Con una sentenza del 22 settembre 2023 (ordinanza numero 27189) la Corte di Cassazione ha mosso un primo, fondamentale passo verso una maggiore armonizzazione dei rapporti tra Garante della Privacy italiano e giurisdizione ordinaria.
Le conseguenze concettuali della sentenza
La sentenza, nella sua analisi tecnica, è stata già puntualmente analizzata su queste pagine. Quello che risulta importante ampliare in questa trattazione sono, invece, le conseguenze concettuali che la stessa potrebbe portare all’interno del complesso equilibrio di poteri che ruotano attorno alla privacy e alla sua regolamentazione.
Senza ripetere quanto già sottolineato dai numerosi articoli di approfondimento di qualche mese fa, possiamo ricordare che l’intervento della Cassazione è stato, da un punto di vista tecnico, se non prevedibile comunque platealmente in linea con l’interpretazione maggiormente letterale del dettato normativo attualmente in vigore.
Nel caso di specie il Garante italiano aveva impugnato un provvedimento del Tribunale di Milano, il quale aveva annullato un precedente provvedimento del Garante – contenente una sanzione ritenuta dal giudice ordinario eccessivamente onerosa – senza al contempo rimodularne il quantum.
Il ruolo del giudice ordinario nella rimodulazione della sanzione impugnata
La Suprema Corte ha stabilito alcuni punti fermi, ossia la capacità del Tribunale di Milano – e in generale del giudice ordinario, viene da aggiungere come corollario interpretativo – di poter rimodulare la sanzione impugnata, visto che l’art. 10 del D.Lgs. n. 150 del 2011 comporta che si estende al procedimento di opposizione la regola dettata dal comma 12 dell’art. 6 del medesimo decreto legislativo; sicché “con la sentenza che accoglie l’opposizione il giudice, anche nelle controversie in materia di dati personali, può annullare in tutto o in parte il provvedimento o modificarlo anche limitatamente all’entità della sanzione dovuta, che è determinata nella misura in ogni caso non inferiore al minimo edittale”.
L’intervento del giudice, insomma, deve essere un intervento nel merito della sanzione e dell’applicazione della normativa italiana ed europea sulla protezione dei dati.
La natura deflattiva, dissuasiva e punitiva della sanzione prevista dal GDPR
Altro punto fermo è quello della natura deflattiva, dissuasiva e, sostanzialmente, punitiva della sanzione prevista dal GDPR, soprattutto nella sua parametrazione percentuale rispetto al fatturato del soggetto che abbia leso la normativa privacy. Un concetto questo che il Tribunale di Milano ha ritenuto di non dover condividere e che forse (ma è chiaramente un’interpretazione dello scrivente) scaturisce da una certa ritrosia per la giurisprudenza italiana all’accettazione di quel “danno punitivo” tanto caro alla tradizione di common law e di cui il GDPR sembra sposare, almeno in parte, la funzione deflattiva.
Cosa resterà della sentenza della Cassazione
Cosa rimarrà, quindi, di questa sentenza della Corte, al netto di quanto già detto da un punto di vista squisitamente tecnico? Probabilmente, oltre alla già valida interpretazione normativa operata dalla Cassazione, quello che emerge è un punto di vista più nitido circa le funzioni del Garante, anzi dei Garanti europei, e della ratio del GDPR nel complesso. La normativa europea, come noto, rappresenta un primo fondamentale scudo nei confronti delle ingerenze effettuate dai Titolari e Responsabili del trattamento alla privacy delle persone fisiche. Nulla impedisce agli Stati membri di implementare politiche più specifiche e settoriali – cosa che sta già succedendo – mantenendo però intatto il dettato normativo del Reg. UE 2016/679.
La genericità del Regolamento, però, non deve far perdere di vista agli operatori, finanche alle magistrature nazionali, che la protezione del dato è un’attività che, in alcuni settori, esula dalla classica applicazione civilistica in materia di diritti delle persone fisiche. In maniera analoga al percorso effettuato per la tutela del consumatore, risulta evidente che la privacy rappresenti un altro elemento di particolare cautela, anche in virtù dell’enorme differenza di potere tra i soggetti coinvolti.
Il pattern sanzionatorio del Garante nel contesto del Gdpr
Le misure sanzionatorie del GDPR si rivolgono, nella stragrande maggioranza dei casi, a quelle strutture capaci di effettuare trattamenti su scala internazionale, contraddistinti da volumi massicci – è il caso di dirlo, letteralmente planetari – e da un intrinseco rischio per la privacy e tutte le libertà a esse connesse di milioni di persone. Non è un caso che nelle recenti ordinanze sanzionatorie del Garante italiano, ci sia una evidente differenza di approccio a seconda del soggetto colpevole di aver violato la normativa di settore. Pensiamo, ad esempio, alle recenti ordinanze in materia di violazione delle regole sulla videosorveglianza, nelle quali le multe irrogate (se irrogate) sono sempre sembrate adeguate al contesto, al soggetto colpito e all’effettivo grado di colpevolezza e consapevolezza della colpa dello stesso. Più nello specifico:
- 45mila euro per un Comune siciliano che aveva predisposto un sistema di videosorveglianza completamente fuori norma (ed altri 10mila e 15mila per le aziende coinvolte) a giugno 2023;
- mille euro per un minimarket, 3mila euro per un rivenditore di auto, 2mila euro per un ristorante, tutti colpevoli di aver implementato sistemi di videosorveglianza fuori norma, a tutto il 2022;
- Ammonimenti e multe leggere (per un massimo di 3000) per numerosi ordini professionali nel periodo della vaccinazione obbligatoria contro il COVID, colpevoli di inoltri non autorizzati di dati sanitari dei propri iscritti;
Si potrebbe continuare con l’elenco per molto tempo ed è sufficiente navigare sul sito del Garante italiano per notare un pattern ben delineato, con il quale l’Autorità approccia la normativa europea applicando sanzioni commisurate all’entità del danno ma anche al grado di consapevolezza del trasgressore, alla sua capacità economica, alla sua attività di collaborazione e ravvedimento e in generale contestualizzando moltissimo l’approccio punitivo. I limiti edittali previsti dal GDPR, usati spesso come spauracchio dal sottotesto di “ingiustizia”, servono al contrario per rendere il potere delle Autorità europee effettivo nei confronti di quei soggetti che, materialmente, hanno la capacità di influenzare e manipolare un quantitativo di dati personali enorme, con profili di rischio e ricadute per le persone fisiche senza precedenti.
Conclusioni
Arrivando alla conclusione, è chiaro che la sentenza della Cassazione oggi esaminata non sia, tecnicamente, una rivoluzione (anzi, propone un’applicazione categorica della normativa di settore). Quello che risulterà probabilmente importante è l’acquisizione da parte della giurisprudenza successiva, della forma mentis che emerge dallo scritto della Suprema Corte, la quale sembra perfettamente allineata alla ratio del GDPR e alla funzione deflattiva e punitiva delle sanzioni dei Garanti europei, soprattutto nei casi di violazione dei dati più eclatanti e pericolosi.
D’altronde, fino a quando non si riuscirà a integrare a livello legislativo le varie istanze connesse alla privacy, nonché a quantificare in maniera più precisa (sempre che ci si possa riuscire) il valore effettivo del dato personale e del suo utilizzo improprio, non resta che approcciare la tutela della riservatezza caso per caso e con attenzione al contesto fattuale dell’episodio esaminato.