Le novità processuali in materia di privacydopo il Reg. 679/2016 (GDPR) e il D.lgs. 101/2018

Di Fabio Valerini -

Sommario1.Le nuove disposizioni processuali del Codice della Privacy nel sistema della tutela dei dati personali – 2.Le controversie in materia di privacy – 3.Le azioni aventi ad oggetto il risarcimento del danno – 4. Il rito applicabile – 5. I criteri per la competenza territoriale – 6.I termini per l’azione – 7.Il mandato agli enti del terzo settore – 8.La fissazione dell’udienza – 9. La tutela cautelare – 10.Il ruolo del Garante come amicus curiae11.Il potere del Garante di agire e di rappresentanza in giudizio – 12.Il contenuto della decisione del giudice – 13.Interferenze tra procedimento amministrativo e processo civile – 14.Entrata in vigore delle disposizioni sostanziali e processuali – Bibliografia essenziale

 

1. Le nuove disposizioni processuali del Codice della Privacy nel sistema della tutela dei dati personali

Dopo l’entrata in vigore del Reg. 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e del decreto legislativo10 agosto 2018, n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, possiamo dire che il nuovo quadro normativo di riferimento del processo civile in materia di privacypuò dirsi, almeno nei suoi tratti essenziali, delineato.

Innanzitutto, possiamo affermare che il complessivo sistema di tutela della protezione dei dati personali è fondato su un duplice binario che, mutuando espressioni familiari al diritto della concorrenza, possiamo indicare come public e private enforcement.

Quanto al public enforcement esso consiste principalmente nell’attività amministrativa delle autorità garanti (e nel sistema fondato sulle sanzioni amministrative) nonché sulla previsione di sanzioni penali (previste dall’ordinamento italiano come consentito dalla normativa europea) e nella tutela (in via amministrativa e alternativa[1]) dei diritti degli interessati (ad eccezione del risarcimento dei danni)[2].

Quanto, invece, al private enforcementil Regolamento prevede una norma ad hoc sul risarcimento del danno (e, cioè, l’art. 82), nonché alcune disposizioni di carattere processuale sulla giurisdizione[3]e il rinvio alle discipline processuali dei singoli stati membri[4].

Ed infatti, l’ordinamento europeo ha espressamente previsto che le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2 che dovrà assicurare il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento[5].

Ebbene, con riguardo all’Italia, le nuove disposizioni processuali sono contenute nel Capo V del d..lgs. 101/2018 che è dedicato, per l’appunto, alle “Disposizioni processuali”[6].

Peraltro, il Capo V si compone del solo articolo 17 che modifica l’articolo 10 del decreto legislativo 1° settembre 2011 n. 150 (c.d. semplificazione dei riti).

2. Le controversie in materia di privacy – Orbene, il decreto legislativo, richiamando anche il Regolamento, sostituisce l’articolo 152 il cui testo prevede oggi che “tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e comunque· riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo Regolamento, sono attribuite all’autorità giudiziaria ordinaria”.

La prima parte della disposizione relativa alle controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui all’articolo 78 del Regolamento non pone particolari problemi.

Ed infatti, si tratta dei ricorsi avverso le decisioni delle autorità di controllo (nel nostro caso dell’Autorità garante) rispetto alle quali il giudice ordinario ha pieni poteri (ben potendo anche rideterminare le sanzioni irrogate dall’autorità).

Neppure la seconda parte della disposizione e, cioè, quella relativa ai ricorsi giurisdizionali di cui all’art. 79 del Regolamento pone problemi dal momento che si riferisce a quei giudizi che abbiano per oggetto la tutela dei diritti riconosciuti dal Regolamento (come il diritto all’accesso ai dati, alla portabilità, al c.d. oblio et alia, ma anche al risarcimento del danno).

Viceversa, occorre soffermarsi sulla terza parte della disposizione che individua come criterio per l’applicazione del rito speciale quello per cui la controversia riguardi, comunque, “l’applicazione della normativa in materia di protezione dei dati personali” (sulla domanda avente ad oggetto il risarcimento del danno vedi, comunque, infra).

L’espressione non è nuova e ricorre, ad esempio, anche nel diritto della concorrenza dove la competenza delle sezioni specializzate[7]e pone la necessità di porre delle precisazioni.

In primo luogo, il richiamo all’applicazione della “normativa”[8]in materia di protezione dei dati personali, anziché delle fonti che quella disciplina fondano, evita alcuni problemi che avrebbero potuto porsi in base alla previgente disciplina che faceva riferimento al d.lgs. 196/2003[9].

In secondo luogo, il rito si applicherà a tutte le controversie in materia di trattamento di dati personali sia che riguardano i diritti che potrebbero essere fatti valere in via alternativa davanti al Garante[10], sia per il diritto al risarcimento dei danni come la norma riconosce in maniera espressa (e che non può essere proposta, a pena di inammissibilità, davanti al Garante)[11].

In terzo luogo, il rito non dovrebbe trovare applicazione quando la domanda avente ad oggetto l’applicazione della normativa in materia di privacy risulti proposta in via cumulata con altra domanda soggetta al rito ordinario o altro rito speciale[12][13].

In quarto luogo, infine, la norma non si applicherà neppure laddove la normativa sulla privacyacquisti un rilievo strumentale per la decisione avente ad oggetto altre situazioni giuridiche soggettive.

Ciò ricorre, ad esempio, nel caso in cui il giudice debba decidere in via istruttoria con riferimento ad un ordine di esibizione (e rispetto al quale potrebbe venire in rilievo proprio esigenze di privacyda valutare) ovvero alla liceità e/o utilizzabilità di una prova in relazione alle norme in materia di privacy ovvero, infine, nel caso di un giudizio amministrativo sull’accesso.

3.Le azioni aventi ad oggetto il risarcimento del danno – Da ultimo, occorre dire dell’ultimo criterio che rende applicabile il rito di cui all’art.t 10 rappresentato dalla materia: le norme processuali si applicheranno anche alle controversie aventi ad oggetto “il diritto al risarcimento del danno”.

L’individuazione del risarcimento del danno come materia comporta anche la necessità di approfondire un aspetto fondamentale rappresentato da quale sia la norma sul risarcimento del danno oggi prevista per la lesione della privacy[14].

Orbene, il d.lgs. 101/2018 ha abrogato l’art. 15 d.lgs. 196/2003 in base al quale il legislatore aveva previsto che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile[15].

