si occupava dell'analisi dello stato di salute di cellule staminali destinate alla conservazione anche presso laboratori terzi europei, nel trattamento sui dati personali aveva omesso la notifica al Garante ex art. 37, comma 1, lett. b e 38 cod. privacy . Mancava inoltre l'informativa ex art. 13 cod. privacy sul trattamento dei dati personali dei visitatori del sito internet, raccolti tramite form. La società proponeva opposizione dinanzi al Tribunale di Milano, senza però avere successo. Veniva infatti respinta la tesi difensiva del malfunzionamento temporaneo del sito posto che l'affidamento dell' incarico di risistemazione del sito ad una società esterna non esonerava da responsabilità l'opponente, unico soggetto tenuto all'obbligo di informativa nei confronti della propria clientela. La decisione è stata impugnata in Cassazione dalla società che torna ad invocare il temporaneo malfunzionamento del sito. Il motivo è però inammissibile. Secondo la consolidata giurisprudenza in tema di violazioni amministrative, per integrare l' elemento soggettivo dell'illecito è sufficiente la semplice colpa , per cui l'eventuale buona fede e l'erronea convinzione della liceità della condotta può rilevare in termini di esclusione della responsabilità amministrativa al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni. Occorre dunque che esso risulti inevitabile , riconducibile ad un elemento positivo estraneo all'autore dell'infrazione ed idoneo ad ingenerare la convinzione della liceità. Inoltre, è richiesto all'autore di dimostrare di aver fatto tutto il possibile e che nessun rimprovero possa essergli mosso, solo così si può ritenere che l'errore sia stato incolpevole, non suscettibile cioè di essere impedito dall'interessato con l' ordinaria diligenza Cass. civ. n. 33441/2019 Cass. civ. n. 11977/2020 . Nel caso di specie, correttamente ha ritenuto il Tribunale che l' affidamento alla società esterna dell'incarico di rifacimento del sito non costituisse elemento positivo sufficiente per escludere la responsabilità della società. Risulta invece fondato il secondo motivo di ricorso relativo alla determinazione della sanzione da parte del Garante. Secondo la società ricorrente, ha errato il Tribunale nell'affermare che la ratio sottesa all'esclusione dell'art. 164- bis , comma 1, può presumibilmente ravvisarsi nella particolare gravità dell'omessa comunicazione al Garante dell'attività di trattamento di dati personali sensibili . Così infatti in nessun caso potrebbe applicarsi l'art. 164- bis , comma 1, alle violazioni di cui agli artt. 37, comma 1, lett. b e 38 del Codice della Privacy in altri termini, giammai la mancata notificazione al GPDP del trattamento potrebbe beneficiare della riduzione della sanzione pecuniaria di cui al comma 1 della norma citata, nonostante l'eventuale minore gravità anche dovuta alla natura economica o sociale dell'attività concretamente svolta possa giustificare come nel caso di specie - tale riduzione . La sentenza viene dunque cassata sul punto con rinvio al Tribunale di Milano per rapportare la violazione alla sua gravità , verificando il comportamento tenuto dall'azienda rispetto alla progettazione della tutela dei dati personali trattati e al pericolo di danno , anche con riferimento alle dimensioni economiche dell'azienda.
