CASS
Sentenza 21 maggio 2026
Sentenza 21 maggio 2026
Commentari • 0
Sul provvedimento
| Citazione : | Cass. civ., sez. II, sentenza 21/05/2026, n. 15625 |
|---|---|
| Giurisdizione : | Corte di Cassazione |
| Numero : | 15625 |
| Data del deposito : | 21 maggio 2026 |
Testo completo
SENTENZA sul ricorso iscritto al n. 20692/2022 R.G. proposto da: Garante per la protezione dei dati personali, rappresentato e difeso dall'Avvocatura Generale dello Stato -ricorrente- contro INPS – Istituto Nazionale per la Previdenza Sociale, rappresentato e difeso dagli avvocati Gaetano De Ruvo, Paolo Aquilone e Mauro Sferrazza -controricorrente- avverso la sentenza del Tribunale di Roma n. 4735/2022 depositata il 24/03/2022. Udita la relazione della causa svolta nella pubblica udienza del 22/01/2026 dal Consigliere ID De RG;
Sentito il Pubblico Ministero in persona del Sostituto Procuratore Generale LE Di Mauro, che ha concluso per l’accoglimento del ricorso;
Civile Sent. Sez. 2 Num. 15625 Anno 2026 Presidente: FALASCHI MILENA Relatore: DE GIORGIO DAVIDE Data pubblicazione: 21/05/2026 2 Sentita l’avvocato Marina Russo dell’Avvocatura Generale dello Stato, difensore del ricorrente, che si è riportata alle difese;
Sentiti gli avvocati Gaetano De Ruvo e Paolo Aquilone, difensori del controricorrente, che si sono riportati agli scritti difensivi. FATTI DI CAUSA L’INPS – Istituto Nazionale per la Previdenza Sociale ha proposto dinanzi al Tribunale di Roma opposizione ex artt. 152 d.lgs. n. 196/2003 e 10 d.lgs. n. 150/2011 avverso il provvedimento n. 87/2021 del Garante per la protezione dei dati personali, con cui quest’ultimo, dichiarata l’illiceità del trattamento effettuato dall’ente in violazione del Regolamento UE n. 679/2016 in materia di protezione dei dati personali, aveva ingiunto allo stesso il pagamento di una sanzione pecuniaria pari ad euro 300.000,00, oltre alla cancellazione di tutti i dati personali fino ad allora trattati in violazione del principio di minimizzazione ed all’effettuazione della valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento con riferimento ai trattamenti, prima di riavviare qualsiasi operazione di trattamento, anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’Istituto per tale finalità. Come emerge dalla sentenza impugnata, la questione controversa verteva intorno alle modalità con cui l’INPS aveva eseguito una parte dei controlli di secondo livello in seguito all’erogazione del c.d. “bonus covid” nel corso dell’emergenza pandemica. Stante l’esigenza di procedere al pagamento immediato del sussidio, era stata, infatti, riservata ad una fase successiva la compiuta verifica dei presupposti per ottenerlo. Sull’assunto che parlamentari ed amministratori regionali e locali ricadessero nell’ambito di un regime previdenziale incompatibile con la percezione dell’indennità in questione, l’istituto aveva operato una verifica acquisendo i dati anagrafici dei titolari di incarichi elettivi dalle banche dati della Camera, del Ministero dell’Interno e, in un secondo momento, del Senato, ne aveva estratto il 3 codice fiscale attraverso i criteri di cui al d.m. 12.03.1974, e, incrociando il dato così ottenuto con i codici fiscali di coloro che avevano presentato domanda per il bonus, aveva individuato i titolari di incarichi politici che avevano formulato la richiesta. Con il provvedimento in questione, l’Autorità Garante ha ritenuto violati: 1) il principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento;
2) il principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento;
3) il principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento;
4) la protezione dei dati personali fin dalla progettazione e per impostazione predefinita, di cui all’art. 25 del Regolamento;
5) l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento;
6) il principio di responsabilizzazione di cui agli artt. 5, par. 2, e 24, del Regolamento. L’opponente ha sostenuto l’infondatezza dei rilievi del Garante ed ha chiesto l’annullamento del provvedimento, o, in subordine, la riduzione della sanzione irrogata. Il resistente si è costituito in giudizio, domandando il rigetto dell’opposizione. Con sentenza n. 4735/2022 pubblicata il 24.03.2022, il Tribunale di Roma, in accoglimento del ricorso, ha annullato il provvedimento impugnato ed ha condannato parte resistente a rifondere all’opponente le spese di lite. Nella motivazione, il Tribunale ha osservato quanto segue. Con riferimento alla violazione del principio di liceità, correttezza e trasparenza del trattamento, doveva rilevarsi che era la stessa previsione legislativa di cui al d.l. n. 18/2020 ad escludere il diritto al bonus ID per coloro che fossero stati iscritti, al momento della presentazione della domanda, ad altre forme di previdenza obbligatorie, né conduceva a conclusioni di segno contrario l’avvenuta richiesta al Ministero del lavoro di 4 un parere, il cui contenuto era risultato conforme alle determinazioni assunte dall’istituto. Il Tribunale, inoltre, ha ritenuto la condotta dell’opponente rispettosa del principio di minimizzazione alla luce delle seguenti considerazioni: - essa garantiva una maggiore celerità dei controlli ed era l’unica in grado di ricomprendere anche le domande ancora in corso di istruttoria, che avrebbero potuto essere accolte in un secondo momento in quanto ancora pendenti, ovvero in forza della sopravvenuta proroga dei termini di presentazione delle domande;
- la limitazione del trattamento alle sole istanze definite positivamente avrebbe comportato, in caso di riesame o ricorsi, la necessità di operare nuovi trattamenti;
- i dati trattati erano stati limitati al minimo necessario per verificare la spettanza del bonus, ovvero per la finalità specifica (e doverosa, oltre che legittima) perseguita dall’INPS. Quanto alla violazione del principio di esattezza, la contestazione doveva considerarsi mossa in via astratta, posto che nessun caso di c.d. omocodia risultava essersi verificato in concreto;
