Il Consiglio di Stato ed il rimborso dei costi per l’accesso ai dati personali
Autore: Avv. Hermans Joseph IEZZONI Data: 22 settembre 2009
Il Consiglio di Stato in sede giurisdizionale, sentenza 5198/2009, si è occupato del diritto di accesso ai dati personali e precisamente dell’articolo 10 del decreto legislativo 30 giugno 2003 n. 196 che prevede la corresponsione di un rimborso dei costi “effettivamente supportati” qualora non risulti conferma dell’esistenza di dati che riguardano l’interessato.
Poiché il rimborso è subordinato all’individuazione a cura del Garante, per la protezione dei dati personali, di un tetto massimo, anche forfettario, che tenga conto del numero e della complessità delle richieste, oltre che di eventuali particolari supporti per riproduzione, secondo il Consiglio di Stato tale potere ha come finalità di interesse pubblico quella di impedire che costi eccessivi disincentivino l’esercizio di un diritto e per questo il Garante è chiamato a stabilire un equilibrio economico tra la pretesa di chi esercita il diritto di accesso verso i propri dati ed i titolari del trattamento.
Dalla natura di interesse legittimo della situazione soggettiva del titolare del trattamento dei dati discende che la competenza a giudicare la controversia e la lesione dell’interesse appartenga alla giustizia amministrativa.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Consiglio di Stato in sede giurisdizionale (Sezione Sesta) ha pronunciato la seguente
DECISIONE
sul ricorso in appello n. 3767 del 2009, proposto dal GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, in persona del Presidente pro tempore, rappresentato e difeso dall’Avvocatura Generale dello Stato presso cui è domiciliato in Roma, via dei Portoghesi n. 12;
contro
CRIF S.P.A., in persona del legale rappresentante pro tempore, rappresentato e difeso dagli avvocati Riccardo Imperiali e Gianfranco di Sabato, con domicilio eletto presso lo studio dell’avvocato Maria Selvaggia Forza in Roma via Carlo Poma, n. 4;
per l’annullamento
della sentenza del Tribunale Amministrativo Regionale del Lazio sezione seconda,23 gennaio 2009 , n. 587;
Visto il ricorso con i relativi allegati;
Visto l’atto di costituzione in giudizio della parte appellata;
Viste le memorie prodotte dalle parti a sostegno delle rispettive difese;
Visti gli atti tutti della causa;
Alla pubblica udienza del 19 maggio 2009 relatore il Consigliere Aldo Fera.
Udite per le parti l’Avv. dello Stato Aiello e l’Avv. Imperiali e Di Sabato;
Avvisate le parti che l’appello, vertendo in materia di silenzio dell’amministrazione, va deciso, ai sensi dell’articolo 21 bis della legge 6 dicembre 1971 n. 1034 aggiunto dall’articolo 2 della legge 21 luglio 2000 n. 205, nella presente camera di consiglio;
Ritenuto e considerato in fatto e in diritto quanto segue:
FATTO
Oggetto dell’appello è la sentenza specificata in rubrica, con la quale il TAR del Lazio, in accoglimento del ricorso proposto da CRIF s.p.a. contro il silenzio-rifiuto serbato dal Garante per la protezione dei dati personali sull’istanza intesa ad ottenere l’emanazione degli atti di cui all’articolo 10, comma 8, del decreto legislativo 30 giugno 2003 n. 196, inerenti al contributo di cui al precedente comma 7, ha ordinato all’autorità amministrativa intimata di attivare il procedimento amministrativo relativo all’istanza medesima.
Secondo il primo giudice, che ha affermato la propria giurisdizione ritenendo inapplicabile nella specie l’articolo 152, comma 1, del decreto legislativo n. 196/2003 2003 , “il Garante intimato non è munito di potestà discrezionale in ordine all’an del concreto provvedere“.
