La Sentenza in oggetto ha affermato la piena legittimazione del Garante per la protezione dei dati personali ad irrogare sanzioni pecuniarie nei confronti delle pubbliche autorità sulla base di quanto segue.
Va, infatti, rilevato, che, nel nostro ordinamento, il Garante per la protezione dei dati personali è legittimato ad irrogare sanzioni amministrative pecuniarie nei confronti di autorità pubbliche. Per quanto concerne il quadro normativo in materia si rileva quanto segue. Il considerando n. 150 al Reg. 2016/679 (di seguito, anche “Regolamento”) dispone che “dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie”. L’art. 83 comma 7 del Regolamento dispone, inoltre, che: “Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro”. Deve dunque ritenersi che alla luce dell’art. 83 comma 7 cit. sia in facoltà degli Stati membri prevedere norme che precisino l’an e il quantum delle sanzioni amministrative pecuniarie avverso soggetti con qualifiche pubblicistiche. In tal senso depone inequivocabilmente il dettato normativo dell’art. 83 cit. nella parte in cui fa ricorso al verbo “può”, lasciando agli Stati membri ampia discrezionalità in materia. Per tale ragione, alla luce della legislazione europea, si esclude che il legislatore italiano avrebbe dovuto necessariamente prevedere, in via espressa, la legittimazione in discorso. L’assunto non è sconfessato né dalle Linee guida n. 253/2017 del EDPB, né dal parere della Commissione europea nel parere allegato al ricorso. Per quanto concerne il parere allegato, la Commissione ivi si limita a ribadire quanto disposto dal considerando n. 150 al Regolamento 2016/679: vale a dire che non osta al diritto dell’Unione europea una eventuale disposizione nazionale che precluda alle autorità di controllo di irrogare sanzioni pecuniarie nei confronti di enti pubblici. Venendo alle linee guida n. 253/2017 del EDPB, deve osservarsi che anch’esse non hanno alcuna portata innovativa nella materia in questione. Esse si limitano, tuttavia, a ribadire quanto prescritto dal Regolamento in merito alla discrezionalità degli Stati membri sul potere sanzionatorio del Garante per la protezione dei dati personali. Deve dunque concludersi che nel panorama europeo viga la regola generale della sussistenza del potere del Garante di emanare sanzioni pecuniarie avverso gli enti pubblici, ferma restando diversa determinazione degli Stati membri. In ogni caso, venendo all’ordinamento interno, il legislatore nazionale ha inequivocabilmente conferito al Garante tale potere. Ciò si evince, dall’art. 166 comma 4 del Codice privacy. Tale disposizione concerne la fase di avvio del procedimento finalizzato all’irrogazione delle sanzioni di cui ai commi 1 e 2 dell’art. 83 del Regolamento. Tra queste vi rientrano altresì le sanzioni amministrative pecuniarie. L’art. 166 cit. ha inoltre cura di specificare che il procedimento in questione possa essere avviato anche nei confronti di autorità pubbliche e organismi pubblici. Inoltre, a suffragio della tesi si richiama un recente arresto della Corte di Cassazione. Non consta che quest’ultima non si sia mai occupata ex professo del tema, tuttavia, nel confermare le sanzioni pecuniarie irrogate dal Garante nei confronti di enti pubblici, ha implicitamente riconosciuto la facoltà in questione (Cass. civ. Sez. II, n. 29323/2021 che ha confermato la sanzione irrogata alla Regione Valle d’Aosta da parte del Garante per la protezione dei dati personali).
Puoi scaricare la presente sentenza in formato PDF, effettuando una donazione in favore del sito, attraverso l’apposito link alla fine della pagina.
Tribunale|Milano|Sezione 1|Civile|Sentenza|31 maggio 2022| n. 4135
Data udienza 12 maggio 2022
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI MILANO
PRIMA CIVILE
Il Tribunale, nella persona del Giudice dott. Valentina Boroni ha pronunciato la seguente
SENTENZA
nella causa civile di I Grado iscritta al n. r.g. 34931/2021 promossa da:
ATS DELLA CITTA’ METROPOLITANA DI MILANO (C.F. (…)), con il patrocinio dell’avv. BO.MA. e dell’avv. FA.SI., come da procura in atti, elettivamente domiciliata in CORSO (…) MILANO presso il difensore avv. BO.MA.
RICORRENTE
contro
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI (C.F. (…)), con il patrocinio dell’avv. AVVOCATURA STATO MILANO, elettivamente domiciliato ex lege in Via (…) 20100 MILANO
RESISTENTE
Oggetto: Impugnativa di provvedimento del Garante Privacy ex art. 10 d. lgs 150/2011.
CONCISA ESPOSIZIONE DELLE RAGIONI DI FATTO E DI DIRITTO DELLA DECISIONE
Con ricorso tempestivamente depositato in data 11.8.2021 Agenzia di Tutela della Salute della Città Metropolitana di Milano (di seguito: ATS) ha impugnato innanzi a questa A.G. l’ordinanza – ingiunzione di pagamento emessa dall’Autorità garante per la protezione dei dati personali (di seguito: Garante ovvero Autorità) n. 268 del 13.05.2021 e notificata in data 20.7.2021, per avere l’ATS implementato il sistema di tracciamento epidemiologico “Milano – COR” in violazione degli artt. 5 par. 1, lett. a) e f) e par. 2, 13, 25, 32 e 35 del Reg. UE 2016/679 (di seguito: Regolamento). ATS ha chiesto l’annullamento della ordinanza in esame e la conseguente revoca della sanzione amministrativa pecuniaria comminata nella misura di Euro 80.000 e delle relative sanzioni accessorie. In via subordinata, ha chiesto la riduzione della misura della sanzione amministrativa così irrogata.
La ricorrente ha lamentato l’erroneità della decisione per le seguenti ragioni.
In via preliminare, ha allegato il difetto di legittimazione del Garante per la protezione dei dati personali ad irrogare sanzioni pecuniarie nei confronti delle pubbliche autorità, quali ATS e il difetto di motivazione dell’ordinanza-ingiunzione.
Nel merito, ha dedotto l’insussistenza delle violazioni contestate. Segnatamente, ha rilevato che il portale “Milano – COR” non consentiva di apprendere lo stato di positività degli utenti, se non tramite un’operazione logica articolata. Ha evidenziato l’insussistenza dei presupposti per effettuare la valutazione di impatto ex art. 35 del Regolamento e di avere predisposto un’informativa ai sensi dell’art. 13 del Regolamento; ha evidenziato la possibilità di omettere o rendere l’informativa in forma semplificata alla luce dell’art. 17 bis del D.L. 18/2020. Ha rilevato, inoltre, la carenza di pregiudizio in capo agli interessati.
Ha allegato, in ogni caso, che le eventuali violazioni sarebbero assistite dallo stato di necessità ex art. 59 c.p. nonché ex art. 4 della L. 689/1981 o, comunque, sarebbero state realizzate per causa di forza maggiore, in ragione dello stato di emergenza epidemiologica da COVID-19.