inoltre, ritenuto che l’art. 5 del Regolamento, nel raccomandare di “adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”, prevede la possibilità di una verifica di esattezza successiva al trattamento, purché raccolto sulla base di elementi sufficientemente attendibili, doveva rilevarsi che i codici fiscali erano stati calcolati sulla base di un procedimento previsto da una norma regolamentare e di dati anagrafici estratti da banche ufficiali ed aperte alla libera consultazione. La violazione del principio di protezione dei dati personali fin dalla progettazione e per impostazione predefinita andava esclusa sulla scorta della genericità del rilievo, in assenza della prospettazione concreta di un comportamento alternativo lecito, nonché avuto riguardo al fatto che la procedimentalizzazione dell’evasione della domanda di indennità non 5 poteva non comprendere l’esecuzione di controlli successivi, e, infine, tenuto conto della prevedibilità del trattamento per le finalità di controllo in questione;
quanto ai rischi per i diritti e le libertà degli interessati, essi dovevano ritenersi insussistenti, in considerazione della mancata divulgazione dei nominativi dei politici che avevano richiesto l’erogazione del bonus e dell’assenza di interferenza concreta di tali rischi con le specifiche violazioni contestate. Per quanto concerne la violazione dell’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati, il Tribunale, pur avendo rilevato che si era al cospetto di un trattamento effettuato su larga scala, ha escluso la ricorrenza dei presupposti per siffatta valutazione, in quanto l’unico rischio concreto dell’incrocio dei dati era costituito dalla perdita di un beneficio economico erogato indebitamente, rischio non contemplato nel considerando 75 del Regolamento, mentre il rischio di divulgazione dei dati non era in rapporto causale con il trattamento medesimo. Infine, una volta esclusa la sussistenza delle altre violazioni, doveva essere ritenuta insussistente anche la violazione del principio di responsabilizzazione, osservandosi, inoltre, che l’INPS aveva indirizzato al Garante una comunicazione in cui, oltre ad indicarsi la figura del responsabile della protezione dei dati, identificata nella Direzione Centrale Antifrode, era stato anche precisato che la diffusione delle notizie di stampa relative alla vicenda era avvenuta attraverso fonti estranee all’istituto, come gli stessi organi di stampa coinvolti avevano comunicato, e che le misure adottate apparivano del tutto adeguate, in presenza di un trattamento che non presentava alcun tipo di rischio elevato, posto che esso era costituito dall’incrocio di informazioni non sensibili, tratte da un sistema di open data, con elementi forniti dagli interessati, nell’ambito delle finalità specifiche per cui gli stessi erano stati raccolti. Il Garante per la protezione dei dati personali ha proposto ricorso per cassazione avverso la sentenza in questione sulla scorta di otto motivi. 6 L’INPS – Istituto Nazionale per la Previdenza Sociale ha resistito con controricorso. Fissata la trattazione in pubblica udienza, il Pubblico Ministero, in persona del Sostituto Procuratore Generale dott. LE Di Mauro, ha presentato conclusioni scritte e l’I.N.P.S. ha depositato una memoria illustrativa. RAGIONI DELLA DECISIONE 1. Va preliminarmente disattesa l’eccezione di inammissibilità del ricorso per difetto di specificità, sollevata da parte controricorrente, osservandosi, in generale, che il ricorrente ha compiutamente indicato le norme di legge assertivamente violate, ne ha esaminato il contenuto ed ha richiamato le affermazioni, contenute nella sentenza impugnata, ritenute in contrasto con le disposizioni in questione, indicandone le ragioni. 2. Il primo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 5, par. 1, lett. a) del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), anche in combinato disposto con gli artt. da 27 a 31 e 38 del D.L 18/2020 – art. 360 , comma 1, n. 3 c.p.c. In particolare, secondo parte ricorrente, premesso che non era stata contestata all’INPS l’assenza di una base giuridica del trattamento, si era invece rilevato che l’istituto aveva effettuato gli accertamenti sulla sussistenza dei presupposti legittimanti l’erogazione del bonus per categorie di soggetti, e non in relazione al singolo beneficiario;
ciò emergeva dal fatto che fosse stato richiesto il parere del Ministero del lavoro dopo l’avvio dei trattamenti, in relazione ai parlamentari e agli organi rappresentativi degli enti locali, e non già in termini generali rispetto ai requisiti previsti dalla legge (sussistenza, o meno, di altre forme previdenziali di una certa consistenza). Secondo l’autorità 7 ricorrente, i dubbi interpretativi sulla portata della norma avrebbero dovuto essere risolti in relazione ai singoli richiedenti in astratto, e comunque prima di effettuare il controllo di secondo livello in ordine all’appartenenza del soggetto all’una o all’altra categoria. In particolare, mentre la modalità prescelta dall’INPS aveva riguardato i controlli sulle categorie di individui (i parlamentari e gli amministratori locali) che avrebbero potuto (insieme a tante altre categorie) presentare istanza per ottenere il beneficio, la legge consentiva, invece, controlli su tutti gli individui che effettivamente avessero richiesto ed ottenuto il beneficio, onde verificare l’esistenza dei requisiti di legge per poterlo ottenere. Ai fini di tali controlli, i codici fiscali dichiarati all’atto della presentazione della domanda avrebbero potuto essere incrociati con quelli presenti nelle banche dati disponibili (INPS e Anagrafe tributaria). Il motivo è infondato. Il trattamento oggetto di causa risulta essere avvenuto da parte dell’INPS per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui era investito il titolare del trattamento. In proposito, il Garante ha inquadrato il suddetto interesse pubblico nella previsione di cui all’art.