L’appellante, che contesta le motivazioni contenute nella sentenza, propone i seguenti motivi d’appello:
1. quanto alla giurisdizione, l’avverbio “comunque” contenuto con riferimento alla “applicazione delle disposizioni del presente codice” nel richiamato articolo 152, comma 1, del decreto legislativo n. 196/2003, introduce un principio di inderogabilità al criterio attributivo della giurisdizione stabilito direttamente dal legislatore;
2. quanto al merito della sentenza, dal principio di tendenziale gratuità dell’esercizio del diritto di accesso si ricava che lo speciale contributo previsto dalla legge può essere richiesto solo nel caso in cui il Garante nei casi previsti dalla legge ne abbia individuato l’importo massimo. Nel caso di specie ciò è stato fatto con deliberazione di carattere generale del 23 dicembre 2004, n. 12, tuttora vigente e mai impugnata dal ricorrente di primo grado. Né alcun rilievo può essere dato alla circostanza che in quella sede il Garante, con norma transitoria limitata al solo anno 2005, abbia attribuito alla ricorrente la facoltà di chiedere un contributo in poche limitate ipotesi. Si tratta infatti di una norma eccezionale non rinnovabile perché non esistono più i presupposti per la sua reiterazione. In sostanza, secondo l’appellante, l’articolo 10 del codice della privacy, nell’affermare il Garante “può provvedere, non impone alcun obbligo, bensì attribuisce all’Autorità il potere di determinare l’an e il quantum del contributo.”
Conclude quindi chiedendo, in riforma della sentenza appellata, il rigetto del ricorso di primo grado.
La CRIF s.p.a., costituita nel presente giudizio d’appello, controbatte le tesi avversarie, osservando in particolare che la richiesta di richiedere un contributo, nell’ipotesi in cui risulta confermata l’esistenza dei dati che riguardano l’interessato, è dovuta non solo al notevole impiego di mezzi in relazione alla complessità e all’entità della richiesta, ma soprattutto al fatto che tale tipo di richieste è notevolmente aumentato dal 2004 al 2008, comportando un costo notevole per l’impresa. Conclude, infine, per il rigetto dell’appello.
DIRITTO
1. Oggetto dell’appello, proposto dal Garante per la protezione dei dati personali, è la sentenza di cui all’epigrafe, con la quale il Tar del Lazio, in accoglimento del ricorso proposto da CRIF s.p.a. contro il silenzio-rifiuto serbato sull’istanza intesa ad ottenere l’emanazione degli atti di cui all’articolo 10, comma 8, del decreto legislativo 30 giugno 2003 n. 196, inerenti al contributo di cui al precedente comma 7, ha ordinato all’autorità intimata di attivare il procedimento amministrativo relativo all’istanza medesima.
2. L’appello, con il quale la sentenza di primo grado è contestata sotto i profili del difetto di giurisdizione del giudice amministrativo e dell’inesistenza dell’obbligo di provvedere da parte della autorità intimata, è da respingere.
I due motivi d’appello vanno trattati congiuntamente, in quanto entrambe le questioni richiedono l’analisi del potere attribuito al Garante in relazione alla specifica situazione soggettiva dell’avente titolo al contributo in questione.
In presenza di un sistema costituzionale di riparto della giurisdizione incentrato sulla natura – di interesse legittimo o di diritto soggettivo- della situazione giuridica soggettiva fatta valere in giudizio dal privato, che ammette la giurisdizione esclusiva (articolo 103, comma 1, della Costituzione) del giudice amministrativo, solo in via di eccezione e limitatamente “ a specifiche controversie connotate non già da una generica rilevanza pubblicistica, bensì dall’intreccio di situazioni soggettive qualificabili come interessi legittimi e come diritti soggettivi” (Corte costituzionale, 6 luglio 2004 , n. 204), una lettura dell’articolo 152, comma 1, del decreto legislativo n. 196/2003 nel senso della introduzione di una giurisdizione esclusiva nei riguardi del giudice ordinario estesa agli interessi legittimi appare non condivisibile e non conforme alla norma Costituzionale. La disposizione di cui all’art 152 richiamato, non persegue la finalità sostenuta dall’appellante, di fondare la giurisdizione sulla sola individuazione del soggetto pubblico coinvolto alla controversia, bensì quella di chiarire come i provvedimenti del Garante riguardanti la protezione dei dati personali, in quanto incidenti su diritti soggettivi dei privati, sono soggetti al sindacato dell’autorità giudiziaria ordinaria secondo le particolari regole di procedura dettate dai successivi comma contenuti nel medesimo articolo.
Ne consegue che, nel caso sottoposto al Collegio, l’analisi della situazione soggettiva è indispensabile per affermare la giurisdizione.
