Azioni a tutela del Codice privacy
Home » News » Focus

Le azioni a tutela dei dati personali nel Codice privacy

Redazione

Versione PDF del documento

Avv. E. Olimpia Policella
***
Sommario: 1 Introduzione – 2 La conferma del sistema bipolare – 3 La tutela dinanzi al Garante – 4 Il reclamo – 4.1 L’indicazione dettagliata dei fatti, norme e misure richieste – 4.2 La violazione di una disposizione rilevante – 5 La segnalazione – 6 I provvedimenti del Garante – 6.1 Il blocco spontaneo dei dati – 6.2 La prescrizione di “correttivi” – 6.3 Il blocco dei dati ed il divieto di trattamento – 7 La legittimazione attiva e passiva – 8 Il diritto di difesa dei titolari – 9 Il ricorso – 9.1 Le condizioni di ammissibilità – 9.2 L’interpello preventivo – 9.3 L’adesione spontanea – 9.4 I termini – 9.5 Le spese quali titolo esecutivo – 10 La tutela innanzi al giudice ordinario – 10.1 L’individuazione del giudice competente – 10.2 Due soli gradi di giudizio per la tutela dei dati personali – 10.3 Il procedimento – 11 Le conclusioni.

1 Introduzione
Con l’approvazione del decreto legislativo n. 196 del 2003, meglio noto come Codice sulla privacy, il Legislatore se per un verso ha ulteriormente semplificato gli obblighi di legge in capo ai Titolari del trattamento (ossia coloro che decidono le finalità e le modalità di uso dei dati), per altro verso ha ampliato i poteri dell’Authority privacy.
Difatti, la nuova disciplina inerente la “Tutela amministrativa e giurisdizionale” contenuta nel Titolo I della Parte III del codice, a sua volta rubricata “Tutela dell’interessato e sanzioni”, non si è limitata ad una riorganizzazione sistematica delle norme già presenti nel nostro ordinamento giuridico riguardanti la tutela dei diritti dell’interessato ma ha notevolmente ampliato i poteri dell’Authority privacy.
Con questo breve lavoro, che ovviamente non ha pretese esaustive, saranno poste in evidenza le principali novità introdotte dal Codice privacy, sulle azioni a tutela dei dati personali.
Tra esse si ricordano:
la possibilità per l’Authority privacy di intervenire non solo in caso di violazione dei diritti di accesso e degli altri diritti strumentali all’autodeterminazione informativa (art. 7 Codice privacy) ma per qualsiasi violazione della normativa a tutela dei dati personali (tramite la specifica regolamentazione delle due azioni di reclamo e di segnalazione);
la mancata garanzia del diritto di difesa dei Titolari del trattamento nelle azioni di reclamo e segnalazioni avanzate da parte dell’interessato, diritto di difesa rimesso al “buon cuore” del Garante della protezione dei dati personali
e la previsione di soli due gradi di giudizio per le azioni a tutela dei dati personali fatte valere direttamente innanzi al giudice ordinario, posto che la decisione emessa dal Tribunale è ricorribile unicamente in Cassazione.

2 La conferma del sistema bipolare

Preliminarmente va evidenziata la conferma, nel Codice privacy, del sistema bipolare di tutela del dato personale.
Chiunque, infatti, potrà tutelare il diritto ai propri dati personali attivandosi innanzi all’autorità giudiziaria ordinaria oppure innanzi al Garante per la protezione dei dati personali.
Dette tutele (seppur limitatamente a quelle attivabili tramite ricorso) sono tra di loro alternative per cui non sarà possibile adire l’autorità giudiziaria qualora la medesima questione, pendente tra le stesse parti, sia già stata fatta valere innanzi all’Authority privacy o viceversa.
L’alternatività del sistema di tutela era già prevista nella Legge 675 del 1996 che, al primo comma dell’art. 29, così recitava: “Il ricorso al Garante non può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia già stata adita l’autorità giudiziaria”.
La vecchia normativa, tuttavia, si rifaceva ad una sorta di “alternatività imperfetta” poiché non prevedeva espressamente l’ipotesi inversa di impossibilità di adire l’autorità giudiziaria ordinaria qualora si fosse già presentato il ricorso sulla medesima materia all’Authority privacy. ha fatto finalmente chiarezza l’art. 145 del Codice privacy che, al comma terzo, ha stabilito “La presentazione del ricorso al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto”.
Il regime di alternatività, come accennato, riguarda esclusivamente quei contenziosi aventi ad oggetto i diritti di cui all’art. 7 del Codice privacy coincidenti con l’attuale art. 13 della Legge 675 del 1996.
Ci si riferisce, in altri termini, ai diritti di accesso ai dati, di cancellazione, di blocco, di rettifica, di integrazione; in sostanza a tutte quelle situazioni giuridiche attive che consentono al soggetto interessato, ossia a colui cui si riferiscono le informazioni personali, di esercitare il proprio potere di autodeterminazione conservando l’integrità del proprio patrimonio informativo.
Ne deriva che un’eventuale azione di risarcimento dei danni non potrà, come ovvio, essere presentata innanzi all’Authority privacy poiché si incorrerebbe in una pronunzia di inammissibilità non rientrando detta materia nella sua competenza.
Tuttavia, nulla osta affinché il soggetto interessato faccia valere i suoi diritti di cui all’art. 7 del D. Lgs. 196 del 2003 innanzi al Garante e si rivolga successivamente all’autorità giudiziaria ordinaria per richiedere ed ottenere il risarcimento dei danni patrimoniali e non patrimoniali.
Detto sistema risarcitorio, già affermato dalla legge 675 del 1996, è rimasto invariato.

