Quando il pagamento delle sanzioni privacy non è dovuto

Un’importante pronuncia della Cassazione ha fornito chiarimenti in merito alla legittimità della richiesta di pagamento della sanzione pecuniaria da parte del Garante.

La Suprema Corte di Cassazione si è pronunciata in merito ad un punto molto delicato che concerne l’articolo 14, comma 6 della Legge 689 del 24 novembre 1981, ritenendo che, trascorso il termine di novanta giorni tra l’accertamento della violazione e la sua contestazione, l’obbligo di pagare le sanzioni privacy si estingue, collocando il dies a quo nel momento in cui l’autorità (in questo caso il Garante) ha acquisito e valutato i dati a sua disposizione.

Il principio affermato statuisce che decorso il termine di 90 giorni tra l’accertamento della violazione e la sua contestazione, l’obbligo di pagare la sanzione si estingue.

La sentenza ha definito una controversia incardinata da parte di un’Azienda ospedaliera che ha proposto ricorso avverso un’ordinanza del Garante del 05/04/2018 con la quale aveva ingiunto il pagamento della somma di Euro 10.000 a titolo di sanzione pecuniaria amministrativa per la violazione dell’art. 162 comma 2 bis del Codice Privacy antecedente la riforma (trattamento di dati personali effettuato in violazione delle misure minime di sicurezza o delle disposizioni indicate nell’articolo 167), invocando l’art. 14 comma 6 della L. 689/81, avendo l’Azienda inviato al Garante copia della documentazione da questi richiesta (designazione soggetti incaricati) in data 05/03/2015 mentre la contestazione dell’addebito veniva emessa in data 18/06/2015 e notificata il 25/06/2015, cioè oltre il termine di 90 giorni dal completamento dell’attività ispettiva. Il Tribunale di merito aveva dato ragione all’Azienda ospedaliera.

Il Garante ha impugnato la decisione di merito avanti la Corte di Cassazione, invocando la falsa applicazione del citato art. 14 non avendo considerato la complessità dell’accertamento.

La Suprema Corte si è pronunciata affermando che il momento dell’accertamento della violazione, da cui far decorrere i 90 giorni per la notifica della contestazione “va individuato nel momento in cui detta autorità abbia acquisito e valutato tutti i dati indispensabili ai fini della verifica dell’esistenza della violazione segnalata, oppure in quello in cui il tempo decorso non risulti ulteriormente giustificato dalla necessità di tale acquisizione e valutazione” ma il compito di individuare il dies a quo e definire la complessità dell’accertamento spetta al giudice di merito e non è sindacabile in Cassazione, se non per omesso esame di fatti decisivi risultanti dalla sentenza di merito. La Corte ha così dichiarato inamissibile il ricorso del Garante privacy, condannando l’Autorità alla rifusione delle spese di lite.


Riferimenti: Corte di Cassazione sentenza n. 38510 del 6 dicembre 2021


Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI