Il Garante può sanzionare la PA per le violazioni della disciplina privacy

In tema di violazioni del trattamento dei dati personali, il Garante per la protezione di questi ultimi può infliggere sanzioni amministrative pecuniarie anche ad autorità pubbliche e/o organismi pubblici.

L'Agenzia di Tutela della Salute della Città Metropolitana di Milano di seguito ATS ha proposto opposizione contro l'ordinanza-ingiunzione di pagamento emessa, nei suoi confronti dal Garante privacy per aver implementato il sistema di tracciamento epidemiologico Milano - COR” in violazione degli artt. 5, par. 1, lett. a e f , e par. 2, nonché 13, 25, 32 e 35 del GDPR . In particolare l'ATS, eccepì il difetto di legittimazione del Garante ad infliggere sanzioni pecuniarie alle pubbliche autorità, evidenziando dei profili di carenza di adeguata motivazione del provvedimento, altresì deducendo, nel merito i l'insussistenza delle violazioni contestatele, posto che il portale Milano - COR” non consentiva di apprendere lo stato di positività degli utenti, se non tramite un'operazione logica articolata ii l'insussistenza dei presupposti per effettuare la valutazione di impatto ex articolo 35 del Regolamento iii l'avvenuta predisposizione di un'informativa privacy. Osservò, inoltre, che le eventuali violazioni, sarebbero state assistite, in ogni caso, dalla scriminante dello stato di necessità o, comunque, sarebbero state realizzate per causa di forza maggiore, in ragione dello stato di emergenza epidemiologica da COVID-19. Lamentò, infine, la violazione dell'articolo 83 del Regolamento per mancata e/o erronea applicazione dei criteri per l'accertamento dell'illecito e per la determinazione dell'ammontare della sanzione. L'ATS chiese, dunque, l'annullamento dell'ordinanza e la conseguente revoca della sanzione amministrativa pecuniaria. Costituitosi il Garante, respinse il ricorso proposto da ATS condannando la parte ricorrente a rimborsare alla parte resistente le spese di lite. Il tribunale di I grado, ritenuta la legittimazione del Garante ad irrogare sanzioni pecuniarie anche alle pubbliche amministrazioni, opinò che i l'ATS non aveva provato che lo stato di positività degli utenti inseriti nel portale non fosse agevolmente desumibile ii l'ATS aveva violato il principio cd. privacy by design di cui all'articolo 25 del Regolamento privacy iii l' articolo 17-bis del d.l. n. 18 del 2020 era inapplicabile alla fattispecie dedotta in causa iv era necessaria la valutazione di impatto ex articolo 35 del Regolamento v dovevano escludersi, nella fattispecie, la scriminante dello stato di necessità e la causa di forza maggiore vi non vi era stata alcuna violazione dei criteri di accertamento dell'illecito e di determinazione della sanzione, né era stato trasgredito l'obbligo di motivazione della ordinanza-ingiunzione. In virtù della normativa sovranazionale, il tribunale milanese afferma che ciascuno Stato membro può prevedere norme che precisino l' an ed il quantum delle sanzioni amministrative pecuniarie avverso soggetti con qualifiche pubblicistiche. Conclusione, questa, cui certamente non ostano le Linee guida n. 253/2017 dell' European Data Protection Board EDPB , che ribadiscono quanto prescritto dal Regolamento circa la discrezionalità degli Stati membri sul potere sanzionatorio del Garante per la protezione dei dati personali né il parere della Commissione europea pure invocato dalla ricorrente, in cui, sostanzialmente, ci si limita a stabilire quanto disposto dal Considerando 150 del GDPR . A tal proposito la Corte stabilisce che in tema di violazioni della disciplina relativa al trattamento dei dati personali , il Garante per la protezione di questi ultimi può infliggere sanzioni amministrative pecuniarie anche ad autorità pubbliche e/o organismi pubblici . Quanto alla conoscibilità dello stato di positività, al sistema di monitoraggio e all'assenza di nocumento in capo agli utenti la Corte è concorde nel ritenere che l'ATS non ha fornito elementi di prova da cui evincere che la conoscibilità del dato riguardante lo stato di salute degli utenti non fosse agevole attesa la inidoneità a garantire la sicurezza di quei dati un sistema cd. a doppia chiave come, appunto, il sistema di tracciamento epidemiologico Milano - COR”. In merito alla possibilità di rendere l' informativa privacy parzialeai sensi dell' articolo 13 del GDPR il giudice di merito ha opinato, quanto alla completezza dell'informativa resa da ATS, poichè non ha individuato le norme in virtù delle quali il trattamento veniva svolto e quindi la base giuridica del trattamento, nonché le specifiche modalità del trattamento inoltre, non sono state individuate le finalità del trattamento atteso che l'ATS avrebbe dovuto esplicitare le necessità di tracciamento alla base dell'istituzione del portale. In riferimento alla Violazione ed errata applicazione degli artt. 25 e 32 del Reg. UE n. 679/2016 in ordine al principio della privacy by design , l'ATS ascrive al tribunale di avere ritenuto, erroneamente i che il Garante abbia provato che sia stato violato il principio cd. privacy by design che consiste nella prescrizione al titolare di un trattamento dei dati personali, nell'implementare un trattamento di tali dati, di attuare le misure di sicurezza idonee a garantire il rispetto della disciplina sulla privacy , preventivamente alla effettuazione del trattamento ii ininfluente, ai sensi degli artt. 32 e 25 del GDPR , il fatto che indebiti accessi non si sono mai verificati e, comunque, non sono stati accertati. E' bene ricordare che il sistema di tutela dei dati personali deve porre l'utente al centro, così obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale, non solo formale non è sufficiente, cioè, che la progettazione del sistema sia conforme alla norma se, poi, l'utente non è tutelato. Dall'articolo 25 su richiamato si evince che l'approccio del menzionato Regolamento è centrato, tra l'altro, sulla valutazione del rischio risk based approach , per cui le aziende devono valutare il rischio inerente alle loro attività. Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Tale valutazione del rischio va fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Nella vicenda analizzata, invece, è assolutamente pacifica la circostanza fattuale dell'avvenuto avvio dell'utilizzo del sistema di tracciamento epidemiologico Milano - COR”, da parte di ATS, senza la terza chiave di sicurezza, sicché è palese l'avvenuta violazione, da parte della ricorrente, del principio, in forza del quale, il titolare del trattamento, nell'implementare un processo che determina il trattamento di dati personali, deve attuare, prima che il trattamento abbia luogo e non dopo, come, appunto, avvenuto nella specie, allorquando ATS ha aggiunto la terza chiave al fine di garantire un adeguato standard di sicurezza ai dati sanitari dei fruitori del portale , tutte le misure idonee a garantire il rispetto della disciplina in materia. In un ulteriore motivo l'ATS contesta la determinazione dell'ammontare della sanzione pecuniaria, poiché afferma che il Tribunale non solo non fornisce alcuna indicazione in merito agli elementi in base ai quali la sanzione dovrebbe essere applicata, evidentemente data per scontata dall'Autorità, ma omette o richiama senza alcuna valida argomentazione i criteri per l'accertamento dell'illecito e per la determinazione della sanzione . Una siffatta doglianza è considerata infondata dalla Corte, atteso che il tribunale ha proceduto ad una concreta ed esaustiva valutazione circa la possibilità/utilità di comminarle la sanzione pecuniaria in assenza di altre parimenti efficaci, così escludendosi qualsivoglia avvenuta sua applicazione automatica”. A tal proposito, infatti, nella sentenza impugnata si legge, che il Garante, nell'ambito del provvedimento opposto, ha correttamente irrogato una sanzione amministrativa pecuniaria vista la natura delle violazioni riscontrate da parte di ATS della Città metropolitana di Milano . Va evidenziato che tale soluzione è imposta dal GDPR e, in particolare, dall'articolo 83, par. 4, lett. a , nonché dal par. 5, lett. a e b , che richiamano il par. 2 della stessa disposizione. Ivi si prescrive, infatti, che alla violazione di specifiche disposizioni tra cui si annovera altresì la violazione delle disposizioni di cui agli artt. 5, 25, 32, 35, 13 del Regolamento contestata all'ATS nell'ordinanza opposta è necessariamente soggetta a sanzioni amministrative pecuniarie che sono inflitte in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a ad h e j , o in luogo di tali misure”. In conclusione, tale disposizione proclama, nei casi ivi individuati, l'indefettibilità dell'irrogazione di sanzioni amministrative di natura pecuniaria deve, dunque, ritenersi che il richiamo effettuato dal Garante alle precedenti disposizioni esaurisce la valutazione circa la necessità di applicare sanzioni amministrative pecuniarie nella specie, atteso che essa è autoritativamente imposta dal Regolamento.

