Protezione dei dati personali (semplificazione dei riti)

La nozione di dato personale oggetto di controllo e, più in generale, di privacy, è il frutto relativamente recente del progresso tecnologico intervenuto nell'ultimo ventennio, il quale ha comportato l'inevitabile mutamento del concetto di riservatezza fino alla nascita di un diritto di diversa natura.

Infatti, l'originaria esigenza di tutela dell'inviolabilità della propria sfera personale trovava sfogo nel diritto alla riservatezza, inteso come «right to be alone», da alcuni propriamente definito come di matrice «proprietaria», costituzionalmente tutelato dall'art. 2 della Carta. Successivamente, l'avvento dei sistemi informatici, la possibilità da parte di chiunque di gestire banche dati e, conseguentemente, trattare gli stessi, hanno comportato un'ulteriore lesione del diritto alla riservatezza che si manifesta, però, nella diversa forma di diritto all'autodeterminazione informativa.

Dunque, l'abbandono della riservatezza nella sua concezione affine allo ius excludendi alios e, quindi, quale diritto di esclusione dell'altro dalla propria sfera privata, ha comportato la nascita della moderna concezione di privacy e del diritto alla protezione dei dati personali, ossia dell'«information privacy» o «data privacy». Quest'ultimo, infatti, non si sostanzia nella libertà negativa di non subire interferenze nella propria sfera privata, ma in quella positiva di controllare le proprie informazioni. Secondo alcuni, tuttavia, il diritto alla protezione dei dati personali costituirebbe una situazione giuridica di natura strumentale rispetto a quella finale data dal diritto alla riservatezza, in quanto presupposto dell'esercizio delle libertà individuali e dell'affermazione della dignità umana.

Le ultime novità legislative sia di matrice europea che nazionale si collocano, dunque, in un'ampia catena normativa che trova il suo primo anello nella direttiva n. 95/46/CE «relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati», che individuava come unico scambio di dati quello intercorrente tra l'interessato e il titolare del trattamento. Tuttavia, l'affrancazione del diritto alla tutela dei dati personali viene definitivamente consacrata oltralpe dalla Carta dei Diritti Fondamentali dell'Unione Europea del 7 dicembre del 2000 che, all'art. 7, riconosce il diritto al «rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni», quale estrinsecazione del diritto alla riservatezza e, all'art. 8, l'indipendente diritto alla «protezione dei dati di carattere personale».

L'ordinamento italiano ha riconosciuto positivamente il diritto alla protezione dei dati personali come autonomo dal diritto alla riservatezza con l'art.1 del d.lgs.del 30 giugno 2003 n. 196, noto come Codice Privacy. Quest'ultimo, la cui finalità era garantire un trattamento dei dati personali rispettoso dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche e, allo stesso modo, tutelare i diritti delle persone giuridiche, qualificava come «dato personale» qualunque informazione relativa a persone sia fisiche che giuridiche.

Il suddetto codice, dopo aver definito all'art. 4 il «trattamento» come «qualunque operazione o complesso di operazioni», dalla registrazione alla distruzione dei dati, «effettuati anche senza l'ausilio di strumenti elettronici», disciplinava all'art. 152 le controversie in materia di protezione dei dati personali attribuite all'Autorità Giudiziaria Ordinaria. Invero, il codice prevedeva un complesso sistema per mezzo del quale la tutela dei diritti previsti dall'art. 7 potesse essere alternativamente invocata innanzi al Garante della Privacy tramite gli strumenti del ricorso e del reclamo o davanti all'Autorità Giudiziaria Ordinaria cui venivano ricondotte anche le controversie relative ai provvedimenti del Garante o alla loro mancata adozione.

In questo contesto si colloca l'intervento del legislatore delegato il quale, con il d.lgs. n. 150/2011 in materia di riduzione e semplificazione dei procedimenti civili di cognizione, all'art. 10, riforma la trattazione delle controversie in materia di protezione dei dati personali.