Ha infine lamentato la violazione dell’art. 83 del Regolamento per mancata e/o erronea applicazione dei criteri per l’accertamento dell’illecito e per la determinazione dell’ammontare della sanzione.
Il Garante si è costituito con l’ausilio della Avvocatura dello Stato contestando la ricostruzione avversaria; ha affermato la sussistenza della legittimazione del Garante all’irrogazione di sanzioni pecuniarie nei confronti di pubbliche autorità come si evincere, in particolare, dall’art. 166 comma 4 del D.lgs. 196/2003 (di seguito anche: “Codice” ovvero “Codice privacy”).
In merito alla allegata violazione dell’art. 83 del Regolamento, ha rilevato che il Garante ha adeguatamente motivato il processo logico attraverso il quale ha determinato la gravità dei fatti commessi, tali da giustificare l’applicazione di una sanzione pecuniaria evidenziando quindi l’esaustività della motivazione dell’ordinanza impugnata.
Ha ribadito la sussistenza delle violazioni contestate. In particolare, ha allegato che chiunque avrebbe potuto agevolmente prendere conoscenza del pregresso o attuale stato di positività degli utenti del portale attraverso dati facilmente ricavabili dall’esterno. Ha rilevato la necessità, nella specie, di effettuare la valutazione di cui all’art. 35 del Regolamento nonché il difetto di esaustiva informativa e l’inapplicabilità dell’art. 17-bis del D.L. 18/2020.
Ha evidenziato l’esistenza di un pregiudizio in capo agli utenti del portale, rilevando che in data 2 novembre 2020 si sarebbero verificati 47.000 accessi al sistema, tutti provenienti da un medesimo indirizzo IP.
Ha, inoltre, dedotto l’insussistenza, nella specie, dello stato di necessità, rilevando che esso non può, nel caso di specie, essere costituito dallo stato di emergenza epidemiologica.
La causa, all’esito della prima udienza tenutasi in data 2.2.2022 in cui è stata respinta l’istanza di sospensione del provvedimento, è stata rinviata per la discussione e contestuale lettura del dispositivo all’udienza 5.4.2022, udienza poi differita al 12.5.2022 con assegnazione alle parti di termini per il deposito di memorie conclusive. In tale udienza, all’esito della discussione, le parti hanno concluso come rispettivi atti introduttivi ed il Tribunale ha dato lettura e depositato il dispositivo alle parti presenti.
L’opposizione va integralmente rigettata per le ragioni che seguono.
Data la pluralità di questioni da affrontare, si procederà alla trattazione dei vari argomenti per capi separati.
Sulla legittimazione del Garante per la protezione dei dati personali ad irrogare sanzioni pecuniarie nei confronti delle pubbliche autorità
La questione preliminare sollevata dal ricorrente è destituita di fondamento. Va, infatti, rilevato, che, nel nostro ordinamento, il Garante per la protezione dei dati personali è legittimato ad irrogare sanzioni amministrative pecuniarie nei confronti di autorità pubbliche. Per quanto concerne il quadro normativo in materia si rileva quanto segue.
Il considerando n. 150 al Reg. 2016/679 (di seguito, anche “Regolamento”) dispone che “dovrebbe spettare agli Stati membri determinare se e in che misura le autorità pubbliche debbano essere soggette a sanzioni amministrative pecuniarie”. L’art. 83 comma 7 del Regolamento dispone, inoltre, che: “Fatti salvi i poteri correttivi delle autorità di controllo a norma dell’articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro”.
Deve dunque ritenersi che alla luce dell’art. 83 comma 7 cit. sia in facoltà degli Stati membri prevedere norme che precisino l’an e il quantum delle sanzioni amministrative pecuniarie avverso soggetti con qualifiche pubblicistiche. In tal senso depone inequivocabilmente il dettato normativo dell’art. 83 cit. nella parte in cui fa ricorso al verbo “può”, lasciando agli Stati membri ampia discrezionalità in materia.
Per tale ragione, alla luce della legislazione europea, si esclude che il legislatore italiano avrebbe dovuto necessariamente prevedere, in via espressa, la legittimazione in discorso. L’assunto non è sconfessato né dalle Linee guida n. 253/2017 del EDPB, né dal parere della Commissione europea nel parere allegato al ricorso (doc. 9).
Per quanto concerne il parere allegato, la Commissione ivi si limita a ribadire quanto disposto dal considerando n. 150 al Regolamento 2016/679: vale a dire che non osta al diritto dell’Unione europea una eventuale disposizione nazionale che precluda alle autorità di controllo di irrogare sanzioni pecuniarie nei confronti di enti pubblici. Venendo alle linee guida n. 253/2017 del EDPB, deve osservarsi che anch’esse non hanno alcuna portata innovativa nella materia in questione. Esse si limitano, tuttavia, a ribadire quanto prescritto dal Regolamento in merito alla discrezionalità degli Stati membri sul potere sanzionatorio del Garante per la protezione dei dati personali. Deve dunque concludersi che nel panorama europeo viga la regola generale della sussistenza del potere del Garante di emanare sanzioni pecuniarie avverso gli enti pubblici, ferma restando diversa determinazione degli Stati membri.
In ogni caso, venendo all’ordinamento interno, il legislatore nazionale ha inequivocabilmente conferito al Garante tale potere. Ciò si evince, dall’art. 166 comma 4 del Codice privacy. Tale disposizione concerne la fase di avvio del procedimento finalizzato all’irrogazione delle sanzioni di cui ai commi 1 e 2 dell’art. 83 del Regolamento. Tra queste vi rientrano altresì le sanzioni amministrative pecuniarie. L’art. 166 cit. ha inoltre cura di specificare che il procedimento in questione possa essere avviato anche nei confronti di autorità pubbliche e organismi pubblici.
Inoltre, a suffragio della tesi si richiama un recente arresto della Corte di Cassazione. Non consta che quest’ultima non si sia mai occupata ex professo del tema, tuttavia, nel confermare le sanzioni pecuniarie irrogate dal Garante nei confronti di enti pubblici, ha implicitamente riconosciuto la facoltà in questione (Cass. civ. Sez. II, n. 29323/2021 che ha confermato la sanzione irrogata alla Regione Valle d’Aosta da parte del Garante per la protezione dei dati personali).
Inoltre si osserva che, contrariamente a quanto sostenuto dal ricorrente, la circostanza che la disposizione in questione sia dedicata alla fase di avvio del procedimento non esclude che da essa possa evincersi la legittimazione del Garante ad irrogare sanzioni pecuniarie nei confronti di enti pubblici. Deve, infatti, rilevarsi che urta alla logica, ancor prima che a quella giuridica, che il legislatore consenta di avviare un procedimento finalizzato alla irrogazione di una sanzione pecuniaria nei confronti di una pubblica autorità e poi escluda che il procedimento possa concludersi con l’effettiva applicazione della stessa.