Oggi, la norma di riferimento – avente natura sostanziale – è unicamente l’art. 82 del Regolamento che, per quel che qui rileva, così prevede “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento[16]ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Nonostante la diversa formulazione, possiamo affermare che la responsabilità per violazione della privacy continua ad ispirarsi al nostro modello della responsabilità per esercizio di attività pericolosa di cui all’art. 2050  cod. civ.

Resta da dire, sempre con riferimento alle azioni sul risarcimento del danno che occorrerà domandarsi se la giurisprudenza interna sia, o no, compatibile con la tutela del diritto al risarcimento del danno la cui fonte è proprio il Regolamento europeo[17].

4.Il rito applicabile– Per le controversie che abbiamo sin qui richiamato (e, quindi, sia per i ricorsi avverso i provvedimenti emessi dall’autorità garante sia per i ricorsi aventi ad oggetto le controversie in materia di privacy) il legislatore ha confermato la scelta secondo cui “le controversie previste dall’articolo 152 del decreto legislativo 30 giugno 2003, n.  196, sono regolate dal rito del lavoro, ove non diversamente disposto dal presente articolo” e sono decise dal Tribunale in composizione monocratica con sentenza non appellabile, ma ricorribile (quindi) unicamente per cassazione.

5.I criteri per la competenza territoriale– Il legislatore, però, ha modificato i criteri di attribuzione della competenza territoriale.

Se prima del 2018 era competente soltanto “il tribunale del luogo in cui ha la residenza il titolare del trattamento dei dati” ora il foro diviene alternativo.

Ed infatti, in linea con l’art. 79, comma 2 Reg., è stata introdotta la competenza anche del “tribunale del luogo di residenza dell’interessato[18].

Questa norma, quantomeno nelle ipotesi in cui sia l’interessato a promuovere l’azione, consente di superare il problema che si era posto circa l’operatività del foro del consumatore con riferimento alle controversie in esame.

E ciò perché, il foro del consumatore (da intendersi come esclusivo[19]) opera – secondo la giurisprudenza – soltanto quando il trattamento si inserisce in modo qualificato all’interno di un rapporto di consumo restando, quindi, escluso quando l’illecito ipotizzato dal consumatore non risulta direttamente connesso ad un rapporto di consumo, per una qualche forma di responsabilità diretta del professionista, costituendo soltanto l’occasione per fare emergere un pregresso trattamento da parte dei terzi[20].

6.I termini per l’azione – Il terzo e il quarto comma dell’art. 10 disciplinano i termini per proporre l’azione tutte le volte in cui la domanda ha come oggetto un provvedimento dell’autorità garante.

Con la nuova formulazione è stato previsto che “il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell’interessato, è proposto, a pena di  inammissibilità,  entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro  sessanta  giorni se   il ricorrente risiede all’estero”.

Diviene più articolata la disciplina relativa al “silenzio” del Garante. Ed infatti, il quarto comma prevede che l’interessato possa proporre ricorso entro trenta giorni dalla scadenza del termine previsto per la decisione del reclamo di cui all’art. 143 comma 3 ovvero decorso il termine trimestrale senza che l’interessato sia stato informato dello stato del procedimento.

7.Il mandato agli enti del terzo settore– Il quinto comma prevede che “l’interessato può dare mandato a un ente del terzo settore soggetto alla disciplina del decreto legislativo 3 luglio 2017, n. 117, che sia attivo nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di esercitare per suo conto l’azione, ferme le disposizioni in materia di patrocinio previste dal codice di procedura civile[21].

La norma non lascia adito ad alcun dubbio su ciò che: (a) il diritto oggetto del processo è il diritto del soggetto leso (b) il soggetto leso (anche perché il diritto oggetto del processo è il suo) deve conferire mandato all’ente del terzo settore non essendo, ovviamente, possibile che un ente possa agire a tutela dei diritti individuali senza alcun mandato[22].

Ne deriva che non siamo in presenza di una forma di azione di classe, ma di una azione individuale ove il soggetto legittimato e del cui diritto si discuterà nel processo ha dato mandato ad un ente per agire in giudizio[23].

Inoltre, la dizione “esercitare per suo conto l’azione” fa sorgere il dubbio se sia applicabile, anche all’ipotesi in questione, la necessità che il mandato presupponga anche la facoltà di disposizione del diritto in capo al mandatario.

Ed infatti, per la Cassazione “la rappresentanza processuale, intesa quale potere di agire ovvero di resistere in giudizio per il dominus nonché di conferire, in suo nome, la procura al difensore, può essere attribuita ad un terzo solo congiuntamente alla rappresentanza sostanziale in ordine al rapporto poi dedotto in giudizio. Laddove la rappresentanza, in violazione di tale principio, sia stata attribuita con riferimento alla sola sfera processuale sarà da considerarsi invalida. Ciò comporta la conseguente invalidità della procura alle liti rilevabile in ogni stato e grado del giudizio” (da ultimo, sez. II Civile, ordinanza, 2 agosto 2018, n. 20432).

Peraltro, se così fosse non si capirebbe neppure il senso della previsione potendo sempre il soggetto conferire a chicchessia (purché alle condizioni prima richiamate) il mandato di agire per proprio conto.

Ecco allora che, se vogliamo mantenere un effetto utile sia del testo del Regolamento che dell’art. 17 d.lgs. 101/2018 si può concludere che, diversamente dal consueto, è possibile attribuire al mandatario la sola rappresentanza processuale.

Da ultimo, il d.lgs. 101/2018 non ha voluto attuare (pur avendone la facoltà riconosciuta dalla norma comunitaria) la previsione del secondo comma dell’articolo 80 Reg. che avrebbe consentito agli enti di agire indipendentemente dal mandato conferito dall’interessato[24].

8.La fissazione dell’udienza– In base al sesto comma il giudice fissa l’udienza di comparizione delle parti con decreto con il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante.

È previsto che tra il giorno della notificazione e l’udienza di comparizione devono intercorrere non meno di trenta giorni.

Resta, poi, all’ottavo comma la regola secondo cui, se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l’estinzione del processo; ponendo a carico del ricorrente le spese di giudizio.

Senonché, questa previsione pone un problema quando oggetto del processo sia l’impugnazione di un provvedimento dell’autorità garante con il quale viene irrogata una sanzione amministrativa pecuniaria.

