LA CORTE SUPREMA DI CASSAZIONE
SECONDA SEZIONE CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. FELICE MANNA -Presidente-
Dott. ROSSANA GIANNACCARI -Consigliere-
Dott. GIUSEPPE FORTUNATO -Consigliere-
Dott. FEDERICO ROLFI -Consigliere-
Dott. CRISTINA AMATO -Rel. Consigliere-
ha pronunciato la seguente
ORDINANZA
sul ricorso 21874-2019 proposto da:
(omissis) (omissis) SRL, elettivamente domiciliata in (omissis) presso lo studio dell’avv. (omissis) (omissis) che la rappresenta e difende;
– ricorrente –
contro
GARANTE PROTEZIONE DATI PERSONALI, elettivamente domiciliato in ROMA, VIA DEI PORTOGHESI 12, presso AVVOCATURA GENERALE DELLO STATO, che lo rappresenta e difende;
– controricorrente –
avverso la sentenza n. 298/2019 del TRIBUNALE di MILANO, depositata il 11.01.2019;
udita la relazione della causa svolta nella camera di consiglio del 06.10.2022 dal Consigliere CRISTINA AMATO;
RILEVATO CHE:
1. Con ricorso depositato in data 01.2018 innanzi al Tribunale di Milano, la società (omissis) (omissis) S.r.l. proponeva opposizione ad ordinanza-ingiunzione n. 491/2017 del 23.11.2017 emessa dal Garante per la Protezione dei Dati Personali (GPDP), a seguito di accertamento del Nucleo Speciale per la privacy della Guardia di Finanza, recante importo di € 22.400,00 a titolo di sanzione amministrativa pecuniaria, per violazione degli artt. 13, 37 e 38 del codice in materia di protezione dei dati personali (Codice della Privacy), di cui al d.lgs. 30 giugno 2003, n. 196.
1.1. Rispetto ai trattamenti sui dati personali effettuati dalla (omissis) (omissis) s.r.l., idonei a rivelare lo stato di salute di cellule staminali (destinate alla conservazione presso laboratori terzi, ubicati anche all’estero nel territorio UE) contenute nel sangue del cordone ombelicale, la Guardia di Finanza accertava:
a) la mancata notificazione al GPDP, ai sensi dell’art. 37, comma 1, b) e 38 del Codice della Privacy;
b) la mancata informativa, ex art. 13 dello stesso codice, sul trattamento dei dati personali dei visitatori del sito internet, raccolti tramite form in esso inserito.
1.2. Con riguardo alle violazioni contestate, il GPDP determinava le sanzioni previste, rispettivamente, dagli 163 e 161 del Codice della Privacy individuando, per la prima (mancata notificazione al GPDP dei trattamenti, ai sensi dell’art. 37, comma 1, lett. b) e 38), il minimo edittale (€20.000,00) senza, tuttavia, applicare la riduzione dei 2/5 consentita dall’art. 164-bis, comma 1, dello stesso Codice; per la seconda (mancata informativa, ex art. 13) individuava la sanzione minima (€6.000,00) riducendola del coefficiente dei 2/5, applicando cioè l’art. 164-bis (per un importo di € 2.400,00).
2. Il Tribunale di Milano, con sentenza 298/2019, rigettava in toto l’opposizione. Con riferimento alla violazione di cui all’art. 13 Codice della Privacy, non ravvisava la presenza di errore inescusabile dedotto dall’opponente, per il quale la mancata informativa rilevata dalla Guardia di Finanza era dovuta ad un malfunzionamento temporaneo del sito, immediatamente rispristinato lo stesso giorno dell’accertamento (come risulta dal verbale di accertamento).
Secondo il giudice dell’opposizione, l’affidamento ad una società esterna dell’incarico di risistemazione del sito non esonera da responsabilità la (omissis) (omissis) s.r.l., che resta l’unico soggetto tenuto all’obbligo di informativa nei confronti della propria clientela.
Con riferimento alla violazione di cui all’art. 37 del Codice della Privacy, riteneva lo stesso giudice che la mancata applicazione della riduzione del minimo edittale prevista dall’art. 164-bis dello stesso Codice sia pienamente giustificata dalla particolare gravità della fattispecie, anche in considerazione del fatto che il trattamento dei dati personali raccolti dall’opponente riguarda le condizioni di salute di partorienti e neonati, in vista dell’eventuale conservazione delle loro cellule staminali.
3. Avverso detta sentenza proponeva ricorso per cassazione la (omissis) (omissis) s.r.l., affidandolo a due motivi, illustrati da memoria depositata in prossimità dell’adunanza.
4. Resisteva il GPDP con controricorso.
CONSIDERATO CHE:
1. Con il primo motivo la (omissis) (omissis) S.r.l. lamenta violazione di legge – art. 13 Codice della Privacy; artt. 161 e 164-bis del Codice della Privacy e art. 11 legge 24 novembre 1981, n. 689. Deduce la ricorrente che, sebbene non sia stato possibile produrre esatta prova dell’esiguità del lasso temporale durante il quale l’informativa ex art. 13 non compariva sul sito web a causa del malfunzionamento, un semplice e giustificato ritardo nel completamento della privacy policy non integra il coinvolgimento doloso o colposo che configura la componente soggettiva della violazione.