2-sexies, comma 2, lettere l) e m) d.lgs. n. 196/2003, riguardanti, rispettivamente, le «attività di controllo e ispettive» e quelle di «concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni». L’acquisizione finalizzata all’esecuzione dei controlli di secondo livello ha riguardato i dati anagrafici di deputati e amministratori regionali e locali ed è stata effettuata dalle banche dati aperte (open data) rese disponibili a chiunque, tramite le apposite pagine web messe a disposizione dalle Camere del Parlamento e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno. 8 Al riguardo, è pacifico che non si verta in tema di dati sensibili di cui all’art. 9 del Regolamento del Parlamento europeo 679/2016/UE, vale a dire dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona: entrambe le parti hanno escluso che i dati trattati rientrassero nella previsione di cui innanzi ed anche il Tribunale ha rilevato espressamente che essi non erano dati sensibili. Pertanto, il trattamento stesso si inquadra giuridicamente nell’ambito dell’art. 6, par. 3, lettera b) del Regolamento, richiamato dall’art.
2-ter d. lgs. n. 196/2003, nel testo vigente all’epoca in cui si è verificata la vicenda che ha condotto all’irrogazione della sanzione, vale a dire prima della modifica intervenuta con d.l. 8 ottobre 2021, n. 139, convertito con modificazioni dalla l. 3 dicembre 2021, n. 205. In particolare, deve escludersi l’applicabilità dell’art.
2-sexies d. lgs. n. 196/2003, che riguarda specificamente i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento. Passando ad esaminare le doglianze di parte ricorrente, la prima norma di cui la stessa assume l’avvenuta violazione è l’art. 5, par. 1, lett. a) del Regolamento del Parlamento europeo 679/2016/UE, il quale prevede che i dati personali sono «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»)». A sua volta, l’art. 6 del Regolamento disciplina le condizioni di liceità del trattamento medesimo, prevedendo, fra l’altro, al par. 3, per l’ipotesi in cui esso avvenga, in assenza di consenso dell’interessato, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, che lo stesso si fondi su un’adeguata base normativa. 9 Con il provvedimento oggetto dell’opposizione, è stato contestato all’INPS l’avvenuto trattamento dei dati finalizzato ai controlli di secondo livello in ordine all’erogazione del bonus sotto il profilo in questione, unicamente in quanto avvenuto prima che fosse stata stabilita la spettanza o meno dello stesso nei casi in questione. Al riguardo, il considerando 41 del Regolamento contiene le seguenti indicazioni: «Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell'uomo». Da parte sua, il Tribunale di Roma, in relazione a quanto precede, ha, in sostanza, ritenuto sufficientemente chiara e precisa la base giuridica costituita dalla normativa emergenziale di cui al d.l. n. 18/2020, con conseguente giudizio di irrilevanza della successiva richiesta di parere ministeriale, che peraltro aveva confermato le determinazioni dell’istituto. La valutazione in questione è di merito, e dunque insindacabile in questa sede, salvo l’eventuale vizio di motivazione, nella specie non dedotto. Va in ogni caso rilevato che: - il presupposto dell’indennità, consistente nella mancata iscrizione dei richiedenti ad altre forme previdenziali obbligatorie, era previsto direttamente dal d.l. n. 18/2020; - l’eventuale sussistenza di dubbi interpretativi in capo all’INPS all’epoca del trattamento non incideva di per sé sulla chiarezza e precisione delle norme;
- il parere ministeriale, successivamente acquisito, non costituiva fonte normativa secondaria di dettaglio rispetto a quella primaria sopra citata, sicché era unicamente a quest’ultima che occorreva fare 10 riferimento al fine di verificare se, all’epoca del trattamento, la relativa base giuridica fosse o meno sufficientemente chiara e precisa;
- lo stesso comma 1 dell’art.
