[doc. web n. 1425297]

Relazione 2006 - Parte II - L´attività svolta dal Garante - 12 luglio 2007

20. Il contenzioso giurisdizionale

20.1. Considerazioni generali

Il procedimento introdotto dall´art. 152 del Codice, volto alla tutela giurisdizionale del diritto alla protezione dei dati personali attraverso una procedura snella e capace di fornire un riscontro specifico e tempestivo, ha dimostrato anche nell´anno 2006 di incontrare il favore degli interessati.

Sono stati infatti notificati al Garante, secondo quanto prescritto dall´art. 152, comma 7, cinquantanove ricorsi proposti direttamente avanti all´autorità giudiziaria, in via alternativa al ricorso presentato in sede amministrativa al Garante, non coinvolgenti direttamente pronunce dell´Autorità.

L´obbligo di notifica al Garante dei ricorsi presentati all´autorità giudiziaria, concernenti tutte le controversie relative all´applicazione del Codice, consente all´Autorità, oltre che di intervenire nel contenzioso in cui, pur non essendo direttamente coinvolta, sono in discussione profili di carattere generale sulla protezione dei dati, di avere un´informazione ampia sull´evoluzione della giurisprudenza in materia, anche al fine dell´adozione di eventuali provvedimenti amministrativi e dell´attività di segnalazione al Parlamento e al Governo degli interventi normativi necessari per la tutela dei diritti degli interessati (come previsto dall´art. 154, comma 1, lett. f ), del Codice).

Va peraltro rilevato che non sempre le cancellerie degli uffici giudiziari adempiono all´obbligo, posto a loro carico dall´art. 154, comma 6, del Codice, di trasmettere al Garante copia dei provvedimenti emessi a definizione dei giudizi che hanno per oggetto questioni relative alla protezione dei dati personali o in materia di criminalità informatica.

20.2. I profili procedurali

Confermando l´originaria impostazione della legge n. 675/1996, l´art. 152 del Codice ha ribadito che tutte le controversie riguardanti l´applicazione del Codice medesimo sono devolute all´autorità giudiziaria ordinaria, precisando inoltre che l´azione deve proporsi con ricorso da depositarsi "nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento" (comma 2).

Anche nel 2006 si sono tuttavia registrati casi di mancato rispetto del dettato normativo.

Si è ad esempio rivolta al Tribunale amministrativo del Lazio una società operante nel settore dei sistemi di informazioni creditizie, chiedendo l´annullamento, previa sospensione, del provvedimento del 4 maggio 2006 [doc. web n.  1302311] con il quale il Garante (avendo ravvisato, a seguito di accertamenti ispettivi, taluni profili di violazione della disciplina vigente in relazione ai trattamenti di dati effettuati dalla società) aveva vietato di comunicare i dati contenuti nel sistema a fornitori di servizi di comunicazione elettronica. Con lo stesso provvedimento l´Autorità aveva anche disposto il blocco dei trattamenti dei dati relativi all´utilizzo irregolare di carte di pagamento e all´utilizzo dei dati ricavati dalle liste elettorali per finalità diverse da quelle consentite dall´art. 51, comma 5, d.P.R. n. 223/1967 come modificato dall´art. 177, comma 5, del Codice.

Con sentenza n. 701 del 24 gennaio 2007, il Tribunale ha dichiarato inammissibile il ricorso in quanto la controversia, avente ad oggetto un provvedimento emesso dal Garante nella materia della protezione dei dati personali, non rientra nella giurisdizione del giudice amministrativo, ma pertiene appunto alla giurisdizione dell´autorità giudiziaria ordinaria.

Deve essere, peraltro, rilevato che la società ha proposto ricorso avverso il medesimo provvedimento anche avanti all´autorità giudiziaria ordinaria –individuata nel Tribunale di Bologna, competente per territorio– proponendo le medesime censure. L´Autorità si è costituita anche in tale giudizio, che è in corso.

È stato invece ritenuto ammissibile un ricorso straordinario al Capo dello Stato proposto nei confronti del provvedimento del 21 novembre 2002 [doc. web n.  1067326] con il quale il Garante aveva respinto la richiesta dell´interessato di cancellazione dei dati utilizzati da una Asl e da un istituto bancario per la determinazione e liquidazione di emolumenti di natura previdenziale.

