Corte di cassazione
Sezione II civile
Sentenza 5 luglio 2016, n. 13657

Presidente: Petitti - Estensore: Oricchio

CONSIDERATO IN FATTO

Con ricorso depositato il 16 novembre 2010 la Provincia di Avellino adiva il Tribunale di quella stessa Città proponendo opposizione avverso l'ordinanza-ingiunzione notificata il precedente 19 ottobre con la quale il Garante per la protezione dei dati personali irrogava la sanzione di Euro 20mila per violazione dell'art. 162, comma II-bis, del d.lgs. n. 196/2003 - Codice in materia di protezione dei dati personali.

Resisteva il Garante alla proposta impugnazione eccependone l'inammissibilità ed, in ogni caso, l'infondatezza.

Con sentenza n. 374/2012 l'adito Tribunale, ritenutane la tempestività e, quindi, l'ammissibilità, accoglieva la proposta opposizione, annullando conseguentemente l'ordinanza-ingiunzione e compensando interamente le spese del giudizio.

Per la cassazione della succitata decisione del Tribunale ricorre il Garante con atto affidato ad un unico articolato motivo.

Resiste con controricorso l'intimata Provincia, che propone - inoltre - ricorso incidentale condizionato fondato su quattro ordini di motivi.

RITENUTO IN DIRITTO

1. Con l'unico motivo del ricorso principale si censura il vizio di violazione e falsa applicazione degli artt. 4, 28, 162 e 166 del d.lgs. n. 196/2003 in relazione all'art. 360, n. 3, c.p.c.

Con il motivo si pone, nella sostanza, la questione dei limiti di compatibilità del rinvio alla l. 689/1981 da parte dell'art. 166 d.lgs. 196/2003 e, quindi, della "identificazione" del soggetto titolare del trattamento e della imputabilità delle sanzioni.

E, quindi, conseguentemente se sia possibile o meno l'irrogazione delle sanzione amministrativa prevista ex lege anche ad un Ente (quale, in ipotesi, la Provincia) oppure solo ad una persona fisica.

Il principio che, con il motivo in esame, parte ricorrente chiede affermarsi è quello per cui la sanzione de qua è applicabile anche all'ente.

Il motivo è fondato.

Il richiamo al noto principio della imputabilità personale della sanzione, di cui alla l. n. 689/1981, non può giustificare - come ritenuto nella decisione gravata - la sostanziale irresponsabilità dell'Ente tenuto al trattamento dei dati sensibili protetti dalla legge.

Non è corretto, in particolare, il richiamo, operato dalla sentenza impugnata, al dictum di Cass. n. 12664/2007 e, quindi, al principio (in essa pure richiamato) della natura personale della responsabilità e dei conseguenti profili della imputabilità, dell'elemento soggettivo della violazione, delle cause di esclusione della responsabilità e del concorso di persone.

Giova al riguardo evidenziare che quanto affermato dalla citata decisione di questa Corte attiene, più propriamente, al regime sanzionatorio considerato dalla generale legge di depenalizzazione.

Quest'ultima preesisteva alla normativa sanzionatoria specifica del Codice e quest'ultimo, pur richiamando (al suo art. 166) la l. n. 689/1981 rende possibile la configurabilità di una responsabilità solidale della persona giuridica, ma non esclude di per sé la possibile autonoma responsabilità della stessa siffatta persona quanto al successivo e specifico regime sanzionatorio previsto dal predetto Codice stesso.

Infatti la diversa natura giuridica delle sanzioni amministrative contenute nel Codice in materia di protezione dei dati personale (d.lgs. n. 196/2003) è confermata dal tenore della norma di cui all'art. 162, comma II-bis (aggiunto ex d.l. n. 207/2008 conv. in l. n. 14/2009), del detto codice laddove si prevede testualmente che: "in caso di trattamento di dati personali effettuato in violazione... delle disposizioni indicate nell'art. 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma...".

Insomma con l'anzidetta norma di legge si prevede una sanzione amministrativa che si aggiunge a quella penale, con un regime proprio ed autonomo e che scatta in ogni caso e, quindi, anche nei confronti di un Ente e non solo della persona fisica.

Peraltro la suddetta previsione appare in linea proprio con l'inquadramento generale dato dal citato Codice quanto alla configurazione dei soggetti (persone fisiche o giuridiche) titolari del trattamento dei dati.

Difatti, ai sensi dell'art. 4 del predetto Codice, è considerato titolare del trattamento dei dati non solo la persona fisica, ma espressamente anche "... la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono...".

D'altra parte questa Corte, già con nota pronuncia (Cass. civ., Sez. VI-2°, Ord. 8 aprile 2014, n. 8184), ha già avuto modo di affermare che "il titolare del trattamento è la persona giuridica", come tale perfettamente sanzionabile ai sensi della normativa in materia di trattamento dei dati personali.

In conclusione il motivo esaminato deve essere accolto con conseguente cassazione dell'impugnata decisione e rinvio, anche per le spese del presente giudizio, al Tribunale di Avellino in diversa composizione, che provvederà alla stregua dei principi innanzi enunciati.

2. Con il ricorso incidentale condizionato sono stati dedotti i vizi di seguito, in breve, doverosamente e per completezza riportati:

a) violazione artt. 7 ss. l. n. 242/1990 [recte: 241/1990 - n.d.r.] e Reg.to 1/2000 del Garante;

b) l'inesistenza presupposti per irrogazione sanzione amministrativa;

c) la violazione dell'art. 19 e dell'art. 20 d.lgs. n. 196/2003;

d) violazione art. 4 l. 689/1981.

Il ricorso incidentale proposto, stante l'accoglimento, per le motivazioni innanzi esposte e il conseguente necessario riesame del giudizio, deve ritenersi inammissibile.

P.Q.M.

La Corte accoglie il ricorso principale, dichiara inammissibile quello incidentale, cassa l'impugnata sentenza e rinvia, anche per le spese, al Tribunale di Avellino in diversa composizione.