3 La tutela dinanzi al Garante

Il Codice privacy, riorganizzando l’intera materia inerente le modalità di tutela del bene giuridico dato personale, non si è limitato a chiarire la sussistenza, per il soggetto interessato, di tre diverse strade da poter percorrere innanzi all’Authority privacy ma ha precisato le specifiche modalità per l’attivazione dei procedimenti.
Riguardo il primo aspetto il Codice privacy ha eliminato ogni dubbio circa la possibilità per i soggetti interessati di avvalersi di tre differenti procedimenti amministrativi (segnalazioni, reclami e ricorsi) azionabili di fronte al Garante per la tutela dei dati personali, circostanza questa deducibile anche dalla “vecchia” normativa privacy.
Difatti, l’art. 31 della Legge 675/1996, che definiva i compiti del Garante, al comma 1 lett. d) faceva espresso riferimento alla ricezione di reclami, segnalazioni e ricorsi.
Tuttavia, mentre la procedura di presentazione dei ricorsi (ex art. 29 della Legge 675) e, prima ancora, delle istanze di accesso (ex art. 13 della medesima Legge) era stata definita con il DPR 501 del 1998, nulla (o molto poco v. art. 16 del DPR 501 del 1998) veniva detto in ordine alle modalità di presentazione delle segnalazioni e dei reclami.
Tanto è vero che i meno attenti, sovente, confondevano le segnalazioni che il soggetto interessato poteva (e può) presentare all’Authority, sollecitando un potere di controllo del rispetto della normativa sulla privacy, con le segnalazioni che lo stesso Garante può effettuare nei confronti di quei Titolari del trattamento che non operino secondo liceità e correttezza.
In questo ultimo caso ci si trova di fronte ad un potere esercitabile dall’Authority senza necessità alcuna di sollecitazione in tal senso.

4 Il reclamo

Il reclamo costituisce lo strumento messo a disposizione dell’interessato, da parte del legislatore, per consentirgli di rappresentare, innanzi all’Authority privacy, “una violazione della disciplina rilevante in materia di trattamenti di dati personali” (V. art. 141 comma 1 lett. A) del D. Lgs. 196 del 2003).
Il reclamo, assieme alla segnalazione ed al ricorso, costituisce uno strumento di tutela amministrativa da poter esperire innanzi al Garante per la protezione dei dati personali.
La precisazione normativa in ordine all’indicazione della portata delle azioni di reclamo e segnalazione ha determinato, come anticipato, un notevole ampliamento dei poteri dell’Authority innanzi alla quale, dal 1 gennaio del 2004, potranno essere fatte valere tutte le violazioni della normativa a tutela dei dati personali e non solo quelle inerenti il mancato esercizio dei diritti di accesso, di cancellazione, rettifica, integrazione, ecc. di cui all’art. 13 della Legge 675 del 1996 (art. 7 del Codice privacy).
Il reclamo può essere sottoscritto direttamente da parte dell’interessato oppure dalle associazioni che li rappresentano.
A detto ultimo proposito il comma 2 dell’art. 142 del Codice privacy opera un rimando alle forme di cui all’articolo 9, comma 2 del Codice privacy che concerne le modalità di esercizio dei diritti di accesso e di altri diritti quali quelli di cancellazione, opposizione o rettifica dei dati degli interessati. Ne deriva che la presentazione di un reclamo tramite soggetti terzi può avvenire esclusivamente a seguito di conferimento di una delega per iscritto. La delicatezza dei diritti che si intendono far valere con il reclamo rende, infatti, opportuna il conferimento di una procura avente forma scritta.
Difatti, l’art. 9 comma 2 del Codice privacy stabilisce che “Nell’esercizio dei diritti di cui all’art. 7 [ leggi diritti di accesso, opposizione, integrazione, rettifica, cancellazione, ecc.] l’interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi”.
Detta delega scritta dovrà essere depositata presso il Garante per la protezione dei dati personali assieme a tutta la documentazione utile ai fini della valutazione del reclamo presentato.

