08 Ott Prevalenza della privacy e “colpa da organizzazione”: Nota a Cassazione civile, Sez. II, 3.09.2020, n. 18292
La responsabilità degli enti nel trattamento dei dati personali.
Con l’ordinanza in commento la Corte di Cassazione ha chiarito come le esigenze di trasparenza amministrativa non siano riconducibili ad informazioni non strettamente necessarie ai fini della pubblicazione sui siti istituzionali di pubbliche amministrazioni.
Altresì, la Suprema Corte ha ribadito l’autonoma responsabilità dell’ente in quanto titolare del trattamento, cui è dunque imputabile la violazione per “colpa di organizzazione”, come nei casi di responsabilità da reato degli enti, ex D.lgs. 231 del 2001.
Il caso
La pronuncia della Cassazione trae origine da una lunga disputa tra il Comune di Santa Ninfa (provincia di Trapani) ed una sua dipendente, nell’ambito di un recupero di retribuzione indebitamente erogata. Il provvedimento comunale era stato pubblicato sul sito istituzionale dell’amministrazione e riportava anche informazioni non strettamente inerenti allo stesso. Infatti, veniva riportato lo stato di famiglia della dipendente, la circostanza che quest’ultima viveva da sola, nonché la sua richiesta di rateizzazione della somma dovuta.
Il provvedimento, inoltre, veniva mantenuto sul sito comunale ben oltre il termine di 15 giorni, previsto dall’art. 124 del D.lgs. n. 267 del 2000 (TUEL – Testo Unico Enti Locali).
In seguito alla segnalazione dell’interessata, il Garante per la protezione dei dati personali emetteva un’ordinanza [1] con la quale irrogava al Comune una sanzione di 4000 euro per la diffusione dei dati personali della dipendente.
Il Tribunale di Sciacca rigettava l’opposizione proposta dal Comune, sulla base della presenza di dati ultronei rispetto alle esigenze di trasparenza amministrativa nella pubblicazione effettuata.
A fronte della pronuncia del Tribunale, il Comune presentava ricorso per Cassazione, cui seguiva il controricorso del Garante.
La questione
Tra i motivi di ricorso, da un lato il Comune denunciava la violazione degli (attualmente abrogati) artt. 19, comma 3 bis del Codice Privacy [2] e 11, comma 1 del D.lgs. 150 del 2009 [3], e giustificava il tempo di pubblicazione con il disposto dell’art. 124 del TUEL [4]; dall’altro, sosteneva che l’omessa rimozione in ogni caso non fosse imputabile al Comune. In particolare, sarebbe difettato l’elemento psicologico della colpa rispetto all’illecito amministrativo, poiché la configurazione del sito web era stata affidata ad un consulente esterno.
Di diverso avviso è la Cassazione, per quanto attiene ad entrambe le questioni: la Corte ritiene pacifico che il Comune potesse pubblicare il provvedimento emesso, né il Garante ha mai contestato la pubblicazione in sé.
Le criticità emergono invece in relazione al periodo di pubblicazione e alle informazioni accessorie che accompagnavano il provvedimento. Infatti, l’art. 124 del TUEL prevede la pubblicazione per 15 giorni, ma non impone un periodo superiore, né intende i 15 giorni come unità di tempo minima.
Inoltre, la pubblicazione delle informazioni personali, riguardanti la vita privata della dipendente, non erano in alcun modo necessarie ai fini di trasparenza di cui al citato art. 11 del D.lgs. 150 del 2009. Infatti, lo stato di famiglia, il fatto di vivere da sola e la respinta domanda di rateizzazione di quanto dovuto al Comune non avevano alcuna attinenza ad esigenze di carattere organizzativo, gestionale o di valutazione.
La Suprema Corte, dunque, non ha condiviso la doglianza del ricorrente, secondo cui le esigenze di trasparenza amministrativa sarebbero prevalenti sul principio della privacy.
A tal proposito, già prima di emettere il provvedimento in parola, il Garante aveva emanato delle linee guida in materia di trasparenza sul web e trattamento dei dati personali, rivolte alle pubbliche amministrazioni [5]. In particolare, sulla base delle disposizioni del D.lgs. 33 del 14 marzo 2013 [6], l’Autorità non solo evidenziava il divieto di pubblicare informazioni non espressamente imposte da norma di legge o di regolamento, ma altresì invitava a provvedere ad oscurare i dati “non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”.
La Cassazione, inoltre, per quanto riguarda l’insussistenza dell’elemento psicologico della colpa, ha disatteso l’argomentazione del ricorrente. Infatti, il titolare del trattamento non è l’amministratore o il legale rappresentante, bensì la persona giuridica che raccoglie e tratta i dati personali.
Già in precedenza la sentenza 5 luglio 2016, n. 13657 era intervenuta sul punto, chiarendo che il principio della imputabilità personale delle sanzioni non poteva certamente giustificare una “sostanziale irresponsabilità dell’Ente tenuto al trattamento dei dati sensibili protetti dalla legge”.
