La Suprema Corte di Cassazione, con una recentissima ordinanza (Cassazione civile, sez. II – 3 settembre 2020, n. 18288), si pronuncia sugli illeciti amministrativi dell’omessa informativa e dell’omessa acquisizione del consenso, decretandone la natura permanente e – pertanto – la non assoggettabilità ad alcun termine prescrittivo.
La decisione scaturisce da un giudizio che vedeva contrapporsi Postel S.p.A., in qualità di ricorrente, e il Garante della protezione dei dati personali, in qualità di resistente, per la violazione da parte di Postel, degli artt. 162, comma 2-bis, art. 164 e art. 164-bis, comma 2 (del D. Lgs. 196/03, c.d. Codice della privacy, Capo I “violazioni amministrative”).
Con ricorso del febbraio 2014 Postel S.p.A. proponeva opposizione avverso l’ordinanza di ingiunzione del Garante con cui veniva accertata la violazione di cui sopra e, dunque, comminata una sanzione amministrativa di 340.000,00 euro (ad essere illecitamente acquisiti erano dati tratti dalle liste elettorali dei cittadini, conservati e gestiti poi per un lungo tempo dalla acquisizione).
Prescindendo dalle due questioni di legittimità costituzionale sollevate da parte ricorrente (dichiarate poi infondate dalla Cassazione), ciò che qui interessa analizzare è l’aspetto legato alla nozione di illecito permanente derivante da un trattamento di dati personali, avvenuto in assenza di consenso e in assenza di informativa.
Secondo parte ricorrente, stante la natura di illeciti “istantanei” e non permanenti, non avrebbe potuto essere comminata alcuna sanzione, per la decorrenza del termine di prescrizione previsto in cinque anni. La Cassazione ha, all’opposto, ritenuto la perduranza e quindi la continuità degli illeciti, non sanati da parte ricorrente fino all’intervenuto accertamento da parte del Garante.
Fermo restando che nell’ordinanza si fa riferimento ad articoli ormai abrogati del Codice della privacy, è interessante notare che il principio sotteso alla pronuncia sia in ogni caso attuale e rilevante anche – e soprattutto – alla luce di quella che è la nuova normativa derivante dal Regolamento UE 679/2016 e, di conseguenza, dalle modifiche intervenute con il D. Lgs. 101/18 al Codice della privacy, che ha anche ridisegnato l’impianto sanzionatorio.
La disciplina del trattamento dei dati personali è, in realtà, dall’entrata in vigore del Regolamento UE 679/2016 (c.d. GDPR), soggetta ad una sempre crescente attenzione, in un’ottica di implementazione della tutela dei diritti dei c.d. soggetti interessati (ossia le persone fisiche, identificate o identificabili, i cui dati vengono trattati).
Ed è proprio nel solco di una maggior tutela che si inserisce l’analisi di un ulteriore aspetto del caso sollevato da Postel S.p.A, che detta una soluzione interpretativa ampiamente in linea anche con la giurisprudenza previgente: in tema di illeciti amministrativi derivanti dal Codice della privacy, “il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione”.
L’arco temporale entro cui il Garante deve provvedere a sanzionare è infatti collegato a quella che è la piena e concreta conoscenza dell’illecito e non, come sostenuto da parte ricorrente, decorrente dal momento della commissione dell’infrazione.
L’impostazione della Corte, nel riconoscere la natura “permanente” di tali illeciti perpetrati in materia di trattamento di dati personali, tiene anche conto di un elemento fondamentale: che non rileva in alcun modo la circostanza che i dati illecitamente acquisiti siano stati “meramente” ed unicamente conservati. In riferimento al potenziale nocumento derivante dalla inerte conservazione dei dati personali, infatti, deve considerarsi che l’articolo 4, n. 2 del GDPR, annovera tra i “trattamenti” anche la mera conservazione del dato che, se illecitamente raccolto e a lungo conservato, come nel caso Postel S.p.A., comporta indubbiamente un potenziale danno per chi, senza consenso e senza il rilascio di una informativa, si trova sottoposto ad un trattamento di dati, che è, appunto per questo, illecito.
L’articolo 4, prevede, precisamente, quale definizione di “trattamento”:
qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
La conservazione è di conseguenza, al pari di ogni altra operazione compiuta sui dati personali, un trattamento di dati personali, ai sensi dell’articolo 4 GDPR. Da ultimo, però, la Cassazione, nel non ricondurre gli illeciti in materia nel novero dell’istituto della prescrizione, determina la creazione di uno status di perdurante incertezza cui potrebbe essere sottoposto il soggetto attenzionato, derivante dal far partire il dies a quo al momento di accertamento da parte degli Uffici deputati al controllo