4.1 L’indicazione dettagliata dei fatti, norme e misure richieste
L’art. 142 del codice privacy, come anticipato, individua le due caratteristiche principali del reclamo costituite:
dalla circostanza che l’interessato indichi, per quanto possibile, in modo dettagliato i fatti sui quali si fonderebbe una violazione della normativa sulla privacy;
dalla sussistenza di una violazione della disciplina rilevante in materia di trattamento di dati personali.
Riguardo la prima caratteristica del reclamo l’art. 142 del Codice privacy precisa che il reclamo deve contenere “un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare, del responsabile, ove conosciuto, e dell’istante”.
La mancata indicazione di uno o più di detti elementi non dovrebbe importare una pronunzia di inammissibilità del reclamo. Detta interpretazione, infatti, andrebbe a mortificare lo spirito della legge che è quello di accordare la massima tutela al bene giuridico “dato personale” assurto, espressamente, solo con il codice privacy a diritto soggettivo personale (V. art. 1 del Codice privacy secondo cui “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”).
Peraltro, l’accoglimento di una siffatta operazione ermeneutica rischierebbe di rendere quanto mai difficoltosa la presentazione dei reclami direttamente da parte dei soggetti interessati. Infatti, questi ultimi si verrebbero a trovare nella difficile posizione di indicare anche le norme giuridiche che si riterrebbero violate nonché le misure idonee a delimitare gli effetti negativi della violazione posta in essere dal titolare del trattamento dei dati.
In altri termini, gli interessati sarebbero costretti ad avvalersi necessariamente della consulenza di avvocati o di associazioni di tutela dei diritti dei consumatori al fine di rendere effettivi i diritti alla tutela dei propri dati personali.
A parere di chi scrive l’eventuale carenza di elementi dettagliati atti a circostanziare i reclami non dovrebbe risolversi in una dichiarazione di inammissibilità o di infondatezza degli stessi, tanto più che il legislatore stabilisce che l’indicazione deve essere dettagliata per quanto possibile.
In presenza di gravi carenze del reclamo il Garante privacy dovrebbe accogliere l’azione attivata quale segnalazione purché, ovviamente, siano presenti gli elementi minimi richiesti dalla normativa vigente per la presentazione di queste ultime.
A detta conclusione si può pervenire tenendo conto dell’indirizzo giurisprudenziale dell’Authority privacy, formatosi in materia di istanze di accesso da parte degli interessati, volto ad ampliare l’ambito di ammissibilità delle istanze nonché ad indicare agli interessati gli elementi carenti al fine di consentire loro una ripresentazione “formale” delle medesime istanze.
In questo contesto il Garante privacy è pervenuto ad affermare un obbligo per i Titolari di trattamento di rispondere alle istanze degli interessati, anche in caso di loro inammissibilità, nel rispetto dei principi di correttezza e buona fede che presidiano il nostro codice civile.

A sostegno dell’ammissibilità dei reclami non dettagliatamente circostanziati (seppure entro gli ambiti sopra esposti), si pongono, dunque, le seguenti circostanze:
la previsione della salvezza di legge secondo cui i fatti nel reclamo debbono essere rappresentati in modo dettagliato per quanto possibile;
l’espressa previsione di non necessità di particolari formalità (V. art. 142, co. 2 del Codice privacy);
la previsione di cui all’art. 141 del Codice privacy che stabilisce la possibilità per l’interessato di presentare segnalazioni qualora non sia possibile presentare un reclamo circostanziato.

4.2 La violazione di una disposizione rilevante

Un’ulteriore caratteristica del reclamo è costituita dal fatto che in esso l’interessato faccia riferimento ad una violazione di una disposizione rilevante in materia di trattamento dei dati personali.
Detta seconda condizione, pima facie, appare di difficile comprensione poiché sembrerebbe fondarsi sulla implicita, e quanto mai originale, distinzione, nell’ambito della normativa a tutela dei dati personali, di norme rilevanti e norme non rilevanti.
Alla risoluzione di detta problematica contribuisce, in maniera inequivocabile, la relazione di accompagnamento del Codice privacy laddove evidenzia che con il rimando alla “disciplina rilevante” il codice abbia inteso fare riferimento alle nuove fonti normative non legislative costituite dai codici deontologici rappresentanti ulteriori parametri di liceità del trattamento.
Per “disciplina rilevante” si intendono anche le norme contenute in altri settori dell’ordinamento che rilevano ai fini dell’applicazione della normativa a tutela dei dati personali.
Ne consegue che si potrà adire il Garante non solo in caso di violazione delle norme contenute nel Codice privacy e nei suoi allegati ma anche in caso di violazione, ad esempio, della normativa a tutela del diritto all’immagine posto che anche l’immagine può costituire un dato personale.

5 La segnalazione

La segnalazione costituisce un ulteriore strumento giuridico che il Codice privacy ha inteso rimettere al soggetto interessato al fine di far valere il suo diritto al dato personale davanti al Garante privacy.
Dal punto di vista giuridico il legislatore ha indicato i presupposti tesi a contraddistinguere la segnalazione operando per differenza rispetto al reclamo.
La segnalazione, pertanto, potrà essere presentata qualora il soggetto interessato non disponga di tutti gli elementi richiesti dall’art. 142 comma 1 del Codice, per la presentazione del reclamo circostanziato.
Pertanto, come anticipato, in caso di presentazione di un ricorso denominato “Reclamo” ma carente dell’indicazione dei fatti e delle circostanze su cui esso si fonda o delle disposizioni che si assumono lese o delle misure richieste, il Garante per la protezione dei dati personali potrà valutare l’azione alla stregua di una segnalazione.
A seguito della presentazione della segnalazione l’Authority sarà tenuta ad attivare le necessarie procedure di controllo al fine di vagliare la liceità del comportamento posto in essere da parte del Titolare del trattamento.
In caso di presentazione di una segnalazione il Garante potrà adottare tutti i provvedimenti che possono far seguito alla presentazione di un reclamo.