Presidente Genovese – Relatore Campese Fatti di causa 1. Con ricorso tempestivamente depositato l'11 agosto 2021 innanzi al Tribunale di Milano, la Agenzia di Tutela della Salute della Città Metropolitana di Omissis di seguito, breviter ATS propose opposizione contro l'ordinanza-ingiunzione di pagamento n. 268 del 13 maggio 2021, emessa, nei suoi confronti, dall'Autorità garante per la protezione dei dati personali d'ora in avanti, più semplicemente, Garante o Autorità e notificatale il 20 luglio 2021, per avere l'ATS implementato il sistema di tracciamento epidemiologico Omissis in violazione dell'art. 5, par. 1, lett. a e f , e par. 2, nonché artt. 13, 25, 32 e 35 del Reg. UE 2016/679 di seguito, Regolamento . Chiese l'annullamento della menzionata ordinanza e la conseguente revoca della sanzione amministrativa pecuniaria, irrogatale nella misura di Euro 80.000, e delle relative sanzioni accessorie, o, in via subordinata, la riduzione dell'entità di detta sanzione pecuniaria. 1.1. In particolare, eccepì, in via preliminare, il difetto di legittimazione del Garante ad infliggere sanzioni pecuniarie alle pubbliche autorità, quale, appunto, l'Agenzia stessa. Evidenziò, poi, profili di carenza di adeguata motivazione dell'ordinanza-ingiunzione, altresì deducendo, nel merito i l'insussistenza delle violazioni contestatele, posto che il portale Omissis non consentiva di apprendere lo stato di positività degli utenti, se non tramite un'operazione logica articolata ii l'insussistenza dei presupposti per effettuare la valutazione di impatto ex art. 35 del Regolamento iii l'avvenuta predisposizione di un'informativa ai sensi dell'art. 13 di quest'ultimo. Rimarcò pure la possibilità di omettere o rendere l'informativa predetta in forma semplificata, giusta il D.L. n. 18 del 2020, art. 17-bis, rilevando la carenza di pregiudizio in capo agli interessati. Osservò, inoltre, che le eventuali violazioni, ove riscontrate, sarebbero state assistite, in ogni caso, dalla scriminante dello stato di necessità ex art. 54 c.p., e della L. n. 689 del 1981, art. 4, o, comunque, sarebbero state realizzate per causa di forza maggiore, in ragione dello stato di emergenza epidemiologica da COVID-19. Lamentò, infine, la violazione dell'art. 83 del Regolamento per mancata e/o erronea applicazione dei criteri per l'accertamento dell'illecito e per la determinazione dell'ammontare della sanzione. 1.2. Costituitosi il Garante, che contestò le avverse argomentazioni, l'adito tribunale, con sentenza del 31 maggio 2022, n. 4135, così dispose 1 respinge il ricorso proposto da ATS della Città Metropolitana di Omissis avverso il provvedimento del Garante per la Protezione dei dati personali n. 268 del 13.5.2021 2 Condanna altresì la parte ricorrente a rimborsare alla parte resistente le spese di lite, che si liquidano in Euro 8.250,00 per compensi oltre accessori di legge . 1.3. Per quanto qui ancora di interesse, quel tribunale, ritenuta la legittimazione del Garante ad irrogare sanzioni pecuniarie anche alle pubbliche amministrazioni, opinò che i l'ATS non aveva provato che lo stato di positività degli utenti inseriti nel portale non fosse agevolmente desumibile ii l'ATS aveva violato il principio cd. privacy by design di cui all'art. 25 del Regolamento privacy iii il D.L. n. 18 del 2020, art. 17-bis, era inapplicabile alla fattispecie dedotta in causa iv era necessaria la valutazione di impatto ex art. 35 del Regolamento v dovevano escludersi, nella fattispecie, la scriminante dello stato di necessità e la causa di forza maggiore vi non vi era stata alcuna violazione dei criteri di accertamento dell'illecito e di determinazione della sanzione, né era stato trasgredito l'obbligo di motivazione della ordinanza-ingiunzione. 3. Per la cassazione dell'appena descritta sentenza ha promosso ricorso la Agenzia di Tutela della Salute della Città Metropolitana di Omissis ATS , affidandosi ad undici motivi, illustrati anche da memoria ex art. 380-bis.1 c.p.c Ha resistito, con controricorso, il Garante per la protezione dei dati personali. Ragioni della decisione 1. Il primo motivo ricorso, rubricato Violazione ed errata applicazione dell'art. 115 c.p.c., ex art. 360 c.p.c., comma 1, n. 3 , in relazione alla memoria del Garante depositata in data 02.05.2022 , contesta al tribunale di avere utilizzato, per addivenire alla propria decisione, la memoria del Garante del 2 maggio 2022. Si deduce, in proposito, che il giudice di primo grado aveva assegnato termine perentorio ad entrambe le parti per il deposito di memorie conclusive fino a 5 giorni prima della udienza del 5 aprile 2022. Il Garante decideva di non avvalersi di tale facoltà e non depositava alcuna memoria integrativa, decadendo, pertanto, dalla possibilità di depositare note conclusive. All'udienza del 5 aprile 2022, il Tribunale di Milano, dopo l'avvenuta discussione, inopinatamente, rinviava ad ulteriore discussione all'udienza del 12.5.2022 dando irrituale termine - in palese e totale contraddizione con il proprio disposto del 4.2.2022 - al solo Garante per la privacy per il deposito di una ulteriore esclusiva e conclusiva memoria di replica alla memoria integrativa ATS, nel termine di 10 giorni prima della successiva udienza in tal modo irritualmente rimettendo in termini la sola difesa del Garante e non consentendo - nonostante esplicita istanza verbale formulata all'udienza del 12.5.2022 - all'ATS di replicare nella stessa forma . 1.1. Esso si rivela inammissibile, atteso che dal provvedimento impugnato non emerge quanto riferito dalla ATS circa un termine assegnato solo al Garante per la nuova udienza del 12 maggio 2012 cfr. pag. 3, dove si legge, soltanto, che La causa, all'esito della prima udienza tenutasi in data 2.2.2022, in cui è stata respinta l'istanza di sospensione del provvedimento, è stata rinviata per la discussione e contestuale lettura del dispositivo all'udienza del 5.4.2022, udienza poi differita al 12.5.2022, con assegnazione alle parti di termini per il deposito di memorie conclusive. In tale udienza, all'esito della discussione, le parti hanno concluso come da rispettivi atti introduttivi ed il Tribunale ha dato lettura e depositato il dispositivo alle parti presenti né, in ricorso, è stato riprodotto il tenore letterale del verbale di udienza del 5 aprile 2012, in cui quel termine sarebbe stato assegnato soltanto all'odierno controricorrente. 1.1.1. Va ricordato, in proposito, che i allorquando l'indagine sia diretta ad accertare se il giudice di merito sia incorso in un error in procedendo tale dovendosi correttamente qualificare quello ascritto dal motivo in esame al tribunale milanese , la Corte di cassazione è giudice anche del fatto processuale cfr. Cass., SU, n. 20181 del 2019 Cass. n. 1738 del 1988 Cass., SU, n. 3195 del 1969 ii questa Corte cfr. anche nelle rispettive motivazioni, Cass., SU, n. 20181 del 2019 Cass. n. 2771 del 2017 ha già condivisibilmente affermato che la stessa, allorquando sia denunciato un error in procedendo, essendo anche giudice del fatto, ha il potere di esaminare direttamente gli atti di causa ma con la precisazione che, non essendo il predetto vizio rilevabile ex officio, è necessario una sollecitazione del potere di accertamento del vizio e cioè che la parte ricorrente indichi gli elementi individuanti e caratterizzanti il fatto processuale di cui richiede il riesame. Sicché il corrispondente motivo in tanto è ammissibile ove contenga, per il principio di autosufficienza del ricorso, tutte le precisazioni ed i riferimenti necessari ad individuare la dedotta violazione processuale. Infatti, il potere-dovere della Corte di esaminare direttamente gli atti processuali non significa che la medesima debba ricercarli autonomamente, spettando, invece, alla parte allegarli ed indicarli cfr. Cass. n. 978 del 2007 . 1.2. In ogni caso, la censura nemmeno specifica in cosa sia consistita, in concreto, la invocata lesione del diritto di difesa di ATS, e ciò considerato pure che, comunque, all'udienza del 12 maggio 2022, le parti hanno potuto discutere innanzi al tribunale, sicché la odierna ricorrente ben avrebbe potuto confutare, in quella sede, eventuali argomentazioni, non precedentemente introdotte in giudizio, contenute nella memoria oggi contestata. 2. Il secondo motivo ricorso è intitolato Errata applicazione dell'art. 83 del Reg. UE n. 679/2016, ex art. 360 c.p.c., comma 1, n. 3 , in relazione alla ritenuta sussistenza della legittimazione del Garante ad irrogare sanzioni pecuniarie nei confronti delle pubbliche amministrazioni . La ricorrente insiste nel già eccepito difetto di legittimazione del Garante per la protezione dei dati personali ad infliggere sanzioni pecuniarie alle pubbliche autorità, non esistendo alcuna norma dedicata alle casistiche ed alla entità delle sanzioni che il Garante può adottare nei confronti di enti pubblici norma non introdotta dal legislatore statale, benché prevista dal Regolamento Europeo quale condizione imprescindibile della sanzionabilità, dal punto di vista pecuniario, degli enti pubblici. Vengono contestate, dunque, le argomentazioni con cui il tribunale ha motivato la propria contraria opinione secondo cui, invece, nel nostro ordinamento, il Garante per la protezione dei dati personali è legittimato ad irrogare sanzioni amministrative pecuniarie nei confronti di autorità pubbliche . 2.1. Questa doglianza risulta infondata alla stregua delle argomentazioni tutte di cui appresso. 2.2. Giusta il Considerando 150 del Regolamento UE n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati , Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili per violazione del presente regolamento, ogni autorità di controllo dovrebbe poter imporre sanzioni amministrative pecuniarie. Il presente regolamento dovrebbe specificare le violazioni, indicare il limite massimo e i criteri per prevedere la relativa sanzione amministrativa pecuniaria, che dovrebbe essere stabilita dall'autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in particolare della natura, gravità e durata dell'infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione. . . Dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie. . . 2.2.1. L'art. 83 del medesimo Regolamento rubricato Condizioni generali per infliggere sanzioni amministrative pecuniarie , inoltre, dispone, tra l'altro, che . . 7. Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'art. 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro. . . 2.2.2. Secondo la qui condivisa giurisprudenza di legittimità cfr., anche in motivazione, Cass. n. 24664 del 2023 , infine, il preambolo di un atto dell'Unione non ha alcun valore giuridico vincolante e non può essere invocato né per derogare alle disposizioni stesse dell'atto in questione, né per interpretare queste disposizioni in un senso manifestamente contrario al loro tenore letterale v., in tal senso, Corte giust., 25 novembre 2020, C303/19, INPS, punto 32 Corte giust., 19 novembre 1998, Nilsson e a., C-162/97, punto 54 Corte giust., 19 dicembre 2019, Puppinck e a./Commissione, punto 76 v. anche Cass. n. 7280 del 2022, secondo cui i considerando riportati in un Regolamento UE, svolgono la funzione di spiegare le ragioni dell'intervento normativo e ne integrano la concisa motivazione , ma non contengono enunciati di carattere normativo . Tuttavia è consentito, far riferimento alla finalità della normativa , ciò che conduce all'esame a fini ermeneutici dei considerando i quali riportano ragioni e motivi della nuova normativa e rappresentano, quindi, un ausilio per l'interprete , ad esempio in caso di dispositivo di non immediata intelligibilità. 