Tuttavia, in questo caso, per meglio chiarire il profilo di responsabilità della persona giuridica, il Giudice di legittimità si è riportato al concetto di “colpa da organizzazione” ex D.lgs. 231 del 2001, da interpretare alla luce di quanto affermato dalle Sezioni Unite con la sentenza n. 38343 del 2014.
Il fatto di affidare la gestione del sito internet ad un consulente esterno, dunque, non comporta in alcun modo un difetto di responsabilità, al contrario rispecchia una carenza gestoria rispetto a circostanze che il Tribunale aveva correttamente ritenuto riconducibili “alla sfera di signoria dell’Ente”.
Attualmente, il rapporto di controllo che viene delineato in questo caso è rinvenibile nelle previsioni dell’art. 28 del Regolamento generale sulla protezione dei dati (GDPR). Infatti, il titolare può ricorrere solo a responsabili che “presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. Spetta dunque al titolare la verifica sull’adeguatezza del responsabile, così come la conformità dei contratti con esso stipulati ai requisiti previsti dal GDPR.
Il principio di responsabilità della persona giuridica nel trattamento dei dati personali si basa in queste decisioni sul disposto dell’art. 28, oggi abrogato, del Codice privacy [7], mentre attualmente si rinviene nell’art. 4 del GDPR [8].
La decisione della Corte, oltre ad essere sintonica alla precedente pronuncia del 2016, appare coerente con quanto è stato sempre ritenuto sulla base della normativa in materia di protezione dati personali di derivazione comunitaria.
Ad esempio, è possibile richiamare un parere reso dal Garante già nel 1997 sulla definizione di titolare del trattamento emergente dal testo – all’epoca vigente – della legge n. 675 del 1996 (“la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza;”) [9]. In tale occasione, il Garante non solo aveva confermato la responsabilità autonoma dell’ente, ma aveva anche notato come tale orientamento fosse “pacifico anche in ambito comunitario”.
Tale ultima osservazione sembra poi essere stata confermata prima dal tenore letterale dell’art. 28 del Codice privacy che ha esplicitato e confermato il principio di responsabilità in parola e successivamente dalla definizione di “titolare” data dal GDPR.
Il sistema di controllo del trattamento dei dati attualmente delineato dal GDPR, rispetto all’impianto normativo del D.lgs. 231/2001, non presenta dei veri modelli di organizzazione, tuttavia è caratterizzato da strumenti, dall’analisi del rischio fino alla DPIA [10] che rendono ancor più evidente la sussistenza di una responsabilità autonoma dell’ente.
In tale sistema, è ancor più evidente l’importanza della figura del Data protection officer (DPO), o responsabile della protezione dei dati, nell’ambito dei suoi compiti di indirizzo e controllo [11] delle attività inerenti ai trattamenti svolti dall’organizzazione di cui fa parte (o da terzi a cui sono affidati), soprattutto alla luce della responsabilità di quest’ultima in quanto titolare del trattamento.
Avv. Antonio Laudisa
Dr. Marco Della Bruna
Riproduzione riservata©
Immagine di Raniero Botti © 2015
Riferimenti
[1] Ordinanza n. 193 del 26 marzo 2015.
[2] D.Lgs. 196/2003, Art. 19, comma 3-bis: “Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall’amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l’amministrazione, idonee a rivelare taluna delle informazioni di cui all’articolo 4, comma 1, lettera d).”
[3] Art. 11, comma 1: “La trasparenza è intesa come accessibilità totale, anche attraverso lo strumento della pubblicazione sui siti istituzionali delle amministrazioni pubbliche, delle informazioni concernenti ogni aspetto dell’organizzazione, degli indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse per il perseguimento delle funzioni istituzionali, dei risultati dell’attività di misurazione e valutazione svolta dagli organi competenti, allo scopo di favorire forme diffuse di controllo del rispetto dei principi di buon andamento e imparzialità. Essa costituisce livello essenziale delle prestazioni erogate dalle amministrazioni pubbliche ai sensi dell’articolo 117, secondo comma, lettera m), della Costituzione.”
[4] Art. 124, comma 1: “Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge.”
[5] “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (Pubblicato sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014).
[6] “Riordino della disciplina riguardante gli obblighi di pubblicita’, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.” In particolare, l’art. 4, comma 3 vieta la diffusione di dati personali ulteriori, non prevista espressamente dal medesimo decreto o da altra specifica norma di legge o di regolamento.
[7] D.Lgs. 196/2003, art. 28: “Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.”
[8] L’articolo definisce come segue il titolare del trattamento: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;”.
[9] Titolare, responsabile e incaricato – Individuazione del “titolare del trattamento” – 9 dicembre 1997, in
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/30915
[10] Data protection impact assessment.
[11] Cfr. anche https://edps.europa.eu/data-protection/data-protection/reference-library/data-protection-officer-dpo_en