Ed infatti, la Corte Costituzionale con la nota sentenza del 5 dicembre 1990, n. 534 aveva dichiarato l’illegittimità costituzionale dell’art. 23, quinto comma, della legge 24 novembre 1981, n. 689 (con una formulazione analoga al nostro attuale ottavo comma) “nella parte in cui prevede che il pretore convalidi il provvedimento opposto in caso di mancata presentazione dell’opponente o del suo procuratore alla prima udienza senza addurre alcun legittimo impedimento, anche quando l’illegittimità del provvedimento risulti dalla documentazione allegata dall’opponente”.

Ne deriva che dovrà essere fatta applicazione anche oggi e nella materia in esame del principio fissato dalla Corte Costituzionale e che la giurisprudenza della Cassazione, invero, ha fatto da sempre proprio[25].

9.La tutela cautelare – Il comma 7 prevede che “l’efficacia esecutiva del provvedimento impugnato può essere prevista secondo quanto previsto dall’articolo 5”.

Ovviamente, la sospensione dell’efficacia esecutiva del provvedimento impugnato (che è misura cautelare tipica tutte le volte in cui è, per l’appunto, impugnato un provvedimento) non esaurisce l’ambito della tutela cautelare di cui dispone il giudice civile quando oggetto del ricorso è uno dei diritti in materia di privacy oppure il risarcimento del danno.

Ed infatti, in presenza di esigenze cautelari troverà applicazione l’art. 700 c.p.c. e ben potrà il giudice civile adottare tutti i provvedimenti che avrebbe potuto adottare il Garante in via amministrativa (ivi compreso l’oscuramento, la rimozione o il blocco di qualsiasi altro dato personale del minore, diffuso nella rete internet, previa conservazione dei dati originali di cui al primo comma dell’art. 1 della Legge 71/2017 in materia di cyberbullismo)[26].

10.Il ruolo del Garante come amicus curiae– Il comma 9 prevede che nei casi in cui non sia parte in giudizio, il Garante può presentare osservazioni, da rendere per iscritto o in udienza, sulla controversia in corso con riferimento ai profili relativi alla protezione dei dati personali.

Il decreto prevede che a tal fine “il giudice  dispone  che sia  data comunicazione  al Garante  circa  la pendenza  della  controversia, trasmettendo copia degli atti introduttivi,  al  fine di  consentire l’eventuale presentazione delle osservazioni”.

Peraltro, si segnala che la Commissione speciale della Camera, nel parere reso sullo schema di decreto, aveva condizionato il parere favorevole, inter alia, a che si precisasse che “il Garante rende le osservazioni … quando il giudice lo richiede”.

La possibilità per il Garante di presentare “osservazioni” opera quando il Garante non è parte del giudizio e, quindi, quando non gli spettano i consueti poteri di allegazione e prova, nonché la legittimazione all’impugnazione dei provvedimenti del giudice (sia cautelari che definitivi)[27].

11.Il potere del Garante di agire e di rappresentanza in giudizio– Oltre al ruolo di amicus curiae il d.lgs. 101/2018 ha introdotto nel Codice privacy l’art. 154-ter in base al quale è stato riconosciuto al Garante un proprio potere di agire e di rappresentanza in giudizio.

Ed infatti, in base alla nuova norma “il Garante è legittimato ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali[28].

In quel caso il Garante è rappresentato in giudizio dall’Avvocatura dello Stato, salvo nei casi di conflitto di interesse, allorché il Garante, sentito l’Avvocato generale dello Stato, può stare in giudizio tramite propri funzionari iscritti nell’elenco speciale degli avvocati dipendenti di enti pubblici ovvero avvocati del libero foro.

La lettura della norma (che trova il suo fondamento nell’art. 58, comma 5 Reg.[29]) suscita, però, almeno un interrogativo: perché mai il Garante dovrebbe avere interesse (exart. 100 c.p.c.) ad agire davanti al giudice?

Ed infatti, il Garante ha il potere di sanzionare l’eventuale violazione delle norme da parte del titolare ben potendo, ad esempio, adottare anche misure cautelari come il blocco dei dati.

Peraltro, il procedimento davanti al Garante è, per così dire, assistito da una fattispecie di reato che attiene al comportamento che il titolare deve assumere nei confronti dell’attività di indagine[30]e le decisioni del Garante hanno più “tutela” (enforcement) rispetto a quelle del giudice[31].

Forse si potrebbe pensare che l’Autorità sia legittimata ad agire per chiedere e ottenere un risarcimento del danno agli interessi generali (salvo poi vedere a chi va questo danno e se effettivamente è predicabile un tale danno), ma, francamente, non si riesce a vedere, al momento, quale possa essere lo spazio di operatività della norma.

12.Il contenuto della decisione del giudice – Il giudice ordinario – sia con la sentenza che definisce il giudizio sia, a fortiori, con provvedimento cautelare – “può prescrivere le misure necessarie anche in deroga al divieto di cui all’art. 4 della legge 20 marzo 1865, n. 2248 allegato E) anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno”.

Ai fini dell’enforcementdel provvedimento del giudice occorre ricordare che, diversamente, dai provvedimenti del Garante che sono assistiti da una misura coercitiva penale, qui la coercizione penale non è prevista come nella precedente disciplina.

Tuttavia, occorre ricordare che oggi è applicabile anche con riferimento alle “misure necessarie” le misure di coercizione indiretta di cui all’art. 614- bis c.p.c.

Resta, poi, se destinatario del provvedimento è la pubblica amministrazione la possibilità di ricorrere al giudizio di ottemperanza.

Laddove dovessero sorgere problemi circa l’individuazione e l’esecuzione delle misure necessarie le strade divergono a seconda che quelle misure siano state previste in sede cautelare ovvero di merito.

Nel primo caso provvederà il giudice del cautelare ai sensi dell’art. 669 duodecies c.p.c., nel secondo caso dovrà farsi riferimento alle regole del processo esecutivo per gli obblighi di fare o disfare di cui all’art. 612 c.p.c.

Infine, ai sensi del comma 10, la sentenza emessa all’esito del giudizio ex art. 10 d.lgs. 150/2011 non è appellabile, ma ricorribile unicamente per cassazione[32].