2.2.3. E' innegabile, dunque, in virtù della suddetta normativa sovranazionale, la correttezza dell'affermazione del tribunale milanese secondo cui ciascuno Stato membro può prevedere norme che precisino l'an ed il quantum delle sanzioni amministrative pecuniarie avverso soggetti con qualifiche pubblicistiche. Conclusione, questa, cui certamente non ostano le Linee guida n. 253/2017 dell'European Data Protection Board EDPB , prive di qualsivoglia portata innovativa nella materia in questione, che ribadiscono quanto prescritto dal menzionato Regolamento circa la discrezionalità degli Stati membri sul potere sanzionatorio del Garante per la protezione dei dati personali né il parere della Commissione Europea pure invocato dalla odierna ricorrente, in cui, sostanzialmente, ci si limita a stabilire quanto disposto dal Considerando 150 al medesimo Regolamento n. 2016/679. 2.3. Va rilevato, poi, che il D.Lgs. 30 gennaio 2003, n. 196 cd. Codice della privacy , all'art. 166 nel testo, qui applicabile ratione temporis, vigente tra il 27 settembre 2018 e l'8 ottobre 2021, discutendosi oggi di una sanzione comminata con un'ordinanza ingiunzione del 13 maggio 2021, notificata il successivo 20 luglio 2021 , sancisce, tra l'altro, che 1. Sono soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 4, del Regolamento il riferimento è a quello UE n. 2016/679. Ndr le violazioni delle disposizioni di cui all'art. 2-quinquies, commi 2, 2-quinquiesdecies, art. 92, comma 1, art. 93, comma 1, art. 123, comma 4, art. 128, art. 129, comma 2, e art. 132-ter. Alla medesima sanzione amministrativa è soggetto colui che non effettua la valutazione di impatto di cui all'art. 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma. 2. Sono soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui all'art. 2-ter, art. 2-quinquies, comma 1, art. 2-sexies, art. 2-septies, comma 8, art. 2-octies, art. 2-terdecies, commi 1, 2, 3 e 4, art. 52, commi 4 e 5, artt. 75, 78, 79, 80, 82, art. 92, comma 2, art. 93, commi 2 e 3, artt. 96, 99, art. 100, commi 1, 2 e 4, art. 101, art. 105, commi 1, 2 e 4, art. 110-bis, commi 2 e 3, artt. 111, 111-bis, art. 116, comma 1, art. 120, comma 2, art. 122, art. 123, commi 1, 2, 3 e 5, artt. 124, 125, 126, art. 130, commi da 1 a 5, artt. 131, 132, art. 132-bis, comma 2, art. 132-quater, art. 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli artt. 2-septies e 2-quater. 3. Il Garante è l'organo competente ad adottare i provvedimenti correttivi di cui all'art. 58, paragrafo 2, del Regolamento, nonché ad irrogare le sanzioni di cui all'art. 83 del medesimo Regolamento e di cui ai commi 1 e 2. 4. Il procedimento per l'adozione dei provvedimenti e delle sanzioni indicati al comma 3 può essere avviato, nei confronti sia di soggetti privati, sia di autorità pubbliche ed organismi pubblici, a seguito di reclamo ai sensi dell'art. 77 del Regolamento o di attività istruttoria d'iniziativa del Garante, nell'ambito dell'esercizio dei poteri d'indagine di cui all'art. 58, paragrafo 1, del Regolamento, nonché in relazione ad accessi, ispezioni e verifiche svolte in base a poteri di accertamento autonomi, ovvero delegati dal Garante. 5. L'Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attività di cui al comma 4 configurino una o più violazioni indicate nel presente titolo e nell'art. 83, paragrafi 4, 5 e 6, del Regolamento, avvia il procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni, nel rispetto delle garanzie previste dal Regolamento di cui al comma 9, salvo che la previa notifica della contestazione non risulti incompatibile con la natura e le finalità del provvedimento da adottare. . . 7. Nell'adozione dei provvedimenti sanzionatori nei casi di cui al comma 3 si osservano, in quanto applicabili, della L. 24 novembre 1981, n. 689, artt. da 1 a 9, artt. da 18 a 22 e artt. da 24 a 28 . . 2.3.1. La lettura congiunta dei commi dell'appena riportata disposizione ed il potere di avviare procedimenti finalizzati alla pronuncia, anche contro autorità pubbliche o organismi pubblici, di provvedimenti recanti le sanzioni tutte di cui all'art. 83 del menzionato Regolamento UE n. 2016/679, comportano, allora, necessariamente e logicamente diversamente, infatti, dovrebbe giungersi alla conclusione, affatto incoerente, che il legislatore consenta di avviare un procedimento volto ad irrogare una sanzione pecuniaria nei confronti di una pubblica autorità e poi escluda che quel procedimento possa concludersi con l'effettiva applicazione della sanzione stessa , che il Garante per la protezione dei dati personali possa infliggere sanzioni anche ad autorità e/o organismi pubblici. Invero, come pure condivisibilmente chiarito dal tribunale, la circostanza che la disposizione nazionale legittimi il Garante ad irrogare l'intero novero delle sanzioni prescritte dall'art. 83, senza alcun riferimento specifico alle sanzioni pecuniarie, dimostra la volontà di attribuire all'autorità garante la facoltà di adottare tutte le tipologie di sanzioni prescritte dal Regolamento, ivi incluse quelle di natura pecuniaria , mentre la circostanza che il legislatore non abbia inteso differenziare la cornice edittale delle sanzioni pecuniarie a seconda della qualità pubblica o meno rivestita dal destinatario rientra nella sua insindacabile discrezionalità . Alteris verbis, costituisce il frutto di una scelta di politica legislativa, legittima ed insindacabile nell'ambito delle opzioni consentite dal Regolamento suddetto, quella di aver posto sullo stesso piano, e senza distinzioni di sorta, per quanto riguarda l'applicabilità di sanzioni pecuniarie, soggetti pubblici e privati. 2.3.2. Resta soltanto da dire che numerose sono le pronunce di legittimità cfr., tra le più recenti, Cass. n. 26267 del 2023 e Cass. n. 29323 del 2021, riguardanti entrambe sanzioni del Garante contro la Regione Autonoma Valle D'Aosta Cass. n. 8942 del 2023, concernente una sanzione del Garante contro la Provincia di Benevento Cass. n. 6177 del 2023, avente ad oggetto una sanzione del Garante contro l'Istituto Nazionale per la Previdenza Sociale intervenute in procedimenti aventi ad oggetto contestazioni di sanzioni inflitte dal Garante ad enti e/o organismi pubblici, e la Suprema Corte, accogliendo o respingendo i corrispondenti ricorsi, annullando o confermando le sanzioni pecuniarie irrogate dal Garante, mai ha posto in dubbio così implicitamente riconoscendola il potere di quest'ultimo di cui qui oggi si discute. 2.4. La censura in esame, dunque, va respinta, contestualmente enunciandosi il seguente principio di diritto In tema di violazioni della disciplina relativa al trattamento dei dati personali, il Garante per la protezione di questi ultimi può infliggere sanzioni amministrative pecuniarie anche ad autorità pubbliche e/o organismi pubblici . 3. Il terzo motivo ricorso lamenta la Violazione ed errata applicazione dell'art. 115 c.p.c., ex art. 360 c.p.c., comma 1, n. 3 e violazione ed errata applicazione dell'art. 32 del Reg. UE n. 679/2016 e del provvedimento del Garante privacy del 2.12.1999, ex art. 360 c.p.c., comma 1, n. 3 , sulla conoscibilità dello stato di positività, sistema di monitoraggio e assenza di nocumento in capo agli utenti . Si censura il provvedimento impugnato laddove ha ritenuto che i l'ATS non abbia fornito elementi di prova da cui evincere che la conoscibilità del dato riguardante lo stato di salute degli utenti non fosse agevole ii le misure adottate dall'ATS consentissero comunque di conoscere se un cittadino dell'area milanese fosse, o fosse stato, positivo, al Covid-19 inserendo il codice fiscale ed il suo numero di telefonia mobile. Si assume che Il Tribunale non ha correttamente valutato che l'inserimento di codice fiscale e del numero di telefono nella home page del portale determinava unicamente l'apertura di una finestra informativa priva di dati o di informazioni personali. I dati richiesti per l'inserimento nel portale non erano immediatamente reperibili in quanto vi era la necessità di avere entrambe le tipologie di dati CF e numero telefonico di difficile contemporanea conoscibilità da parte di estranei. La deduzione dello stato di positività, peraltro, richiedeva la perfetta conoscenza delle caratteristiche tecniche del funzionamento del portale, con un'operazione logica articolata. A differenza di quanto sostenuto dal Tribunale, l'ATS ha evidenziato tale operazione. L'accesso alle informazioni del portale sarebbe potuto avvenire solo mediante la contemporanea conoscenza anzi conoscibilità da parte di un soggetto terzo del codice fiscale e del numero di telefono di un utente come si diceva, dati già singolarmente non di facile apprensione e di non univoca interpretazione . Si afferma, inoltre, che la decisione oggi impugnata ha altresì travisato il reale contenuto del provvedimento del Garante per la protezione dei dati personali, del 2.12.1999 . 3.1. Questa doglianza si rivela complessivamente inammissibile. 