Sanzione privacy annullata se il garante supera i termini: il caso Enel

Massima

Il termine per lo svolgimento e la conclusione del procedimento sanzionatorio di un’autorità amministrativa indipendente, specialmente se stabilito in deroga al termine di cui all’art. 2 l. n. 241/1990, deve considerarsi perentorio.

Deve inoltre esserne identificato con certezza il dies a quo e la fase istruttoria deve essere comunque conclusa entro il termine stabilito.

Il caso

Con provvedimento n. 433/2021 il Garante per la protezione dei dati personali (di seguito il “Garante”) contestava ad Enel Energia S.p.A. (“Enel”) diverse violazioni del Regolamento EU 2016/679 (il “GDPR”) e del d.lgs. 196/2003 (il “Codice Privacy”), relative a pratiche di telemarketing illecite, infliggendole, tra le altre, una sanzione pecuniaria di 26.513.977 euro.

In particolare, a partire dal 2018, il Garante aveva avviato, a seguito di vari reclami, delle indagini a carico di Enel inviandole, nel corso di una complessa istruttoria, conclusasi nel 2020, una serie di richieste di chiarimenti, anche cumulative (c.d. “CUM”).

Solo il 14 maggio 2021 veniva comunicato ad Enel l'avvio del procedimento sanzionatorio e il 16 dicembre veniva emanato il provvedimento n. 433. Enel ha impugnato avanti al Tribunale di Roma tale provvedimento, chiedendone l'annullamento per violazione, da parte del Garante, dei termini prescritti dalle norme vigenti per lo svolgimento e la conclusione del procedimento sanzionatorio.

La questione

Il Tribunale, in accoglimento del ricorso di Enel, ha affrontato tre questioni centrali: (i) la natura, perentoria o ordinatoria, dei termini stabiliti per la conclusione dei procedimenti istruttori e sanzionatori; (ii) l’identificazione del dies a quo per la decorrenza di tali termini; e (iii) i limiti alla cumulabilità, a fini istruttori (e sanzionatori), di reclami e/o segnalazioni giunti in tempi diversi.

Le soluzioni giuridiche

Il giudice romano affronta la prima questione richiamando la l. n. 241/1990, sul procedimento amministrativo, e il Regolamento interno del Garante n. 2/2019 (il “Regolamento”).

L'art. 2 della sopracitata legge impone un termine di 30 giorni per la conclusione dei procedimenti amministrativi, ma consente alle autorità di garanzia e vigilanza – qual è il Garante – di derogarlo, potendo fissare termini più lunghi (fino a 90 o 180 giorni) per la conclusione dei procedimenti di rispettiva competenza. In tale direzione anche l'articolo 166, comma 9 del Codice Privacy, secondo il quale il Garante, con proprio regolamento definisce le modalità del procedimento per l'adozione dei provvedimenti e delle sanzioni di propria competenza.

Con il Regolamento, il Garante ha dunque fissato un termine di 120 giorni per la comunicazione al trasgressore delle violazioni riscontrate, decorrenti dalla data in cui l'autorità perfeziona tale accertamento.

Alla luce di ciò, il Tribunale ha accolto il ricorso di Enel e annullato il provvedimento per la sistematica violazione di tale termine che, sostiene il giudice, non può ritenersi ordinatorio bensì perentorio.

Infatti, nell'esercizio di un potere particolarmente afflittivo, qual è quello sanzionatorio, la perentorietà dei termini è da considerarsi un presupposto irrinunciabile per il rispetto di principi fondamentali dell'ordinamento e in particolare del diritto di difesa. Esso sarebbe pregiudicato laddove venisse fatto trascorrere un tempo “abnorme” fra il presunto illecito e la sua contestazione, per violazione dell'esigenza di certezza del diritto nonché per la stessa rule of law, che esclude l'arbitrio dell'autorità.

Come precisa il giudice romano, tale affermazione di principio trova spunto nella sentenza del Cons. Stato, sez. sez. VI, 2 febbraio 2022, n.728, dove si è affermato che il compimento di un'attività preistruttoria in un tempo indefinito è in contrasto con i principi della l. n. 241/1990 e, più in generale, con quelli di esigenza di efficienza dell'agire amministrativo e di certezza del diritto.

Peraltro, precisa il Tribunale di Roma, la fissazione autonoma di termini più favorevoli attraverso un regolamento interno implica perentorietà, per il semplice fatto che il termine è stato fissato spontaneamente dall'autorità.

Il secondo passaggio della decisione si concentra sull'identificazione del dies a quo, ossia il momento da cui far decorrere il termine per emettere il provvedimento.