13.Interferenze tra procedimento amministrativo e processo civile – Un ultimo aspetto da affrontare, come avevamo anticipato in apertura, è quello rappresentato dalle possibili “interferenze” tra la tutela offerta dal Garante e la tutela giurisdizionale[33].

Innanzitutto, dobbiamo mettere in evidenza quali siano i rapporti tra il procedimento amministrativo e il procedimento giurisdizionale quando i rispettivi oggetti sono diritti per i quali il d.lgs. 196/2003 prevede  una tutela alternativa[34].

In questo caso l’art. 140- bis indica chiaramente che non vi può essere “alcun rapporto” dal momento che indica chiaramente quali siano le conseguenze della violazione della regola dell’alternatività.

Da un lato, se per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria “il reclamo al Garante non può essere proposto” (comma 2).

Dall’altro lato, se per il medesimo oggetto e tra le stesse parti, è stata già adito il Garante la domanda giudiziaria è improponibile un’ulteriore domanda (comma 3)[35].

È fatto salvo, ovviamente:

1.quanto previsto dall’articolo 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150 che regola l’ipotesi di decorso del termine massimo per la decisione da parte del Garante sul reclamo proposto. Ed infatti, non sarebbe certamente possibile impedire il ricorso al giudice se il Garante non addiviene ad una decisione né obbligare il reclamante a proporre un giudizio avverso il silenzio;

2.l’ipotesi in cui la domanda proposta al garante sia inammissibile[36].

Chiarito questo aspetto, ci si può chiedere

1.se ed eventualmente in che limiti le decisioni amministrative emesse nell’ambito del public enforcement vincolano il giudice civile;

2.se e quali prove raccolte nel procedimento amministrativo davanti al Garante possano circolare verso altri giudizi[37].

Quanto all’efficacia del provvedimento del Garante il problema si pone con riferimento alle controversie che possiamo definire follow- on.

Ed infatti, la parte che abbia vittoriosamente proposto reclamo al garante per un illecito trattamento dei dati potrà successivamente agire davanti al giudice ordinario per il risarcimento dei danni[38]oppure potrà agire chi è venuto a conoscenza di un trattamento illecito di dati che lo riguarda a seguito di un provvedimento sanzionatorio del Garante.

La Cassazione, però, sul punto ha ritenuto che “il provvedimento del Garante per la protezione dei dati personali, non opposto ai sensi degli artt. 151 e 152 del Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), non può mai acquistare efficacia (equiparabile a quella) di cosa giudicata nel separato giudizio che l’interessato abbia successivamente instaurato dinanzi all’autorità giudiziaria ordinaria per ottenere il risarcimento dei danni che assume provocati dalla lesione del diritto alla riservatezza e del diritto alla protezione dei dati personali[39].

Senonché, è anche vero che la giurisprudenza – specialmente con riferimento al contenzioso civile antitrust– abbia comunque avuto modo di riconoscere ai provvedimenti di un’autorità amministrativa l’efficacia di una prova privilegiata.

Quanto, invece, alle prove raccolte nel procedimento amministrativo davanti al Garante non vedrei ostacoli alla possibilità che queste possano circolare verso il giudizio civile anche alla luce del fatto che il diritto processuale civile conosce le prove atipiche.

14.Entrata in vigore delle disposizioni sostanziali e processuali– Abbiamo sin qui visto che vi sono norme sia di diritto sostanziale (in particolare, quelle che disciplinano il risarcimento del danno) sia di diritto processuale (in particolare, quelle di cui all’art. 17 d.lgs. 101/2018, ma anche il nuovo art. 154-ter Dl.gs. 196/2003)[40].

Ebbene, quanto alle norme sostanziali, esse sono entrate in vigore a partire dal 25 maggio 2018 in quanto trovano la loro fonte nel Regolamento[41].

Quanto alle nuove norme processuali, in assenza di norma ad hoc, si applicheranno a decorrere dall’entrata in vigore del decreto legislativo (e, cioè, a partire dal quindicesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale avvenuta il 4 settembre 2018 e, quindi, il 19 settembre 2018).

Bibliografia essenziale– Dopo il Reg. 679/2016 e il D. Lgs. 101/2018: F. Valerini, Pubblicate le norme di adeguamento al Regolamento europeo sulla privacy, in Diritto e giustizia, 5 settembre 2018; F. Pizzetti, Decreto Gdpr, le urgenze dopo l’entrata in vigore (19 settembre), in https://www.agendadigitale.eu/sicurezza/decreto-gdpr-le-urgenze-dopo-luscita-in-gazzetta-ufficiale/del 5 settembre 2018; A. Candini, Gli strumenti di tutela, in G. Finocchiaro (dir.), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017; M. Ratti, La responsabilità da illecito trattamento dei dati personali nel nuovo regolamento, in G. Finocchiaro (dir.), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017. Con riferimento alla normativa previgente: F.P. Luiso, Diritto processuale civile, Milano, 2015, V, 247 ss.; V. Denti, La tutela della riservatezza: profili processuali, in Riv. trim. dir. proc. civ., 1998, 747 ss.; G. Costantino, La tutela giurisdizionale dei diritti al trattamento dei dati personali, in Riv. trim. dir. proc. civ., 2014, 1221 ss.; D. Buoncristiani, Tutela alternativa a quella giurisdizionale, in C.M.Bianca – F.D. Busnelli (cur.), La protezione dei dati personali, Padova, 2007, I, 1792 ss.

[1]Alternatività che sussiste soltanto a favore della parte istante non essendo previsto a favore della controparte convenuta una sorta di declinatoria o di richiesta di trasposizione in sede giudiziaria. Peraltro, per Luiso, cit., ciò determina che quando il soggetto convenuto dovesse proporre opposizione al provvedimento del Garante reso in sede di tutela alternativa si dovrà trovare, una volta davanti al Giudice, nelle stesse condizioni in cui si sarebbe trovato se, in luogo del Garante, fosse stato adito il Giudice: e ciò perché occorre rispettare l’art. 6 CEDU in presenza di un sistema che non prevede alcun meccanismo di declinatoria per la parte convenuta davanti al Garante.

