|
L’ Agenzia di Tutela della Salute (ATS) di una Città Metropolitana, avendo ricevuto un provvedimento di ingiunzione per 80.000,00 euro da parte del Garante per la tutela dei dati personali per un tracciamento epidemiologico effettuato in violazione del GDPR, proponeva opposizione al Tribunale competente.
Il Tribunale respingeva l’opposizione e l’ATS impugnava la sentenza dinanzi la Corte di Cassazione.
Tra i motivi di ricorso, ATS sosteneva l’impossibilità per il Garante per la protezione dei dati personali di infliggere sanzioni pecuniarie alle pubbliche autorità, non esistendo alcuna norma dedicata alle casistiche ed alla entità delle sanzioni che lo stesso può adottare nei confronti di enti pubblici.
La Suprema Corte riteneva infondato il motivo riferendosi all’art. 83 del GDPR secondo cui
“ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro. (...)";
considerato poi che l’art. 166 del Codice Privacy individuava le singole fattispecie e gli obblighi la cui violazione è assoggettata a sanzione, concludeva dichiarando che il Garante per la protezione dei dati personali possa infliggere sanzioni anche ad autorità e/o organismi pubblici.
La Suprema Corte, inoltre, dopo aver ricordato che
“il principio privacy by design ha lo scopo di garantire l'esistenza di un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo così come durante il loro ciclo di vita. Esso, in altre parole, punta ad assicurare un corretto livello di protezione dei dati in tutte le attività di trattamento ed attuazioni effettuate all'interno di una organizzazione”,
che
“Per l'adempimento di questo principio, titolare e responsabile del dato devono essere proattivi e preventivi, valutando e predisponendo le misure tecniche ed organizzative idonee ad integrare nel trattamento le garanzie per la tutela dell'interessato e ad applicare i principi fondamentali della protezione di dati specificati nell'art. 5 del Regolamento UE n. 2016/679 quali trasparenza, limitazione delle finalità e minimizzazione. Queste misure potranno comprendere diverse soluzioni: sia avanzate, come l'uso di sistemi di codifica; sia di semplice (ma non banale) applicazione, come la formazione di base del personale. In ogni caso, per la sua implementazione, l'organizzazione deve tenere conto di alcuni elementi imprescindibili, vale a dire: a) il contesto in cui si svolge il trattamento e che può influenzare l'interessato; la natura o caratteristiche del trattamento; l'ambito di applicazione, inteso come l'estensione del trattamento; e la finalità del trattamento, ovvero, gli obbiettivi; b) i potenziali rischi in materia di diritti e libertà degli interessati; c) lo stato dell'arte, cioè gli attuali progressi compiuti dalla tecnologia disponibile sul mercato; d) i costi di attuazione, intesi come il tempo e le risorse umane, in modo tale che siano impiegate misure adatte ed efficaci per la protezione dei dati, evitando l'utilizzo di una quantità sproporzionata di risorse”
e che
“il sistema di tutela dei dati personali deve porre l'utente al centro, così obbligando il titolare del trattamento ad una tutela effettiva da un punto sostanziale, non solo formale”,
respingeva il ricorso della ATS concludendo che
“è assolutamente pacifica la circostanza fattuale dell'avvenuto avvio dell'utilizzo del sistema di tracciamento epidemiologico … da parte di ATS ... sicché è palese l'avvenuta violazione, da parte dell'odierna ricorrente, del principio di cui si discute, in forza del quale, come si è detto, il titolare del trattamento, nell'implementare un processo che determina il trattamento di dati personali, deve attuare, prima che il trattamento abbia luogo (e non dopo, come, appunto, avvenuto nella specie …), tutte le misure idonee a garantire il rispetto della disciplina in materia" |