I caratteri di officiosità e concentrazione dell'istruzione tipici di questi procedimenti giustificarono la riconduzione di tali controversie al rito del lavoro, ove non diversamente disposto. In sostanza, il decreto modificò l'art. 152 del Codice Privacy non solo abrogando le norme relative al procedimento, ma anche integrando il disposto del comma primo dell'articolo e, dunque, riconducendo all'Autorità Giudiziaria Ordinaria tutte le controversie riguardanti le disposizioni del Codice Privacy, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché quelle previste dall'art. 10 comma 5 legge n. 121/1981. Inoltre, il decreto previde l'aggiunta di un comma 1-bis all'art. 152 Codice Privacy, che rinviava alla disciplina dell'articolo 10 del nuovo decreto le controversie summenzionate e, quindi, attribuiva all'Autorità giudiziaria la veste di giudice del lavoro.

Il rinvio ad espresse fonti normative, dunque, richiedeva di circoscrivere la competenza dell'A.G.O. alle controversie di cui all'art. 7 del Codice Privacy, nonché quelle riguardanti il trattamento in violazione di legge o di regolamento di dati personali detenuti per fini di sicurezza pubblica dal Ministero dell'Interno, ovvero quelle di cui all'art. 10 comma 5 legge n. 121/1981. Dunque, restavano escluse le controversie relative ai provvedimenti sanzionatori del Garante.

Per ciò che concerneva il foro esclusivo di competenza (Cass. civ., n. 12980/2006), come già previsto dal comma 2 dell'art. 152 Codice Privacy, questo restava in capo al Tribunale del luogo in cui risiedeva il «titolare del trattamento», salva l'ipotesi, affermata dalla giurisprudenza, (Cass. civ., n. 5658/2017; Cass. civ., n. 2687/2016), in cui tale foro non prevaleva su quello del consumatore ove la tutela dei dati venisse invocata nell'ambito di un rapporto di consumo. Per quanto riguardava la composizione del Tribunale, inoltre, nonostante non fosse espressamente previsto dall'articolo in commento, si presumeva restasse monocratica, come statuito dall'originario art. 152 Codice Privacy; infatti, la composizione monocratica era comunque desumibile dagli artt. 50-bis e 50-ter c.p.c., oltre ad essere coerente con il criterio di semplificazione fissato dalla legge delega.

Relativamente al procedimento, poi, per quanto non espressamente previsto dall'art. 10 d.lgs. n. 150/2011, era disposto il rinvio alle norme del codice di procedura civile sul rito del lavoro, peraltro almeno in parte corrispondenti alla normativa previgente costituita dall'art. 152 Codice Privacy. Tuttavia, si riteneva (Costantino, Licci, Parisi) che l'applicazione del rito dovesse adattarsi al tipo di giudizio volto alla tutela del trattamento dei dati personali e, conseguenzialmente, ad esempio, si affermò che l'impugnazione del provvedimento del Garante dinanzi al giudice dovesse essere supportata dall'indicazione dei motivi di impugnazione. Peraltro, sorsero problemi interpretativi in relazione all'applicazione dell'art. 415 c.p.c. e, in particolare, alla natura del termine entro cui notificare il decreto di fissazione dell'udienza, classificato dall'ex art. art. 152 Codice Privacy come perentorio; allo stesso modo, il dibattito si accese sulla notifica al Garante del ricorso e del relativo decreto di fissazione dell'udienza, prevista dalla normativa previgente ma non menzionata dalla riforma. Ancora, l'art. 10 d.lgs. n. 150/2011 confermava la possibilità di sospendere il provvedimento impugnato dinanzi all'Autorità. Tuttavia, differivano i presupposti della sospensione da individuare in «gravi motivi», stando alla disciplina originaria, e da ricercare, secondo il decreto intervenuto, in «gravi e circostanziate ragioni»; altro elemento di contrasto tra le due normative era l'impugnabilità o meno dell'ordinanza di sospensione.