2-ter d.lgs. n. 196/2003, nel testo vigente ratione temporis, prevede, in relazione al trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, che la base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento, fonti entrambe diverse dal parere ministeriale. Pertanto, neppure è ravvisabile la violazione di legge lamentata da parte ricorrente, avuto riguardo alle censure sollevate con il provvedimento oggetto di opposizione. Le ulteriori considerazioni formulate nel ricorso per cassazione, lungi dal contraddire la motivazione adottata sul punto dal giudice del merito, riguardano aspetti diversi che, con riferimento specifico alla violazione in questione, non sono stati considerati né nel provvedimento opposto né, dunque, nella sentenza impugnata. Nel ricorso, in ogni caso, non risulta specificato se ed in quali termini le deduzioni in questione siano state formulate nel corso del giudizio di merito, sicché esse sono inammissibili nella presente sede. 3. Il secondo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 5, par. 1, lett. c), del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), anche in combinato disposto con gli artt. da 27 a 31 e 38 del D.L 18/2020 – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo il ricorrente, premesso che il trattamento sui dati personali relativi a parlamentari ed amministratori regionali e locali non 11 era stato limitato ai soli beneficiari della prestazione, avendo invece coinvolto tutti coloro che avevano richiesto il bonus ID, compresi i soggetti le cui domande, già in sede di controllo di primo livello, erano state esaminate e rigettate, doveva considerarsi che, se la finalità dell’istituto era quella di recuperare le somme percepite illegittimamente dai titolari di cariche politiche, il trattamento avrebbe dovuto essere limitato a coloro che avevano effettivamente percepito l’indennità. In relazione a coloro che, pur avendo presentato la domanda, non avevano percepito il bonus, non vi era ragione per effettuare un controllo di secondo livello e, dunque, neppure il trattamento dei dati. In definitiva, secondo parte ricorrente, non era ammissibile un trattamento, in via preventiva e generalizzata, nei confronti di qualunque richiedente non beneficiario, ivi compreso chi avesse dimostrato acquiescenza rispetto alla decisione di rigetto assunta dall'istituto. Il quarto motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 25 del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo l’autorità ricorrente, la mancata adozione di criteri predeterminati al fine di limitare il trattamento di dati personali a quelli strettamente necessari era un fatto incontestato e tale da integrare gli estremi della violazione dell'art. 25 del Regolamento. La prevedibilità del trattamento in presenza di un legittimo interesse del titolare non incideva sulla necessità di dare attuazione alla norma di cui innanzi, e ciò senza contare che il trattamento oggetto di causa era stato svolto non già per un legittimo interesse del titolare, bensì per l'esecuzione di un compito di interesse pubblico, ipotesi, quest’ultima, ben diversa dalla prima. 12 I due motivi in questione risultano strettamente connessi, visto che la mancanza di un’adeguata progettazione del trattamento rimproverata all’INPS da parte del Garante si è tradotta, a parere di quest’ultimo, nell’omissione di idonee misure volte a garantire che, per impostazione predefinita, fossero trattati unicamente i dati necessari per ogni specifica finalità del trattamento, con violazione del principio di minimizzazione. Detti motivi sono infondati. L’art. 5, par. 1, lett. c) del Regolamento del Parlamento europeo 679/2016/UE prevede che i dati personali sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)». Il considerando 39 del Regolamento indica, inoltre, che «i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi». A sua volta, l’art. 25, par. 2, del Regolamento del Parlamento europeo 679/2016/UE prevede quanto segue: «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica». In proposito, è stato osservato che il principio privacy by design ha lo scopo di garantire l’esistenza di un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo così come durante il loro ciclo di vita. Esso, in altre parole, punta ad assicurare un corretto livello di protezione dei dati in tutte le attività di trattamento ed attuazioni 13 effettuate all’interno di una organizzazione. Per l’adempimento di questo principio, titolare e responsabile del dato devono essere proattivi e preventivi, valutando e predisponendo le misure tecniche ed organizzative idonee ad integrare nel trattamento le garanzie per la tutela dell’interessato e ad applicare i principi fondamentali della protezione di dati specificati nell’art. 5 del Regolamento UE n. 2016/679 quali trasparenza, limitazione delle finalità e minimizzazione (cfr.: Cass. n. 28385/2023). In concreto, è pacifico il fatto che l’incrocio dei dati non abbia riguardato i soli soggetti, titolari di cariche politiche, che avevano effettivamente percepito l’indennità, ma sia stato esteso anche alle persone le cui domande erano state già disattese. L’istituto controricorrente, peraltro, ha fatto presente che, come dedotto nell’originario ricorso presentato dinanzi al Tribunale, l’iter di tutte le domande era ancora in corso ed anche quelle inizialmente respinte erano soggette a riesame, perché il D.L. n. 24/2020 aveva prorogato il termine di presentazione e rimosso alcune incompatibilità già previste con il precedente D.L. n. 18/2020. Al riguardo, deve osservarsi che, in generale, il considerando 4 del Regolamento afferma che «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità». Anche al principio di minimizzazione, per la sua stessa formulazione, non può essere attribuito carattere assoluto, essendo richiesto lo svolgimento, di volta in