[2]Peraltro, per effetto dell’entrata in vigore del Regolamento si sottolinea che il reclamo da parte dell’interessato è, oggi, gratuito: il che – unitamente ai tempi di definizione davanti al Garante (forse in aumento per effetto dell’aumento delle richieste di intervento) e ai maggiori poteri del Garante, portano gli interessati a preferire il public enforcement (nelle forme che abbiamo visto) al ricorso al giudice per la tutela dei diritti. Ed infatti, il più delle volte il valore (modesto) delle controversie ha come effetto quello di non rendere conveniente il ricorso al giudice per i costi di accesso e la difesa tecnica necessaria. Ecco allora che l’unica alternativa praticabile al public enforcement saranno, probabilmente, i meccanismi di ADR.

[3]Il riferimento è all’art. 79, comma 2 in base al quale “le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri”. Peraltro, giova ricordare che, con riferimento ad una violazione dei diritti della personalità derivante dalla pubblicazione di informazioni su internet, la Corte di Giustizia dell’Unione Europea, Grande Sezione, con sentenza del 25 ottobre 2011 in C- 509/09 e C-161/10 ha affermato che “l’art. 5, punto 3, del regolamento (CE) del Consiglio 22 dicembre 2000, n. 44/2001, concernente la competenza giurisdizionale, il riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale, deve essere interpretato nel senso che, in caso di asserita violazione dei diritti della personalità per mezzo di contenuti messi in rete su un sito Internet, la persona che si ritiene lesa ha la facoltà di esperire un’azione di risarcimento, per la totalità del danno cagionato, o dinanzi ai giudici dello Stato membro del luogo di stabilimento del soggetto che ha emesso tali contenuti, o dinanzi ai giudici dello Stato membro in cui si trova il proprio centro d’interessi. In luogo di un’azione di risarcimento per la totalità del danno cagionato, tale persona può altresì esperire un’azione dinanzi ai giudici di ogni Stato membro sul cui territorio un’informazione messa in rete sia accessibile oppure lo sia stata. Questi ultimi sono competenti a conoscere del solo danno cagionato sul territorio dello Stato membro del giudice adito”.

[4]Non vi è dubbio, come si avrà modo di esaminare infranel testo, che la presenza di due binari di tutela ripropone la tematica del possibile rapporto tra fase e provvedimento amministrativo e successiva azione di risarcimento del danno sia con riferimento alle prove in quella sede raccolte che con riferimento all’eventuale efficacia della decisione amministrativa emessa dal Garante per la protezione dei dati personali.

[5]Qui dovendo trovare applicazione i principi affermati dalla Corte di giustizia secondo cui le regole processuali sono rimesse agli stati membri i quali però devono garantire effettività.

[6]Tra le varie disposizioni del d.lgs. 101/2018 ve n’è una che ha anche un rilievo processuale: il riferimento è all’introduzione nel Codice dell’articolo 2-terdecies sul trattamento relativo ai dati di persone decedute che attribuisce l’esercizio dei diritti dell’interessato a chi abbia un interesse proprio o agisca a tutela dell’interessato, in qualità di suo mandatario, o per particolari ragioni familiari. In base al comma 2 “l’esercizio dei diritti di cui al comma 1  non e’  ammesso  nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della  società dell’informazione,  l’interessato lo  ha espressamente  vietato [anche limitatamente ad alcuni diritti e che potrà sempre modificare o revocare, nda] con  dichiarazione  scritta  presentata   al titolare del trattamento o a quest’ultimo comunicata”. Il Garante aveva rilevato l’opportunità di garantire la volontà dell’interessato di vietare l’esercizio dei diritti di accesso ai dati che lo riguardano suggerendo di introdurre un comma 3-bis in base al quale “sono nulle le clausole contrattuali che prevedono disposizioni in contrasto con quanto stabilito dai commi 2 e 3″.  Il comma 5 prevede, infine, che “In  ogni caso,  il   divieto  non   puo’   produrre  effetti pregiudizievoli per l’esercizio  da  parte dei  terzi  dei diritti patrimoniali che derivano dalla morte  dell’interessato  nonche’ del diritto di difendere in giudizio i propri interessi”. Peraltro, non si può non ricordare sul tema il recente epilogo di una vicenda accaduta in Germania e che ha coinvolto Facebook: i genitori avevano chiesto a Facebook di poter accedere alla pagina della loro figlia morta per poter trarre elementi ritenuti utili per l’accertamento delle cause della morte. Ebbene, dopo una sentenza di primo grado favorevole ai genitori e quella di appello favorevole a Facebook, la Corte Federale di Giustizia ha riconosciuto ai genitori il diritto di accedere al profilo privilegiando il diritto successorio. Inoltre, sul punto, il Garante aveva richiamato l’attenzione sulla “opportunità di assicurare un migliore coordinamento della disposizione in esame con la disciplina civilistica rilevante, in particolare in ordine alle implicazioni del divieto di cui ai commi 2 e 3 sull’esercizio, da parte dei terzi, dei diritti patrimoniali derivanti dalla morte dell’interessato nonché del diritto di difesa in giudizio

[7]Ai sensi dell’art. 3 lett. c) e d) del d.lgs. 168/2003 le sezioni specializzate per le imprese sono competenti “per le controversie di cui all’art. 33, comma 2, della legge 10 ottobre 1990, n. 287” e “nelle controversie relative alla violazione della normativa antitrust dell’Unione Europea”. Peraltro, l’esigenza di applicare la normativa in materia di privacypotrebbe sorgere anche in via di eccezione o per effetto della proposizione di una domanda riconvenzionale (sul tema, con riferimento al diritto della concorrenza, si vis, F. Valerini, Il giudizio di merito antitrust, in L.F. Pace (cur.), Dizionario sistematico del diritto della concorrenza, Napoli, 2013, 235 ss.)

[8]Sul punto Cass., sez. VI, 23 maggio 2013, n. 12749 ha affermato che “il D.Lgs. n. 196 del 2003, art. 152, comma 1, stabilisce espressamente l’applicazione delle norme del Codice a tutte le controversie “comprese” quelle inerenti ai provvedimenti del garante. Ciò che scrimina, dunque, ai fini dell’applicazione del regime giuridico anche processuale contenuto nel D.Lgs. n. 196 del 2003, è la derivazione causale dell’illecito risarcitorio dal trattamento di dati personali da parte del titolare, ovvero da chi assume le decisioni in ordine alle finalità e alle modalità del trattamento o agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4, lettera f)”. Per un’applicazione concreta si veda Tribunale Verona, 30 ottobre 2012, in Diritto & Giustizia 2012, 18 dicembre 2012 secondo cui “Nelle azioni di responsabilità bancaria per violazione della privacy, va osservato il giudizio ordinario per i furti d’identità e il giudizio speciale ex art. 10 Dlgs 150/11 per l’illecita segnalazione alla Centrale rischi” (in senso conforme anche Trib. Catanzaro, sez. I, ordinanza 9 maggio 2014 in www.ilcaso.it).