Presidente Manna Relatore Amato Rilevato che 1. Con ricorso depositato in data 22.01.2018 innanzi al Tribunale di Milano, la società omissis S.r.l. proponeva opposizione ad ordinanza-ingiunzione n. [ ] del 23.11.2017 emessa dal Garante per la Protezione dei Dati Personali GPDP , a seguito di accertamento del Nucleo Speciale per la privacy della Guardia di Finanza, recante importo di Euro22.400,00 a titolo di sanzione amministrativa pecuniaria, per violazione degli artt. 13, 37 e 38 del codice in materia di protezione dei dati personali Codice della Privacy , di cui al D.Lgs. n. 30 giugno 2003, n. 196 . 1.1. Rispetto ai trattamenti sui dati personali effettuati dalla omissis S.r.l., idonei a rivelare lo stato di salute di cellule staminali destinate alla conservazione presso laboratori terzi, ubicati anche all'estero nel territorio UE contenute nel sangue del cordone ombelicale, la Guardia di Finanza accertava a la mancata notificazione al GPDP, ai sensi dell'art. 37, comma 1, lett. b e 38 del Codice della Privacy b la mancata informativa, ex art. 13 dello stesso codice, sul trattamento dei dati personali dei visitatori del sito internet, raccolti tramite form in esso inserito. 1.2. Con riguardo alle violazioni contestate, il GPDP determinava le sanzioni previste, rispettivamente, dagli artt. 163 e 161 del Codice della Privacy individuando, per la prima mancata notificazione al GPDP dei trattamenti, ai sensi dell'art. 37, comma 1, lett. b e 38 , il minimo edittale Euro20.000,00 senza, tuttavia, applicare la riduzione dei 2/5 consentita dall'art. 164-bis, comma 1, dello stesso Codice per la seconda mancata informativa, ex art. 13 individuava la sanzione minima Euro6.000,00 riducendola del coefficiente dei 2/5, applicando cioè l'art. 164-bis per un importo di Euro2.400,00 . 2. Il Tribunale di Milano, con sentenza n. 298/2019, rigettava in toto l'opposizione. Con riferimento alla violazione di cui all' art. 13 Codice della Privacy , non ravvisava la presenza di errore inescusabile dedotto dall'opponente, per il quale la mancata informativa rilevata dalla Guardia di Finanza era dovuta ad un malfunzionamento temporaneo del sito, immediatamente rispristinato lo stesso giorno dell'accertamento come risulta dal verbale di accertamento . Secondo il giudice dell'opposizione, l'affidamento ad una società esterna dell'incarico di risistemazione del sito non esonera da responsabilità la omissis S.r.l., che resta l'unico soggetto tenuto all'obbligo di informativa nei confronti della propria clientela. Con riferimento alla violazione di cui all' art. 37 del Codice della Privacy , riteneva lo stesso giudice che la mancata applicazione della riduzione del minimo edittale prevista dall'art. 164-bis dello stesso Codice sia pienamente giustificata dalla particolare gravità della fattispecie, anche in considerazione del fatto che il trattamento dei dati personali raccolti dall'opponente riguarda le condizioni di salute di partorienti e neonati, in vista dell'eventuale conservazione delle loro cellule staminali. 3. Avverso detta sentenza proponeva ricorso per cassazione la omissis S.r.l., affidandolo a due motivi, illustrati da memoria depositata in prossimità dell'adunanza. Resisteva il GPDP con controricorso. Considerato che 1. Con il primo motivo la omissis S.r.l. lamenta violazione di legge - art. 13 Codice della Privacy artt. 161 e 164-bis del Codice della Privacy e art. 11 L. 24 novembre 1981, n. 689 . Deduce la ricorrente che, sebbene non sia stato possibile produrre esatta prova dell'esiguità del lasso temporale durante il quale l'informativa ex art. 13 non compariva sul sito web a causa del malfunzionamento, un semplice e giustificato ritardo nel completamento della privacy policy non integra il coinvolgimento doloso o colposo che configura la componente soggettiva della violazione. 