Aspetto in comune tra le due discipline si rinveniva, invece, nel contenuto della decisione. Infatti, al giudice ordinario era attribuita la facoltà di adottare le misure necessarie nei confronti della P.A., anche in deroga al divieto cui continuava a far riferimento il comma 6 dell'art. 10 d.lgs. n. 150/2011, ovvero quello relativo alla separazione tra il potere giudiziario e amministrativo, nonché la possibilità di pronunciarsi sul risarcimento del danno. Ferma, inoltre, restava l'inappellabilità della sentenza del giudice di prime cure che, dunque, doveva ritenersi direttamente ricorribile per Cassazione.

Allo scopo di uniformare le normative degli Stati Membri dell'Unione in materia ed al fine di realizzare un unico mercato digitale, è stato emanato il Regolamento Europeo 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE». La scelta dello strumento del regolamento rispetto a quello della direttiva può in parte spiegarsi nel fine dell'uniformazione delle legislazioni nazionali - e non in una semplice armonizzazione delle stesse -, in quanto, come è noto, l'adozione di tale strumento legislativo riduce sensibilmente l'uso del diaframma statale ai fini dell'applicazione dello stesso sul territorio dei singoli Stati Membri.

Il Regolamento, avente ad oggetto, da un lato, «la protezione delle persone fisiche con riguardo al trattamento dei dati personali» e, dall'altro, «la libera circolazione» dei dati stessi, ha sostanzialmente riscritto la normativa in materia di privacy, sostituendo la direttiva madre e sostanzialmente abrogando anche il Codice della Privacy italiano. Va sottolineato, però, che il legislatore europeo ha razionalizzato e raccolto la normativa previgente degli Stati Membri, il che spiega perché alcune disposizioni non siano nuove agli occhi dell'esperienza italiana. Le novità apportate dalla nuova legislazione non sono tuttavia poche, basti pensare ai «dati biometrici» o alla «pseudonimizzazione». E' stato, inoltre, compiutamente regolamentato il diritto alla cancellazione dei dati, noto come «diritto all'oblio», nonché il trasferimento dei dati all'estero.

Dal punto di vista procedurale, le novità sicuramente possono dirsi significative.

In primo luogo, va sottolineato che il sistema di tutela della protezione dei dati personali si dirama in un doppio binario attraverso un procedimento di natura amministrativa da affiancare all'esperibilità dell'azione legale volta ad esercitare il diritto ad ottenere il risarcimento del danno dinanzi all'autorità giurisdizionale competente dello Stato Membro. In particolare, ai sensi del Regolamento, l'interessato potrà agire, in sede amministrativa, con reclamo avanti al Garante competente dello Stato membro ai sensi dell'art. 77 e, in sede giudiziaria, per l'impugnazione delle decisioni amministrative assunte dal Garante ex art. 78, o per far valere un proprio diritto nei confronti del «titolare» o del «responsabile del trattamento» ai sensi dell'art. 79, nonché per il risarcimento del danno ex art. 82. Dunque, se è vero che già il Codice della Privacydisciplinava in via alternativa strumenti di tutela amministrativa e giudiziaria, il Regolamento ne apporta una semplificazione, prevedendo un unico strumento di ricorso al Garante, ovvero il reclamo, rispetto alla pluralità di mezzi precedentemente prevista dal codice.

Per ciò che rileva in questa sede, scendendo più nel dettaglio, l'art. 78 Reg. (UE) 2016/679 prevede l'esperibilità del ricorso giurisdizionale da parte di «ogni persona fisica o giuridica» avverso «una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda», nonché da parte dell'«interessato» qualora «l'autorità di controllo che sia competente ai sensi degli articoli 55 e 56 non tratti un reclamo o non lo informi entro tre mesi dello stato o dell'esito del reclamo proposto ai sensi dell'art. 77».

Il secondo paragrafo, in particolare, ha posto problemi di interpretazione in relazione alla natura della tutela, giacché ci si è chiesto se si fosse in presenza di un'impugnazione del mancato provvedimento del Garante o di una vera e propria azione in primo grado, come se non fosse stato promosso il procedimento amministrativo. In realtà si può ritenere preferibile la seconda delle interpretazioni proposte, in quanto coerente con la logica dell'alternativa esperibilità della tutela amministrativa o di quella giudiziale, sulla base del principio electa una via non datur recursus ad alteram. Il Regolamento dà dunque all'interessato la possibilità di ricorrere all'autorità giudiziaria in caso di rifiuto di procedere del Garante, o di silenzio dello stesso nel termine di tre mesi dalla presentazione del reclamo.