6 I provvedimenti del Garante

I provvedimenti adottabili da parte del Garante per la protezione dei dati personali a seguito della presentazione di un reclamo o di una segnalazione sono i seguenti:
l’invito a procedere spontaneamente al blocco dei dati;
la prescrizione di misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;
il blocco o il divieto del trattamento dei dati qualora esso risulti illecito o non corretto anche per effetto della mancata adozione delle misure necessarie;
il blocco o il divieto in caso di concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
il divieto totale o parziale qualora il trattamento dei dati, inerente singoli soggetti o categorie di soggetti, si ponga in contrasto con rilevanti interessi della collettività.

6.1 Il blocco spontaneo dei dati

Il blocco spontaneo dei dati costituisce una misura interinale che potrebbe essere adottata da parte del Titolare del trattamento del tutto spontaneamente o a seguito di invito formulato dal Garante.
Detto invito potrà essere avanzato dall’Authority qualora essa ritenga di poter prescrivere le misure necessarie per consentire al Titolare di effettuare un trattamento lecito e corretto oppure, in via preliminare, rispetto all’emanazione di un provvedimento di divieto o di blocco dei dati.
In ogni caso, “l’invito” dell’Authority sembrerebbe poter essere effettuato solo a seguito della conclusione dell’istruttoria preliminare.
Nulla vieta, in ogni qual modo, al Titolare del trattamento di disporre spontaneamente il blocco quale misura cautelativa anche prima che si esaurisca la fase di istruttoria preliminare.
Il blocco spontaneo dei dati rappresenta una novità nella normativa a tutela dei dati personali anche se esso può essere considerato come una derivazione di quell’invito ad aderire spontaneamente che il Garante per la protezione dei dati personali già formula nei procedimenti attivati ex art. 29 della Legge 675 del 1996.
Detto ultimo invito ritrova, attualmente e fino al 1 gennaio del 2004, la propria fonte di diritto nell’art. 20 del DPR 501 del 1998.
L’invito ad effettuare il blocco spontaneo dei dati può essere formulato dal Garante anche a seguito di un eventuale contraddittorio delle parti.

6.2 La prescrizione di “correttivi”

A seguito della presentazione di un reclamo o di una segnalazione l’Authority privacy può prescrivere al Titolare del trattamento dei dati di adottare opportune misure che consentano di ricondurre il trattamento dei dati a liceità e correttezza.
Dette misure vengono adottate dall’Authority per la tutela dei dati personali qualora siano state accertate delle violazioni della normativa a tutela dei dati personali seppur in misura non abbastanza grave da giustificare dei provvedimenti di blocco o di divieto dei trattamenti.
La prescrizione di misure necessarie a rendere conforme il trattamento alla normativa vigente non costituisce certamente una novità della nostra normativa a tutela dei dati personali.
L’art. 31, comma 1 lett. c) della legge 675 del 1996, infatti, già consentiva al Garante, tramite delle segnalazioni, di indicare le misure da adottare per procedere ad un legittimo trattamento dei dati personali.
Peraltro, in sede di applicazione della legge 675 del 1996, il Garante, in più occasioni, ha segnalato a talune categorie di Titolari del trattamento dei dati la necessità di conformarsi, talvolta anche indicando un termine perentorio, a disposizioni specifiche della normativa sulla privacy.
Detti provvedimenti possono essere impugnati innanzi all’Autorità giudiziaria ordinaria posto che l’art. 152 del Codice privacy stabilisce che: Tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, sono attribuite all’autorità giudiziaria ordinaria.

6.3 Il blocco dei dati ed il divieto di trattamento

Il Codice privacy nel menzionare le differenti tipologie di misure che il Garante può adottare a seguito della presentazione di un reclamo o di una segnalazione prevede differenti tipologie di blocco o di divieti del trattamento.
Una prima tipologia concerne le ipotesi in cui il trattamento sia illecito o non corretto anche a seguito della mancata adozione da parte del Titolare dei “correttivi”, indicati dal Garante, per ricondurre il trattamento a liceità.
Una seconda tipologia, invece, riguarda, le ipotesi in cui la prosecuzione del trattamento da parte del Titolare possa determinare il rischio concreto di un pregiudizio rilevante per uno o più interessati. Detta condizione può essere giuridicamente assimilata al periculum in mora richiesto dall’art. 700 c.p.c. ai fini della concessione di provvedimenti di urgenza.
Un’ultima tipologia di provvedimenti di blocco e di divieti è, invece, costituita dai casi in cui il trattamento dei dati si ponga in contrasto con rilevanti interessi della collettività.