3.2. Invero, giova premettere che i il vizio di cui all'art. 360 c.p.c., comma 1, n. 3 invocato nella censura in esame può rivestire la forma della violazione di legge intesa come errata negazione o affermazione dell'esistenza o inesistenza di una norma, ovvero attribuzione alla stessa di un significato inappropriato e della falsa applicazione di norme di diritto intesa come sussunzione della fattispecie concreta in una disposizione non pertinente perché, ove propriamente individuata ed interpretata, riferita ad altro, ovvero deduzione da una norma di conseguenze giuridiche che, in relazione alla fattispecie concreta, contraddicono la sua, pur corretta, interpretazione. Cfr. Cass. n. 26789 del 2023 Cass. n. 16541 del 2023 Cass. n. 13787 del 2023 Cass. n. 9014 del 2023 Cass. n. 2413 del 2023 Cass. n. 1015 del 2023 Cass. n. 5490 del 2022 Cass. n. 3246 del 2022 Cass. n. 596 del 2022 Cass. n. 40495 del 2021 Cass. n. 28462 del 2021 Cass. n. 25343 del 2021 Cass. n. 4226 del 2021 Cass. n. 395 del 2021 Cass. n. 27909 del 2020 Cass. n. 4343 del 2020 Cass. n. 27686 del 2018 . E' opportuno rimarcare, inoltre, che questa Corte, ancora recentemente cfr., pure nelle rispettive motivazioni, oltre alle pronunce appena citate, Cass. n. 35041 del 2022, Cass. n. 33961 del 2022 e Cass. n. 13408 del 2022 , ha chiarito, tra l'altro, che i-a non integra violazione, né falsa applicazione di norme di diritto, la denuncia di una erronea ricognizione della fattispecie concreta in funzione delle risultanze di causa, poiché essa si colloca al di fuori dell'ambito interpretative ed applicativo della norma di legge i-b il discrimine tra violazione di legge in senso proprio per erronea ricognizione dell'astratta fattispecie normativa ed erronea applicazione della legge in ragione della carente o contraddittoria ricostruzione della fattispecie concreta è segnato dal fatto che solo quest'ultima censura, diversamente dalla prima, è mediata dalla contestata valutazione delle risultanze di causa cfr. Cass. n. 10313 del 2006 Cass. n. 195 del 2016 Cass. n. 26110 del 2015 Cass. n. 8315 del 2013 Cass. n. 16698 del 2010 Cass. n. 7394 del 2010 i-c le doglianze attinenti non già all'erronea ricognizione della fattispecie astratta recata dalle norme di legge, bensì all'erronea ricognizione della fattispecie concreta alla luce delle risultanze di causa, ineriscono tipicamente alla valutazione del giudice di merito cfr. Cass. n. 13238 del 2017 Cass. n. 26110 del 2015 ii come puntualizzato da Cass. nn. 16303 e 11299 del 2023 cfr. nelle rispettive motivazioni , un'autonoma questione di malgoverno dell'art. 115 c.p.c., può porsi solo allorché la parte ricorrente alleghi che il giudice di merito abbia posto a base della decisione prove non dedotte dalle parti ovvero disposte d'ufficio al di fuori o al di là dei limiti in cui ciò è consentito dalla legge cfr. Cass., SU, n. 20867 del 2020, che ha pure precisato che e' inammissibile la diversa doglianza che egli, nel valutare le prove proposte dalle parti, abbia attribuito maggior forza di convincimento ad alcune piuttosto che ad altre, essendo tale attività valutativa consentita dall'art. 116 c.p.c. . 3.3. Va rimarcato, poi, che, il tribunale milanese ha ampiamente argomentato cfr. pag. 4-6 della sentenza impugnata le ragioni per cui ha opinato che l'ATS non aveva fornito elementi di prova da cui evincere che la conoscibilità del dato riguardante lo stato di salute degli utenti non fosse agevole attesa la inidoneità a garantire la sicurezza di quei dati un sistema cd. a doppia chiave cui poteva accedersi conoscendo il codice fiscale ed un numero telefonico del soggetto ivi inserito come, appunto, il sistema di tracciamento epidemiologico Omissis , nella sua versione originariamente implementata da ATS. Il giudice di merito, peraltro, ha rimarcato pure che proprio quest'ultima, benché conscia della necessità di una terza chiave ultime cifre della tessera sanitaria per garantire una maggiore sicurezza dei dati ivi inseriti, aveva fatto partire comunque l'applicativo per il sistema di tracciamento predetto, ancor prima della realizzazione di tale terza chiave ritardata dall'inadempimento della società cui era stata commissionata , attesa la grave situazione che si era creata in Lombardia, nell'ottobre 2020, per la recrudescenza della pandemia da Covid-19 e la impossibilità, altrimenti, di eseguire efficacemente i tracciamenti. 3.3.1. Orbene, a fronte di questa complessiva valutazione, fondata su accertamenti di natura chiaramente fattuale, la censura in esame si risolve, sostanzialmente, in un'inammissibile richiesta di sua rivisitazione, così mostrando, tuttavia, di non considerare che il vizio di cui all'art. 360 c.p.c., comma 1, n. 3, come si è già anticipato, non può essere mediato dalla riconsiderazione delle risultanze istruttorie e che il giudizio di legittimità non può essere surrettiziamente trasformato in un nuovo, non consentito, ulteriore grado di merito, nel quale ridiscutere gli esiti istruttori espressi nella decisione impugnata, non condivisi e, per ciò solo, censurati al fine di ottenerne la sostituzione con altri più consoni alle proprie aspettative cfr. Cass. n. 21381 del 2006, nonché, tra le più recenti, Cass. n. 8758 del 2017 Cass., SU, n. 34476 del 2019 Cass. n. 32026 del 2021 Cass. n. 40493 del 2021 Cass. n. 1822 del 2022 Cass. n. 2195 del 2022 Cass. n. 3250 del 2002 Cass. n. 5490 del 2022 Cass. n. 9352 del 2022 Cass. 13408 del 2022 Cass. n. 15237 del 2022 Cass. n. 21424 del 2022 Cass. n. 30435 del 2022 Cass. n. 35041 del 2022 Cass. n. 35870 del 2022 Cass. n. 1015 del 2023 Cass. n. 7993 del 2023 Cass. n. 11299 del 2023 Cass. n. 13787 del 2023 Cass. n. 14595 del 2023 Cass. n. 17578 del 2023 Cass. n. 26796 del 2023 . 4. Il quarto motivo ricorso, rubricato Violazione ed errata applicazione degli artt. 25 e 32 del Reg. UE n. 679/2016 in ordine al principio della privacy by design , ascrive al tribunale di avere ritenuto, erroneamente i che il Garante abbia provato che sia stato violato il principio cd. privacy by design di cui all'art. 25 del Reg. UE n. 679/2016, che consiste nella prescrizione al titolare di un trattamento dei dati personali, nell'implementare un trattamento di tali dati, di attuare le misure di sicurezza idonee a garantire il rispetto della disciplina sulla privacy, preventivamente alla effettuazione del trattamento ii ininfluente, ai sensi degli artt. 32 e 25 del Regolamento UE, il fatto che indebiti accessi non si sono mai verificati e, comunque, non sono stati accertati. 4.1. La corrispondente censura, tuttavia, - pure volendosi prescindere dagli asseriti profili di sua inammissibilità per novità evidenziati dal controricorrente - è complessivamente infondata. 4.2. Invero, il già citato Regolamento UE n. 2016/679 dispone i all'art. 25 rubricato Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita , che 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell'art. 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo ii al successivo art. 32 rubricato Sicurezza del trattamento , che 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso a la pseudonimizzazione e la cifratura dei dati personali b la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento c la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico d una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'art. 40 o a un meccanismo di certificazione approvato di cui all'art. 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri . 4.2.1. Come appare evidente, quindi, il principio privacy by design ha lo scopo di garantire l'esistenza di un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione design di qualunque sistema, servizio, prodotto o processo così come durante il loro ciclo di vita. Esso, in altre parole, punta ad assicurare un corretto livello di protezione dei dati in tutte le attività di trattamento ed attuazioni effettuate all'interno di una organizzazione. 4.2.2. Per l'adempimento di questo principio, titolare e responsabile del dato devono essere proattivi e preventivi, valutando e predisponendo le misure tecniche ed organizzative idonee ad integrare nel trattamento le garanzie per la tutela dell'interessato e ad applicare i principi fondamentali della protezione di dati specificati nell'art. 5 del Regolamento UE n. 2016/679 quali trasparenza, limitazione delle finalità e minimizzazione. Queste misure potranno comprendere diverse soluzioni sia avanzate, come l'uso di sistemi di codifica sia di semplice ma non banale applicazione, come la formazione di base del personale. In ogni caso, per la sua implementazione, l'organizzazione deve tenere conto di alcuni elementi imprescindibili, vale a dire a il contesto in cui si svolge il trattamento e che può influenzare l'interessato la natura o caratteristiche del trattamento l'ambito di applicazione, inteso come l'estensione del trattamento e la finalità del trattamento, ovvero, gli obbiettivi b i potenziali rischi in materia di diritti e libertà degli interessati c lo stato dell'arte, cioè gli attuali progressi compiuti dalla tecnologia disponibile sul mercato d i costi di attuazione, intesi come il tempo e le risorse umane, in modo tale che siano impiegate misure adatte ed efficaci per la protezione dei dati, evitando l'utilizzo di una quantità sproporzionata di risorse. Tutto ciò con la finalità di integrare salvaguardie sufficienti nel trattamento dei dati da effettuare. 4.2.3. In definitiva, il sistema di tutela dei dati personali deve porre l'utente al centro, così obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale, non solo formale non è sufficiente, cioè, che la progettazione del sistema sia conforme alla norma se, poi, l'utente non è tutelato. Dall'art. 25 suddetto si evince, allora, che l'approccio del menzionato Regolamento UE è centrato, tra l'altro, sulla valutazione del rischio risk based approach , per cui le aziende devono valutare il rischio inerente alle loro attività. Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Tale valutazione del rischio va fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. 4.3. Nella vicenda oggi all'attenzione del Collegio, invece, è assolutamente pacifica la circostanza fattuale dell'avvenuto avvio dell'utilizzo del sistema di tracciamento epidemiologico Omissis , da parte di ATS, senza la terza chiave cui si è fatto cenno trattandosi il motivo precedente, sicché è palese l'avvenuta violazione, da parte dell'odierna ricorrente, del principio di cui si discute, in forza del quale, come si è detto, il titolare del trattamento, nell'implementare un processo che determina il trattamento di dati personali, deve attuare, prima che il trattamento abbia luogo e non dopo, come, appunto, avvenuto nella specie, allorquando ATS ha aggiunto la terza chiave al fine di garantire un adeguato standard di sicurezza ai dati sanitari dei fruitori del portale , tutte le misure idonee a garantire il rispetto della disciplina in materia. Quanto alla inadeguatezza, ritenuta dal tribunale, del sistema originariamente concepito da ATS come a doppia chiave, non resta che ribadire quanto si è già riferito al fine di disattendere il motivo precedente. 