Per quanto riguarda il diritto a un ricorso giurisdizionale effettivo nei confronti del «titolare del trattamento» o del «responsabile» dello stesso, l'art. 79 Reg. (UE) 2016/679 prevede l'esperibilità del rimedio giurisdizionale da parte dell'«interessato», in ordine a qualsiasi violazione delle norme del Regolamento. Il paragrafo 2 riveste particolare rilievo in quanto indica due fori alternativi individuando, da un lato, l'«autorità giurisdizionale dello Stato Membro in cui il titolare o il responsabile del trattamento ha uno stabilimento» e, dall'altro, «le autorità giurisdizionali dello Stato Membro in cui l'interessato risiede abitualmente». Il primo, però, costituisce foro esclusivo laddove sia convenuta una pubblica autorità nell'esercizio di pubblici poteri. Risulta evidente la portata innovativa della norma, che si pone in contrasto con l'esclusività del foro consacrata dall'ordinamento italiano.

E' opportuno, inoltre, sottolineare che l'articolo riveste particolare rilievo in quanto rimanda all'art. 47 della Carta dei Diritti Fondamentali dell'Unione Europea che statuisce «il diritto a un ricorso effettivo dinanzi a un giudice (…) indipendente e imparziale, precostituito per legge» nel caso di violazione dei diritti e delle libertà garantiti dall'UE.

In ultima analisi, il Regolamento all'art. 82 riconosce il diritto di ottenere il risarcimento del danno «materiale o immateriale» - perciò da ritenersi patrimoniale o non patrimoniale - dal «titolare» o dal «responsabile del trattamento». Peraltro, tra i beni non patrimoniali o immateriali suscettibili di lesione è compreso anche lo stesso diritto alla protezione dei dati personali, rilevando lo stesso indipendentemente dal suo rapporto di strumentalità rispetto al diritto alla riservatezza. Dal punto di vista strettamente processuale, l'articolo ribadisce il criterio del foro alternativo per l'attribuzione della competenza.

Poste queste premesse, si può volgere lo sguardo all'intervento del legislatore nazionale che ha adeguato al Regolamento la normativa preesistente in materia di tutela amministrativa e giurisdizionale, riscrivendo il primo e il secondo titolo della Parte III del Codice Privacy.

In primo luogo, l'art. 13 del d.lgs. n. 101/2018, riformando l'art. 140-bis Codice Privacy, sancisce il principio dell'alternatività dei rimedi, che, però, non costituisce una novità per l'ordinamento nostrano. Tuttavia, mentre la normativa previgente, come già accennato, riconosceva vari strumenti di tutela amministrativa, ovvero il reclamo, il ricorso e la segnalazione volta a sollecitare un controllo da parte del Garante, il Regolamento ha imposto al legislatore nazionale di propendere per l'unico rimedio del reclamo, semplificando i mezzi di tutela.

Va sottolineato che il principio di alternatività decreta l'improponibilità della domanda innanzi all'autorità successivamente adita, salvo il caso in cui il Garante ometta o di definire il reclamo o di informare l'interessato dello stato del procedimento nel termine di tre mesi dall'esperimento del mezzo di tutela di natura amministrativa. In questa ipotesi, l'interessato, nel termine di trenta giorni dalla scadenza del termine imposto al Garante per la definizione del reclamo o per la comunicazione delle informazioni, può adire l'autorità giudiziaria. Infatti, l'art. 10 d.lgs. n. 150/2011, così come riformato nel 2018, ribadisce quanto cristallizzato all'art. 78 par. 2 Reg. (UE) 2016/679.