Resta altresì privo di pregio il rilievo del ricorrente relativo al comma 3 dell’art. 166 del Codice privacy. Infatti, la circostanza che la disposizione nazionale legittimi il Garante ad irrogare l’intero novero delle sanzioni prescritte dall’art. 83, senza alcun specifico riferimento alle sanzioni pecuniarie, dimostra la volontà di attribuire all’autorità garante la facoltà di adottare tutte le tipologie di sanzioni prescritte dal Regolamento, ivi incluse quelle di natura pecuniaria.
Infine, la circostanza che il legislatore non abbia inteso differenziare la cornice edittale delle sanzioni pecuniarie a seconda della qualità pubblica o meno rivestita dal destinatario rientra nella sua insindacabile discrezionalità. Tale scelta di politica legislativa non si pone in contrasto con il Regolamento europeo atteso che, come già evidenziato, l’art. 83 comma 7 lascia agli Stati membri piena discrezionalità sul punto (come dimostrato dal verbo: “può”).
Alla luce delle considerazioni che precedono, il Garante è astrattamente dotato del potere di irrogare sanzioni amministrative pecuniarie nei confronti di ATS della Città metropolitana di Milano nonostante sia un ente pubblico vigilato dalla Regione Lombardia e rivesta, pertanto, la qualifica pubblicistica.
Sulla conoscibilità dello stato di positività, sul sistema di monitoraggio e sull’assenza di nocumento in capo agli utenti.
Preliminarmente, occorre ricostruire il meccanismo di funzionamento del portale Milano – COR allo scopo di comprendere la natura del trattamento effettuato da parte dell’ATS nonché oggetto del provvedimento opposto.
E’ pacifico tra le parti che in data 18 ottobre 2020, ATS implementava uno sviluppo basato su sistemi informativi dell’inchiesta epidemiologica, in cui il soggetto risultato positivo al COVID-19 veniva ingaggiato, tramite SMS, a fornire delle informazioni su un portale istituzionale dell’ATS, allo scopo di garantire la funzione di tracciamento e monitoraggio epidemiologico.
E’ altresì pacifico tra le parti che il sistema di accesso a tale portale era basato su un sistema di cd. doppia chiave (il codice fiscale dell’utente insieme al suo numero di telefono).
Sono invece controverse le modalità di conoscenza dello stato di positività degli utenti del Portale da parte di terzi. Sul punto, si osserva quanto segue.
ATS, su cui grava l’onere della relativa prova, non ha fornito elementi da cui possa evincersi che la conoscibilità del dato attinente alla salute degli utenti del portale non fosse agevolmente desumibile. Il ricorrente, infatti, si limita a sostenere che per apprendere tale dato fosse necessario mettere in atto un’operazione logica articolata, senza ulteriormente precisare la natura di tale operazione. In ogni caso, deve aggiungersi che dal meccanismo di funzionamento del portale si evince che il sistema di accesso basato sulla cd. doppia chiave consentisse a chiunque fosse a conoscenza del numero di telefono e del codice fiscale dell’utente (quest’ultimo agevolmente desumibile una volta noti il nome, il cognome, la data e il luogo di nascita dell’utente stesso) di apprendere l’esistenza di un account riferibile all’utente stesso.
Come correttamente rilevato dal resistente, l’esistenza di un account presupponeva che l’utente titolare fosse risultato positivo al COVID-19. Ciò poteva agevolmente evincersi una volta conosciuto il meccanismo di funzionamento del portale. Si osserva, tuttavia, che tale meccanismo era necessariamente noto alla popolazione dell’area metropolitana milanese per avvalersi del servizio. Deve dunque concludersi che, come correttamente rilevato dal Garante nel provvedimento opposto, il sistema di accesso al portale Milano – COR basato sulla doppia chiave non era idoneo a garantire un adeguato livello di sicurezza ai dati ivi contenuti. Per tale ragione, il trattamento effettuato in occasione dell’implementazione del portale in questione è stato effettuato in violazione dei principi di integrità, liceità, correttezza e trasparenza del trattamento così come enucleati dall’art. 5 par. 1 lett. a) e f) e par. 2 in base ai quali il titolare del trattamento deve garantire ed essere in grado di comprovare l’integrità del dati trattati e altresì che questi non siano oggetto di accessi non autorizzati predisponendo, a tal fine, adeguate misure tecniche ed organizzative. L’ATS ha altresì violato l’art. 32 del Regolamento che prescrive al titolare del trattamento di predisporre misure tecniche e organizzative adeguate a garantire un livello di sicurezza dei dati personali adeguato al rischio.
Inoltre, la natura del funzionamento del portale induce altresì a ritenere che, come correttamente evidenziato dal Garante nel provvedimento opposto, ATS, nella specie, abbia violato il principio della cd. privacy by design (cd. fin dalla progettazione) proclamato all’art. 25 del Regolamento. Ivi si prescrive, secondo un approccio preventivo, che il titolare del trattamento, nell’implementare un processo che determina il trattamento di dati personali, prima che il trattamento abbia luogo, debba attuare tutte le misure idonee a garantire il rispetto della disciplina in materia.
Nella specie ciò non si è verificato, atteso che, il sistema di accesso basato sulla doppia chiave non era idoneo a garantire un adeguato standard di sicurezza ai dati sanitari dei fruitori del portale. Invero, visto come era congeniato il meccanismo di funzionamento del portale, chiunque avrebbe potuto agevolmente apprendere lo stato di positività attuale o pregresso dell’utente.
L’inadeguatezza dello standard di sicurezza in discorso è d’altronde testimoniata dal fatto che, contestualmente all’attivazione del servizio, ATS si era adoperata ad implementare un sistema di accesso basato sulla terza chiave (si v. doc. 7 allegato al ricorso). Tuttavia, tale sistema non è stato messo in opera sin dalla attivazione del portale per ragioni attinenti alla sfera organizzativa dell’ATS, come si evidenzierà più diffusamente nel prosieguo.
Ulteriore indice di inadeguatezza si evince dal fatto che dopo la sospensione cautelativa del servizio del 3 novembre 2020, come rappresentato dallo stesso ricorrente, il portale non veniva riattivato prima della implementazione del sistema di accesso basato su tre chiavi.
Il richiamo svolto dal ricorrente relativamente al Comunicato del Garante del 2.12.1999 è inconferente giacché prende in considerazione una diversa tipologia di dati rispetto a quelli oggetto del portale in questione (si v. doc. 9 allegato al ricorso). Infatti, ivi si legge chiaramente che il comunicato ha ad oggetto “informazioni sulla presenza dei degenti nei reparti ospedalieri” e non i dati idonei a rivelare lo stato di salute dei pazienti stessi. Inoltre, il comunicato in questione è stato emanato nel contesto di un assetto normativo ormai non più vigente.