Anche in tale occasione il Garante aveva eccepito il difetto di giurisdizione sulla base del dettato dell´art. 29, comma 6, della legge n. 675/1996, il cui contenuto è stato ribadito dal citato art. 152 del Codice. Nel rendere il prescritto parere (n. 2265/2005), il Consiglio di Stato ha invece ritenuto ammissibile nei confronti degli atti delle autorità indipendenti il ricorso straordinario al Capo dello Stato in quanto rimedio amministrativo previsto, ai sensi dell´art. 8, comma 1, d.P.R. n. 1199/1971, nei confronti di tutti gli atti amministrativi definitivi, a prescindere dall´attribuzione di una materia ad una determinata giurisdizione. Il Consiglio di Stato ha, peraltro, ritenuto infondato il ricorso, che è quindi stato respinto con decreto del Presidente della Repubblica del 7 novembre 2006, rilevando la correttezza, nel merito, del provvedimento adottato dall´Autorità.

In ordine al foro competente, la Corte di cassazione, nel confermare la sentenza del Tribunale di Napoli n. 11727/2005 –della quale si era data notizia nella Relazione 2005 (p. 122)–, ha ribadito il criterio del foro del luogo di residenza del titolare del trattamento per l´individuazione del giudice territorialmente competente a conoscere delle controversie che riguardano le disposizioni contenute nel Codice, in virtù del carattere di specialità della relativa disciplina, escludendo nella fattispecie l´applicabilità del criterio del foro del luogo di residenza del consumatore (ordinanza 31 maggio 2006, n. 12980).

20.3. I profili di merito

Merita porre in particolare rilievo che alcune sentenze, emesse dall´autorità giudiziaria in fattispecie in cui non erano in discussione provvedimenti adottati dal Garante, hanno riguardato trattamenti di dati personali posti in essere da soggetti pubblici che non avevano tenuto nella giusta considerazione le esigenze di tutela della riservatezza degli interessati.

Il Tribunale di Melfi (sentenza n. 328 del 19 luglio 2006) ha censurato l´affissione all´albo pretorio di un comune della deliberazione di giunta (riportata anche da un organo di stampa) con cui era stato attribuito all´interessata un contributo di natura assistenziale a causa della patologia, di cui erano indicati gli estremi, da cui la persona era affetta.

A seguito del ricorso proposto ai sensi del citato art. 152, il Tribunale ha rilevato come il comune avesse violato il principio, posto dall´art. 22, comma 8, del Codice, secondo il quale i dati idonei a rivelare lo stato di salute non possono essere diffusi. Nel pubblicare la deliberazione, come imposto dalla normativa di settore, l´ente locale avrebbe dovuto quindi usare l´accortezza di omettere le informazioni relative alla malattia che aveva colpito l´interessata. Ai sensi dell´art. 15 del Codice, che richiama l´art. 2050 c.c. e prevede la risarcibilità anche del danno non patrimoniale, il comune –non costituitosi in giudizio– è stato quindi condannato a risarcire i danni causati, quantificati in via equitativa.

La diffusione di dati idonei a rivelare lo stato di salute è stata all´origine anche di una fattispecie che ha visto coinvolta un´amministrazione dello Stato la quale, nell´ambito di una procedura conciliativa relativa ad una controversia avente ad oggetto la redazione di una graduatoria, ha reso pubblica l´istanza di uno dei soggetti interessati contenente dati sulla salute di un minore. Rilevata l´illiceità di tale diffusione, il giudice anche in questo caso ha condannato l´amministrazione al risarcimento del danno (Tribunale di Palermo, sentenza n. 2448 dell´8 luglio 2005).

È stato altresì affermato il diritto al risarcimento del danno da parte di un ente pubblico che, per informare alcuni cacciatori della comminazione di sanzioni conseguenti ad infrazioni alle norme in materia di caccia, aveva allegato alle comunicazioni individuali l´elenco completo di tutti i destinatari responsabili delle infrazioni. Nella fattispecie, il Tribunale di Firenze ha ritenuto violato il principio di pertinenza e non eccedenza nel trattamento dei dati posto dall´art. 11 del Codice (sentenza n. 2846 del 6 luglio 2006).

20.4. Le opposizioni ai provvedimenti del Garante

Il 2006 ha registrato diciassette opposizioni ad altrettanti provvedimenti del Garante.

In difformità rispetto alla casistica rilevata nell´anno 2005, nel quale la quasi totalità delle opposizioni –quattordici sulle quindici proposte– aveva riguardato decisioni adottate su ricorso, nel 2006 otto opposizioni sono state proposte nei confronti di decisioni assunte d´ufficio dal Garante (un caso di opposizione ha invece riguardato un provvedimento adottato su segnalazione degli interessati).