Ciò detto, l’articolo 10 del decreto legislativo 30 giugno 2003 n. 196, ai comma sette ed otto, afferma che, quando non risulta confermata l’esistenza di dati che riguardano l’interessato, il titolare del trattamento dei dati, nei confronti del quale sia stato esercitato il diritto di accesso, può chiedere un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico, che “non può comunque superare l’importo determinato dal Garante con provvedimento di carattere generale”. Il comma otto aggiunge, poi, che “con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste ed è confermata l’esistenza di dati che riguardano l’interessato.” Ed è quest’ultima ipotesi quella che qui interessa, in quanto il ricorrente di primo grado ha chiesto al Garante di autorizzarlo a richiedere il contributo, nella considerazione che il numero delle istanze di accesso si era triplicato passando da quasi 67.000 del 2004 a circa 190.000 del 2008, determinando così un eccessivo onere economico per l’azienda.
Emerge con chiarezza, dalla lettera della disposizione, che il potere attribuito al Garante per la protezione dei dati personali è finalizzato al perseguimento dell’interesse pubblico di conservare un equilibrio economico, contemperando l’interesse di coloro che hanno titolo ad esercitare il diritto d’accesso con quello dei titolari del trattamento dei dati in modo da evitare da un lato che una eccessiva lievitazione dei contributi possa di fatto impedire l’esercizio del diritto e dall’altro che il diritto all’accesso si traduca in un insopportabile peso economico per l’azienda. Nel fare ciò, la legge non prefigura parametri rigidamente predeterminati ma, una volta indicato l’obiettivo da raggiungere ed i presupposti per la richiesta del contributo, si affida al potere discrezionale attribuito alla Garante. Potere discrezionale rispetto al quale la situazione soggettiva delle titolare del trattamento dei dati non può che avere la consistenza dell’interesse legittimo.
Dalla considerazione che precede, quanto alla giurisdizione, emerge la competenza degli organi della giustizia amministrativa a conoscere delle controversie riguardanti l’esercizio, o il non esercizio, del potere di determinazione del contributo, concernendo queste l’accertamento della lesione di interessi legittimi. Quanto al merito, che la discrezionalità attribuita al garante attiene al quomodo ma di certo non all’an. Infatti, al Garante spetta solo il potere di quantificazione del contributo ma non anche quello di stabilire i presupposti in base ai quali il diritto di accesso può comportare la sua corresponsione. Tali presupposti, sono dettati direttamente dal legislatore, che, nel caso di specie, ha ritenuto come il contributo sia dovuto laddove si determini ” un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste”. Ed è evidente come l’esistenza dei presupposti non può essere valutata a priori, come sostiene l’appellante, ma deve essere apprezzata dagli organi competenti, sulla base delle richieste presentate dai titolari dei trattamento e dopo una adeguata ed approfondita istruttoria. Il che implica necessariamente l’apertura del procedimento amministrativo.
L’appello, pertanto, deve essere respinto.
Le spese seguono la soccombenza e vanno liquidate nella misura di € 3000,00 (tremila) per questo grado di giudizio.
P.Q.M.
Il Consiglio di Stato in sede giurisdizionale, Sezione Sesta, definitivamente pronunciando sull’appello in epigrafe lo respinge.
Condanna l’Amministrazione appellante al pagamento delle spese del presente giudizio, che liquida in complessivi € 3000,00 in favore della società appellante.
Ordina che la presente decisione sia eseguita dall’Autorità amministrativa.
Così deciso in Roma, il 19 maggio 2009 dal Consiglio di Stato, in sede giurisdizionale – Sez.VI – nella Camera di Consiglio, con l’intervento dei Signori:
Giuseppe Barbagallo Presidente
Paolo Buonvino Consigliere
Aldo Fera Consigliere est.
Rosanna De Nictolis Consigliere
Domenico Cafini Consigliere
Presidente
Consigliere Segretario
DEPOSITATA IN SEGRETERIA
Il 03/09/2009
(Art. 55, L.27/4/1982, n.186)
Il Direttore della Sezione
Sondaggi ed informativa sulla privacy
Autore: Avv. Hermans Joseph IEZZONI Data: 4 settembre 2008
Il Garante ha multato una società che ha svolto attività di sondaggi di opinione, nello specifico per conto di un amministrazione comunale desiderosa di valutare la soddisfazione dei residenti nel Comune, poiché nell’informativa non vi era menzione della finalità del trattamento dei dati raccolti. E’ stata quindi contestata la violazione dell’articolo 13, comma 1 lettera a).