Resta inoltre privo di pregio il rilievo del ricorrente relativo alla circostanza che spesso lo stato di positività di soggetti celebri o meno viene diffuso dagli organi di stampa. Non si vede, infatti, come tale circostanza di fatto possa legittimare il titolare del trattamento a non apprestare adeguate misure di sicurezza a tutela dei dati sanitari trattati, in spregio alla normativa in materia di dati personali. Deve infine rilevarsi che, contrariamente da quanto sostenuto dal ricorrente, l’assenza di nocumento effettivamente patito dagli interessanti a seguito delle nominate violazioni non spiega alcun effetto ai fini del perfezionamento dell’illecito commesso. Si osserva, infatti, che l’evento dannoso non è elemento costitutivo delle fattispecie prescritte dal Regolamento e poste a presidio della tutela dei dati personali. Queste, infatti, sono strutturate quali illeciti di pericolo e di mera condotta. Ne deriva che tali fattispecie devono intendersi perfezionate allorquando il destinatario del precetto non si conformi alle prescrizioni ivi individuate ovvero tenga la condotta vietata dalla disposizione. Ciò a prescindere dal nocumento effettivamente patito dal soggetto tutelato dalla fattispecie. Sicché, laddove si accerti che la consumazione dell’illecito abbia effettivamente causato un pregiudizio agli interessati, ciò può riverberarsi esclusivamente sulla determinazione del trattamento sanzionatorio e non spiega alcun effetto ai fini della consumazione dell’illecito.
Alla luce di tale premessa, ai fini dell’integrazione degli illeciti di cui agli artt. 5 e 25 del Regolamento, deve dunque ritenersi irrilevante l’accertamento del danno patito dai fruitori del portale Milano – COR a seguito della mancata implementazione di adeguate misure di sicurezza da parte dell’ATS.
Per tutti questi motivi il provvedimento impugnato deve essere confermato nella parte in cui rileva la violazione degli artt. 5 par. 1 lett. a) e f), nonché degli artt. 25 e 32 del Regolamento.
Sulla completezza dell’informativa.
L’applicabilità dell’art. 17 bis del D.L. 18/2020
Sulla completezza dell’informativa allegata agli scritti difensivi dell’ATS si osserva quanto segue. Come correttamente evidenziato dal Garante nel provvedimento opposto, l’informativa generale predisposta non ha individuato le norme in virtù delle quali il trattamento veniva svolto e quindi la base giuridica del trattamento, nonché le specifiche modalità del trattamento (il cd. ciclo di vita del dato: come viene appreso, come viene processato e conservato dal titolare nell’ambito del portale ecc.). Inoltre, non sono state compiutamente individuate le finalità del trattamento atteso che ATS avrebbe dovuto esplicitare le necessità di tracciamento alla base dell’istituzione del portale. Deve dunque concludersi che l’informativa fornita non rispetta i crismi di cui all’art. 13 del Regolamento.
Venendo all’applicabilità dell’art. 17-bis comma 5 del D.L. 18/2020, deve rilevarsi che esso non possa trovare applicazione nel caso di specie.
La disposizione citata consente alle strutture pubbliche e private operanti nell’ambito del Servizio sanitario nazionale di omettere l’informativa di cui all’articolo 13 del Regolamento o fornire un’informativa semplificata, previa comunicazione orale agli interessati dalla limitazione. Nella specie, vista la natura del trattamento, l’Agenzia non avrebbe potuto avvalersi dell’esenzione di cui all’art. 13 cit. atteso che, il trattamento coinvolto nella contestazione è stato effettuato in via informatica, tramite una piattaforma web. Infatti, la nominata disposizione subordina la possibilità di omettere l’informativa ovvero fornirla in via semplificata alla previa comunicazione orale di tale limitazione. Vale la pena osservare che tale requisito non può essere soddisfatto laddove il trattamento sia effettuato con modalità informatiche, vista l’impossibilità di comunicazione orale con gli interessati. Inoltre, anche a volere ammettere l’astratta applicabilità dell’art. 17 – bis cit. al trattamento in questione si osserva che il titolare del trattamento può avvalersi della esenzione o agevolazione ivi prevista a condizione che lo comunichi agli interessati. Nella specie, non risulta che ciò sia avvenuto.
Deve dunque concludersi che il provvedimento del Garante per la protezione dei dati personali deve essere confermato nella parte in cui rileva la violazione dell’art. 13 del Regolamento.
Sulla necessità di effettuare la valutazione di impatto ex art. 35 del Regolamento
Occorre valutare se la natura del trattamento posto in essere da ATS in occasione dell’attivazione del Portale Milano – COR necessitasse della preliminare valutazione in epigrafe da parte del titolare del trattamento e odierno ricorrente.
La valutazione d’impatto sulla protezione dei dati è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.
Il Comitato europeo per la protezione dei dati (di seguito, anche “EDPB – European Data protection Board” ovvero “Comitato”) ha adottato le “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679″ (di seguito “linee guida”) (si v. doc. 10 allegato alla comparsa di risposta) al fine di specificare il perimetro applicativo dell’art. 35 cit. In tale provvedimento, il Comitato precisa che, come suggerito dall’inciso “in particolare” nella frase introduttiva all’art. 35 cit., i casi ivi rappresentati in cui si rende obbligatoria la valutazione costituiscono un elenco esemplificativo e non tassativo. Per tale ragione, indica dei criteri che possano fungere da ausilio interpretativo nella individuazione dei “trattamenti che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Per quanto quivi maggiormente rileva, si evidenzia che si è dinanzi ad un trattamento di tale natura nelle ipotesi in cui questo coinvolga categorie particolari di dati ex art. 9 del Regolamento (tra cui si annoverano quelli idonei a rivelare lo stato di salute dell’interessato) ovvero nelle ipotesi in cui il trattamento implichi un monitoraggio sistematico nonché laddove il trattamento possa considerarsi effettuato “su larga scala”. Secondo il Comitato il trattamento va considerato “su larga scala” alla luce dei seguenti criteri:
a) il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
b) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
c) la durata, ovvero la persistenza, dell’attività di trattamento;
d) la portata geografica dell’attività di trattamento;
Orbene, nella specie, il trattamento svolto dall’ATS riveste tutti i nominati requisiti. Deve dunque ritenersi che preliminarmente all’attivazione del portale Milano – COR, l’Agenzia avrebbe dovuto effettuare la valutazione richiesta all’art. 35 del Regolamento per le ragioni che seguono:
– il portale ha implicato il trattamento di categorie particolari di dati idonei a rivelare la positività al virus da Covid – 19 e, pertanto, lo stato di salute degli utenti interessati (incontrovertibilmente rientranti nel novero dei dati cd. particolari ai sensi dell’art. 9 del Regolamento);
– il portale era volto al tracciamento dei cd. casi Covid-19 e, pertanto, al monitoraggio sistematico dei dati degli interessati;
– il trattamento in questione deve essere considerato “su larga scala” giacché era potenzialmente volto a coinvolgere un significativo numero di interessati ed ha effettivamente coinvolto, alla luce di quanto dichiarato dal ricorrente nell’ambito delle note scritte, un rilevante numero di interessati (doc. 2 allegato alla comparsa di costituzione).