Si tratta di un dato che attesta l´accresciuta iniziativa assunta dall´Autorità nella verifica, compiuta anche attraverso l´espletamento di accertamenti ispettivi, della liceità dei trattamenti dei dati effettuati nei più vari settori di attività.

Le decisioni dell´autorità giudiziaria intervenute nell´arco dell´anno hanno tutte confermato le pronunce del Garante, che si è sempre costituito in questi giudizi.

Due opposizioni, delle quali si è già dato conto, sono state proposte avverso il citato provvedimento del 4 maggio 2006 con il quale il Garante, all´esito di accertamenti ispettivi, ha adottato decisioni di divieto e di blocco di trattamenti di dati compiuti da una società operante nel settore dei sistemi di informazione creditizia. Come riferito, l´opposizione proposta avanti al Tribunale amministrativo del Lazio è stata dichiarata inammissibile per difetto di giurisdizione del giudice adito (sentenza n. 701/2007), mentre è in corso la controversia sull´analoga opposizione proposta avanti al Tribunale di Bologna.

Due opposizioni, di tenore analogo ma non identico, sono state proposte da una società concessionaria di reti televisive, nei confronti dei due noti provvedimenti adottati d´ufficio il 10 ottobre 2006 [doc. web n.  1345622] e il 19 ottobre 2006 [doc. web n.  1350853] con i quali il Garante ha disposto il blocco del trattamento dei dati personali, rispettivamente di alcuni parlamentari e di alcuni clienti di una discoteca, effettuato al fine di realizzare servizi televisivi sull´assunzione di sostanze stupefacenti (v. par. 8.3).

Ancora nel settore dell´attività giornalistica, è stata respinta dal Tribunale di Milano (sentenza n. 9941 del 22 giugno 2006) l´opposizione proposta nei confronti del provvedimento, adottato dal Garante su segnalazione degli interessati il 23 novembre 2005 [doc. web n.  1200112], con il quale l´Autorità ha disposto il divieto nei confronti di una società editrice di diffondere illecitamente dati personali relativi ai congiunti, tra cui i figli minori, di un noto personaggio pubblico protagonista di una vicenda a cui i mezzi di informazione avevano dato ampio risalto. La società ha proposto ricorso per cassazione.

È stata respinta (Tribunale di Milano, ordinanza del 7 agosto 2006) anche la richiesta avanzata in via d´urgenza di blocco dei dati personali oggetto del provvedimento del 1° giugno 2006 [doc. web n.  1296533] con cui il Garante ha accolto parzialmente il ricorso dell´interessato, ordinando ad una società telefonica di adottare una serie di misure e accorgimenti volti ad assicurare un adeguato livello di protezione dei dati relativi al traffico telefonico del ricorrente. L´opposizione è stata proposta dall´interessato stesso, il quale aveva richiesto la cancellazione delle informazioni. Nel corso della fase di merito il ricorrente ha abbandonato il giudizio; il tribunale ha quindi disposto la cancellazione della causa dal ruolo.

Merita aggiungere che l´Autorità, con provvedimento analogo ma di carattere generale, ha prescritto alla società telefonica di adottare i medesimi accorgimenti e misure con riferimento ai dati personali di tutti gli abbonati ed utenti dei servizi di telefonia fissa e mobile dalla stessa trattati (v. par. 1.1.3).

Per motivi di rito è stata altresì rigettata (Tribunale di Roma, ordinanza del 13 settembre 2006) la domanda di sospensione del provvedimento del 7 giugno 2006 [doc. web n.  1322812] con cui il Garante, rilevata l´illiceità del trattamento dei dati personali di un dipendente da parte di una società di assicurazioni, ne ha vietato l´ulteriore utilizzo, in qualsiasi forma. Anche in tal caso è in corso il giudizio di merito.

Ancora in senso favorevole all´Autorità si è conclusa l´opposizione proposta da un avvocato nei confronti del provvedimento del Garante del 7 luglio 2005 [doc. web n.  1149434] di rigetto della richiesta di cancellazione dei dati personali che lo riguardavano, contenuti in documentazione acquisita dal locale consiglio dell´ordine al fine di valutare il possesso dei requisiti per l´iscrizione nel registro dei praticanti avvocati, e da un altro legale nell´ambito di un procedimento disciplinare dinanzi a detto ordine professionale. Con sentenza n. 350 del 15 febbraio 2006 il Tribunale di Rimini ha confermato il provvedimento dell´Autorità. Avverso la sentenza l´interessato ha proposto ricorso per cassazione.

