Banche dati e sanzioni 

Merita attenzione, a parere di chi scrive, la sentenza resa dalla Prima Sezione Civile della Corte di Cassazione in data 17 agosto 2016, n. 17143, con riguardo a violazioni del Codice della Privacy operate in relazione a banche dati di grandi dimensioni.

Con la sentenza in commento, infatti, la Cassazione scioglie il dubbio interpretativo in ordine alla applicabilità della sanzione prevista dall’articolo 164-bis. “Casi di minore gravità e ipotesi aggravate”, comma 2.

Il comma citato, infatti, dispone che, “in caso di più violazioni di un’unica o di più disposizioni di cui  al  presente Capo, a eccezione di quelle previste dagli articoli 162,  comma  2,  162-bis  e  164,  commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta.”.

Il principio di diritto

In particolare, la Cassazione chiarisce se la fattispecie di cui al comma 2 dell’articolo 164-bis debba considerarsi autonoma e possa essere ritenuta cumulabile agli altri illeciti eventualmente contestati, confermando l’orientamento espresso dall’Autorità garante per la protezione dei dati personali. Sul punto, la Cassazione ha espresso il seguente principio di diritto:

“In tema di illeciti amministrativi stabiliti dal Codice della Privacy di cui al D. Lgs. n. 196 del 2003, la fattispecie di cui all’art. 164-bis, co. 2, non costituisce una ipotesi aggravata rispetto a quelle semplici richiamate dal tenore testuale della disposizione ma una figura di illecito del tutto autonoma, in considerazione del fatto che in essa si prevede la possibilità che vengano infrante dal contravventore, anche con più azioni ed in tempi diversi, una pluralità di ipotesi semplici, però unitariamente considerate dalla norma in esame con riferimento «a banche di dati di particolare rilevanza o dimensioni», sicché in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, consegue una ipotesi di cumulo materiale delle sanzioni amministrative.”

Il caso

In estrema sintesi, un operatore di telefonia veniva sanzionato dall’Autorità garante per la protezione dei dati personali  per aver utilizzato, per le chiamate promozionali, dati personali (acquistati da altre società di marketing, ma che derivavano dagli elenchi telefonici formati prima dell’agosto 2005), senza aver provato di aver inoltrato la prescritta informativa per l’acquisizione del consenso degli interessati all’utilizzazione dei dati di loro pertinenza.

All’esito della procedura incardinata innanzi all’Autorità Garante, quest’ultima provvedeva a contestare  alla società la violazione delle seguenti disposizioni del Codice privacy:

• a) art. 162, co. 2-ter, per aver utilizzato (fino al 14 gennaio 2009) dati personali tratti da elenchi telefonici pubblicati prima del 10 agosto 2005, per i quali era stato disposto, con provvedimento del Garante del 26 giugno 2008, il divieto di trattamento;
• b) art. 161, per aver registrato, organizzato nel proprio server e utilizzato i dati provenienti da altre società, senza la preventiva informativa di cui all’art. 13 del Codice della Privacy;
• c) art. 162, co. 2-bis, in relazione all’art. 167, per aver effettuato trattamenti di dati personali acquisiti dalle società predette, senza lo specifico consenso degli interessati, ai sensi dell’art. 23 Codice Privacy;
• d) art. 164-bis, co. 2, per aver commesso le precedenti violazioni in relazione ad una banca dati di particolare rilevanza e dimensioni.

La società sanzionata procedeva al pagamento in misura ridotta perché possibile, ai sensi dell’art. 16 della legge n. 689/81, solo per le prime tre violazioni, con effetto estintivo dei relativi procedimenti sanzionatori. In relazione all’ultima contestazione, invece, il Garante, con l’ordinanza ingiunzione, provvedeva a irrogare la sanzione di Euro 300.000,00, per la violazione del menzionato art. 164-bis, co. 2, Codice Privacy.

La società ingiunta si opponeva alla sanzione amministrativa, ma il Tribunale competente la confermava; il procedimento, quindi, approdava in Cassazione e sfociava in una pronuncia che mostra diversi aspetti interessanti in ordine alla procedura sanzionatoria (si vedano, ad esempio, le argomentazioni spese in ordine al computo dei termini), ma che qui sommariamente riporterò solo in riferimento alla applicabilità del comma 2 dell’articolo 164 bis.

La decisione

La società, dunque, ricorreva in Cassazione lamentando, tra l’altro, l’errore interpretativo compiuto dal Tribunale che, in ipotesi di dubbio, facendo applicazione dei principi del favor rei (ricavabile dall’art. 6, comma 11, D. Lgs. n. 150 del 2011) e quello di ne bis in idem, applicabili anche nella materia delle sanzioni amministrative, avrebbero dovuto portare il giudice di merito a dichiarare illegittima l’ordinanza- ingiunzione dell’Autorità e computare correttamente le somme versate a estinzione delle violazioni contestate.