[9]Sul punto G. Costantino, cit., secondo cui “la determinazione per fonti piuttosto che per materia dell’ambito di applicazione del procedimento potrebbe suscitare qualche problema applicativo. Trattandosi di un procedimento speciale, infatti, ai sensi dell’art. 14 disp. prel., esso non può trovare applicazione al di fuori dei casi e dei tempi espressamente considerati. Il criterio di applicazione fondato sulla fonte della disciplina sostanziale, inoltre, implica che un qualunque successivo provvedimento legislativo sulla utilizzazione dei dati personali dovrebbe considerare che il procedimento speciale regolato dall’art. 152 d.lgs. 30 giugno 2003, n. 196, potrebbe riuscire applicabile esclusivamente alle controversie dal medesimo decreto considerate”.

[10]E, quindi, riprendendo quanto previsto dal Regolamento: il diritto di accesso (il diritto di ottenere la conferma circa l’esistenza o meno di un trattamento concernente i dati nonché il diritto di ricevere ogni informazione relativa al medesimo trattamento); il diritto alla rettifica (il diritto di ottenere la rettifica dei dati, qualora gli stessi siano incompleti o inesatti); il diritto alla cancellazione (c.d. “diritto all’oblio”) (e, cioè, il diritto di ottenere, in talune circostanze, la cancellazione dei dati presenti all’interno degli archivi qualora non rilevanti ai fini della prosecuzione del rapporto contrattuale o necessari per obbligo di legge); il diritto alla limitazione del trattamento (il diritto di ottenere, al verificarsi di talune condizioni, la limitazione del trattamento, qualora non rilevante ai fini della prosecuzione del rapporto contrattuale o necessario per obbligo di legge); il diritto alla portabilità (il diritto di ottenere il trasferimento dei dati in favore di un diverso titolare); il diritto di opposizione (il diritto di opporsi, in qualsiasi momento per motivi connessi alla propria situazione particolare, al trattamento dei dati che riguardano l’interessato basati sulla condizione di liceità del legittimo interesse o dell’esecuzione di un compito di interesse pubblico o dell’esercizio di pubblici poteri, compresa la profilazione); il diritto di revoca del consenso (il diritto di revocare il consenso al trattamento dei tuoi dati in qualsiasi momento, restando ferma la liceità del trattamento basata sul consenso prima della revoca); il diritto di proporre reclamo all’Autorità di controllo (il diritto, in qualsiasi momento, di promuovere le richieste per l’esercizio dei diritti). In ogni caso, qualora l’interessato desideri proporre un reclamo in merito alle modalità attraverso cui i dati sono trattati, ovvero in merito alla gestione di un reclamo proposto, ha il diritto di presentare un’istanza direttamente all’Autorità di controllo.

[11]A mio avviso, le norme in esame sono applicabili anche nei casi regolati dalla legge 29 maggio 2017, n. 71 recante Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo. In particolare, il comma 2 dell’art. 2 della legge prevede a tutela del minore che “qualora, entro le ventiquattro  ore successive  al  ricevimento dell’istanza di cui al comma 1, il soggetto  responsabile  non abbia comunicato di avere assunto l’incarico di provvedere all’oscuramento, alla rimozione o al blocco richiesto, ed entro quarantotto ore non vi abbia provveduto, o comunque nel  caso  in  cui  non sia  possibile identificare il titolare  del  trattamento o  il  gestore del  sito internet o del social media,  l’interessato  può  rivolgere  analoga richiesta,  mediante segnalazione  o  reclamo, al  Garante  per  la protezione dei dati personali, il quale, entro quarantotto  ore  dal ricevimento della richiesta, provvede ai sensi degli articoli  143  e 144 del citato decreto legislativo 30 giugno 2003, n. 196”. Per la particolare natura dei soggetti coinvolti e dei diritti che vengono in gioco si deve ritenere che la medesima forma di tutela sia ottenibile, ancorché nel silenzio della legge, in sede giudiziaria ed anche (e soprattutto) in sede cautelare.

[12]Sul punto Trib. Milano, 6 maggio 2015, n. 4794 secondo cui “in presenza di un cumulo di domande, tra cui quella relativa all’illecito trattamento dei dati personale, a norma dell’art. 40 c.p.c., la causa era stata correttamente introdotta dalla difesa attrice nelle forme del rito ordinario di cognizione (applicabile alle domande fondate sull’asserita violazione del diritto all’immagine e del diritto alla non interferenza nella sfera privata) anziché in quelle del rito del lavoro, applicabile solo alla domanda relativa all’illecito trattamento dei dati personali”. In precedenza, Trib. Milano, 20 marzo 2014, n. 3929 aveva ritenuto la prevalenza del rito ordinario per esigenze di economia processuale (nella specie di non parcellizzazione) anche se la domanda è unica laddove l’attore abbia dedotto che un medesimo fatto abbia violato sia la privacy che altri diritti (come, ad esempio, il diritto all’immagine).

[13]Secondo G. Costantino, cit., quindi, ciò “offre uno strumento alla parte che intenda sottrarsi al nuovo rito speciale: potrebbe essere sufficiente instaurare, anche in via riconvenzionale, una qualunque controversia connessa con quella relativa al trattamento dei dati personali, per impedire l’applicazione della nuova disciplina processuale. In tal caso, la difesa consiste nella trattazione separata delle controversie. Sennonché la scelta tra la riunione e la separazione delle cause, ai sensi dell’art. 103, co 2, richiamato dall’art. 104, co. 2, c.p.c. è rimessa alla valutazione della economia processuale, insindacabile in sede di impugnazione”.

[14]Peraltro, la qualificazione della responsabilità per violazione della privacyquale responsabilità contrattuale o extracontrattuale o da contatto sociale si riflette anche sul processo e, in particolare sulla distribuzione dell’onere di allegazione e dell’onere della prova.

[15]Il comma 2, poi, prevedeva anche che “Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11” e, cioè, della norma che regolava le modalità del trattamento e requisiti dei dati.