Rispetto alla qualificazione del trattamento “su larga scala”, resta privo di pregio il rilievo svolto dal ricorrente attinente al fatto che il numero di interessati effettivamente coinvolti dal trattamento rappresenti una minima percentuale della popolazione complessiva della città metropolitana di Milano. Infatti, come evidenziato dal Comitato, affinché il trattamento possa definirsi su larga scala, deve interessare un numero significativo di interessati, misurato indifferentemente o in termini assoluti ovvero in termini percentuali rispetto alla popolazione di riferimento.
Sulla vincolatività delle linee guida emanata dal Comitato europeo si osserva che, contrariamente a quanto sostenuto dal ricorrente, quest’ultime costituiscono un valido ausilio interpretativo nell’interpretazione dell’art. 35 in questione. Infatti, il Regolamento (artt. 68 e 70) assegna al Comitato la funzione di garantire l’uniforme applicazione del Regolamento stesso.
La validità delle linee guida non può neppure essere scalfita dal contesto emergenziale, come sostenuto dal ricorrente. Deve infatti evidenziarsi che, nella parte quivi presa in considerazione, esse si limitano a specificare il significato delle espressioni usate dal legislatore comunitario nel Regolamento. Non si vede come la cogenza di quest’ultimo possa essere messa in discussione in nome di non meglio precisate necessità emergenziali.
Tanto premesso, vista la constatata necessità, nella specie, di effettuare la valutazione preliminare di cui all’art. 35 del Regolamento, i restanti rilievi del ricorrente sul punto devono ritenersi assorbiti.
Nella specie, risulta che la valutazione di impatto rispetto al trattamento effettuato dall’ATS in occasione dell’attivazione del portale “Milano – COR” sia stata redatta solo in data 9 novembre 2020 (doc. 4 allegato al ricorso) e, quindi, successivamente alla data di implementazione della piattaforma (avvenuta pacificamente in data 18.10.2020) e in spregio a quanto richiesto dall’art. 35 cit. che impone una valutazione preliminare al trattamento. Pertanto, come correttamente rilevato dal Garante nel provvedimento opposto, l’ATS, vista la constata omissione, ha violato il principio di responsabilizzazione delineato all’art. 5, par. 2 del Regolamento nonché il dovere prescritto all’art. 35 del Regolamento.
Contesto di eccezionale emergenza epidemiologica da COVID-19. Esclusione della responsabilità per la sussistenza dello stato di necessità/forza maggiore
Vista l’allegazione di parte ricorrente, occorre valutare se, nella specie, le violazioni commesse dal ricorrente possano essere assistite dalla causa di giustificazione dello stato di necessità. Giova premettere che, nell’ambito della disciplina in materia di dati personali, non si rinviene una specifica norma dedicata all’esimente dello stato di necessità.
Tuttavia, deve rilevarsi che le sanzioni irrogate dal Garante per la protezione dei dati personali sono sanzioni di natura amministrativa. Per tale ragione, sono sottoposte al regime normativo delineato dalla L. 689/1981.
A sostegno di tale assunto si rileva quanto prescritto dall’art. 83 del Reg. 2016/679 che legittima l’Autorità Garante per la protezione dei dati personali ad irrogare sanzioni a seguito di riscontrati illeciti trattamenti dei dati personali. Infatti, l’art. 83 del Reg. 2016/679 è rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie” e, nel testo della disposizione in questione, le sanzioni irrogate dal Garante per la protezione dei dati personali vengono espressamente e inequivocabilmente qualificate quali sanzioni amministrative.
Inoltre, la stessa giurisprudenza di legittimità ha proclamato la natura amministrativa delle sanzioni emanate dal Garante per la protezione dei dati personali e qualificato il relativo procedimento di opposizione alle stesse quale “procedimento di opposizione a sanzioni amministrative” (in tal senso, Cass. 32411/2021, Cass. 17143/2016 nonché Sent. T. Milano n. 2562/2020).
Ne deriva che, nel caso in questione, potrà astrattamente applicarsi l’art. 4 della L. 689/1981 in tema di cause di esclusione della responsabilità nell’ambito delle sanzioni amministrative. Orbene, secondo un consolidato orientamento giurisprudenziale, cui in questa sede si intende prestare adesione, ai fini dell’accertamento della sussistenza della causa di giustificazione prevista dall’art. 4 della L. 689/1981, occorre fare riferimento alle disposizioni che disciplinano il medesimo istituto nel diritto penale e, segnatamente, per quanto concerne lo stato di necessità, all’art. 54 c.p. (Sul punto, ex multis, Cass. n. 5710 del 1985; Cass. n. 3961 del 1989; Cass. n. 5866 del 1993, Cass. n. 5877 del 2004, Cass. civ. n. 14286 del 2010).
Ed ancora: “L’esclusione della responsabilità per violazioni amministrative derivante da “stato di necessità”, secondo la previsione dell’art. 4 della legge n. 689 del 1981, postula, in applicazione degli artt. 54 e 59 cod. pen., che fissano i principi generali della materia, una effettiva situazione di pericolo imminente di danno grave alla persona, non altrimenti evitabile” (cfr. Cass. civ. 18099 del 2005, Cass. civ. n. 17479 del 2005).
Occorre evidenziare che l’art. 54 c.p. prescrive la non punibilità del fatto commesso in stato di necessità al ricorrere di specifici requisiti. Segnatamente, per ciò che quivi maggiormente rileva, affinché la violazione possa ritenersi scriminata, l’agente deve averla commessa per esservi stato “costretto dalla necessità di salvare sé od altri dal pericolo attuale di un grave danno alla persona”, “pericolo non evitabile” se non attraverso la commissione del fatto vietato dall’ordinamento e “non volontariamente causato”.
Il pericolo è attuale quando possa prodursi, in un futuro più o meno prossimo, un danno. Pertanto, colui che agisce in stato di necessità scongiura o agisce nella convinzione di scongiurare il prodursi di un danno altrimenti certo (secondo il modello cd. “dell’ora o mai più”).
Per quanto concerne il giudizio di inevitabilità del pericolo, si osserva che lo stato di necessità possa essere invocato unicamente quando la violazione costituisca unico mezzo per neutralizzare il pericolo stesso.
Venendo alla locuzione “grave danno alla persona”, essa si riferisce a danni afferenti beni di natura personale come la vita e l’integrità fisica.