volta, di un’attività di comparazione tra la tutela del diritto alla riservatezza dei dati personali e le esigenze che ne giustificano il trattamento. Inoltre, detta attività comparativa non può non tenere conto anche del tipo di dato oggetto del trattamento, essendo evidente che, a tal fine, non 14 possono essere posti sullo stesso piano i dati sensibili di cui all’art. 9 del Regolamento e quelli che, invece, tali non sono. Nella specie, come innanzi si è visto, le esigenze dell’INPS erano quelle istituzionali correlate all’effettuazione dei controlli di secondo livello sulle domande di accesso al c.d. bonus ID, onde verificare l’effettiva spettanza del beneficio ed evitare pagamenti indebiti o frodi. In sede di interpretazione giurisprudenziale di legittimità, in generale, è stato rilevato che il diritto ad esigere una corretta gestione dei propri dati personali, pur se rientrante nei diritti fondamentali di cui all’art. 2 Cost., non è un “tiranno” o un “totem”, al quale debbano sempre sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale: al contrario, le regole sulla tutela dei dati sensibili vanno coordinate e bilanciate con le disposizioni costituzionali che tutelano altri e prevalenti diritti, per quanto ora rileva l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa. Onde stabilire se un soggetto abbia violato le regole legali sulla gestione dei dati altrui impone di interpretare queste ultime, bilanciando gli interessi da esse tutelati con gli altri interessi costituzionalmente protetti, potenzialmente in conflitto (cfr.: Cass. n. 10280/2015; Cass. n. 6177/2023). La necessità di una ponderazione tra i diversi interessi in gioco con riferimento al principio di minimizzazione dei dati di cui all’articolo 5, paragrafo 1, lettera c), del Regolamento è stata affermata anche dalla Corte di Giustizia UE (cfr.: sentenza in data 02.03.2023 della Terza Sezione della Corte nella causa n. C‑268/21, in tema di produzione di un documento contenente dati personali nell’ambito di un procedimento giurisdizionale civile). La valutazione circa l’adeguatezza, la pertinenza e la necessità del trattamento rispetto alle sue finalità, avuto riguardo a tutte le circostanze del caso concreto, spetta al giudice del merito ed è insindacabile in sede di legittimità, ove congruamente motivata. 15 Nella specie, i dati estratti dalle banche dati istituzionali ed utilizzati ai fini dei controlli erano pacificamente quelli anagrafici di dominio pubblico, in quanto liberamente consultabili da parte di chiunque, e gli ulteriori dati con cui essi sono stati incrociati erano quelli forniti all’istituto da parte di coloro che avevano presentato la domanda di accesso al bonus ed il cui trattamento costituiva un passaggio obbligato ai fini della valutazione circa la spettanza o meno del beneficio. Il trattamento, inoltre, è pacificamente avvenuto in un contesto particolare, legato allo stato emergenziale, all’elevato numero di richieste presentate ed all’esigenza di assicurare ad esse una pronta risposta istituzionale. Il Tribunale, tenuto conto dei rilievi del Garante e delle difese svolte dall’INPS, ha ritenuto che il trattamento sia stato rispettoso del principio di minimizzazione, visto che il procedimento seguito garantiva una maggiore celerità dei controlli ed era l’unico in grado di ricomprendere anche le domande ancora in corso di istruttoria, che avrebbero potuto essere accolte in un secondo momento, in quanto ancora pendenti ovvero in forza della sopravvenuta proroga dei termini di presentazione delle stesse. Nella specie, considerato quanto precede ed avuto riguardo alla prevalenza dell’interesse pubblico ad una celere definizione della procedura, deve ritenersi che il ragionamento del giudice del merito sia stato rispettoso dei principi sopra esposti. Per il resto, si è al cospetto di una valutazione di merito, congruamente motivata e non sindacabile in questa sede poiché presidiata dall'accertamento della indispensabilità del trattamento come effettuato (cfr.: Cass. n. 9922/2022). Secondo il Garante, il trattamento in esame non è stato effettuato nel rispetto dei principi di protezione dei dati personali, fin dalla progettazione e per impostazione predefinita, sanciti dall’art. 25 del Regolamento, e ciò in considerazione della mancata predeterminazione delle condizioni 16 ostative alla spettanza o meno del bonus in capo a parlamentari e amministratori regionali e locali, del trattamento di dati non necessari per l’effettuazione dei controlli di secondo livello e della mancata considerazione dei rischi che il trattamento presentava per i diritti e le libertà degli interessati, tra cui anche quello derivante da possibili inesattezze delle modalità di calcolo del codice fiscale degli interessati. Al riguardo, l’insussistenza di oggettivi motivi di incertezza rilevanti ai fini dell’individuazione della base normativa del trattamento e la mancata violazione del principio di minimizzazione rendono ampiamente ragione circa l’inesistenza a carico dell’istituto controricorrente di un obbligo di predisposizione di impostazioni predefinite di trattamento dei dati diverse ed ulteriori rispetto a quelle comunemente utilizzate nello svolgimento della normale attività istituzionale dell’ente, sicché anche sul punto in questione la decisione impugnata risulta rispettosa dell’art. 25 del Regolamento. 4. Il terzo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 5, par. 1, lett. d) del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo parte ricorrente, non sarebbe stata corretta l’estrazione da parte dell’INPS del codice fiscale degli appartenenti alla classe politica mediante utilizzo dei dati anagrafici acquisiti mediante la consultazione delle banche dati delle Camere e del Ministero dell’interno e l’utilizzo del sistema di cui al d.m. 12 marzo 1974 n. 2227, che non scongiurava il rischio di c.d. omocodie (cioè, identità di codice fiscale fra due o più persone); a suo dire, infatti, la potenziale lesione derivante dal rischio in questione rileverebbe di per sé stessa. 17 Il motivo è infondato. L’art. 5, par. 1, lett. d) del Regolamento del Parlamento europeo 679/2016/UE prevede che i dati personali sono «esatti e, se necessario, aggiornati;
devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)». Il considerando 39 del Regolamento indica, inoltre, che «è opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati». Poiché si verte in tema di dato identificativo, viene in rilievo anche il considerando 26, che, dopo aver indicato che «è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile», afferma che, «per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente» e che «per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici». Al riguardo, è ben vero che l’esattezza del dato, pur potendo essere ulteriormente verificata dopo l’acquisizione, costituisce obiettivo ben preciso dell’attività di acquisizione, da perseguirsi mediante l’adozione delle modalità più idonee a raggiungerlo. Deve tuttavia osservarsi che i dati anagrafici raccolti dalle banche dati pubbliche delle Camere e del Ministero dell’interno dovevano presumersi esatti, data la loro provenienza istituzionale, e che il procedimento 18 utilizzato per l’estrazione del codice fiscale dagli stessi era quello ufficiale previsto dal d.m. 12 marzo 1974 n. 2227. Quanto al rischio di c.d. omocodie, l’art. 6 del predetto d.m. prevede che, quando l'espressione alfanumerica relativa ai primi quindici caratteri del codice risulta comune a due o più soggetti, si provvede a differenziarla per ciascuno dei soggetti successivi al primo soggetto codificato, il che significa che a nessuno dei soggetti coinvolti viene attribuito il codice così determinato. Da quanto precede, deriva che, in caso di comunanza a più soggetti dell'espressione alfanumerica relativa ai primi quindici caratteri così calcolati, nessuno di tali soggetti avrebbe potuto essere identificato mediante il codice in tal modo ottenuto. Ulteriore corollario di quanto precede è l’assoluta inesistenza, in tal caso, di rischi per la riservatezza, vista l’impossibilità di associare un qualsiasi soggetto al codice eventualmente errato. Peraltro, la legittima possibilità di errore risulta ammessa alla luce della previsione normativa concernente la cancellazione o la rettifica dei dati eventualmente inesatti rispetto alle finalità per le quali sono trattati. Come rilevato dal giudice del merito e non posto in discussione in questa sede, in concreto non si è rilevata alcuna inesattezza nell’identificazione dei soggetti i cui dati sono stati incrociati, sicché la contestazione del Garante ha carattere meramente astratto. Le considerazioni formulate dal giudice del merito risultano corrette alla luce di quanto precede e ad esse deve aggiungersi che il comportamento alternativo prospettato dal Garante, consistente nella richiesta dei codici fiscali all’Anagrafe Tributaria, avrebbe provocato, oltre ad uno slittamento dei tempi relativi ai controlli di secondo livello, anche una più ampia circolazione dei dati personali necessari per la loro effettuazione. 5. Il quinto motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 35 del Regolamento del 19 Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo l’autorità ricorrente, sussisteva un rischio per i diritti e le libertà delle persone, che non era costituito dalla possibilità di perdere, per effetto dei controlli, un beneficio economico indebitamente ricevuto;
al contrario, era il trattamento in sé, se operato senza la previa valutazione dei rischi, a poter avere come conseguenza (potenzialmente anche ingiusta) la perdita del diritto. Il sesto motivo è rubricato come segue: omessa motivazione circa un fatto decisivo per il giudizio che è stato oggetto di discussione fra le parti (art. 360, comma 1, n. 5 c.p.c.). In particolare, l’autorità ricorrente si duole del fatto che, nell’esame relativo alla ricorrenza o meno dei presupposti per la valutazione di impatto, il giudice del merito abbia fatto riferimento ad un presupposto («modalità che va oltre le ragionevoli aspettative dell’interessato») non menzionato nel provvedimento opposto, ed abbia, invece, del tutto trascurato il criterio, di carattere decisivo, relativo alla «creazione di corrispondenza o combinazione di insieme di dati», espressamente indicato. I motivi, da esaminarsi in maniera unitaria attesa la loro connessione, sono infondati. L’art. 35, par. 1, del Regolamento del Parlamento europeo 679/2016/UE prevede che, «quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali». 20 I rischi per i diritti e le libertà delle persone fisiche che possono giustificare la necessità della valutazione d’impatto sono così descritti nel considerando 75: «I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano;
se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati». Deve premettersi che nessuna delle parti ha fatto riferimento all’avvenuto utilizzo, ai fini del trattamento, di tecnologie nuove o diverse da quelle usualmente impiegate dall’istituto controricorrente per la sua attività istituzionale. Ciò premesso, si osserva che le “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il 21 trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (“WP 248, rev. 01”), hanno individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
3) monitoraggio sistematico degli interessati;
4) dati sensibili o dati aventi carattere altamente personale;
5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;
7) dati relativi a interessati vulnerabili;