[16]Con un’interpretazione letterale della dizione “presente regolamento” si potrebbe porre il problema che il risarcimento del danno ai sensi dell’art. 82 non copra l’ipotesi di trattamento posto in violazione di una norma del legislatore interno. Senonchè, sul punto, e a sostegno di un’interpretazione estensiva si richiama il considerando n. 80 del Regolamento ove si legge che “un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento”.

[17]Gli aspetti più delicati possono essere individuati (a) nella risarcibilità del danno non patrimoniale (sicuramente liquidabile nel caso di specie stante l’espressa previsione) e la sua liquidazione vieppiù dopo la sentenza della Corte di Cassazione, sez. III, 27 marzo 2018, n. 7513 (rel. Rossetti) che ha fornito il decalogo della liquidazione del danno non patrimoniale e (b) nella non risarcibilità dei danni c.d. bagatellari come nel caso di spamming deciso da Cass. , sez. I, 8 febbraio 2017, n. 3311.

[18]Il comma 2 dell’art. 79 prevede espressamente che “le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri”.

[19]Per Trib. Catanzaro, sez. I, ordinanza 9 maggio 2014 in www.ilcaso.it“La controversia relativa alla sospensione o la cancellazione del proprio nominativo dalla centrale rischi rientra nell’ambito di applicazione del c.d. “codice Privacy”. Ne consegue che l’azione, la quale dovrà seguire le forme del rito del lavoro, è assegnata alla competenza del “Tribunale del luogo in cui ha la residenza il titolare del trattamento dei dati”. Ciò anche dove la parte attrice rivesta la qualità di consumatore, trattandosi di una norma sul foro competente che prevale sul cd. foro del consumator

[20]Così espressamente Cass., sez. VI, 07/03/2017, n. 5658

[21]Sul punto si veda anche l’art. 143 per la legittimazione dell’ente del terzo settore anche a proporre il reclamo.

[22]Ed infatti, nel caso di specie non siamo neppure in presenza di una forma di class action che potrebbe prevedere che l’azione esercitata da uno dei titolari del diritto possa avere effetto anche nei confronti di chi non ha agito (salvo l’operatività necessaria di uno degli strumenti del c.d. opt-in ovveroopt-out).

[23]Conformemente a quanto affermato nel testo anche A. Candini, op. cit., 14 secondo il quale “tale rimedio di distingue dall’ipotesi della class action”. In senso contrario, se ben si interpreta il testo, F. Pizzetti, op. cit., secondo cui “è ragionevole attendersi che anche la introduzione di questa singolare e specifica forma di class action, possa concorrere a incrementare il contenzioso, sia davanti al Garante che all’Autorità Giudiziaria, anche agendo per il risarcimento dei danni subiti”.Peraltro, rispetto all’affermazione di Pizzetti, si condivide l’idea che il mandato agli enti del terzo settore attivo nel settore possa aumentare il contenzioso.

[24]Il secondo comma dell’art. 80 Reg. prevede, infatti, che “Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento”.

[25]Con riferimento al giudizio di opposizione a sanzione amministrativa pecuniaria la giurisprudenza di legittimità è nel senso che “nel giudizio di opposizione al pagamento di sanzione amministrativa pecuniaria, a seguito delle dichiarazioni di illegittimità costituzionale relative all’art. 23, comma 5, della legge n. 689 del 1981 (Corte cost., sent. n. 534 del 1990 e n. 507 del 1993), l’emanazione della ordinanza di convalida (che costituisce provvedimento decisorio, non revocabile dal giudice che lo ha emesso) è subordinata a tre condizioni: 1) la mancata comparizione dell’opponente o del suo procuratore; 2) la non fondatezza dell’opposizione sulla base dei motivi di ricorso e dei documenti prodotti; 3) il deposito da parte dell’amministrazione irrogante di copia del rapporto con gli atti relativi all’accertamento, nonché alla contestazione e alla notificazione della violazione;  ne consegue che il giudice, ove ritenga di convalidare il provvedimento opposto, deve motivare in ordine a tutti e tre i presupposti sopraindicati (Cass. 1653/2007)” (cfr., ex multis, Cass. 29 gennaio 2008, n. 1246).

[26]Sul possibile contenuto dei provvedimenti si richiama la sentenza delle Sezioni Unite Cass. civ., Sez. Un., sent. 27 dicembre 2017, n. 30981 che riguardava il caso di un privato cittadino che aveva convenuto  in giudizio avanti al Tribunale di Napoli, la banca B.d.N. SPA, la Regione Campania e il Garante per la protezione dei dati personali assumendo come illegittimo il trattamento dei dati personali, idonei a rilevare il proprio stato di salute, e domandando il relativo risarcimento del danno, la rimozione del dato divulgato e l’adozione delle misure idonee a prevenirne l’ulteriore divulgazione.

[27]Peraltro, l’oggetto del giudizio rispetto al quale è prevista questa forma di coinvolgimento del Garante è tipicamente un diritto disponibile alle parti e, quindi, non si pone neppure quell’esigenza – ricorrente ad esempio nell’ambito del diritto antitrust– che a tutela dell’interesse pubblico (ad esempio a che venga pronunciata la nullità di un’intesa vietata) all’Autorità garante possa essere riconosciuto un potere di allegazione e di prova.

[28]Questa previsione, a prima vista, sembra ricordare analoghe norme presenti in altri settori dell’ordinamento. E così, in primo luogo, l’art. 35 del d.l. n. 201 del 2011, che ha introdotto nella l. n. 287 del 1990 il nuovo art. 21 bis, che attribuisce all’Autorità garante concorrenza e mercato la legittimazione “ad agire in giudizio contro gli atti amministrativi generali, i regolamenti ed i provvedimenti di qualsiasi amministrazione pubblica che violino le norme a tutela della concorrenza e del mercato”. In secondo luogo, l’art. 36, comma 2, lett n),  del d.l. 24  gennaio  2012, n.  1, convertito con la legge 24 marzo 2012, n. 27, che ha attribuito all’Autorità dei trasporti un’analoga legittimazione a ricorrere al giudice amministrativo con riferimento a taluni aspetti della disciplina dei taxi.In terzo luogo, l’art. 211 commi 1-bis e 1-ter del d.lgs. 50/2016 secondo cui “L’ANAC  è legittimata ad agire in giudizio per l’impugnazione dei bandi, degli altri atti generali e dei provvedimenti relativi a contratti di rilevante impatto, emessi da qualsiasi stazione appaltante, qualora ritenga che essi violino le norme in materia di contratti pubblici relativi a lavori, servizi e forniture”. Sulle prime due ipotesi, per un inquadramento, si veda F. Cintioli, Osservazioni sul ricorso giurisdizionale dell’autorità garante della concorrenza e del mercato e sulla legittimazione a ricorrere delle autorità indipendenti, in Federalismi, 2012.