Va inoltre rilevato che, contrariamente a quanto sostenuto dal ricorrente, la causa di giustificazione dello stato di necessità non attiene all’imputazione soggettiva ma incide sulla stessa illiceità del fatto. Invero, la condotta assistita da causa di giustificazione, sebbene possa apparire prima facie illecita, a ben guardare, non si rivela tale alla luce di una valutazione complessiva dell’ordinamento e, pertanto, si rivela non antigiuridica.
Tanto premesso, si evidenzia che, nel caso di specie, non ricorrono i presupposti applicativi dello stato di necessità. In particolare, difetta il requisito della inevitabilità del pericolo.
Si osserva, infatti, che, nella specie, il pericolo derivante dal difetto di monitoraggio dei cd. casi COVID-19 corso dalla popolazione dell’area metropolitana milanese poteva essere evitato facendo ricorso all’ordinaria diligenza. Ne deriva che ATS non è stata posta innanzi all’alternativa tra commettere gli illeciti ovvero salvaguardare la salute dei soggetti residenti nell’area di sua competenza. Invero, il pericolo per la salute della popolazione dell’area metropolitana milanese sarebbe stato evitato laddove ATS si fosse adoperata in tempo utile alla predisposizione di un sistema di tracciamento adeguato ai volumi della popolazione stessa. Tale condotta era, nella specie, esigibile per due ordini di ragioni.
In primis si osserva che, sebbene nel periodo interessato dalle violazioni, si è assistito ad una recrudescenza del quadro epidemiologico e ad un aumento dei contagi, resta il fatto che l’Azienda non ha dovuto in quel periodo fronteggiare improvvisamente l’emergere della pandemia. E’ invero fatto notorio che nell’ottobre 2020 (data di implementazione del portale Milano – COR) il Paese era nel pieno dell’emergenza sanitaria e aveva già potuto sperimentare le problematiche inerenti alla cd. “prima ondata” pandemica, ivi incluse quelle relative al difetto di tracciamento.
D’altronde, come afferma lo stesso ricorrente, il Consiglio dei Ministri aveva dichiarato lo stato di emergenza sanitaria già in data 31 gennaio 2020 (e, pertanto, nove mesi prima dell’attivazione del portale).
Anche a voler ritenere che la cd. seconda ondata sia emersa improvvisamente e inaspettatamente nel periodo interessato dalla violazione, va, comunque, osservato che ATS della Città metropolitana milanese gode di un’organizzazione complessa e dispone di risorse adeguate a predisporre sistemi informativi dotati della sicurezza che è ragionevole attendersi da una azienda sanitaria delle sue dimensioni. Inoltre, l’Agenzia, proprio in ragione delle risorse di cui può godere, sarebbe stata altresì in grado di predisporre in breve tempo un’adeguata informativa, nonché la valutazione di impatto richiesta ai sensi dell’art. 35 del Regolamento.
Ciò è incontrovertibilmente dimostrato dal fatto che l’Agenzia, a seguito dell’avvertimento del Garante, è riuscita a conformarsi agli standard di sicurezza richiesti dalla normativa in materia in poco tempo. Ciò, infatti, emerge dalle dichiarazioni dello stesso ricorrente: “Come illustrato nella nota trasmessa il 10 novembre 2020, non appena ricevuta la prima comunicazione dell’Autorità Garante, ATS realizzava una “terza chiave” di autenticazione per l’accesso al portale” Emerge inoltre dal fatto che in data 9 novembre 2020 (pochi giorni dopo la segnalazione del Garante) l’Agenzia ha proceduto ad effettuare una valutazione di impatto conformandosi al Regolamento e a predisporre altresì un’adeguata informativa relativa al trattamento svolto nell’ambito del Portale Milano – COR.
Deve dunque concludersi che, una volta verificatasi l’incapacità di ATS di gestire il tracciamento mediante call-center, l’Azienda avrebbe dovuto e potuto predisporre il portale web di tracciamento e, contestualmente, adoperarsi per implementare entro la data di attivazione del servizio (e non successivamente) adeguate misure di sicurezza nonché effettuare la valutazione di impatto di cui all’art. 35 del Regolamento e predisporre un’esaustiva informativa ai sensi dell’art. 13 del Regolamento.
Si osserva, in particolare, che la mancata adozione del sistema di accesso al portale basato sulla terza chiave è avvenuta unicamente a causa di un problema tecnico imputabile alla sfera organizzativa dell’ATS. Come dichiarato dallo stesso ricorrente, infatti, l’Agenzia, visto l’acuirsi della situazione epidemiologica, ha consciamente proceduto all’attivazione del servizio Milano – COR nonostante il difetto di adeguate misure di sicurezza dei dati personali trattati. Infatti, prima dell’attivazione in parola, ha formulato istanza ad ARIA SpA (Azienda regionale per l’innovazione e gli acquisti in Regione Lombardia) volta ad ottenere il codice della tessera sanitaria nazionale per tutti gli assistiti, al fine di utilizzarne le ultime otto cifre come chiave terza. Tuttavia, tale richiesta non è stata evasa da parte di ARIA per problemi tecnici (sul punto si v. pagg. 8 e 9 del Ricorso).
Ciò è inoltre dimostrato dal contenuto della e-mail di cui al documento 7 allegato alla comparsa di costituzione. Ivi è palese il tentativo dell’Agenzia di immettere un sistema di chiave terza a sei giorni dall’attivazione del portale. Tentativo anche questo vano verosimilmente a causa di evidenti difficoltà tecniche sempre imputabili alla sfera organizzativa dell’ATS stessa.
Inoltre, per ragioni analoghe a quelle evidenziate con riguardo alla insussistenza dello stato di necessità, nella specie, deve ritenersi che le violazioni non sono state poste in essere per causa di forza maggiore, come sostiene il ricorrente. Infatti, per causa di forza maggiore si intende “una causa esterna, sopravvenuta, imprevedibile ed inevitabile nonostante l’adozione di tutte le precauzioni del caso” (Cass. civ. Sez. V Ord., 17/11/2021, n. 34865).
Si sono già dedotte le motivazioni per le quali, viste le circostanze del caso concreto, si ritiene che la pandemia non abbia costituito circostanza imprevedibile tanto da non rendere esigibile una condotta conforme ai precetti previsti dal Regolamento. Inoltre, visti i tempi di insorgenza della pandemia da Covid-19, si ritiene che nell’ottobre 2020 l’ATS avrebbe dovuto e potuto predisporre maggiori precauzioni per garantire un sistema di tracciamento idoneo ad assicurare la tutela della riservatezza degli interessati.
In ultimo, occorre evidenziare che, contrariamente da quanto sostenuto dal ricorrente, il sacrificio del diritto alla riservatezza degli interessati non può essere imposto all’esito di un bilanciamento tra interessi in conflitto operato dal titolare del trattamento. Un eventuale sacrificio in tal senso deve invece essere facoltizzato o imposto dal legislatore nell’esercizio della sua insindacabile discrezionalità politica.
