Con una sentenza di rilevanza notevole (n. 38510 del 6 dicembre 2021) la Corte di Cassazione ha stabilito che il pagamento delle sanzioni privacy non sia dovuto per decorso del termine tra accertamento e contestazione della violazione da parte del Garante per la protezione dei dati personali.
La pronuncia riguarda un punto molto delicato che concerne l’articolo 14, comma 6 della Legge n. 689/1981 e ha ritenuto che, trascorso il termine di novanta giorni tra l’accertamento della violazione e la sua contestazione, l’obbligo di pagare le sanzioni privacy si estingue, collocando il giorno da cui calcolare il termine nel momento in cui l’autorità Garante ha acquisito e valutato i dati a sua disposizione.
La decisione in oggetto riguarda il ricorso proposto da un’Azienda Ospedaliera avverso l’ordinanza con la quale, in data 5 aprile 2018, il Garante privacy aveva ingiunto alla stessa il pagamento di € 10.000 a titolo di sanzione amministrativa per la violazione dell’art. 162, comma 2 bis del Codice Privacy.
Il tribunale di merito aveva accolto la fondatezza del ricorso ritenendo che in questo caso intervenisse l’esenzione dell’obbligo di pagamento ai sensi dell’art. 14, comma 6 della Legge n. 689/1981, posto che l’accertamento della violazione, secondo il tribunale, si era completato in data 6 marzo 2015, data in cui il Garante privacy avrebbe ricevuto dall’Azienda Ospedaliera la copia dei documenti richiesti (nel caso di specie, le designazioni dei soggetti incaricati del trattamento), mentre la contestazione era avvenuta solo in data 18 giugno 2015 e notificata in data 25 giugno 2015, oltre il termine di 90 giorni dal completamento attività ispettiva.
Il Garante privacy aveva dunque ricorso in Cassazione contro la sentenza del tribunale di merito per falsa applicazione dell’art. 14 della Legge n. 689/1981 in relazione all’articolo 360 c.p.c., comma 3, in particolar modo perché il tribunale non avrebbe considerato la complessità dell’accertamento.
La Suprema Corte ha osservato che, il momento dell’accertamento della violazione, da cui poi decorre il termine di 90 giorni dell’attività ispettiva, “non coincide con quello in cui viene acquisito il fatto nella sua materialità da parte dell’autorità cui è stato trasmesso il rapporto, ma va individuato nel momento in cui detta autorità abbia acquisito e valutato tutti i dati indispensabili ai fini della verifica dell’esistenza della violazione segnalata, ovvero in quello in cui il tempo decorso non risulti ulteriormente giustificato dalla necessità di tale acquisizione e valutazione” ma, il compito di individuare il dies a quo e definire la complessità dell’accertamento spetta al giudice di merito e non è sindacabile in cassazione se non per omesso esame di fatti decisivi risultanti della sentenza stessa.
Alla luce di quanto sopra indicato, la Cassazione ha dichiarato inammissibile il ricorso dell’Autorità Garante per la protezione dei dati personali, confermando la sentenza del giudice di merito e condannando l’Autorità al pagamento delle spese di lite.
Si tratta di una sentenza che avrà notevoli ripercussioni alla luce della lunghezza degli attuali procedimenti privacy pendenti davanti al Garante privacy, nei quali la contestazione viene emessa a volte a distanza di anni dalla asserita violazione, scenario che pregiudica il diritto di difesa dei soggetti nei cui confronti vengono sollevate contestazioni e anche la certezza del diritto.
Tale ultimo aspetto è rilevante ancor più quando si è in presenza di contestazioni riguardanti l’inadeguatezza delle misure di sicurezza poiché non è verosimile che sia contestata a distanza di anni l’assenza di misure adeguate che al momento degli eventi non rappresentavano uno standard di mercato. Inoltre, la lunghezza dei procedimenti impedisce alle aziende di valutare se creare una riserva di bilancio per coprire eventuali sanzioni privacy.