8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9) quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto" A sua volta, il Garante, con provvedimento n. 467 dell'11 ottobre 2018, ha ritenuto che il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati, ed ha individuato l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, riportate nell’allegato 1 facente parte integrante del provvedimento in questione. Nella specie, i criteri la cui ricorrenza è stata indicata nel provvedimento del Garante oggetto di opposizione sono i seguenti: 1) il trattamento di 22 dati su larga scala;
2) la creazione di corrispondenze o combinazione di insiemi di dati;
3) il fatto che il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Ora, nella sentenza impugnata, risulta positivamente verificata la sussistenza del primo presupposto (con la precisazione che si verteva in tema di trattamento su larga scala, ma non avente ad oggetto i dati sensibili di cui all’art. 9 del Regolamento), mentre è stata esclusa la sussistenza del terzo. Quanto al secondo, diversamente da quanto lamentato da parte ricorrente, esso è stato preso in considerazione in sentenza, nella parte in cui si è fatto riferimento alla «modalità che va oltre le ragionevoli aspettative dell’interessato». Va infatti osservato che il testo delle linee guida WP29, citate tanto dalle parti quanto dal giudice del merito, sul punto in questione è del seguente tenore: «creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse e/o da titolari del trattamento diversi secondo una modalità che va oltre le ragionevoli aspettative dell'interessato». Ne deriva che il riferimento del giudice del merito al superamento delle ragionevoli aspettative dell’interessato si riferisce proprio al criterio in questione, criterio che l’autorità ricorrente ritiene - erroneamente stante quanto sopra - trascurato e la cui ricorrenza, invece, è stata presa in considerazione e motivatamente esclusa dal Tribunale. Sul punto, a parte lamentare una - inesistente alla luce di quanto innanzi - mancata considerazione, parte ricorrente nulla ha dedotto. Peraltro, l’elemento relativo al superamento delle ragionevoli aspettative dell’interessato era da ritenersi incompatibile con il carattere pubblico del dato identificativo utilizzato dall’INPS. Ne deriva il rigetto del sesto motivo. Da quanto precede, consegue il rigetto anche del quinto motivo. 23 Invero, l’art. 35, par. 1, del Regolamento del Parlamento europeo 679/2016/UE, nel prevedere la possibilità di «un rischio elevato per i diritti e le libertà delle persone fisiche», tale da richiedere la preventiva valutazione di impatto, si riferisce al trattamento da effettuarsi in sé, a prescindere dalle modalità con cui esso sia stato, poi, svolto. Infatti, la valutazione d’impatto, dovendo essere effettuata prima dell’esecuzione del trattamento, presuppone un giudizio ex ante in ordine alla sussistenza di eventuali rischi;
su ciò conviene anche parte ricorrente, come emerge dal ricorso a pag. 16. Ora, il Garante, oltre a non aver fatto riferimento all'uso di nuove tecnologie, non spiega quali sarebbero stati i rischi potenziali di un trattamento effettuato su larga scala che avrebbero giustificato, ex ante, e dunque indipendentemente dalla considerazione delle violazioni oggi ascritte all’INPS, una valutazione d’impatto, e ciò diversamente dal giudice del merito, il quale ha invece rilevato come il trattamento di per sé non comportasse alcuna pubblicazione o divulgazione di dati personali e come l’unico rischio potenziale per i destinatari di esso fosse quello di perdere, in caso di esito sfavorevole dei controlli, un’indennità ricevuta indebitamente. Peraltro, come esattamente affermato dal Tribunale, sarebbe stata la carenza dei requisiti a determinare la revoca del beneficio, e non il trattamento in sé. Ne deriva che, attesa la mancata coesistenza di plurimi indicatori della necessità della valutazione d’impatto, la sentenza impugnata risulta giuridicamente corretta. 6. Il settimo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione agli artt. 5, par. 2, e 24 del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE 24 (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo parte ricorrente, era erroneo l’accertamento da parte del Tribunale dell’insussistenza della violazione del principio di responsabilizzazione ove fondato sull’inesistenza delle altre violazioni. L’ottavo motivo è rubricato come segue: nullità della sentenza per mera apparenza della motivazione (art. 360 comma 1 n. 4 c.p.c.) In particolare, secondo parte ricorrente, le argomentazioni utilizzate dal Tribunale per affermare l’insussistenza della violazione in questione erano eccentriche rispetto a quanto contestato dal Garante nel provvedimento opposto, nonché inconferenti rispetto al principio di responsabilizzazione, sicché la motivazione sul punto era meramente apparente. I due motivi, da esaminarsi congiuntamente in quanto connessi, sono infondati. L’art. 5, par. 2, del Regolamento del Parlamento europeo 679/2016/UE prevede che «il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)». A sua volta, l’art. 24 del Regolamento del Parlamento europeo 679/2016/UE prevede quanto segue: «1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di 25 certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento». In concreto, il Garante, nel provvedimento opposto, ha ritenuto di ravvisare una specifica violazione delle norme sopra indicate osservando come, nel corso dell’istruttoria svolta, l’INPS non avesse adeguatamente documentato, sotto vari profili, le circostanze concernenti le misure prese e le relative ragioni. Da parte sua, il giudice del merito, oltre ad escludere la sussistenza della violazione in esame alla luce dell’inesistenza delle altre, ha citato in motivazione, ritenendola rilevante, la comunicazione, indirizzata dall’INPS all’autorità, in cui, oltre ad indicarsi la figura del responsabile della protezione dei dati, identificata nella Direzione Centrale Antifrode, era