1.1. Il motivo è inammissibile, ex 360-bis, n. 1).
E’ costantemente affermato dalla giurisprudenza di questa Corte che in tema di violazioni amministrative, ai sensi dell’art. 3 della legge 24 novembre 1981, n. 689, per integrare l’elemento soggettivo dell’illecito è sufficiente la semplice colpa, per cui l’errore sulla liceità della relativa condotta, correntemente indicato come «buona fede», può rilevare in termini di esclusione della responsabilità amministrativa, al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni, solo quando esso risulti inevitabile, occorrendo a tal fine un elemento positivo, estraneo all’autore dell’infrazione, idoneo ad ingenerare in lui la convinzione della sopra riferita liceità, oltre alla condizione che da parte dell’autore sia stato fatto tutto il possibile per osservare la legge e che nessun rimprovero possa essergli mosso, così che l’errore sia stato incolpevole, non suscettibile cioè di essere impedito dall’interessato con l’ordinaria diligenza (Cass. Sez. 2, Ordinanza n. 33441 del 17/12/2019, Rv. 656323 – 01; Cass. Sez. 6 – 2, Ordinanza n. 19759 del 02/10/2015; Cass. nn. 16320/10, 13610/07, 11012/06, 9862/06, 5426/06 e 11253/04).
L’onere della prova degli elementi positivi che riscontrano l’esistenza della buona fede è a carico dell’opponente e la relativa valutazione costituisce un apprezzamento di fatto di stretta competenza del giudice di merito, non sindacabile in sede di legittimità se non sotto il profilo del vizio di motivazione (Cass. Sez. 2, n. 11977 del 19/06/2020, Rv. 658272 – 01; Cass. n. 23019/09; Cass. Sez. 2, n. 21280/2015; Cass. n. 19759/2015; Cass. Sez. 5, n. 23019 del 30/10/2009, Rv. 610357 – 01).
1.2. Nel caso di specie, correttamente ha ritenuto il Tribunale di Milano che l’affidamento alla società esterna dell’incarico di rifacimento del sito non costituisse elemento positivo sufficiente per escludere la responsabilità dell’odierna ricorrente, unico soggetto tenuto all’obbligo di comunicazione dell’informativa privacy rispetto alla propria
2. Con il secondo motivo si deduce violazione ed errata applicazione degli 163 e 164-bis l. n. 196/2003; omessa valutazione ed applicazione di tale ultima disposizione, con riferimento all’art. 360, commi 3 e 5 cod. proc. civ., per non avere il Tribunale ridotto, nei limiti dei 2/5, anche la seconda delle due infrazioni. Secondo la prospettazione della ricorrente, erra il Tribunale nell’affermare che «la ratio sottesa all’esclusione dell’art. 164-bis, primo comma, può presumibilmente ravvisarsi nella particolare gravità dell’omessa comunicazione al Garante dell’attività di trattamento di dati personali sensibili».
Così argomentando, in nessun caso potrebbe applicarsi l’art. 164-bis , comma 1, alle violazioni di cui agli artt. 37, comma 1, lett. b) e 38 del Codice della Privacy: in altri termini, giammai la mancata notificazione al GPDP del trattamento potrebbe beneficiare della riduzione della sanzione pecuniaria di cui al comma 1 della norma citata, nonostante l’eventuale minore gravità (anche dovuta alla natura economica o sociale) dell’attività concretamente svolta possa giustificare – come nel caso di specie – tale riduzione.
2. Il motivo è fondato.
Il ragionamento del giudice di merito non è condivisibile, in quanto effettivamente esclude dalla violazione del precetto, ossia la mancata notifica al GDPD ex artt. 37 e 38 Codice della Privacy, la fattispecie sanzionatoria completa, costituita dalla sanzione amministrativa pecuniaria prevista dall’art. 163, e dalla riduzione della sanzione nei casi di «minore gravità» dell’infrazione, e si risolve perciò nella disapplicazione dell’art. 164-bis, comma 1, in esame (che peraltro espressamente a sua volta richiama l’art. 163) rispetto agli artt. 37 e 38 Codice delle Privacy.
2.2. La pronuncia merita, pertanto, di essere cassata.
Spetta al giudice del rinvio – in applicazione delle norme sopra riportate, vigenti all’epoca della commissione della trasgressione (sebbene ora tutte abrogate) – rapportare la violazione del precetto alla sua gravità, verificando il comportamento tenuto dall’azienda rispetto alla progettazione della tutela dei dati personali trattati e al pericolo di danno, anche con riferimento alle dimensioni economiche dell’azienda.
P.Q.M.
La Corte Suprema di Cassazione dichiara inammissibile il primo motivo di ricorso;
in accoglimento del secondo motivo, cassa la sentenza impugnata e rinvia al Tribunale di Milano nella persona di diverso magistrato, che deciderà anche sulle spese del presente giudizio.
Così deciso in Roma, nella camera di consiglio della Seconda Sezione Civile, il 6 ottobre 2022.
Il Presidente
Dott. Felice Manna
Depositato in Cancelleria il 20 settembre 2023.