5. Il quinto motivo ricorso, recante Violazione ed errata applicazione del D.L. n. 18 del 2020, art. 17-bis, ex art. 360 c.p.c., comma 1, n. 3 , in ordine alla possibilità di informativa semplificata od omissione della stessa, nonché del D.Lgs. n. 196 del 2003, artt. 77 e segg., e degli artt. 9 e 13 del regolamento, ex art. 360 c.p.c., comma 1, n. 3 , in ordine alla informativa delle strutture socio-sanitarie , critica la sentenza impugnata laddove ha opinato che l'ATS non aveva indicato tutti gli elementi previsti dall'art. 13 del Regolamento UE, in ordine al rilascio della informativa. Secondo la ricorrente, invece, doveva ritenersi sufficiente, per il trattamento dei dati in questione, l'informativa di carattere generale da essa fornita, indicativa anche della base giuridica e delle finalità del trattamento. La stessa richiama, inoltre, del D.L. n. 18 del 2020, art. 17-bis, comma 5, che aveva riconosciuto alle strutture del servizio sanitario nazionale la possibilità di omettere tout court l'informativa di cui al citato art. 13 o di fornirla in forma semplificata. 5.1. Esso si rivela complessivamente insuscettibile di accoglimento. 5.2. Giova premettere che l'art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato del più volte citato Regolamento n. 2016/679, dispone che 1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni a l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante b i dati di contatto del responsabile della protezione dei dati, ove applicabile c le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento d qualora il trattamento si basi sull'art. 6, paragrafo 1, lettera f , i legittimi interessi perseguiti dal titolare del trattamento o da terzi e gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali f ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'art. 46 o art. 47, o all'art. 49, paragrafo 1, comma 2, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili. 2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente a il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo b l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati c qualora il trattamento sia basato sull'art. 6, paragrafo 1, lettera a , oppure sull'art. 9, paragrafo 2, lettera a , l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca d il diritto di proporre reclamo a un'autorità di controllo e se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati f l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. 3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2. 4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni . 5.3. Orbene, il giudice di merito ha opinato, quanto alla completezza dell'informativa fornita da ATS, che l'informativa generale predisposta non ha individuato le norme in virtù delle quali il trattamento veniva svolto e quindi la base giuridica del trattamento, nonché le specifiche modalità del trattamento il cd. ciclo di vita del dato come viene appreso, come viene processato e conservato dal titolare nell'ambito del portale ecc. . Inoltre, non sono state compiutamente individuate le finalità del trattamento atteso che ATS avrebbe dovuto esplicitare le necessità di tracciamento alla base dell'istituzione del portale. Deve dunque concludersi che l'informativa fornita non rispetta i crismi di cui all'art. 13 del Regolamento cfr. pag. 6 della sentenza impugnata . 5.3.1. Orbene, nella misura in cui la censura in esame contesta questa valutazione, fondata chiaramente su accertamenti fattuali, la stessa, in ragione delle argomentazioni che la sorreggono, si rivela inammissibile alla stregua dei principi già esposti nei precedenti pp. 3.2. e 3.3.1. di questa motivazione, da intendersi qui ribaditi, dunque, per quanto di ragione, per intuibili esigenze di sintesi. 5.4. Il tribunale milanese ha osservato pure, Venendo all'applicabilità del D.L. n. 18 del 2020, art. 17-bis, comma 5 , che esso non poteva trovare applicazione nel caso di specie, posto che La disposizione citata consente alle strutture pubbliche e private operanti nell'ambito del Servizio sanitario nazionale di omettere l'informativa di cui all'art. 13 del Regolamento o fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione. Nella specie, vista la natura del trattamento, l'Agenzia non avrebbe potuto avvalersi dell'esenzione di cui all'art. 13 cit. atteso che, il trattamento coinvolto nella contestazione è stato effettuato in via informatica, tramite una piattaforma web. Infatti, la nominata disposizione subordina la possibilità di omettere l'informativa ovvero fornirla in via semplificata alla previa comunicazione orale di tale limitazione. Vale la pena osservare che tale requisito non può essere soddisfatto laddove il trattamento sia effettuato con modalità informatiche, vista l'impossibilità di comunicazione orale con gli interessati. Inoltre, anche a volere ammettere l'astratta applicabilità dell'art. 17-bis cit. al trattamento in questione si osserva che il titolare del trattamento può avvalersi della esenzione o agevolazione ivi prevista a condizione che lo comunichi agli interessati. Nella specie, non risulta che ciò sia avvenuto. Deve dunque concludersi che il provvedimento del Garante per la protezione dei dati personali deve essere confermato nella parte in cui rileva la violazione dell'art. 13 del Regolamento cfr. pag. 6 della sentenza impugnata . 5.4.1. Il D.L. n. 18 del 2020, art. 17-bis, comma 5, convertito, con modificazioni, dalla L. n. 27 del 2020, sancisce nel testo, qui applicabile ratione temporis, vigente tra il 23 aprile 2021 ed il 22 luglio 2021, discutendosi oggi di una sanzione comminata con un'ordinanza ingiunzione del 13 maggio 2021, notificata il successivo 20 luglio 2021 che Nel contesto emergenziale in atto, ai sensi dell'art. 23, paragrafo 1, lettera e , del citato regolamento UE 2016/679, fermo restando quanto disposto dall'art. 82 del codice di cui al D.Lgs. 30 giugno 2003, n. 196, i soggetti di cui al comma 1 del presente articolo possono omettere l'informativa di cui all'art. 13 del medesimo regolamento o fornire un'informativa semplificata, previa comunicazione orale agli interessati dalla limitazione . 5.4.2. Nella specie, come si è anticipato, il tribunale ha considerato insussistente - stante la ritenuta inidoneità della modalità informatica con cui era avvenuto, tramite piattaforma web, il trattamento dei dati de quibus - il necessario requisito della preventiva comunicazione agli interessati al fine di non procedere, da parte di ATS, all'informativa di cui all'art. 13 del menzionato Regolamento UE n. 2016/679, ovvero di renderla in forma semplificata. 5.4.3. Dal canto suo, la censura in esame si risolve, in parte qua, ancora una volta, in una mera, inammissibile contrapposizione alla valutazione del giudice a quo di sostanziale inidoneità della suddetta preventiva comunicazione ad assicurare le finalità ad essa affidate dalla legge, di una contraria opinione della ricorrente, in spregio, dunque, ai già richiamati principi esposti nei precedenti pp. 3.2. e 3.3.1. di questa motivazione, da intendersi qui pure ribaditi, circa le caratteristiche e le modalità di deduzione del vizio di cui all'art. 360 c.p.c., comma 1, n. 3. 6. Il sesto motivo ricorso denuncia la Violazione ed errata valutazione dell'art. 35 del Reg. UE n. 679/2006, ex art. 360 c.p.c., comma 1, n. 3 , nonché omesso esame circa un fatto decisivo per il giudizio, oggetto di discussione tra le parti, di cui all'art. 360 c.p.c., comma 1, n. 5 , in ordine alla valutazione di impatto dei trattamenti previsti sulla protezione dati . Viene contestato il convincimento del giudice di prime cure secondo cui l'ATS avrebbe dovuto effettuare la valutazione di cui all'art. 35 del Regolamento e, in qualità di titolare, prima di procedere al trattamento , avrebbe dovuto effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali . Si assume che il peculiare contesto emergenziale imponeva un'attivazione immediata, non compatibile con l'adozione, pur prudenziale, di una valutazione di impatto e che, In ogni caso, il giudice ha errato nel ritenere sussistenti i requisiti che impongono l'effettuazione della valutazione, ai sensi dell'art. 35 del regolamento , necessaria solo allorché la natura, l'oggetto, il contesto, e le finalità del trattamento presentano un elevato rischio per i diritti e le libertà delle persone fisiche , nelle specie, invece, insussistente. Circa questo aspetto, peraltro, il tribunale non aveva minimamente considerato l'esistenza ed il contenuto delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato ai fini del regolamento UE 2016/679 redatte dal Gruppo di Lavoro di cui all'art. 29 della Direttiva 95/46/CE. 6.1. Questa doglianza si rivela complessivamente inammissibile alla stregua delle dirimenti considerazioni di cui appresso. 