Violazione in relazione all’applicazione dei criteri di accertamento dell’illecito e determinazione della sanzione – Insussistenza
Contrariamente a quanto sostenuto dal ricorrente, il provvedimento opposto non è viziato dalla violazione dell’art. 83 del Regolamento per mancata o erronea applicazione dei criteri per l’accertamento dell’illecito e per la determinazione dell’ammontare della sanzione. Preliminarmente, si osserva che il Garante per la protezione dei dati personali (di seguito, “Garante”), nell’ambito del provvedimento opposto, ha correttamente irrogato una sanzione amministrativa pecuniaria vista la natura delle violazioni riscontrate da parte di “ATS della Città metropolitana di Milano” (di seguito, breviter, “ATS”).
Va evidenziato che tale soluzione è imposta dalla Regolamento UE 2016/679 (di seguito, “Regolamento”) e in particolare dall’art. 83 par. 4 lett. a) nonché dal par. 5 lett. a) e b) che richiamano il par. 2 della stessa disposizione. Ivi si prescrive, infatti, che alla violazione di specifiche disposizioni (tra cui si annovera altresì la violazione delle disposizioni di cui agli artt. 5, 25, 32, 35, 13 del Regolamento contestata all’ATS nell’ordinanza opposta) è necessariamente soggetta a sanzioni amministrative pecuniarie che sono inflitte “in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure”. In altre parole, tale disposizione proclama, nei casi ivi individuati, l’indefettibilità dell’irrogazione di sanzioni amministrative di natura pecuniaria. Deve dunque ritenersi che il richiamo effettuato dal Garante alle precedenti disposizioni esaurisce la valutazione circa la necessità di applicare sanzioni amministrative pecuniarie nella specie, atteso che essa è autoritativamente imposta dal Regolamento. Ne deriva che il Garante ha correttamente irrogato una sanzione pecuniaria nei confronti dell’Agenzia ricorrente.
Resta privo di pregio il rilievo in base al quale, nella specie, sarebbe stata maggiormente adeguata una sanzione di natura correttiva, atteso che la condotta contestata dal Garante all’ATS aveva esaurito i suoi effetti all’esito del procedimento. Deve infatti escludersi che il Garante avrebbe potuto adottare una sanzione di natura diversa da quella pecuniaria senza contraddire quanto espressamente previsto dalle disposizioni supra citate. Ciò anche laddove, come nella specie, la condotta illecita aveva esaurito i propri effetti all’esito del procedimento.
Si deve inoltre ritenere che, contrariamente a quanto sostenuto dal ricorrente, dal provvedimento del Garante si evince la ragione per la quale il danno subito dagli interessati sarebbe di livello medio. Infatti, alla luce del provvedimento complessivamente considerato, è evidente che il Garante sia giunto a quella conclusione considerando l’esito dell’istruttoria dalla quale è emerso che: “in data 2 novembre 2020, tra le ore 8.00 e le ore 14.50 è stato rilevato un numero di accessi elevato (circa 47000) provenienti dal medesimo utente ed indirizzo IP” (si v. pag. 2 del Provvedimento opposto). E’, infatti, verosimile ritenere che un livello così elevato di accessi da un unico indirizzo IP celasse un uso distorto della piattaforma nonché un accesso indebito ai dati sanitari degli utenti interessati. Sul punto, giova evidenziare che la stessa ATS, nel riferirsi all’IP in discorso, lo definisce “IP attaccante’. Ed inoltre evidenzia di aver presentato un esposto alla Procura a causa dell’evento occorso in data 2 novembre 2020 (si v. doc. 2 allegato al ricorso, pag. 12).
Va inoltre rilevato che il criterio di cui all’art. 83 par. 2 lett. h) è stato correttamente evocato da parte del Garante ai fini della determinazione della sanzione applicata. La disposizione in questione recita che: “Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso (…) (anche tenendo conto) (del)la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione”.
Il Garante, nella specie, ha rettamente ritenuto di valorizzare che è stato reso edotto della condotta contestata grazie all’opera di terzi (in particolare, dagli organi di stampa e a seguito di segnalazioni) e non grazie alla stessa notificazione dell’ATS.
Sul significativo numero di interessati coinvolti nel trattamento, si osserva che il Garante ha correttamente ritenuto che il portale Milano – COR fosse accessibile ad un rilevante numero di soggetti. E’ noto infatti che il portale perseguiva lo scopo precipuo del tracciamento ed individuazione di soggetti affetti da COVID-19, durante il periodo interessato. Orbene, vista la densità demografica dell’area soggetta alla competenza dell’ATS ricorrente, nonché la significativa diffusione del virus nel periodo interessato dalla violazione contestata, è logico ritenere che il portale abbia trattato o fosse potenzialmente destinato a trattare un ingente quantitativo di dati personali riferibili ad un altrettanto significativo numero di interessati.
Tale circostanza è peraltro stata confermata dalla stessa Agenzia (doc. 2 allegato al ricorso, doc. 4 allegato alla memoria pag. 12, paragrafo D) atteso la stessa dichiara quanto segue:
“Il numero di interessati coinvolti dal trattamento in esame, distinguendo quelli già registrati al Portale da quelli potenzialmente destinatari dei suddetti servizi è così riportato: o i casi coinvolti sono tutti i casi insorti in popolazione dal 10 ottobre (43.185) o i casi registrati in totale inclusi sono 13.872”.
Viepiù, contrariamente a quanto sostenuto dall’ATS, il Garante, nel determinare la sanzione, ha debitamente valorizzato il grado di cooperazione mostrato dall’Agenzia, nonché il fatto che la stessa si sia adoperata nell’adottare le idonee misure richieste, pur nella gravità del contesto emergenziale. Ciò emerge chiaramente dalla seguente locuzione (si v. pag. 10 del Provvedimento): “l’Agenzia ha fin da subito dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre, anche nella concomitanza del contesto emergenziale – misure idonee a superare i rilievi manifestati dall’Ufficio con l’atto di avvio del procedimento sanzionatorio (art. 83, par. 2, lett. c), d) e f), del Regolamento)”. Il ricorrente si duole inoltre del fatto che il Garante non abbia reso la disciplina in materia di dati personali maggiormente flessibile, vista all’eccezionalità e recrudescenza del contesto emergenziale e pandemico. Orbene, va evidenziato che l’autorità Garante, in quanto amministrazione, sebbene indipendente, è soggetta al principio di legalità al pari delle amministrazioni in senso cd. tradizionale e in ossequio a quanto disposto dall’art. 97 della Costituzione. Le deroghe alla disciplina in materia devono pertanto essere sorrette da una specifica disposizione di legge e non possono essere introdotte dall’autorità in via discrezionale.
