Società ed enti pubblici chiamati alla cassa delle sanzioni privacy. Il Codice della Privacy prevede una responsabilità amministrativa diretta delle persone giuridiche in caso di contravvenzioni al codice della riservatezza (d. lgs. 196/2003). È quanto ha precisato, per la prima volta, la Cassazione con la sentenza 13657/2016, che ha spiegato come si applica l’articolo 162, comma 2-bis, del Codice della Privacy.
Nel caso specifico un ente provinciale è stato sanzionato dal garante per la protezione dei dati personali (nella misura minima di 20 mila euro) per violazione dell’art. 162, comma 2-bis, del D. lgs. n. 196/2003.
La violazione è consistita nella pubblicazione sul portale web della provincia di graduatorie, liberamente consultabili, degli iscritti negli elenchi del collocamento obbligatorio dei disabili: con il risultato che erano conoscibili da chiunque le particolari condizioni di disabilità di oltre 6 mila soggetti indicati nominativamente, in violazione di quanto disposto dall’articolo 22, comma 8, del codice della privacy (divieto di diffusione di dati sullo stato di salute).
In primo grado il tribunale ha annullato l’ordinanza del garante, che ha presentato ricorso per Cassazione.
I problemi affrontati dalla Suprema corte sono stati stabilire chi è il titolare del trattamento e a chi è imputabile la sanzione pecuniaria.
In dettaglio ci si è chiesti se sia possibile o meno l’irrogazione delle sanzione amministrativa anche a un ente oppure solo a una persona fisica.
Il Garante ha sostenuto che la sanzione è applicabile anche all’ente.
La Cassazione si è dichiarata d’accordo con questa impostazione.
Il principio formulato dalla Cassazione concorda con la definizione di titolare del trattamento: è considerato titolare del trattamento dei dati non solo la persona fisica, ma espressamente anche la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono le decisioni del trattamento (articolo 4 del codice della privacy).
Se il titolare del trattamento è la persona giuridica, allora, questa è direttamente sanzionabile ai sensi della normativa in materia di trattamento dei dati personali