7 La legittimazione attiva e passiva

Il reclamo, la segnalazione o il ricorso possono essere presentati da ogni soggetto interessato sia esso persona fisica o persona giuridica. La legittimazione ad agire, pertanto, spetta a chiunque si ritenga leso nel suo diritto al dato personale a seguito di una violazione della normativa a tutela dei dati personali.
Non sembrerebbero, quindi, esservi dubbi circa l’individuazione dei soggetti legittimati ad agire tramite la presentazione di reclami, segnalazioni e ricorsi.
Non altrettanto può affermarsi circa i soggetti legittimati passivamente.
Il Garante per la protezione dei dati personali, difatti, nell’esperire i suoi poteri di tutela amministrativa, potrà emettere dei provvedimenti nei confronti di determinate categorie di Titolari del trattamento.
Si pensi che l’art. 143 comma 2, concernente il procedimento per i reclami, stabilisce che i provvedimenti siano” pubblicati sulla Gazzetta Ufficiale della Repubblica italiana se i relativi destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti”.
Dette categorie di soggetti, tuttavia, possono restare totalmente estranee all’intero procedimento decisionale con gravissima violazione del loro diritto di difesa.
La norma in questione solleva (v. art. 143 del Codice privacy) grossi dubbi di legittimità costituzionale per violazione del diritto di difesa di cui all’art. 24 della nostra Carta fondamentale.

8 Il diritto di difesa dei titolari

Per quanto sinora detto appare evidente come il diritto alla difesa dei Titolari sia stato fortemente compresso nel caso in cui il soggetto interessato faccia valere i suoi diritti tramite la presentazione di un reclamo o di una segnalazione.
L’attualità del diritto di difesa ed il suo concreto esercizio sono stati rimessi, da parte del legislatore, “al buon cuore” del Garante per la protezione dei dati personali che, in pratica, avrà il potere di riconoscere al Titolare del trattamento la facoltà di presentare delle note difensive così come, invece, potrà, inaudita altera parte, procedere all’emanazione di provvedimenti di divieti o di blocco dei dati.
Quel che appare più grave è che detti provvedimenti di divieto o di blocco dei dati potranno essere adottati anche nei confronti di titolari del trattamento assolutamente estranei ai fatti addebitati con la presentazione del reclamo o della segnalazione. Tanto è vero che i provvedimenti di divieto, di blocco o di indicazione di “correttivi”, come ora anticipato, potranno essere pubblicati sulla Gazzetta Ufficiale qualora i destinatari non siano facilmente identificabili per il numero o per la complessità degli accertamenti.
La gravità di detta previsione può essere colta in tutta la sua portata se si considera che un ordine di blocco dei dati o di divieto del trattamento potrebbe risolversi, di fatto, nella paralisi dell’esercizio dell’attività economica di imprese.
Ad onor del vero va detto che siffatti poteri sono riconosciuti al Garante anche dall’attuale normativa sulla privacy laddove l’art. 31 della Legge 675 li menziona espressamente tra i compiti ed i poteri dell’Authority privacy.
Quel che non convince è che il legislatore, con il Codice privacy, abbia proceduto ad una riorganizzazione sistematica delle norme facendo confluire i menzionati poteri dell’Authority in un capo rubricato “Tutela amministrativa” con evidente violazione dei diritti alla difesa dei soggetti convenuti.
Evidenziata in detti termini la violazione del principio del contraddittorio, non ci si stupirebbe se, sin dai primi casi di applicazione di dette norme, venissero sollevate questioni di legittimità costituzionale per violazione dell’art. 24 della Carta fondamentale.
A conclusioni diverse, invece, si sarebbe potuto pervenire se i menzionati poteri interdittivi fossero stati riconosciuti all’Authority privacy non in quanto autorità giudicante, seppur di natura amministrativa, bensì come mera Authority amministrativa cui spetta il potere di irrogare le sanzioni amministrative in virtù dell’art. 166 del Codice privacy.
Si ritiene auspicabile un intervento legislativo correttivo teso a statuire inequivocabilmente il diritto di difesa dei titolari del trattamento dei dati in tutti i procedimenti innanzi al Garante, non delimitandolo alle sole ipotesi di presentazione dei ricorsi.
In mancanza di una modifica normativa, che introduca espressamente il riconoscimento del diritto di difesa dei Titolari/convenuti, si ritiene che l’unica alternativa giuridicamente valida sia costituita da una “risistemazione” dei menzionati poteri di blocco e di divieti dell’Authority privacy.
Detti poteri, infatti, andrebbero collocati tra le sanzioni amministrative principali o accessorie che il Garante per la protezione del dati personali potrà comminare in presenza dei presupposti di legge.

9 Il ricorso

Come preannunziato, una delle azioni che può essere fatta valere da parte del soggetto interessato innanzi al Garante per la protezione dei dati personali, è costituita dal ricorso.
Anche per la disciplina di questa azione il legislatore con il Codice privacy ha effettuato un’importante opera di semplificazione e riorganizzazione dell’assetto normativo. Si è, difatti, proceduto ad una ricollocazione sistematica delle norme contenute nell’art. 29 della Legge 675 del 1996 e di quelle previste nel DPR 501 del 1998 facendole confluire nella Parte III, concernente la “Tutela dell’interessato e delle sanzioni”, e precisamente nel Capo I, inerente la “Tutela dinanzi al Garante”, Sezione terza rubricata “Tutela alternativa a quella giurisdizionale”.
L’alternatività, come si è detto, implica l’improponibilità di un’azione dinanzi al Garante qualora per il medesimo oggetto e tra le stesse parti sia già stata adita l’autorità giudiziaria e viceversa (V. art. 145 del Testo unico).

