La tutela dei dati “sensibili” prevale sull’esigenza di trasparenza amministrativa

La tutela dei dati “sensibili” prevale sull’esigenza di trasparenza amministrativa

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Corte di Cassazione, Sentenza n.9382/2019

Precedenti giurisprudenziali: Corte di Cassazione, sezioni unite, Sentenza n. 9687 del 22 aprile 2013; Corte di Cassazione, civile, Sentenza n. 20085 del 21 luglio 2008; Corte di Cassazione, civile, Sentenza n. 14326 del 24 giugno 2014.

Per approfondire il tema oggetto di questa pronuncia, leggi anche “Il nuovo Codice della privacy” di Pier Paolo Muià.

Fatto

La questione esaminata dalla Corte di Cassazione nella Sentenza in commento riguarda un ricorso presentato dal Garante per la protezione dei dati personali avverso una sentenza del Tribunale di Foggia, che aveva annullato una sanzione irrogata dal Garante alla Provincia di Foggia per la diffusione di un “dato sensibile” di una propria dipendente.

In particolare, il Garante per la protezione dei dati personali aveva ingiunto una sanzione da Euro 20.000 alla Provincia di Foggia per avere questa diffuso il dato “sensibile” relativo allo stato di salute di una propria dipendente, giustificandolo con ragioni connesse alla trasparenza amministrativa. La Provincia di Foggia non aveva presentato scritti difensivi, all’interno del procedimento amministrativo dinanzi al Garante privacy, avverso detta ingiunzione ed aveva però successivamente promosso ricorso giurisdizionale dinanzi al Tribunale di Foggia. Il ricorso della Provincia al giudice di prime cure si fondava sulla asserita insussistenza della violazione della normativa in materia di protezione dei dati personali in considerazione del fatto che l’esigenza di trasparenza della pubblica amministrazione prevaleva sulla tutela della privacy. La difesa del Garante, invece, si fondava sul duplice motivo della intervenuta acquiescenza al provvedimento sanzionatorio da parte della Provincia in considerazione del fatto che la stessa non avesse impugnato il provvedimento nel procedimento amministrativo e della infondatezza del ricorso stante la prevalenza delle esigenze di tutela dei dati personali rispetto alla trasparenza amministrativa.

Il giudice pugliese accoglieva il ricorso della provincia, respingendo entrambe le eccezioni sollevate dal Garante, in quanto riteneva il provvedimento sanzionatorio non definitivo e pertanto ancora impugnabile con ricorso giurisdizionale e fondato il ricorso in considerazione del fatto che la sola diffusione del dato sulla salute della dipendente, nel caso di specie, non fosse lesivo della privacy.

Il Garante per la protezione dei dati personali ha, quindi, promosso ricorso per la cassazione della sentenza del tribunale di foggia, fondandolo su due motivi: (i) l’erroneità della sentenza in quanto non aveva considerato che la mancata proposizione del ricorso avverso il provvedimento del Garante privacy entro i 30 giorni successivi alla sua comunicazione al destinatario, determinava la definitività del provvedimento stesso; (ii) l’erroneità della sentenza per aver ritenuto illegittima la sanzione per la diffusione del dato sensibile della dipendente.

La decisione della Corte di Cassazione

Preliminarmente occorre rilevare come il fatto oggetto di contestazione e irrogazione della sanzione da parte del Garante sia avvenuto prima della entrata in vigore del nuovo Regolamento Europeo del 2016 per la tutela dei dati personali (il GDPR) e pertanto si parlava ancora – secondo la normativa allora vigente – di “dati sensibili”. Tuttavia il principio espresso dalla Corte di Cassazione può essere traslato, senza alcuna modifica, anche rispetto alle attuali “categorie particolari di dati”, nozione introdotta appunto dal GDPR e fra i quali rientrano i dati relativi alla salute dell’interessato (che rientravano precedentemente nel concetto di “dato sensibile”).

Gli ermellini hanno ritenuto fondato il ricorso promosso dal Garante ed hanno pertanto accolto la richiesta di cassazione della sentenza emessa dal Tribunale di Foggia impugnata, rinviando allo stesso tribunale per una nuova decisione della causa, tenendo conto del principio affermato dalla Cassazione nella sentenza in commento.

La corte ha, in primo luogo, ritenuto infondato il primo motivo di ricorso, ritenendo che la mancata presentazione degli scritti difensivi avverso il provvedimento del Garante privacy da parte del destinatario, non determina una acquiescenza a detto provvedimento e quindi non impedisce al destinatario di proporre il ricorso giurisdizionale. In particolare, la Corte di cassazione ha ritenuto che il provvedimento originariamente emesso dal Garante e non contestato con gli scritti difensivi dal destinatario fosse un atto presupposto e quindi non definitivo. Pertanto, la mancata presentazione di detti scritti non poteva determinare acquiescenza al provvedimento, la quale può essere considerata avvenuta soltanto in presenza di atti del destinatario che dimostrino in maniera inequivocabile la volontà di non impugnare il provvedimento.

La corte di cassazione ha, invece, ritenuto fondato il secondo motivo di ricorso promosso dal Garante.

In particolare, gli Ermellini hanno affermato che la tutela del dato sensibile prevale rispetto alla generica esigenza di trasparenza amministrativa. Tale prevalenza emerge sia effettuando il bilanciamento dei due interessi costituzionalmente rilevanti nella fattispecie di causa (cioè la tutela dei dati sensibili e la trasparenza amministrativa), sia considerando la normativa in materia di protezione dei dati personali (soprattutto rispetto alla tutela di quelli “sensibili”), la quale sarebbe elusa se si facessero prevalere le esigenze di trasparenza della pubblica amministrazione per diffondere i dati relativi alla salute degli interessati.

Ciò detto, i giudici di legittimità hanno ricordato che la stessa Suprema Corte ha già chiarito che l’estrazione e il successivo utilizzo dei dati personali configurano un trattamento ai sensi della normativa in materia di protezione dei dati personali e che, pertanto, se tale attività non è preceduta da una idonea informativa all’interessato e dalla acquisizione del suo consenso al trattamento del dato, si configura una violazione della (allora vigente) normativa in materia di privacy.

Infine, gli Ermellini hanno precisato che la pubblica amministrazione può trattare i “dati sensibili”, idonei a rivelare lo stato di salute dell’interessato, soltanto quando utilizza modalità organizzative idonee a rendere non identificabile l’interessato.

Sulla base di tali argomentazioni, la Corte di Cassazione ha quindi accolto il ricorso presentato dal Garante per la protezione dei dati personali ed ha cassato la sentenza del tribunale di Foggia impugnata, rinviando allo stesso Tribunale per la emissione di una nuova decisione che tenga conto dei principi sanciti dalla stessa Corte Suprema e che disponga altresì sulla regolamentazione fra le due parti delle spese legali di entrambi i gradi di giudizio.

Volume consigliato

Il nuovo codice della privacy

Il nuovo codice della privacy

Pier Paolo Muià, 2019, Maggioli Editore

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Muia' Pier Paolo

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it