Vi rammento che nell’informativa devono sempre essere indicate: le finalità del trattamento; le modalità; le conseguenze del mancato consenso; i soggetti ai quali i dati raccolti potranno essere comunicati; i soggetti responsabili o incaricati; il tipo di diffusione dei dati; quali diritti spettano all’interessato; i dati, i nominati ed i recapiti, del titolare, dei responsabili o incaricati del trattamento.
Segue il testo del provvedimento:
Ordinanza ingiunzione nei confronti di Società [...]
26 giugno 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
ORDINANZA INGIUNZIONE
NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e
del dott. Giovanni Buttarelli, segretario generale;
ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi dell’art. 17 della legge 24
novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in
data 13 ottobre 2007 nei confronti di Società [...], con sede in via [...], in persona del
legale rappresentante pro-tempore, per violazione dell’articolo 13 del Codice in materia di
protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);
RILEVATO che il Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza,
in attuazione della richiesta di informazioni ex art. 157 del Codice (n. 3504 datata 21 febbraio 2006)
e su specifica delega di questa Autorità (n. 3508 del 21 febbraio 2006), ha svolto gli accertamenti di
cui al verbale di operazioni del 28 marzo 2006 circa il trattamento di dati personali, anche sensibili,
utilizzati per attività di sondaggi di opinione;
RILEVATO che la società, con nota dell’8 aprile 2006, ha fornito ulteriori informazioni e inviato
altra documentazione inerente alle modalità di trattamento dei dati personali relativi al sondaggio
volto a rilevare il grado di soddisfazione dei residenti nel Comune [...] relativamente
all’amministrazione comunale in carica tra cui il testo dell’informativa resa agli interessati ai sensi
dell’art. 13 del Codice. Dal verbale di operazioni compiute, nonché dalle ulteriori informazioni e
documenti inviati, è risultato che la società ha reso l’informativa agli interessati ai sensi dell’art. 13
del Codice priva delle specifiche indicazioni sulla finalità del trattamento cui i dati sarebbero stati
destinati (sondaggi sulla soddisfazione dei residenti nel Comune [...] relativamente all’attuale
amministrazione comunale), contravvenendo a quanto disposto dal comma 1, lett. a) del predetto
art. 13;
VISTO il provvedimento del Garante del 13 settembre 2007 che ha vietato alla società ulteriori
trattamenti illeciti di dati personali del genere accertato;
VISTA la contestazione di violazione amministrativa n. 17237/42702 del 13 ottobre 2007 con cui si
è contestata alla società la violazione prevista dall’art. 161 del Codice in relazione all’art. 13,
informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della
legge n. 689/1981;
RILEVATO dal predetto rapporto che la società non risulta essersi avvalsa né della facoltà prevista
dall’art. 18 della legge n. 689/1981 (non inviando all’Autorità scritti difensivi e documenti o
chiedendo di essere sentita), né di quella prevista dall’art. 16 della medesima legge (pagamento in
misura ridotta);
RILEVATO, quindi, che l’attività della società ha configurato un trattamento di dati personali (art.
4, comma 1, lett. a) e b), del Codice), svolto senza rendere un’idonea informativa agli interessati ai
sensi dell’art. 13 del Codice;
VISTO l’art. 161 del Codice che punisce la violazione di cui all’art. 13 del Codice con la sanzione
amministrativa del pagamento di una somma da tremila euro a diciottomila euro;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
RITENUTO di dover determinare l’ammontare della sanzione pecuniaria, avuto riguardo ai
parametri indicati nell’art. 11 della legge 24 novembre 1981 n. 689, valutati con particolare riguardo
all’opera svolta dall’agente per la eliminazione o attenuazione delle conseguenze della violazione
nonché alle condizioni economiche (società in liquidazione), nella misura del minimo pari alla
somma di tremila/00 euro;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il prof. Francesco Pizzetti;
ORDINA
alla Società [...], con sede in via [...], in persona del legale rappresentante protempore,
di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa
pecuniaria per la violazione prevista dall’art. 161 del Codice indicata in motivazione;
INGIUNGE
alla medesima società di pagare la somma di euro 3.000,00 (tremila) tramite il bollettino postale che
verrà fornito in allegato, intestato a “Tesoreria provinciale dello Stato di Milano” entro 30 giorni
dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a
norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni
10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza
dell’avvenuto versamento;
DÁ ATTO CHE
avverso il presente provvedimento, ai sensi dell’art. 152 del Codice, può essere proposta
opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il
termine di trenta giorni dalla notificazione del presente provvedimento.
Roma, 26 giugno 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