9.1 Le condizioni di ammissibilità
Il ricorso può essere avanzato esclusivamente nel caso in cui sussistano le seguenti condizioni:
il soggetto interessato abbia preliminarmente presentato un interpello preventivo, secondo le forme previste dal codice privacy;
il soggetto interessato intenda far valere esclusivamente quei diritti di accesso, di rettifica, di cancellazione, di integrazione, di opposizione e gli altri diritti di autodeterminazione informativa previsti dall’art. 13 della Legge 675 del 1996 e ribaditi dall’art. 7 del Codice privacy.
La prima differenza rilevante, rispetto alle altre azioni attivabili innanzi all’Authority (reclamo e segnalazione), è costituita dalla circostanza che non potranno essere fatte valere tutte le azioni a tutela dei dati personali bensì unicamente le azioni finalizzate ad assicurare i diritti di accesso, di rettifica, di integrazione, di cancellazione, di opposizione, ecc. dell’interessato.
La seconda differenza è costituita dalla circostanza che condizione di ammissibilità del ricorso è che l’interessato abbia precedentemente fatto valere i medesimi diritti innanzi al Titolare del trattamento dei dati.
Detta condizione di ammissibilità, già presente nella Legge 675 del 1996, salvo talune eccezioni di cui si dirà a breve, è stata definita dal nuovo codice privacy come “interpello preventivo”.
L’ultima differenza, anche se non per importanza, va ravvisata nella diversa considerazione del diritto al contraddittorio ed alla difesa del Titolare.
Difatti, mentre, come appena precisato, nelle azioni di reclamo e di segnalazione il contraddittorio è solo eventuale ed è di fatto rimesso ad una libera scelta del Garante per la protezione dei dati personali, in caso di presentazione del ricorso, il Codice privacy ha ribadito il diritto delle parti di essere sentite e di presentare memorie e documenti confermando, peraltro, l’utilizzo di tecniche audiovisive quali le teleconferenza proprio al fine di agevolare il contraddittorio delle parti.

9.2 L’interpello preventivo

Orbene, come anticipato, la prima condizione di ammissibilità del ricorso è che il soggetto interessato abbia preventivamente presentato una richiesta di accesso o di esercizio degli altri diritti di cui all’art. 7 del Codice privacy al Titolare.
Detta richiesta, peraltro, dovrà essere allegata al ricorso a pena di inammissibilità dello stesso, fatta salva la possibilità di regolarizzazione successiva entro sette giorni dalla data di presentazione del ricorso o dall’invito presentato dal Garante.
Sono stati finalmente eliminati i dubbi circa il soggetto cui va presentata l’istanza di accesso posto che la precedente disciplina parlava di Responsabile del trattamento dei dati e non di Titolare con ovvie critiche da parte della dottrina.
Il Titolare sarà tenuto ad evadere la richiesta entro quindici giorni o, nei casi particolarmente complessi oppure in presenza di giustificati motivi, entro trenta giorni (previo avviso, in detta ultima ipotesi, del soggetto interessato). Il termine previsto dalla precedente normativa per evitare che il soggetto interessato potesse adire il Garante era di cinque giorni.
Detto termine era eccessivamente breve nonostante l’obbligo per i Titolari di adottare tutti gli strumenti, anche tecnici, per consentire la pronta e corretta soddisfazione dei diritti dell’interessato.
Decorso il termine sopra indicato l’interessato potrà far valere i suoi diritti tramite ricorso al Garante avvalendosi della speciale procedura prevista dagli articoli 145 e s. del Codice privacy.
Come nella precedente normativa, non sussiste un obbligo di interpello preventivo nei soli casi in cui l’attesa possa importare un pregiudizio imminente ed irreparabile in capo al soggetto interessato.
Di detto pregiudizio imminente ed irreparabile l’interessato dovrà, comunque, dare conto all’atto della presentazione del ricorso fornendo un’adeguata motivazione al fine di non incorrere in una pronunzia di inammissibilità del ricorso.
Resta ferma, come anticipato, la possibilità di procedere alla successiva regolarizzazione.

9.3 L’adesione spontanea
Il legislatore, nel disciplinare il procedimento per il ricorso, ha ribadito il principio teso a promuovere il tentativo di composizione bonaria tra l’interessato ed il Titolare.
E’ stato, difatti, allungato a dieci giorni il periodo entro cui il Titolare può aderire spontaneamente all’invito del Garante formulato a seguito del ricorso presentato dal soggetto interessato.
Detto termine nel DPR 501 del 1998, che sarà parzialmente abrogato dal 1 gennaio del 2004, era di soli tre giorni.
In verità, il Garante nel tentativo di agevolare l’adesione spontanea ha sempre riconosciuto al Titolare un termine “per fornire riscontro alle richieste del ricorrente e ad informare circa le determinazioni adottate il Garante e lo stesso ricorrente” non inferiore ai sette – otto giorni.

