La responsabilità delle pubbliche amministrazioni per violazioni privacy: il caso ATS Milano e l’ordinanza Cass. civ., Sez. I, n. 28385/2023
L’ordinanza n. 28385 dell’11 ottobre 2023 della Prima Sezione Civile della Corte di Cassazione segna un punto fermo nella complessa relazione tra pubbliche amministrazioni e disciplina sanzionatoria in materia di protezione dei dati personali. La pronuncia, emessa a seguito dell’opposizione dell’Agenzia di Tutela della Salute (ATS) della Città Metropolitana di Milano avverso l’ordinanza-ingiunzione del Garante n. 268/2021, ha confermato la legittimità del potere sanzionatorio del Garante anche nei confronti di enti pubblici. L’intervento giurisprudenziale, oltre a ribadire il principio di “accountability” sancito dal Regolamento (UE) 2016/679 (GDPR), impone una riflessione pratica sulle modalità con cui le amministrazioni devono assicurare, sin dalla progettazione dei sistemi informativi, l’effettiva tutela dei dati personali.
Inquadramento normativo e contesto del caso
La vicenda origina dal sistema di tracciamento epidemiologico “Milano COR”, sviluppato da ATS nel contesto emergenziale della pandemia da COVID-19. Come accertato dal Garante Privacy nel provvedimento n. 268 del 13 maggio 2021, il portale consentiva – tramite l’inserimento del codice fiscale e del numero di telefono – di desumere indirettamente lo stato di positività di un cittadino al virus. Tale configurazione è stata ritenuta in contrasto con i principi di integrità, riservatezza e protezione dei dati per impostazione predefinita di cui agli artt. 5, par. 1, lett. f), 25, par. 2, e 32 del GDPR.
La sanzione pecuniaria di euro 80.000 è stata irrogata ai sensi dell’art. 166 del d.lgs. 196/2003, che attribuisce al Garante il potere di adottare provvedimenti correttivi e sanzioni, anche nei confronti di autorità pubbliche. L’ATS ha impugnato l’ordinanza dinanzi al Tribunale di Milano, eccependo – tra l’altro – il difetto di legittimazione del Garante ad applicare sanzioni pecuniarie a enti pubblici, nonché la sussistenza di cause di esclusione della responsabilità (stato di necessità e forza maggiore) dovute all’emergenza sanitaria. Il Tribunale ha respinto l’opposizione e la Cassazione, con l’ordinanza n. 28385/2023, ha confermato integralmente la decisione di merito, chiarendo che il Garante è pienamente legittimato a sanzionare anche soggetti pubblici.
La decisione in commento
La Suprema Corte, richiamando l’art. 83, par. 7, del Regolamento (UE) 2016/679 e l’art. 166 del Codice Privacy, ha affermato che “il Garante per la protezione dei dati personali può infliggere sanzioni amministrative pecuniarie anche ad autorità pubbliche e/o organismi pubblici”.
La Corte ha sottolineato che il legislatore nazionale, nell’esercizio della discrezionalità concessa dal Regolamento, ha scelto di non distinguere – ai fini della sanzionabilità – tra titolari pubblici e privati. Tale opzione politica è ritenuta legittima e coerente con la finalità di garantire un’applicazione uniforme del principio di responsabilizzazione del titolare del trattamento.
La Cassazione ha inoltre valorizzato la funzione deterrente e rieducativa della sanzione amministrativa, che – anche nel settore pubblico – costituisce strumento essenziale per assicurare l’effettività della tutela dei diritti degli interessati.
Di conseguenza, l’argomento difensivo dell’ATS, fondato sull’assenza di una norma specifica nazionale che definisse l’entità delle sanzioni per gli enti pubblici, è stato ritenuto infondato. La Corte ha osservato che la normativa italiana (art. 166, commi 3 e 4, d.lgs. 196/2003) prevede espressamente la possibilità di avviare procedimenti sanzionatori anche nei confronti di pubbliche amministrazioni.
Le implicazioni operative per enti pubblici e aziende sanitarie
Il principio affermato dalla Cassazione produce effetti significativi sul piano gestionale. Gli enti pubblici – inclusi quelli del comparto sanitario – non possono più confidare in una presunta “immunità istituzionale” rispetto alle sanzioni pecuniarie del Garante. La responsabilità per violazioni del GDPR, in quanto amministrativa e non penale, prescinde dalla natura pubblica del titolare del trattamento e si fonda sull’obbligo di adottare misure adeguate di sicurezza e governance dei dati.
Nel caso ATS, la mancata implementazione di adeguati sistemi di autenticazione e l’assenza di una valutazione d’impatto preventiva ex art. 35 del GDPR hanno evidenziato carenze nella gestione del rischio e nella fase di progettazione (“privacy by design”). Il contesto emergenziale, pur eccezionale, non ha potuto escludere la colpa dell’ente, in quanto la pandemia non giustifica l’elusione delle garanzie fondamentali di protezione dei dati personali.
Privacy by design e misure di sicurezza: le lezioni del caso
La decisione rafforza l’obbligo di integrare la protezione dei dati nel ciclo di vita dei sistemi informativi pubblici. L’art. 25 GDPR impone al titolare di prevedere, fin dalla fase progettuale, meccanismi tecnici e organizzativi atti a minimizzare il rischio di identificazione non autorizzata degli interessati.
Nel caso di specie, la semplice combinazione di due chiavi (codice fiscale e numero di telefono) non è stata considerata idonea a garantire l’anonimizzazione dei dati. La successiva adozione, da parte di ATS, di una “terza chiave temporanea” via SMS ha rappresentato una misura correttiva utile ma tardiva, poiché implementata solo dopo l’avvio dell’istruttoria del Garante. È dunque evidente che l’efficacia delle misure di sicurezza deve essere valutata ex ante, non a seguito dell’evento lesivo. La valutazione d’impatto (DPIA) diviene, in questo senso, strumento obbligatorio per ogni trattamento che presenti rischi elevati, specialmente in ambito sanitario o emergenziale
Responsabilità e margini di esonero: la Cassazione esclude cause di forza maggiore
La Corte ha escluso che l’operato di ATS potesse rientrare nelle ipotesi scriminanti di cui all’art. 54 c.p. o all’art. 4 della legge n. 689/1981. Lo stato di emergenza sanitaria non costituisce di per sé una causa di forza maggiore, poiché non impedisce l’adozione di misure proporzionate e adeguate.
L’emergenza, semmai, accentua l’obbligo di diligenza del titolare, imponendo una progettazione tempestiva e sicura dei sistemi di raccolta dati. Il messaggio che emerge è chiaro: anche nei momenti di crisi, la tutela dei dati personali non può essere sospesa o ridotta, ma deve essere integrata nella gestione del rischio pubblico.
Conclusioni
L’ordinanza n. 28385/2023 si colloca nel solco di una giurisprudenza ormai consolidata che estende alle amministrazioni pubbliche il regime di responsabilità previsto dal GDPR. Essa impone una revisione delle prassi interne di compliance, in particolare per i titolari pubblici che trattano dati sensibili in ambito sanitario, sociale o educativo.
Le amministrazioni devono dotarsi di strumenti di valutazione del rischio, aggiornare le DPIA, documentare le decisioni tecniche e garantire la tracciabilità dei processi decisionali. Una governance trasparente dei dati, supportata da competenze giuridiche e informatiche, rappresenta oggi la condizione minima per evitare conseguenze sanzionatorie e reputazionali.
Il nostro Studio può assisterVi per valutare l’adeguatezza dei sistemi di gestione dati in uso, la revisione dei modelli organizzativi e delle policy di trattamento, anche in ambito sanitario.