6.1.1. Innanzitutto, essa prospetta genericamente e cumulativamente vizi di natura eterogenea censure motivazionali ed errores in iudicando , in contrasto con la tassatività dei motivi di impugnazione per cassazione e con l'orientamento della giurisprudenza di legittimità per cui una simile tecnica espositiva riversa impropriamente sul giudice di legittimità il compito di isolare, all'interno di ciascun motivo, le singole censure cfr., ex plurimis, Cass. n. 26789 del 2023 Cass. n. 14593 del 2023 Cass. n. 4528 del 2023 Cass. n. 35832 del 2022 Cass. n. 6866 del 2022 Cass. n. 33348 del 2018 Cass. n. 19761, n. 19040, n. 13336 e n. 6690 del 2016 Cass. n. 5964 del 2015 Cass. n. 26018 e n. 22404 del 2014 . In altri termini, in tema di ricorso per cassazione è inammissibile la mescolanza e la sovrapposizione di mezzi di impugnazione eterogenei, facenti riferimento alle diverse ipotesi contemplate dall'art. 360 c.p.c., comma 1, nn. 3, 4 e 5, non essendo consentita la prospettazione di una medesima questione sotto profili incompatibili, quali quelli della violazione di norme di diritto, sostanziali e processuali, che suppone accertati gli elementi del fatto in relazione al quale si deve decidere della violazione o falsa applicazione della norma, e del vizio di motivazione, che quegli elementi di fatto intende precisamente rimettere in discussione cfr. Cass. nn. 11222 e 2954 del 2018 Cass. nn. 27458, 23265, 16657, 15651, 8333, 8335, 4934 e 3554 del 2017 Cass. nn. 21016 e 19133 del 2016 Cass. n. 3248 del 2012 Cass. n. 19443 del 2011 una tale impostazione, che assegna al giudice di legittimità il compito di dare forma e contenuto giuridici alle lagnanze del ricorrente al fine di decidere successivamente su di esse, è inammissibile, perché sovverte i ruoli dei diversi soggetti del processo, e rende il contraddittorio aperto a conclusioni imprevedibili, gravando l'altra parte del compito di farsi interprete congetturale delle ragioni che il giudice potrebbe discrezionalmente enucleare dal conglomerato dell'esposizione avversaria. La doglianza, peraltro, nemmeno diversifica compiutamente, all'interno del motivo, le argomentazioni dello stesso volte a dimostrare la pretesa violazione di legge sostanziale e processuale da quelle dirette a rappresentare l'invocato vizio motivazionale. 6.1.2. Giova ricordare, poi, che, come ancora recentemente ribadito da Cass. n. 26789 del 2023 cfr. in motivazione i il vizio di motivazione, ancor più in rapporto all'attuale, richiamato testo dell'art. 360 c.p.c., comma 1, n. 5 cfr. Cass., SU, n. 8053 del 2014 , non può consistere nella difformità dell'apprezzamento dei fatti e delle prove dato dal giudice del merito rispetto a quello preteso dalla parte, spettando solo al giudice predetto individuare le fonti del proprio convincimento, valutare le prove, controllarne l'attendibilità e la concludenza, scegliere tra le risultanze istruttorie quelle ritenute idonee a dimostrare i fatti in discussione, dare prevalenza all'uno o all'altro mezzo di prova mentre alla Corte di cassazione non è conferito il potere di riesaminare e valutare autonomamente il merito della causa, bensì solo quello di controllare, sotto il profilo logico e formale e della correttezza giuridica, l'esame e la valutazione compiuti dal giudice del merito, cui è riservato l'apprezzamento dei fatti ii la già indicata nuova formulazione dell'art. 360 c.p.c., comma 1, n. 5, ha ormai ridotto al minimo costituzionale il sindacato di legittimità sulla motivazione, sicché si è chiarito cfr. tra le più recenti, anche nelle rispettive motivazioni, Cass. n. 956 del 2023 Cass. n. 33961 del 2022 Cass. n. 27501 del 2022 Cass. n. 26199 del 2021 Cass. n. 395 del 2021 Cass. n. 9017 del 2018 che è oggi denunciabile in Cassazione solo l'anomalia motivazionale che si tramuta in violazione di legge costituzionalmente rilevante, in quanto attinente all'esistenza della motivazione in sé, purché il vizio risulti dal testo della sentenza impugnata, a prescindere dal confronto con le risultanze processuali questa anomalia si esaurisce nella mancanza assoluta di motivi sotto l'aspetto materiale e grafico , nella motivazione apparente , nel contrasto irriducibile tra affermazioni inconciliabili e nella motivazione perplessa ed obiettivamente incomprensibile , - tutte fattispecie qui concretamente insussistenti - esclusa qualunque rilevanza del semplice difetto di sufficienza della motivazione cfr. Cass., SU, n. 8053 del 2014 Cass. n. 7472 del 2017. Nello stesso senso anche le più recenti Cass. n. 20042 del 2020 e Cass. n. 23620 del 2020 Cass. n. 395 del 2021, Cass. n. 1522 del 2021 e Cass. n. 26199 del 2021 Cass. n. 27501 del 2022 Cass. n. 33961 del 2022 o di sua contraddittorietà cfr. Cass. n. 7090 del 2022 Cass. n. 33961 del 2022 iii l'art. 360 c.p.c., comma 1, n. 5, nel testo introdotto dal D.L. n. 83 del 2012, convertito, con modificazioni, dalla L. n. 134 del 2012 qui applicabile ratione temporis, risultando impugnata una sentenza resa il 31 maggio 2022 , riguarda un vizio specifico denunciabile per cassazione relativo all'omesso esame di un fatto controverso e decisivo per il giudizio, da intendersi riferito ad un preciso accadimento o una precisa circostanza in senso storico naturalistico, come tale non ricomprendente questioni o argomentazioni, sicché sono inammissibili le censure che, come nella specie, irritualmente, estendano il paradigma normativo a quest'ultimo profilo cfr., ex aliis, anche nelle rispettive motivazioni, Cass. n. 31999 del 2022 Cass., SU, n. 23650 del 2022 Cass. n. 9351 del 2022 Cass. n. 2195 del 2022 Cass. n. 595 del 2022 Cass. n. 4477 del 2021 Cass. n. 395 del 2021 Cass. n. 22397 del 2019 Cass. n. 26305 del 2018 Cass., SU, n. 16303 del 2018 Cass. n. 14802 del 2017 Cass. n. 21152 del 2015 . 6.1.3. Sulle caratteristiche e modalità di deduzione del vizio di cui all'art. 360 c.p.c., comma 1, n. 3, ci si è già ampiamente soffermati in precedenza pp. 3.2. e 3.3.1. di questa motivazione . 6.2. Fermo quanto precede, la censura in esame si risolve, invece, sostanzialmente, in un'inammissibile cfr. Cass., SU, n. 34476 del 2019 critica al complessivo accertamento fattuale operato dal giudice a quo ed alla sua conclusione circa la ritenuta necessità, nella specie, della effettuazione della preventiva valutazione di impatto di cui all'art. 35 del Regolamento UE n. 2016/679 cfr., amplius, pag. 6-8 della sentenza impugnata - né potrebbe sostenersi, fondatamente, che l'argomentare del tribunale milanese abbia trascurato alcuni dati dedotti dalla odierna ricorrente per la semplice ragione di averli ritenuti, esplicitamente o implicitamente, irrilevanti - cui ATS intenderebbe opporre, sotto la formale rubrica di vizio di violazione di legge o di vizio motivazionale, una diversa valutazione, nuovamente dimenticando, però, che i il vizio di cui all'art. 360 c.p.c., comma 1, n. 3, come si è già riferito, non può essere mediato dalla riconsiderazione delle risultanze istruttorie, ma deve essere dedotto, a pena di inammissibilità del motivo giusta la disposizione dell'art. 366 c.p.c., n. 4, non solo con la indicazione delle norme che si assumono violate, ma anche, e soprattutto, mediante specifiche argomentazioni intelligibili ed esaurienti intese a motivatamente dimostrare in qual modo determinate affermazioni in diritto contenute nella decisione gravata debbano ritenersi in contrasto con le indicate norme regolatrici della fattispecie o con l'interpretazione delle stesse fornita dalla giurisprudenza di legittimità, diversamente impedendosi alla Corte regolatrice di adempiere al suo istituzionale compito di verificare il fondamento della lamentata violazione cfr. Cass. n. 16541 del 2023 Cass. n. 13787 del 2023 Cass. n. 11299 del 2023, Cass. n. 7993 del 2023 Cass. n. 35041 del 2022 ii il ricorso per cassazione non rappresenta uno strumento per accedere ad un ulteriore grado di merito nel quale far valere la supposta ingiustizia della sentenza impugnata, spettando esclusivamente al giudice di merito il compito di individuare le fonti del proprio convincimento, di controllarne l'attendibilità e la concludenza e di scegliere, tra le complessive risultanze del processo, quelle ritenute maggiormente idonee a dimostrare la veridicità dei fatti ad essi sottesi, dando così liberamente prevalenza all'uno o all'altro dei mezzi di prova acquisiti, salvo i casi tassativamente previsti dalla legge cfr. ex multis, anche nelle rispettive motivazioni, Cass. n. 11299 del 2023 Cass. n. 7993 del 2023 Cass. n. 35041 del 2022 Cass., SU, n. 34476 del 2019 Cass. n. 27686 del 2018 Cass., Sez. U, n. 7931 del 2013 Cass. n. 14233 del 2015 Cass. n. 26860 del 2014 . Alteris verbis, il giudizio di legittimità non può essere surrettiziamente trasformato in un nuovo, non consentito, ulteriore grado di merito, nel quale ridiscutere gli esiti istruttori espressi nella decisione impugnata, non condivisi e, per ciò solo, censurati al fine di ottenerne la sostituzione con altri più consoni alle proprie aspettative cfr. Cass. n. 21381 del 2006, nonché, tra le più recenti, Cass. n. 8758 del 2017 Cass., SU, n. 34476 del 2019 Cass. n. 32026 del 2021 Cass. n. 40493 del 2021 Cass. n. 1822 del 2022 Cass. n. 2195 del 2022 Cass. n. 3250 del 2002 Cass. n. 5490 del 2022 Cass. n. 9352 del 2022 Cass. 13408 del 2022 Cass. n. 15237 del 2022 Cass. n. 21424 del 2022 Cass. n. 30435 del 2022 Cass. n. 35041 del 2022 Cass. n. 35870 del 2022 Cass. n. 1015 del 2023 Cass. n. 7993 del 2023 Cass. n. 11299 del 2023 Cass. n. 13787 del 2023 Cass. n. 14595 del 2023 Cass. n. 17578 del 2023 . 7. Il settimo motivo ricorso prospetta la Violazione ed errata valutazione della L. n. 689 del 1981, art. 4 e dell'art. 54 c.p., ex art. 360 c.p.c., comma 1, n. 3 , nonché omesso esame circa un fatto decisivo per il giudizio, oggetto di discussione tra le parti, di cui all'art. 360 c.p.c., comma 1, n. 5 , sullo stato di necessità e sul caso fortuito , per avere il tribunale totalmente disatteso l'applicazione delle norme in materia di stato di necessità, ritenendo insussistente, nella specie, il requisito della inevitabilità del pericolo, né avendo inteso considerare la situazione in cui si è venuta a trovare l'ATS quale un vero e proprio caso fortuito vale a dire un evento naturale imprevisto ed imprevedibile, che prescinde dalla volontà umana ed esclude la colpevolezza dell'agente che, in presenza o in occasione di esso, abbia commesso un illecito. 7.1. Pure questo motivo è inammissibile, alla stregua dei medesimi principi già esposti e/o richiamati nei precedenti pp. 3.2., 3.3.1., 6.1.1., 6.1.2., 6.1.3. e 6.2. da intendersi, qui, per brevità, nuovamente riportati . 