9.4 I termini
Le altre novità introdotte dal Codice privacy in materia di ricorsi alternativi innanzi al Garante, riguardano proprio i termini che, in via generale, sono stati allungati.
Si pensi al termine per la decisione sul ricorso che è stato portato da trenta a sessanta giorni ed il cui decorso configura un’ipotesi di silenzio – dissenso della P.A..
Per avere una visione completa di quel che oggi accade nelle procedure di ricorso innanzi al Garante, va detto che la legge 675/1996, così come il Codice privacy, non prevedono un obbligo per l’Authority di comunicare la decisione alle parti entro un determinato termine tanto è vero che, sovente, i provvedimenti, anche di accoglimento, vengono comunicati alle parti nei sei o sette mesi successivi alla data della decisione.
Questa prassi potrebbe alimentare un contenzioso non giustificato poiché l’opposizione al provvedimento del Garante di rigetto tacito ( si ricordi che in questo caso vige l’ipotesi del silenzio – rigetto) deve essere presentata entro trenta giorni “dalla data di rigetto tacito” (art. 152 comma 4 del TU).
Pertanto, l’interessato che non riceva la tempestiva comunicazione della decisione adottata dal Garante potrebbe ipotizzare un rigetto della sua richiesta e, conseguentemente, impugnare un provvedimento di rigetto tacito di fatto inesistente.
Per ovviare a questo “inconveniente” sarà sempre auspicabile, prima di impugnare un provvedimento di rigetto tacito, accertare, presso l’Ufficio del Garante, che il ricorso presentato sia stato effettivamente preso in esame.
Per questo motivo – nonostante la snellezza del procedimento attivato tramite ricorso – i soggetti interessati spesso preferiscono rivolgersi all’autorità giudiziaria ordinaria anche attraverso un’azione cautelare laddove sussistano i presupposti del periculum in mora e del fumus boni juris.
Con il Codice privacy è stato confermato il termine per l’opposizione al provvedimento di accoglimento o di rigetto del ricorso, che è di trenta giorni.
Detto termine, in linea con quanto previsto nei procedimenti ordinari, resterà sospeso durante l’intero periodo feriale, vale a dire dal 1 agosto al 15 settembre. Si ricorda, a questo proposito che con la legge 675 del 1996 la sospensione feriale operava esclusivamente nel periodo che andava dal 1 al 30 agosto.
La norma del Codice privacy che ha adeguato il periodo di sospensione feriale è una delle poche norme del testo unico in discorso entrata in vigore il giorno successivo alla sua pubblicazione sulla Gazzetta Ufficiale ed è quindi già efficace.

9.5 Le spese quali titolo esecutivo
Una indubbia novità del Codice privacy è la previsione del valore di titolo esecutivo, ai sensi degli artt. 474 e 475 del c.p.c., della parte del provvedimento emanato a seguito della presentazione del ricorso con cui il Garante ha liquidato le spese e i diritti.
Per quanto attiene la vincolatività della rimanente parte del provvedimento si ricorda che l’opposizione al provvedimento emesso a seguito di ricorso non sospende l’esecuzione salvo la sussistenza di gravi motivi (art. 152, comma 5 TU).
Per il resto il Codice privacy non ha introdotto novità sostanziali in materia di presentazione dei ricorsi e di contenuti degli stessi confermando quanto era già previsto nel menzionato DPR 501 del 1998 e nell’art. 29 della Legge 675 del 1996.

10 La tutela innanzi al giudice ordinario
Il Capo II della Parte III del Codice privacy, inerente la Tutela dei diritti degli interessati e le sanzioni, è composto da un unico articolo che disciplina la “Tutela giurisdizionale innanzi all’autorità giudiziaria ordinaria”.
Il principio generale, contenuto nell’art. 152 del D. Lgs. 196 del 2003, è che tutte le controversie concernenti l’applicazione del codice privacy ed i provvedimenti del Garante, inerenti la materia della tutela dei dati personali o la loro mancata adozione, rientrano nella competenza esclusiva della autorità giudiziaria ordinaria.

10.1 L’individuazione del giudice competente
Il giudice territorialmente competente è quello del luogo in cui ha sede il Titolare del trattamento dei dati.
Il valore della causa non ha alcun rilievo ai fini dell’individuazione del giudice competente posto che esso è sempre il Tribunale in composizione monocratica.
Innanzi al Tribunale potranno essere fatte valere non solo tutte le azioni attivabili davanti all’Authority privacy, fatta eccezione per i diritti di cui all’art. 7 del Codice privacy qualora l’interessato abbia già presentato il ricorso al Garante, ma anche le azioni risarcitorie che, invece, sono inammissibili innanzi all’autorità amministrativa.
A questo proposito si ricorda che la violazione della normativa a tutela dei dati personali importa la possibilità per il soggetto interessato di far valere un’azione risarcitoria sia per i danni patrimoniali sia per i danni non patrimoniali.
L’attribuzione della competenza in materia di tutela dei dati personali al Tribunale ritrova la sua ragione d’essere nell’importanza di detti diritti sulla cui natura di diritti soggettivi personali non sembrerebbero esservi più dubbi.
Detti dubbi, infatti, sarebbero risolti dall’art. 1 del Codice privacy laddove enunzia il principio secondo cui “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”.