Le argomenti poste dalla ricorrente  a sostegno delle proprie doglianze vengono però rigettate dalla Corte in ragione di due due “rilevanti e decisivi argomenti (uno formale e strutturale; l’altro, sostanziale e puntuale)” che la Corte reputa meritevoli di una compiuta disamina.

Banche dati: l’argomento formale

Con riguardo al primo argomento (quello che si è definito come formale), la Corte esclude che la fattispecie in esame possa rappresentare solo una ipotesi aggravata delle violazioni semplici, e ciò in base al modo in cui sono strutturate le norme: per la Corte, “Le richiamate plurime disposizioni «di cui al presente Capo» sono tra di loro assai diverse sicché, quando esse vengono infrante dal contravventore, anche con più azioni ed in tempi diversi, la loro commissione, unitariamente considerata dalla norma in esame solo con riferimento «a banche di dati di particolare rilevanza o dimensioni», non può dar luogo ad ipotesi aggravata della singola disposizione «di cui al presente Capo», atteso che, in detta ipotesi, la violazione delle singole figure di illecito amministrativo è avvenuta assieme alla violazione di altre e distinte ipotesi semplici,  sicché lo schema della «fattispecie aggravata» (…) si rivela del tutto incapace di dar conto dell’area e della struttura di questa figura astratta di illecito.”

Banche dati: l’argomento sostanziale

Ad analoga conclusione si giunge percorrendo la via sostanziale. Per la Corte, la diversità delle ipotesi astratte considerate risulta dalla rilevata difformità dei beni giuridici tutelati che non differiscono tra loro sul piano meramente quantitativo, ma differiscono in maniera apprezzabile sul piano qualitativo.

Infatti, prosegue la Corte, una cosa sono la gestione e il trattamento di dati personali, per quanto aggruppati e consistenti, un’altra sono la gestione e il trattamento di intere banche dati, ancor più quando esse assumano la consistenza, come può accadere per quelle in tema di agglomerati di dati anagrafici e telefonici, di “particolare rilevanza o dimensioni”.

“In tali casi, infatti, il comportamento sanzionato assume una rilevanza qualitativa, che prescinde dall’entità numerica dei dati raccolti e trattati in violazione dei criteri legali, cosicché, indipendentemente dalla rubrica della previsione sanzionatoria (che effettivamente parla di ipotesi aggravate), nella specie, la condotta punibile si pone all’interno di una fattispecie di illecito del tutto autonoma e, perciò, sanzionata in modo proprio, con la previsione di una diversa forbice comminatoria”.

Il cumulo

Dalle riferite osservazioni (formali e sostanziali), discende, per la Suprema Corte, anche la configurabilità del cumulo materiale, conseguente all’astratta ipotizzabilità del concorso (non formale) degli illeciti amministrativi tra le fattispecie di cui agli artt. 162, co. 2- ter, 161 e 162, co. 2-bis, in rapporto a quella di cui all’art. 164-bis, co. 2, D. Lgs. n. 196 del 2003, quando le prime tre violazioni (tra le tante possibili secondo il tenore della disposizione esaminata) siano commesse con riferimento a una banca dati di particolare rilevanza e dimensioni.

La conferma giunta dalla Suprema Corte all’orientamento già espresso dal Garante impone una maggiore attenzione nelle attività di marketing operate attraverso l’impiego di banche dati di particolare rilevanza o dimensioni, dato che le sanzioni appaiono impegnative; sul punto occorre evidenziare che il procedimento sanzionatorio che si instaura con la contestazione della violazione di cui all’art. 164-bis, comma 2, si differenzia da quello relativo alle altre violazioni per l’inapplicabilità dell’art. 16 della legge n. 689/1981 in tema di pagamento in misura ridotta, che consentirebbe al contravventore di chiudere il procedimento sanzionatorio pagando, entro sessanta giorni dalla notifica dell’atto di contestazione, una somma pari al doppio del minimo (o un terzo del massimo) previsto dalla legge per la specifica violazione.

Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.

Il GDPR per le piccole (e piccolissime) imprese
07/07/2018

GDPR: le utilità gratuite per implementarlo
09/02/2018

Regolamento UE  2016/679: che fine fa il responsabile interno?
19/11/2017

La figura del DPO, nomina posizione e compiti
08/11/2017

Possibili effetti dell’estensione della data retention a 6 anni
12/09/2017

Eccezione per trattamenti a fini personali nel RGPD
08/06/2017