Per contro, il potere di rilascio di autorizzazioni generali da parte del Garante era espressamente contemplato all’art. 41 della versione del Codice privacy previgente al D.lgs. 101/2018. Tuttavia, tale disposizione risulta oggi abrogata. Deve dunque ritenersi che il legislatore abbia spogliato il Garante di tale potere. Ciò risulta altresì dimostrato dal fatto che non constano autorizzazioni generali adottate successivamente al 2016.
Infine, con riguardo alla mancata applicazione della circostanza attenuante di cui all’art. 83 par. 2 lett. k) si osserva quanto segue. Essa accorda un regime di favore alle violazioni che abbiano consentito di evitare perdite o conseguire benefici di natura esclusivamente finanziaria. Ne deriva che, nel caso di specie, l’attenuate in parola non può trovare applicazione, poiché gli effetti positivi della violazione contestata nell’ambito del portale Milano-COR non rivestono carattere finanziario, ma riguardano esclusivamente l’ambito sanitario e il controllo dell’andamento epidemiologico. Alla luce delle considerazioni che precedono deve ritenersi che la valutazione effettuata dal Garante ai fini della determinazione della sanzione irrogata è incensurabile in questa sede in quanto pienamente rispettosa delle prescrizioni poste dal Regolamento.
Venendo all’ammontare della sanzione, deve evidenziarsi che essa è proporzionata considerato il numero di disposizioni violate e tutte le circostanze del caso concreto.
Con riguardo alla contestazione relativa alla impossibilità di parametrare la proporzionalità della sanzione al bilancio di un ente pubblico economico quale ATS si osserva quanto segue.
Il rilievo operato dall’Agenzia ricorrente deriva da quanto statuito nell’ordinanza del 4/02/20:22 emessa da questo Tribunale. Deve rilevarsi che in quella sede la nozione di bilancio è stata adoprata sulla scorta di quanto dedotto dal ricorrente in sede di presentazione dell’istanza di sospensione del provvedimento impugnato e ai meri fini della valutazione dei presupposti dell’accoglimento dell’istanza stessa.
Deve, in ogni caso, evidenziarsi che i rilievi svolti dal ricorrente sul tema in questione, non spiegano alcun rilievo nel merito dell’opposizione dell’ordinanza – ingiunzione che ci occupa. Infatti, il Garante, nel provvedimento impugnato, non ha parametrato la sanzione avendo riguardo al bilancio o al fatturato dell’ATS.
Sulla violazione dell’obbligo di motivazione
Alla luce del tenore del provvedimento sanzionatorio del Garante per la protezione dei dati personali si rileva che esso è sorretto da articolata ed esaustiva motivazione conformemente a quanto prescritto dall’art. 18 comma 2 della L. 689/1981 così come richiamato dall’art. 166 comma 7 del D.lgs. 196/2003.
Infatti, sulla scorta di quanto evidenziato dalla giurisprudenza di legittimità, i provvedimenti amministrativi inflittivi di sanzioni, tra i quali rientrano incontrovertibilmente i provvedimenti sanzionatori del Garante per la protezione dei dati personali, sono compiutamente motivati laddove contengano elementi che consentono al privato di opporsi alla sanzione ed esercitare il diritto di difesa ed al Giudice di effettuare il controllo giurisdizionale (Cass. civ. sez I 21/9/1998 n. 9433 – Cass. Civ. 14/7/98 n. 6898 – Cass. civ. sez. I 3/7/1998 n. 6529).
Sulla doglianza del ricorrente relativa alla mancata valutazione delle deduzioni difensive di ATS si osserva quanto segue.
Secondo la giurisprudenza di legittimità, cui in questa sede si intende prestare adesione, nel procedimento di opposizione a sanzione amministrativa non hanno rilievo i vizi di motivazione dell’ordinanza ingiunzione consistenti nel fatto che l’autorità ingiungente non abbia, o non abbia adeguatamente valutato le deduzioni difensive dell’incolpato formulate in sede amministrativa (Cass. Civ. Sez. I n. 5884 del 01/07/1997). Nello stesso senso, si registra un orientamento invero consolidato della Suprema Corte (cfr. Cass. Lav. n. 3488 del 21/02/05, Cass. Lav. 3489 del 21/02/05, Cass. civ. n. 519/05) in base al quale il giudizio di opposizione si apre un giudizio a cognizione piena, teso a verificare la validità sostanziale del provvedimento, attraverso un autonomo esame della ricorrenza dei presupposti di fatto della violazione; pertanto, non hanno rilievo i vizi di motivazione dell’ordinanza ingiunzione connessi al fatto che l’autorità ingiungente non abbia, o non abbia adeguatamente valutato le deduzioni difensive dell’opponente, formulate in sede amministrativa.
Facendo applicazione degli insegnamenti della giurisprudenza di legittimità si osserva che, nella specie, il Garante, nel provvedimento opposto, ha compiutamente riportato le norme violate e le ragioni di fatto a sostegno delle violazioni contestate.
Questo Tribunale ha infatti potuto seguire l’iter logico – giuridico seguito dall’autorità Garante e, contrariamente da quanto sostenuto dal ricorrente, quest’ultimo è stato in grado di articolare ampie censure al provvedimento stesso, come d’altronde dimostrato dalla complessità del ricorso introduttivo. Inoltre, alla luce della giurisprudenza supra richiamata, resta privo di pregio il rilievo della mancata valutazione delle deduzioni difensive svolte dall’odierno ricorrente in sede di procedimento di irrogazione della sanzione amministrativa. Deve infatti rilevarsi che, in questa sede, questo Tribunale ha avuto pieno accesso al fatto e ha potuto valutare le allegazioni difensive dell’Agenzia. Tale ultima doglianza non può pertanto costituire ragione di annullamento del provvedimento opposto. Per tutte queste ragioni, il provvedimento opposto non è annullabile ai sensi dell’art. 18 comma 2 della L. 689/1981 nonché dell’art. 166 comma 7 del D.lgs. 196/2003 essendo sorretto da adeguata ed esaustiva motivazione.
In definitiva l’opposizione va respinta e il provvedimento del Garante confermato.
Le spese del giudizio
Le spese seguono la soccombenza e si liquidano come da dispositivo in relazione al valore della causa, dell’attività difensiva posta in essere e dei parametri tabellari ex DM 55/2014.
P.Q.M.
Il Tribunale, definitivamente pronunciando, ogni altra istanza disattesa o assorbita, così dispone:
1) respinge il ricorso proposto da ATS della Città Metropolitana di Milano avverso il provvedimento del Garante per la Protezione dei dati personali n. 268 del 13.5.2021;
2) Condanna altresì la parte ricorrente a rimborsare alla parte resistente le spese di lite, che si liquidano in Euro 8.250,00 per compensi oltre accessori di legge; 3) Fissa termine di giorni 30 per il deposito della motivazione.
Così deciso in Milano il 12 maggio 2022.
Depositata in Cancelleria il 31 maggio 2022.
Puoi scaricare il contenuto in allegato effettuando una donazione in favore del sito attraverso il seguente link