Ha avuto esito positivo, seppure non ancora definitivo, per il Garante anche il giudizio introdotto dal ricorso con cui un´associazione senza scopo di lucro a carattere filosofico si è opposta a una contestazione di violazione amministrativa da parte del Garante in relazione alla violazione dell´obbligo di notificazione all´Autorità, ai sensi dell´art. 37 del Codice, del trattamento dei dati sensibili relativi agli associati. Con ordinanza del 13 luglio 2006 il Tribunale di Roma ha respinto la richiesta di sospensione dell´efficacia esecutiva della contestazione, osservando che, per consolidata giurisprudenza anche di legittimità, il giudizio di opposizione disciplinato dagli artt. 22 e 23 della legge n. 689/1981 –applicabile anche al procedimento di applicazione delle sanzioni amministrative da parte del Garante, in virtù del richiamo operato dall´art. 166 del Codice– va instaurato nei confronti del provvedimento che applica la sanzione, anziché a seguito del solo verbale di accertamento della violazione che, in quanto atto di natura procedimentale, non ha capacità lesiva di situazioni giuridiche del soggetto cui è attribuita la violazione. È attesa la pronuncia conclusiva del giudizio.

Ricordato il già citato d.P.R. 7 novembre 2006, con cui è stato respinto il ricorso straordinario proposto avverso il provvedimento dell´Autorità del 21 novembre 2002, può aggiungersi, richiamando quanto riferito nella Relazione 2005 (p. 124) che Rai- Radiotelevisione italiana S.p.A. e l´Agenzia delle entrate hanno impugnato avanti alla Corte d´appello di Roma la sentenza n. 10802 del 29 aprile 2005 con cui il Tribunale di Roma aveva respinto i ricorsi proposti avverso il provvedimento adottato dal Garante il 5 dicembre 2001 in materia di canone televisivo [doc. web n.  40405].

20.5. L´intervento del Garante in giudizi relativi all´applicazione del Codice

Conformemente agli indirizzi giurisprudenziali e al parere espresso dall´Avvocatura generale dello Stato –che si è pronunciata in termini favorevoli alla costituzione in giudizio del Garante, ritenendo essenziale che l´Autorità possa far valere le proprie ragioni, a tutela unicamente dell´interesse pubblico, tenendo conto delle sue specifiche e caratteristiche funzioni–, il Garante ha limitato la propria attiva presenza, nei giudizi che non coinvolgono direttamente pronunce dell´Autorità, ai soli casi in cui sorge, o può sorgere, la necessità di difendere o comunque far valere particolari questioni di diritto.

In questo quadro, l´Autorità ha comunque seguito con attenzione tutti i contenziosi nei quali non ha ritenuto opportuno intervenire, chiedendo alle avvocature distrettuali dello Stato di essere comunque informata sullo svolgimento delle vicende processuali e di riceverne comunicazione in merito agli esiti.

Il Garante ha, peraltro, ritenuto opportuno costituirsi nel giudizio promosso da una società che opera nel settore della raccolta e gestione dei dati personali a fini commerciali, svolgendo principalmente attività di direct marketing, la quale ha chiesto la condanna di una società telefonica a consegnarle, in virtù di un rapporto contrattuale, l´insieme delle informazioni relative agli utenti dei servizi telefonici conferite nella "base dati unica" (cd. "Bdu") dagli operatori di rete telefonica fissa e mobile. In particolare, la ricorrente ha chiesto di ottenere informazioni che rendano distinguibili coloro che hanno negato il consenso al trattamento dei dati a fini commerciali da coloro che al riguardo non si sono espressi, ai quali la società ritiene di poter inviare comunicazioni a carattere pubblicitario e promozionale.

Ritenendo che la questione investisse un aspetto generale relativo alla corretta applicazione del Codice, con particolare riferimento alla disciplina dell´utilizzabilità dei dati personali degli utenti del servizio telefonico riportati nei "nuovi" elenchi telefonici formati e distribuiti a decorrere dal 1° agosto 2005, l´Autorità, nel costituirsi in giudizio, ha operato espresso riferimento ai principi vigenti in materia, richiamando anche i provvedimenti adottati il 23 maggio 2002 [doc. web n.  1032397] e il 15 luglio 2004 [doc. web n.  1032381], con cui ha individuato le modalità dell´utilizzo dei dati, in attuazione dell´art. 129 del Codice. Accogliendo le osservazioni svolte dal Garante, il Tribunale di Milano con sentenza n. 4658 del 18 aprile 2007 ha respinto il ricorso.