La giurisprudenza - su cui si basa la tesi difensiva del Garante – (Cass. civ., sez. II, n. 18288/2020; Cass. civ., sez. II, n. 770/2017; Cass. civ., sez. I, n. 1043/2015; Cass. civ., sez. II, n. 13050/2014; Cass. civ., sez. lav., n. 23608/2009; Cass. civ., sez. II, n. 11187/2009) lo identifica nel momento in cui l'autorità acquista piena conoscenza della condotta illecita. Tuttavia, argomenta il giudice, se così fosse il dies a quo sarebbe del tutto incerto, rimesso alla mera volontà dell'autorità.

Pertanto, per gli stessi motivi per cui viene affermata la perentorietà dei termini procedurali amministrativi, si afferma che tale incertezza è incompatibile il diritto di difesa. È dunque necessario identificare un dies a quo  che sia certo, che permetta il calcolo del termine e che va individuato, secondo il giudice capitolino, nella data in cui il Garante riceve le risposte (definitive) alle sue richieste di informazioni ed eventualmente di ulteriori chiarimenti.

Il Tribunale si pronuncia infine sui CUM, richieste cumulative di informazioni su segnalazioni e reclami pervenuti in tempi diversi.

Il Garante, avvalendosi della facoltà auto-riconosciutasi tramite l'art 10 comma 4 del Regolamento 1/2019, aveva formulato nel corso di diversi anni e a distanza di più di 120 giorni l'una dall'altra, quattro CUM, accorpando vari reclami, riferiti a questioni tra loro connesse. Criticando tale impostazione, il Tribunale argomenta per paradosso che l'autorità potrebbe accumulare elementi istruttori per anni, prima di richiedere informazioni al titolare (o responsabile) del trattamento, che dovrebbe rispondere di accadimenti verificatisi anche tanto tempo addietro, restando nel mentre indefinitamente esposto a provvedimenti di natura sanzionatoria. La vaghezza del tenore letterale dell'articolo in esame lascia, anche in tal caso, un'eccessiva discrezionalità all'autorità, che ha pieno arbitrio nella scelta dei tempi delle contestazioni sulle quali il titolare del trattamento dovrà rispondere.

Il giudice conclude dunque che le richieste, di informazioni e di chiarimenti, debbono essere inviate dal Garante entro il termine stabilito per comunicare la contestazione di violazione, cioè 120 giorni; se così non fosse tale termine sarebbe prolungato virtualmente usque ad æternum.

Osservazioni

La pronuncia del Tribunale di Roma apre una riflessione sul tema dell'enforcement delle norme data protection, definito da un insieme di regole anodine, volte a massimizzare la discrezionalità delle autorità di supervisione, la cui firma si legge in filigrana lungo l'intero ordito del GDPR, con compressione dei diritti di difesa dei privati (e degli enti pubblici) che a tale azione sono soggetti.

Nel ricostruire la qualificazione dei termini di esercizio del potere di supervisione e sanzione del Garante, il giudice ricorre ad un'interpretazione, condivisibile, costituzionalmente orientata della normativa, sia sotto il profilo dell'art. 24 Cost. che sotto quello dell'art. 117 Cost., con l'intermediazione dell'art. 6 CEDU. Il tema rimane tuttavia aperto e suscettibile di ulteriori declinazioni. Infatti, se è vero che termini procedurali poco chiari e troppo favorevoli all'autorità determinano un'insopportabile esposizione dei consociati all'arbitrio punitivo dei controllori, allo stesso modo violano il diritto di difesa dei controllati quei provvedimenti che non dettagliano in maniera trasparente le valutazioni dell'autorità sull'an e il quantum delle sanzioni con specifico riferimento a ciascuna delle violazioni contestate, che invece sono sistematicamente accorpate nella prassi dell'autorità sotto un quantum di sanzione omnicomprensiva.

La pronuncia in esame pone una prima pietra miliare nel percorso di riequilibrio delle posizioni nel delicato processo di applicazione di un complesso di norme divenuto centrale nell'ordinamento; essa avrà sì un impatto demolitorio diretto sul provvedimento oggetto di impugnazione, ma ne avrà anche uno indiretto e sostanziale sui Regolamenti interni 1 e 2 del 2019, che, formalmente, rimangono in vigore, ma andranno rivisti dal Garante.

È assai probabile, inoltre, che tali tematiche giungano al vaglio della Cassazione; non è da escludere che, da tale sede, possano addirittura venire portate alla cognizione della Corte Costituzionale, attraverso un incidente di costituzionalità sull'art. 166 comma 9 Codice Privacy, ovvero la norma primaria su cui si fondano i regolamenti interni dell'autorità, di sospetta legittimità per non aver fornito neppure il contenuto minimo degli atti delegati all'autorità amministrativa.