1.1. Il motivo è inammissibile, ex art. 360-bis, n. 1 . È costantemente affermato dalla giurisprudenza di questa Corte che in tema di violazioni amministrative, ai sensi dell' art. 3 della L. 24 novembre 1981, n. 689 , per integrare l'elemento soggettivo dell'illecito è sufficiente la semplice colpa, per cui l'errore sulla liceità della relativa condotta, correntemente indicato come buona fede , può rilevare in termini di esclusione della responsabilità amministrativa, al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni, solo quando esso risulti inevitabile, occorrendo a tal fine un elemento positivo, estraneo all'autore dell'infrazione, idoneo ad ingenerare in lui la convinzione della sopra riferita liceità, oltre alla condizione che da parte dell'autore sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l'errore sia stato incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza Cass. Sez. 2, Ordinanza n. 33441 del 17/12/2019 , Rv. 656323 - 01 Cass. Sez. 6 - 2, Ordinanza n. 19759 del 02/10/2015 Cass. nn. 16320/10 , 13610/07 , 11012/06 , 9862/06 , 5426/06 e 11253/04 . L'onere della prova degli elementi positivi che riscontrano l'esistenza della buona fede è a carico dell'opponente e la relativa valutazione costituisce un apprezzamento di fatto di stretta competenza del giudice di merito, non sindacabile in sede di legittimità se non sotto il profilo del vizio di motivazione Cass. Sez. 2, n. 11977 del 19/06/2020 , Rv. 658272 - 01 Cass. n. 23019/09 Cass. Sez. 2, n. 21280/2015 Cass. n. 19759/2015 Cass. Sez. 5, n. 23019 del 30/10/2009 , Rv. 610357 - 01 . 1.2. Nel caso di specie, correttamente ha ritenuto il Tribunale di Milano che l'affidamento alla società esterna dell'incarico di rifacimento del sito non costituisse elemento positivo sufficiente per escludere la responsabilità dell'odierna ricorrente, unico soggetto tenuto all'obbligo di comunicazione dell'informativa privacy rispetto alla propria clientela. 2. Con il secondo motivo si deduce violazione ed errata applicazione degli artt. 163 e 164-bis l. n. 196/2003 omessa valutazione ed applicazione di tale ultima disposizione, con riferimento all' art. 360, commi 3 e 5 c.p.c. , per non avere il Tribunale ridotto, nei limiti dei 2/5, anche la seconda delle due infrazioni. Secondo la prospettazione della ricorrente, erra il Tribunale nell'affermare che la ratio sottesa all'esclusione dell'art. 164-bis, comma 1, può presumibilmente ravvisarsi nella particolare gravità dell'omessa comunicazione al Garante dell'attività di trattamento di dati personali sensibili . Così argomentando, in nessun caso potrebbe applicarsi l'art. 164-bis, comma 1, alle violazioni di cui agli artt. 37, comma 1, lett. b e 38 del Codice della Privacy in altri termini, giammai la mancata notificazione al GPDP del trattamento potrebbe beneficiare della riduzione della sanzione pecuniaria di cui al comma 1 della norma citata, nonostante l'eventuale minore gravità anche dovuta alla natura economica o sociale dell'attività concretamente svolta possa giustificare - come nel caso di specie - tale riduzione. 2.1. Il motivo è fondato. Il ragionamento del giudice di merito non è condivisibile, in quanto effettivamente esclude dalla violazione del precetto, ossia la mancata notifica al GDPD ex artt. 37 e 38 Codice della Privacy , la fattispecie sanzionatoria completa, costituita dalla sanzione amministrativa pecuniaria prevista dall'art. 163, e dalla riduzione della sanzione nei casi di minore gravità dell'infrazione, e si risolve perciò nella disapplicazione dell'art. 164-bis, comma 1, in esame che peraltro espressamente a sua volta richiama l'art. 163 rispetto agli artt. 37 e 38 Codice delle Privacy. 2.2. La pronuncia merita, pertanto, di essere cassata. Spetta al giudice del rinvio - in applicazione delle norme sopra riportate, vigenti all'epoca della commissione della trasgressione sebbene ora tutte abrogate - rapportare la violazione del precetto alla sua gravità, verificando il comportamento tenuto dall'azienda rispetto alla progettazione della tutela dei dati personali trattati e al pericolo di danno, anche con riferimento alle dimensioni economiche dell'azienda. P.Q.M. La Corte Suprema di Cassazione dichiara inammissibile il primo motivo di ricorso in accoglimento del secondo motivo, cassa la sentenza impugnata e rinvia al Tribunale di Milano nella persona di diverso magistrato, che deciderà anche sulle spese del presente giudizio.