7.1.1. Esso, invero, si risolve, sostanzialmente, in un'inammissibile cfr. Cass., SU, n. 34476 del 2019 critica al complessivo accertamento fattuale operato dal giudice a quo ed alla sua conclusione circa la inconfigurabilità, nella specie, dei requisiti richiesti per l'applicazione del combinato disposto della L. n. 689 del 1981, art. 4 e art. 54 c.p., ovvero della sussistenza della forza maggiore cfr. amplius, pag. 8-11 della sentenza impugnata , - né potrebbe sostenersi, fondatamente, che l'argomentare del tribunale milanese abbia trascurato alcuni dati dedotti dalla odierna ricorrente per la semplice ragione di averli ritenuti, esplicitamente o implicitamente, irrilevanti - cui ATS intenderebbe opporre, affatto inammissibilmente per i principi in precedenza ricordati, sotto la formale rubrica di vizio di violazione di legge o di vizio motivazionale, una diversa valutazione. 7.1.2. Resta solo da dire che le medesime argomentazioni del tribunale valgono ad escludere, ragionevolmente, anche la configurabilità, nella specie, del cd. caso fortuito. 8. L'ottavo motivo ricorso, rubricato Sulla violazione ed errata valutazione degli artt. 58 e 83 del Regolamento UE n. 679/2016, ex art. 360 c.p.c., comma 1, n. 3 , sulla applicazione dei criteri di accertamento dell'illecito e determinazione della sanzione . Vengono contestati gli assunti con cui il tribunale ha opinato che i il provvedimento del Garante non sia viziato dalla violazione dell'art. 83 del Regolamento UE n. 679/2016 per mancata o erronea applicazione dei criteri per l'accertamento dell'illecito e la determinazione dell'ammontare della sanzione, in quanto ha ritenuto che l'art. 83, par. 4 , lett. a , del regolamento prescriva che - al verificarsi della violazione di specifiche disposizioni - sia indefettibile ed automatica l'irrogazione di sanzioni amministrative di natura pecuniaria ii il richiamo del Garante alle presunte norme violate era sufficiente come motivazione per l'irrogazione di tali sanzioni. Secondo la ricorrente, inoltre, quel giudice non solo non fornisce alcuna indicazione in merito agli elementi in base ai quali la sanzione dovrebbe essere applicata, applicazione evidentemente data per scontata dall'Autorità, ma omette o richiama senza alcuna valida argomentazione i criteri per l'accertamento dell'illecito e per la determinazione della sanzione . 8.1. Una siffatta doglianza si rivela complessivamente infondata, atteso che il tribunale, contrariamente a quanto lamentato dalla ricorrente, ha proceduto ad una concreta ed esaustiva valutazione circa la possibilità/utilità di comminarle la sanzione pecuniaria in assenza di altre parimenti efficaci, così escludendosi qualsivoglia avvenuta sua applicazione automatica . 8.1.1. In proposito, infatti, è sufficiente ricordare che nella sentenza oggi impugnata si legge, tra l'altro, cfr., amplius, pag. 11-13 che il Garante, nell'ambito del provvedimento opposto, ha correttamente irrogato una sanzione amministrativa pecuniaria vista la natura delle violazioni riscontrate da parte di ATS della Città metropolitana di Omissis . . Va evidenziato che tale soluzione è imposta dalla Regolamento UE 2016/679 . e, in particolare, dall'art. 83, par. 4, lett. a , nonché dal par. 5, lett. a e b , che richiamano il par. 2 della stessa disposizione. Ivi si prescrive, infatti, che alla violazione di specifiche disposizioni tra cui si annovera altresì la violazione delle disposizioni di cui agli artt. 5, 25, 32, 35, 13 del Regolamento contestata all'ATS nell'ordinanza opposta è necessariamente soggetta a sanzioni amministrative pecuniarie che sono inflitte in aggiunta alle misure di cui all'art. 58, paragrafo 2, lettere da a ad h e j , o in luogo di tali misure . In altre parole, tale disposizione proclama, nei casi ivi individuati, l'indefettibilità dell'irrogazione di sanzioni amministrative di natura pecuniaria. Deve dunque ritenersi che il richiamo effettuato dal Garante alle precedenti disposizioni esaurisce la valutazione circa la necessità di applicare sanzioni amministrative pecuniarie nella specie, atteso che essa è autoritativamente imposta dal Regolamento. . . Resta privo di pregio il rilievo in base al quale, nella specie, sarebbe stata maggiormente adeguata una sanzione di natura correttiva, atteso che la condotta contestata dal Garante all'ATS aveva esaurito i suoi effetti all'esito del procedimento. Deve escludersi, infatti, che il Garante avrebbe potuto adottare una sanzione di natura diversa da quella pecuniaria senza contraddire quanto espressamente previsto dalle disposizioni supra citate. Ciò anche laddove, come nella specie, la condotta illecita aveva esaurito i propri effetti all'esito del procedimento. Si deve inoltre ritenere che, contrariamente a quanto sostenuto dal ricorrente, dal provvedimento del Garante si evince la ragione per la quale il danno subito dagli interessati sarebbe di livello medio. Infatti, alla luce del provvedimento complessivamente considerato, è evidente che il Garante sia giunto a quella conclusione considerando l'esito dell'istruttoria dalla quale è emerso che in data Omissis , tra le ore 8.00 e le ore 14.50 è stato rilevato un numero di accessi elevato circa 47000 provenienti dal medesimo utente ed indirizzo IP . . E', infatti, verosimile ritenere che un livello così elevato di accessi da un unico indirizzo IP celasse un uso distorto della piattaforma nonché un accesso indebito ai dati sanitari degli utenti interessati. . . Va rilevato, inoltre, che il criterio di cui all'art. 83, par. 2, lett. h , è stato correttamente evocato da parte del Garante ai fini della determinazione della sanzione applicata. La disposizione in questione recita che Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso . anche tenendo conto del la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione . Il Garante, nella specie, ha rettamente ritenuto di valorizzare che è stato reso edotto della condotta contestata grazie all'opera di terzi in particolare, dagli organi di stampa e a seguito di segnalazioni e non grazie alla stessa notificazione dell'ATS. Sul significativo numero di interessati coinvolti nel trattamento, si osserva che il Garante ha correttamente ritenuto che il portale Omissis fosse accessibile ad un rilevante numero di soggetti. E' noto, infatti, che il portale perseguiva lo scopo precipuo del tracciamento ed individuazione di soggetti affetti da COVID-19, durante il periodo interessato. Orbene, vista la densità demografica dell'area soggetta alla competenza dell'ATS ricorrente, nonché la significativa diffusione del virus nel periodo interessato dalla violazione contestata, è logico ritenere che il portale abbia trattato o fosse potenzialmente destinato a trattare un ingente quantitativo di dati personali riferibili ad un altrettanto significativo numero di interessati. . Vieppiù, contrariamente a quanto sostenuto dall'ATS, il Garante, nel determinare la sanzione, ha debitamente valorizzato il grado di cooperazione mostrato dall'Agenzia, nonché il fatto che la stessa si sia adoperata nell'adottare le idonee misure richieste, pur nella gravità del contesto emergenziale. . . Infine, con riguardo alla mancata applicazione della circostanza attenuante di cui all'art. 83, par. 2, lett. k , si osserva quanto segue. Essa accorda un regime di favore alle violazioni che abbiano consentito di evitare perdite o conseguire benefici di natura esclusivamente finanziaria. Ne deriva che, nel caso di specie, l'attenuate in parola non può trovare applicazione, poiché gli effetti positivi della violazione contestata nell'ambito del portale Omissis non rivestono carattere finanziario, ma riguardano esclusivamente l'ambito sanitario e il controllo dell'andamento epidemiologico . 8.2. Resta qui solo da aggiungere che, diversamente da quanto sostanzialmente ed inammissibilmente auspicato dalla ricorrente, certamente non è consentito a questa Corte procedere ad una nuova valutazione circa la possibilità di infliggere la sanzione pecuniaria in assenza di altre parimenti efficaci. 9. Il nono motivo ricorso, recante Violazione ed errata valutazione della L. n. 689 del 1981, art. 11, ex art. 360 c.p.c., comma 1, n. 5 , sulla omessa motivazione in ordine all'ammontare della sanzione comminata , assume che la decisione impugnata sia assolutamente carente di motivazione quanto all'ammontare della sanzione irrogata alla odierna ricorrente, posto che non si comprendono - perché non indicati - gli indici di valutazione. Il tribunale, inoltre, aveva omesso di valutare la domanda, svolta in via subordinata dall'ATS, di riduzione della sanzione applicata. 9.1. Questa doglianza è inammissibile ex art. 360-bis c.p.c., n. 1, avendo questo Corte già ripetutamente chiarito - né le odierne argomentazioni di ATS offrono elementi idonei per mutare un siffatto indirizzo ermeneutico - che, in relazione alle sanzioni amministrative pecuniarie, ove la norma indichi un minimo ed un massimo della sanzione, spetta al potere discrezionale del giudice determinarne l'entità entro tali limiti tenendo conto dei parametri previsti dalla L. n. 689 del 1981, art. 11, allo scopo di commisurarla alla gravità del fatto concreto, globalmente desunta dai suoi elementi oggettivi e soggettivi. Peraltro, il giudice nemmeno è tenuto a specificare nella sentenza i criteri adottati nel procedere a detta determinazione, né la Corte di cassazione può censurare la statuizione adottata ove tali limiti come innegabilmente accaduto nella specie siano stati rispettati e dal complesso della motivazione risulti che quella valutazione è stata compiuta cfr., ex multis, anche nelle rispettive motivazioni Cass. n. 9255 del 2013 Cass. n. 2406 del 2016 Cass. n. 4844 del 2021 Cass. n. 29323 del 2021, che ha così disatteso una censura affatto analoga a quella oggi sottoposta all'attenzione del Collegio . 