In particolare, per quanto riguarda il ricorso all'autorità giudiziaria, il nuovo decreto riscrive l'art. 152 Codice Privacy e attribuisce all'A.G.O. tutte le controversie di cui agli artt. 78 e 79 del Regolamento, quelle volte all'esercizio del diritto al risarcimento del danno, nonché tutte le controversie riguardanti l'applicazione della normativa in materia di protezione dei dati personali. Il richiamo all'intera normativa rispetto al rinvio alle singole fonti senza dubbio semplifica il lavoro dell'interprete riguardo all'ambito di applicazione della norma ed evita i problemi sorti in relazione alle disposizioni previgenti.

Stando poi al nuovo testo dell'art. 10 d.lgs. n. 150/2011, le controversie di cui all'art. 152 Codice Privacy sono regolate dal rito del lavoro. Dunque, il rito sarà applicabile sia nel caso dell'esperimento dello strumento di tutela in via alternativa, sia nell'ipotesi della proposizione di una domanda di risarcimento del danno.

Stando alla giurisprudenza (Trib. Milano 20 marzo 2014 n. 3929; Trib. Milano 6 maggio 2015 n. 4794), però, qualora la domanda avente ad oggetto l'applicazione della normativa in materia di privacy risultasse proposta cumulativamente ad altra domanda soggetta a rito ordinario o ad altro speciale, il rito non troverebbe applicazione. Stesso discorso qualora la normativa sulla privacy si rivelasse strumentale ai fini di una decisione avente ad oggetto situazioni giuridiche soggettive.

Per ciò che concerne le sorti della sentenza che definisce il giudizio dinanzi al Tribunale in composizione monocratica, il legislatore del 2018 conferma la sua inappellabilità con conseguente esperibilità del ricorso per Cassazione.

Con riguardo alla competenza territoriale, il legislatore nazionale si uniforma a quello europeo, rendendo il foro del luogo in cui ha la residenza il «titolare» del trattamento alternativo rispetto al foro del luogo di residenza dell'«interessato», superando in questo modo le problematiche inerenti al rapporto tra il foro considerato esclusivo in materia di protezione dei dati personali e quello del consumatore cui si è già fatto cenno.

I commi 3 e 4 dell'art. 10 disciplinano i termini per proporre l'azione tutte le volte in cui la domanda ha come oggetto un provvedimento dell'Autorità Garante. Con la nuova formulazione è stato previsto che «il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell'interessato, è proposto, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero».

Diviene più articolata la disciplina relativa al «silenzio» del Garante. Ed infatti, il comma 4 prevede che l'«interessato» possa proporre ricorso entro trenta giorni dalla scadenza del termine previsto per la decisione del reclamo di cui all'art. 143 comma 3 ovvero decorso il termine trimestrale senza che l'interessato sia stato informato dello stato del procedimento.

Quanto alla fase successiva alla proposizione dell'azione, il comma 6 dell'art. 10 d.lgs. n. 101/2018 stabilisce che il giudice fissa l'udienza di comparizione delle parti «con decreto con il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante».

È previsto che tra il giorno della notificazione e l'udienza di comparizione devono intercorrere «non meno di trenta giorni». In questo modo il legislatore torna a quanto previsto dall'originario art. 152 del Codice dellaPrivacy che prevedeva la notifica al Garante del decreto di fissazione dell'udienza.

Stando al comma 8, inoltre, «se il ricorrente non compare alla prima udienza senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l'estinzione del processo, ponendo a carico del ricorrente le spese di giudizio».

La disposizione pone un problema in relazione all'ipotesi in cui oggetto del giudizio sia l'impugnazione di un provvedimento del Garante dal quale sia scaturita l'irrogazione di una sanzione amministrativa pecuniaria.