[29]Ed infatti, in base all’art. 58, par. 5, Reg. “Ogni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso”. Similmente l’art. 47, par. 5, della direttiva 680/2016, prevede che “Ogni Stato membro dispone per legge che ciascuna autorità di controllo abbia il potere di sottoporre all’attenzione di autorità giudiziarie violazioni delle disposizioni adottate a norma della presente direttiva e, se del caso, di intentare un’azione o di agire in sede giudiziale, per far rispettare le disposizioni adottate a norma della presente direttiva”.

[30]Il riferimento è all’art.  168 d.lgs. 196/2003 rubricato Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante in base al quale “1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.| 2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti”.

[31]Il riferimento è all’art. 170 d.lgs. 196/2003 rubricato Inosservanza di provvedimenti del Garante) e in base al quale “Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento, dell’articolo 2-septies, comma 1, nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163 e’ punito con la reclusione da tre mesi a due anni”.

[32]La non appellabilità della sentenza del Tribunale non vale a trasformare il giudizio davanti al Tribunale in un giudizio di impugnazione (e, quindi, di secondo grado) rispetto al provvedimento amministrativo del Garante. Ne deriva, correttamente, la conclusione che “la controversia in esame pertanto non si configura come gravame, rispetto al provvedimento adottato dal Garante in sede amministrativa, ma come opposizione, ed è proprio la natura amministrativa della fase svoltasi dinanzi al Garante che determina l’inidoneità del provvedimento emesso all’esito a passare in giudicato (cfr. Cass. n. 13151 del 25/05/2017). Ne consegue che, nel caso in esame, non si è formato alcun giudicato su quanto accertato nel procedimento amministrativo davanti al Garante -come sostenuto con la prima censura – e non trovano applicazione, essendosi svolto il procedimento in unico grado di merito davanti al Tribunale, i principi che governano la cognizione del giudice in sede di appello, invocati, con la seconda censura”: così testualmente Cass. civ. sez, I, 18 giugno 2018, n. 16061.

[33]E ciò ad esclusione dei rapporti tra Garante e processo penale di cui all’art. 167 e

[34]Sulla base dell’alternatività il Garante ha ritenuto che una procura generale alle liti, conferita con atto notarile, legittima il legale della ricorrente a proporre un ricorso dinanzi al Garante in procedimento che, ai sensi dell’art. 29, comma 1, della legge n. 675, è alternativo alla proposizione di un’azione dinanzi al giudice ordinario (cfr. Garante privacy doc. web. n. 1066548 del 30 ottobre 2002).

[35]La giurisprudenza ha precisato che il riferimento deve essere inteso a domande che se pendenti contestualmente davanti a più giudici possono, in via generale, essere assoggettate al regime processuale della litispendenza o della continenza: cfr. Cass. 17 settembre 2014, n. 19534

[36]Il Garante nei provvedimenti di inammissibilità generalmente ricorda che “L’accertata inammissibilità non pregiudica la facoltà per la ricorrente di chiedere il risarcimento dei danni dinanzi all’autorità giudiziaria, ove ne ricorrano i presupposti, e di esercitare i diritti tutelati dal citato art. 13 nei confronti di titolari del trattamento che potrebbero detenere suoi dati di carattere personale” (cfr. Garante privacy doc. web n. 30895 del 20 dicembre 1999).

[37]Con riferimento ad una terza forma di “interferenza” e, cioè, sapere se l’autorità amministrativa può e/o deve fornire pareri all’autorità giudiziaria si rinvia retro ai paragrafi 10 e 11.

[38]Sul punto Cass. civ., sez. III, 25 maggio 2017, n. 13151 secondo cui “per la violazione del diritto alla riservatezza e del diritto alla protezione dei dati personali, è consentito  esperire, dopo aver adìto il Garante,anche separata azione risarcitoria dinanzi al giudice ordinario”. La domanda di risarcimento del danno potrà essere proposta anche nel giudizio che la parte avvia a seguito dell’impugnazione del provvedimento del Garante che abbia rigettato la sua domanda ovvero in via riconvenzionale nel giudizio avviato dal titolare avverso il provvedimento del Garante che abbia accertato, ad esempio, l’illiceità del trattamento dei dati personali.

[39]Cass. civ., sez. III, 25 maggio 2017, n. 13151

[40]Si richiama Cassazione civile, sez. I, 11/07/2013, n. 17204  secondo cui “In caso di denunciata violazione della normativa relativa al trattamento dei dati personali con ricorso proposto successivamente all’entrata in vigore del d.lg. 30 giugno 2003 n. 196, ed in relazione a fatti antecedenti a tale data (nella specie, utilizzazione di dati personali al fine di una contestazione disciplinare), la disciplina sostanziale applicabile “ratione temporis” è quella di cui alla l. 31 dicembre 1996 n. 675, restando invece applicabili le regole processuali di cui al citato decreto legislativo.

[41]Sul punto si deve richiamare l’attenzione su ciò che il c.d. periodo di tregua previsto dal d.lgs. 101/2018 (in base al quale «Per i primi otto mesi dalla data  di  entrata in  vigore  del presente decreto, il Garante per la  protezione dei  dati  personali tiene conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile con  le  disposizioni del Regolamento (UE) 2016/679, della fase  di  prima applicazione  delle disposizioni sanzionatorie», non può in alcun modo influire sull’obbligo di risarcire il danno. Risarcimento del danno che, diversamente dalla possibilità di modulare le sanzioni amministrative, dovrà essere pieno. Del resto, la conclusione non potrebbe essere diversa come riconosciuto dallo stesso legislatore dal momento che dal 25 maggio 2018 le norme del Regolamento UE siano pienamente operative (non foss’altro perché contenute in una fonte sovraordinata) e, quindi, se violate danno luogo (quantomeno) all’obbligo di risarcire il danno cagionato.

Scarica l’articolo in pdf