10.2 Due soli gradi di giudizio per la tutela dei dati personali
Detta scelta, tuttavia, non sembra seguire il medesimo percorso logico giuridico della scelta operata dal legislatore di prevedere due soli gradi di giudizio.
Appare evidente come una siffatta scelta normativa vada a mortificare la stessa natura del diritto soggettivo al dato personale proprio mentre questi ultimi sembravano elevarsi da bene giuridico strumentale, alla tutela di altri diritti della persona (quali la dignità e la riservatezza), a bene giuridico primario con dignità propria.
La precedente normativa veniva, invece, interpretata nel senso che in caso di impugnazione di un provvedimento di rigetto o di accoglimento del Garante, il Tribunale interveniva quale giudice di appello di talché la decisione era impugnabile esclusivamente innanzi alla Cassazione.
Diversamente nei casi in cui si attivava la tutela del dato personale direttamente innanzi al giudice ordinario si riteneva che detta sentenza seguisse l’ordinario percorso processuale potendo essere impugnata innanzi alla Corte d’appello, nel secondo grado, e poi innanzi alla Cassazione per motivi di legittimità.
A queste conclusioni era possibile pervenire ritenendo che il comma 7 dell’art. 29 (che stabilisce unicamente la ricorribilità in Cassazione del decreto emesso dal Tribunale con procedura in camera di consiglio) si riferisse esclusivamente alle ipotesi di impugnazione dei provvedimenti di rigetto tacito o espresso del ricorso presentato innanzi al Garante disciplinato nel precedente comma 6 dell’art. 29.
Il comma 7 dell’art. 29, infatti, non si ritiene applicabile anche alle ipotesi di tutela diretta innanzi al giudice ordinario espressamente richiamate solo al comma 8 dell’art. 29 che così recita: “ tutte le controversie, ivi comprese quelle inerenti il rilascio dell’autorizzazione di cui all’art. 22 comma 1 (per il trattamento dei dati sensibili), o che riguardano, comunque, l’applicazione della presente legge, sono di competenza dell’autorità giudiziaria ordinaria”.
Con il nuovo dettato normativo, invece, non esistono dubbi circa la previsione di due soli gradi di giudizio nel caso in cui l’interessato intenda far valere il proprio diritto al dato personale direttamente innanzi al giudice ordinario.

10.3 Il procedimento
Per quanto riguarda il procedimento da seguire per le azioni giudiziarie attivate innanzi al Giudice ordinario è stato eliminato il richiamo al procedimento in camera di consiglio in luogo della previsione di una procedura abbastanza snella e simile a quella prevista per il rito del lavoro.
I brevi termini previsti da questa procedura dovrebbero assicurare una rapida decisione.
Innanzi al Tribunale possono essere impugnati tutti i provvedimenti emessi dal Garante.
L’azione innanzi al Tribunale si propone con ricorso da depositare presso la cancelleria del Tribunale del luogo in cui risiede il Titolare del trattamento dei dati.
Viene così fissata l’udienza di comparizione con ordine per il ricorrente di notificare il ricorso con pedissequo decreto alla controparte.
Dalla data della notificazione a quella della prima udienza deve intercorrere un periodo di tempo non inferiore a trenta giorni.
In caso di mancata comparizione del ricorrente alla prima udienza il giudice potrà disporre la cancellazione della causa dal ruolo e dichiarare estinto il processo.
Nel corso del giudizio deve essere assicurato il contraddittorio delle parti. Il giudice ha la possibilità di omettere tutte quelle formalità non necessarie al contraddittorio, potendo, ad esempio, ascoltare i testi senza dover preventivamente formulare i capitoli.
Conclusa la fase istruttoria nella medesima udienza le parti dovranno precisare le loro conclusioni e discutere la causa.
Il giudice potrà leggere il dispositivo nella medesima udienza riservandosi di depositare le motivazioni in cancelleria entro trenta giorni.
Le parti possono depositare delle note difensive.
Come previsto dall’attuale art. 29 della Legge 675/1996 il giudice potrà agire anche in deroga al divieto di cui all’art. 4 della Legge 2448 del 1865 allegato e) accogliendo o rigettando le richieste anche risarcitorie, pronunziandosi sulle spese e prescrivendo tutte le misure necessarie atte ad assicurare la liceità del trattamento dei dati.

11 Le conclusioni

In conclusione, pur dovendosi riconoscere al Codice privacy il grande merito di aver chiarito, semplificato ed unificato le norme inerenti le azioni a tutela dei dati personali, si auspicano degli interventi normativi di tipo correttivo tesi a:
riconoscere i tre gradi di giudizio per i procedimenti ordinari aventi ad oggetto la materia della tutela dei dati personali;
assicurare il diritto al contraddittorio in tutte le azioni attivabili innanzi al Garante per la protezione dei dati personali nel rispetto del diritto alla difesa.

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it