Sul punto merita di essere ricordato che la Corte Costituzionale si pronunciò in relazione all'art. 23 comma 5 legge n. 689/1981, dal contenuto analogo all'attuale previsione. Con la sentenza 5 dicembre 1990 n. 534, la Corte dichiarò l'illegittimità costituzionale della disposizione «nella parte in cui prevedeva che il pretore convalidasse il provvedimento opposto in caso di mancata presentazione dell'opponente o del suo procuratore alla prima udienza senza addurre alcun legittimo impedimento, anche quando l'illegittimità del provvedimento risultasse dalla documentazione allegata dall'opponente». Tale principio pare potersi applicare anche alla fattispecie presa in considerazione dal comma 8 dell'art. 10, potendo peraltro in tale caso fare tesoro della ricorrente affermazione giurisprudenziale (ex multis Cass. civ., n. 1653/2007; Cass. civ., n. 1246/2008) secondo cui l'emanazione della ordinanza di convalida è subordinata a tre condizioni: 1) la mancata comparizione dell'opponente o del suo procuratore; 2) la non fondatezza dell'opposizione sulla base dei motivi di ricorso e dei documenti prodotti; 3) il deposito da parte dell'amministrazione irrogante di copia del rapporto con gli atti relativi all'accertamento, nonché alla contestazione e alla notificazione della violazione, con la conseguenza che il giudice, ove ritenga di convalidare il provvedimento opposto, deve motivare in ordine a tutti e tre i presupposti sopraindicati.

Per ciò che concerne la tutela cautelare, questa consiste non solo nella possibilità per il giudice di disporre la sospensione dell'efficacia esecutiva del provvedimento, ma anche dalla facoltà di ricorrere a provvedimenti d'urgenza ex art. 700 c.p.c. Pertanto, il giudice potrà «adottare tutti i provvedimenti che avrebbe potuto adottare il Garante in via amministrativa (ivi compreso l'oscuramento, la rimozione o il blocco di qualsiasi altro dato personale del minore, diffuso nella rete internet, previa conservazione dei dati originali di cui al primo comma dell'art. 1 della Legge n. 71/2017 in materia di cyberbullismo)» (Valerini).

La nuova disciplina attribuisce al Garante la facoltà di presentare osservazioni sulla controversia in relazione ai profili riguardanti la protezione dei dati personali. Infatti, a tal fine, il giudice dispone che sia data comunicazione al Garante della pendenza della controversia attraverso la trasmissione della copia degli atti introduttivi. La disposizione, evidentemente, si riferisce alle ipotesi in cui il Garante non sia già parte del processo, come nelle controversie relative al risarcimento dei danni da illecito trattamento dei dati personali; infatti, nel caso di impugnazione dei provvedimenti dell'Autorità, il Garante è parte del giudizio. Peraltro, l'introduzione dell'art. 154-ter Codice Privacy riconosce al Garante un potere di azione e rappresentanza in giudizio. Quest'ultimo, infatti, rappresentato dall'Avvocatura dello Stato, è legittimato ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione della normativa in materia di protezione dei dati personali.

Infine, la nuova disciplina ribadisce con riguardo al contenuto della decisione del giudice, che questi possa prescrivere le misure necessarie anche in deroga al divieto di cui all'art. 4 legge 20 marzo 1865 n. 2248 allegato E.

Può, dunque, conclusivamente affermarsi che a seguito all'entrata in vigore delle ultime disposizioni la disciplina processuale in materia di protezione dei dati personali sia compiutamente definita.

• L. Bolognini, E. Pelino, C.Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, pp. 572 e ss. e pp. 590 e ss.;
• F. Caringella, D. Dimatteo, Giurisprudenza ragionata di diritto civile, Roma , 2020, pp. 186-187;
• F. Carpi, M. Taruffo, Commentario breve al codice di procedura civile, IX ed., Padova, 2018, pp. 3506 e ss.;
• G. Chinè, M. Fratini, A. Zoppini, Manuale di diritto civile, Roma, 2018, pp. 202 e ss.;
• G. Finocchiaro, La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n.101, Bologna, 2019, pp. 1 e ss, pp. 743 e ss. e pp. 773 e ss.;
• F. Valerini, Le novità processuali in materia di privacy dopo il Reg. 679/2016 e il D.Lgs. 101/2018, in judicium.it.;
• Warren e Brandies, The right to privacy, 4 Harvard Law Review, 15 dicembre 1980, pp. 193-220.