10. Il decimo motivo ricorso prospetta la Violazione ed errata valutazione della L. n. 689 del 1981, art. 18, ex art. 360 c.p.c., comma 1, n. 3 , nonché omesso esame circa un fatto decisivo per il giudizio, oggetto di discussione tra le parti, di cui all'art. 360 c.p.c., comma 1, n. 5 , in ordine alla violazione dell'obbligo di motivazione della ordinanza ingiunzione . Si censura la sentenza impugnata laddove ha ritenuto che l'ordinanza ingiunzione fosse sostenuta da adeguata motivazione e che, comunque, i motivi posti a base della stessa ben potessero essere esaminati nel processo di opposizione a tale atto. Si assume, invece, che, a differenza di quanto erroneamente stabilito dal giudice, l'ordinanza è carente della motivazione e la stessa non è suscettibile di integrazione nel processo di opposizione . 10.1. Questa doglianza - pur volendosene sottacere l'essere caratterizzata dalla inammissibile, per i principi già descritti al precedente p. 6.1.1., prospettazione generica e cumulativa vizi di natura eterogenea censure motivazionali ed errores in iudicando , in contrasto con la tassatività dei motivi di impugnazione per cassazione e con l'orientamento della giurisprudenza di legittimità per cui una simile tecnica espositiva riversa impropriamente sul giudice di legittimità il compito di isolare, all'interno di ciascun motivo, le singole censure - si rivela comunque insuscettibile di accoglimento. 10.1.1. Invero, va doverosamente premesso che, nella sentenza oggi impugnata, si rimarca, innanzitutto cfr. amplius, pag. 13 , che, Alla luce del tenore del provvedimento sanzionatorio del Garante per la protezione dei dati personali, si rileva che esso è sorretto da articolata ed esaustiva motivazione conformemente a quanto prescritto dalla L. n. 689 del 1981, art. 18, comma 2, così come richiamato dal D.lgs. n. 196 del 2003, art. 166, comma 7. Infatti, sulla scorta di quanto evidenziato dalla giurisprudenza di legittimità, i provvedimenti amministrativi inflittivi di sanzioni, tra i quali rientrano incontrovertibilmente i provvedimenti sanzionatori del Garante per la protezione dei dati personali, sono compiutamente motivati laddove contengano elementi che consentono al privato di opporsi alla sanzione ed esercitare il diritto di difesa ed al Giudice di effettuare il controllo giurisdizionale Cass. civ., sez. I, 21/9/1998, n. 9433 Cass. Civ. 14/7/98, n. 6898 Cass. civ., sez. I, 3/7/1998, n. 6529 . 10.1.2. Quanto, poi, alla doglianza della odierna ricorrente relativa alla mancata valutazione delle sue deduzioni difensive, rileva il Collegio che il tribunale, dopo aver richiamato la giurisprudenza di legittimità cui avrebbe inteso prestare adesione Cass. n. 5884 del 1997, secondo cui, nel procedimento di opposizione a sanzione amministrativa, non hanno rilievo i vizi di motivazione dell'ordinanza ingiunzione consistenti nel fatto che l'autorità ingiungente non abbia, o non abbia adeguatamente valutato le deduzioni difensive dell'incolpato formulate in sede amministrativa Cass. n. 3488 del 21/02/05, Cass. Lav. 3489 del 21/02/05, e Cass. civ. n. 519/05, secondo cui il giudizio di opposizione si apre un giudizio a cognizione piena, teso a verificare la validità sostanziale del provvedimento, attraverso un autonomo esame della ricorrenza dei presupposti di fatto della violazione pertanto, non hanno rilievo i vizi di motivazione dell'ordinanza ingiunzione connessi al fatto che l'autorità ingiungente non abbia, o non abbia adeguatamente valutato le deduzioni difensive dell'opponente, formulate in sede amministrativa , ha opinato che, nella specie, il Garante, nel provvedimento opposto, ha compiutamente riportato le norme violate e le ragioni di fatto a sostegno delle violazioni contestate. Questo Tribunale, infatti, ha potuto seguire l'iter logico-giuridico seguito dall'autorità Garante e, contrariamente da quanto sostenuto dal ricorrente, quest'ultimo è stato in grado di articolare ampie censure al provvedimento stesso, come d'altronde dimostrato dalla complessità del ricorso introduttivo. Inoltre, alla luce della giurisprudenza supra richiamata, resta privo di pregio il rilievo della mancata valutazione delle deduzioni difensive svolte dall'odierno ricorrente in sede di procedimento di irrogazione della sanzione amministrativa. Deve infatti rilevarsi che, in questa sede, questo Tribunale ha avuto pieno accesso al fatto e ha potuto valutare le allegazioni difensive dell'Agenzia. Tale ultima doglianza non può pertanto costituire ragione di annullamento del provvedimento opposto . 10.1.3. E' palese, dunque, che il tribunale ha escluso la concreta configurabilità sia del lamentato difetto di motivazione della ordinanza ingiunzione che della mancata considerazione degli argomenti difensivi della ATS. Il tutto peraltro, senza dimenticare che, In tema di opposizione ad ordinanza ingiunzione per l'irrogazione di sanzioni amministrative, i vizi di motivazione in ordine alle difese presentate dall'interessato in sede amministrativa non comportano la nullità del provvedimento, e quindi l'insussistenza del diritto di credito derivante dalla violazione commessa, in quanto il giudizio di opposizione non ha ad oggetto l'atto ma il rapporto, con conseguente cognizione piena del giudice, che potrà e dovrà valutare le deduzioni difensive proposte in sede amministrativa eventualmente non esaminate o non motivatamente respinte , in quanto riproposte nei motivi di opposizione, decidendo su di esse con pienezza di poteri, sia che le stesse investano questioni di diritto che di fatto cfr. Cass. n. 12503 del 2018 . 10.1.4. In ogni caso, e muovendo dal qui condiviso principio per cui L'ordinanza ingiunzione irrogativa di una sanzione amministrativa non deve avere una motivazione analitica e dettagliata come quella di un provvedimento giudiziario, essendo sufficiente che sia dotata di una motivazione succinta, purché dia conto delle ragioni di fatto della decisione che possono anche essere desunte per relationem dall'atto di contestazione ed evidenzi l'avvenuto esame degli eventuali rilievi difensivi formulati dal ricorrente cfr. Cass. n. 163616 del 2020 , deve rimarcarsi, in via assolutamente dirimente, che la censura in esame - in chiara violazione del principio di autosufficienza - non specifica adeguatamente il contenuto dei propri scritti asseritamente non valutati dal tribunale, sicché questa Corte nemmeno è posta nella condizione di valutare l'incidenza di tale pretesa omissione sul riportato complessivo tenore della decisione del giudice a quo. 11. L'undicesimo motivo ricorso, infine, rubricato Violazione ed errata applicazione dell'art. 115 c.p.c., ex art. 360 c.p.c., comma 1, n. 3 , sulla omessa statuizione in ordine alle prove testimoniali richieste dalla ATS , contesta al tribunale di avere omesso di esporre i motivi per cui non aveva dato corso alla prova testimoniale tempestivamente e puntualmente richiesta dall'ATS. 11.1. Una siffatta doglianza si rivela manifestamente inammissibile, posto che nemmeno trascrive i capitoli della invocata prova testimoniale, sicché è impedita a questa Corte qualsivoglia valutazione circa la loro decisività. 11.2. Giova soltanto ricordare, in proposito, che i sebbene sia innegabile che la mancata ammissione di un mezzo istruttorio nella specie, prova testimoniale si traduce in un vizio della sentenza se il giudice pone a fondamento della propria decisione l'inosservanza dell'onere probatorio ex art. 2697 c.c., benché la parte abbia offerto di adempierlo cfr. Cass. n. 18285 del 2021 , è altrettanto indiscutibile che, in tema di ricorso per cassazione, la censura che investa la mancata ammissione di istanze istruttorie è ammissibile solo in quanto spieghi come e perché le stesse, se accolte, sarebbero state suscettibili di rovesciare l'esito del giudizio di merito cfr. Cass. n. 9674 del 2023 ii il vizio di motivazione per omessa ammissione della prova testimoniale o di altra prova può essere denunciato per cassazione solo nel caso in cui esso investa un punto decisivo della controversia e, quindi, ove la prova non ammessa o non esaminata in concreto sia idonea a dimostrare circostanze tali da invalidare, con un giudizio di certezza e non di mera probabilità, l'efficacia delle altre risultanze istruttorie che hanno determinato il convincimento del giudice di merito, di modo che la ratio decidendi risulti priva di fondamento cfr. Cass. n. 16214 del 2019 . 12. In conclusione, dunque, l'odierno ricorso di Agenzia di Tutela della Salute della Città Metropolitana di Omissis ATS , deve essere respinto, restando le spese di questo giudizio di legittimità regolate dal principio di soccombenza, altresì dandosi atto, - in assenza di ogni discrezionalità al riguardo cfr. Cass., S.U., n. 24245 del 2015 Cass., S.U., n. 15279 del 2017 e giusta quanto precisato da Cass., S.U., n. 4315 del 2020 - che, stante il tenore della pronuncia adottata, sussistono, ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater, i presupposti processuali per il versamento, da parte della medesima ricorrente, di un ulteriore importo a titolo di contributo unificato, pari a quello previsto per il suo ricorso, a norma dello stesso art. 13, comma 1-bis, se dovuto, mentre spetterà all'amministrazione giudiziaria verificare la debenza in concreto del contributo, per la inesistenza di cause originarie o sopravvenute di esenzione dal suo pagamento . 12.1. Va, disposta, infine, per l'ipotesi di diffusione del presente provvedimento, l'o missione delle generalità e degli altri dati identificativi a norma del D.Lgs. n. 196 del 2003, art. 52. P.Q.M. La Corte rigetta il ricorso di Agenzia di Tutela della Salute della Città Metropolitana di Omissis ATS e la condanna al pagamento delle spese di questo giudizio di legittimità sostenute dalla parte controricorrente, liquidate in complessivi Euro 10.000,00 per compensi, oltre alle spese prenotate a debito. Ai sensi del D.P.R. n. 115 del 2002, art. 13, comma 1 quater, inserito dalla L. n. 228 del 2012, art. 1, comma 17, dà atto della sussistenza dei presupposti processuali per il versamento, da parte della medesima ricorrente, dell'ulteriore importo a titolo di contributo unificato pari a quello previsto per il ricorso, giusta il dello stesso art. 13, comma 1-bis, se dovuto. Dispone, per l'ipotesi di diffusione del presente provvedimento, l'omissione delle generalità e degli altri dati identificativi a norma del D.Lgs. n. 196 del 2003, art. 52.