stato anche precisato che la diffusione delle notizie di stampa relative alla vicenda era avvenuta attraverso fonti estranee all’istituto, come gli stessi organi di stampa coinvolti avevano comunicato, e che le misure adottate apparivano del tutto adeguate, in presenza di un trattamento che non presentava alcun tipo di rischio elevato, posto che era costituito dall’incrocio di informazioni non sensibili, tratte da un sistema di open data, con elementi forniti dagli stessi interessati, nell’ambito delle finalità specifiche per cui erano stati raccolti. Ora, la motivazione in questione non può essere considerata meramente apparente. Invero, la motivazione è solo apparente, e la sentenza è nulla perché affetta da error in procedendo, quando, benché graficamente esistente, non renda tuttavia percepibile il fondamento della decisione, perché recante argomentazioni obiettivamente inidonee a far conoscere il ragionamento seguito dal giudice per la formazione del proprio convincimento, non potendosi lasciare all'interprete il compito di integrarla con le più varie, ipotetiche congetture (cfr.: Cass. n. 1986/2025). 26 Al contrario, nel caso di specie, il ragionamento del giudice del merito si evince chiaramente dall’esame delle considerazioni esposte in motivazione, ancorché esse non siano condivise da parte ricorrente, la quale le ritiene eccentriche rispetto alle contestazioni contenute nel provvedimento opposto. Nella specie, la già rilevata insussistenza a carico dell’istituto controricorrente di un obbligo di predisposizione di impostazioni predefinite di trattamento dei dati, diverse ed ulteriori rispetto a quelle comunemente utilizzate nello svolgimento della sua normale attività istituzionale, la pari insussistenza anche dei presupposti per lo svolgimento di una preventiva valutazione di impatto, la tipologia e la provenienza dei dati trattati conducono a ritenere giuridicamente corretta la motivazione del giudice del merito, posto che l’istituto non aveva da comprovare in concreto nulla di più rispetto all’organizzazione della sua normale attività. 7. Alla luce di quanto precede, il ricorso va rigettato. Le spese seguono la soccombenza e vanno liquidate come da dispositivo. Sussistono i presupposti processuali, ai sensi dell’art. 13, comma 1- quater, D.P.R. n. 115/02, inserito dall’art. 1, comma 17, legge n. 228/12, per il versamento da parte del ricorrente dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1-bis dello stesso art. 13, se dovuto.
P.Q.M.
La Corte rigetta il ricorso e condanna parte ricorrente a rifondere al controricorrente le spese processuali del giudizio di legittimità, che liquida in euro 200,00 per spese ed euro 12.000,00 per compensi, oltre 15% per rimborso forfettario delle spese generali ed accessori di legge, se ed in quanto dovuti. Sussistono i presupposti processuali, ai sensi dell’art. 13, comma 1- quater, D.P.R. n. 115/02, inserito dall’art. 1, comma 17, legge n. 228/12, 27 per il versamento da parte della ricorrente dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1-bis dello stesso art. 13, se dovuto. Così deciso in Roma, nella camera di consiglio della seconda sezione civile della Corte di cassazione, in data 22 gennaio 2026. Il Consigliere ID De RG Il Presidente IL LA
Sentito il Pubblico Ministero in persona del Sostituto Procuratore Generale LE Di Mauro, che ha concluso per l’accoglimento del ricorso;
Civile Sent. Sez. 2 Num. 15625 Anno 2026 Presidente: FALASCHI MILENA Relatore: DE GIORGIO DAVIDE Data pubblicazione: 21/05/2026 2 Sentita l’avvocato Marina Russo dell’Avvocatura Generale dello Stato, difensore del ricorrente, che si è riportata alle difese;
Sentiti gli avvocati Gaetano De Ruvo e Paolo Aquilone, difensori del controricorrente, che si sono riportati agli scritti difensivi. FATTI DI CAUSA L’INPS – Istituto Nazionale per la Previdenza Sociale ha proposto dinanzi al Tribunale di Roma opposizione ex artt. 152 d.lgs. n. 196/2003 e 10 d.lgs. n. 150/2011 avverso il provvedimento n. 87/2021 del Garante per la protezione dei dati personali, con cui quest’ultimo, dichiarata l’illiceità del trattamento effettuato dall’ente in violazione del Regolamento UE n. 679/2016 in materia di protezione dei dati personali, aveva ingiunto allo stesso il pagamento di una sanzione pecuniaria pari ad euro 300.000,00, oltre alla cancellazione di tutti i dati personali fino ad allora trattati in violazione del principio di minimizzazione ed all’effettuazione della valutazione di impatto sulla protezione dei dati di cui all’art. 35 del Regolamento con riferimento ai trattamenti, prima di riavviare qualsiasi operazione di trattamento, anche nell’ambito di una complessiva valutazione di impatto riferibile a tutti i trattamenti svolti dall’Istituto per tale finalità. Come emerge dalla sentenza impugnata, la questione controversa verteva intorno alle modalità con cui l’INPS aveva eseguito una parte dei controlli di secondo livello in seguito all’erogazione del c.d. “bonus covid” nel corso dell’emergenza pandemica. Stante l’esigenza di procedere al pagamento immediato del sussidio, era stata, infatti, riservata ad una fase successiva la compiuta verifica dei presupposti per ottenerlo. Sull’assunto che parlamentari ed amministratori regionali e locali ricadessero nell’ambito di un regime previdenziale incompatibile con la percezione dell’indennità in questione, l’istituto aveva operato una verifica acquisendo i dati anagrafici dei titolari di incarichi elettivi dalle banche dati della Camera, del Ministero dell’Interno e, in un secondo momento, del Senato, ne aveva estratto il 3 codice fiscale attraverso i criteri di cui al d.m. 12.03.1974, e, incrociando il dato così ottenuto con i codici fiscali di coloro che avevano presentato domanda per il bonus, aveva individuato i titolari di incarichi politici che avevano formulato la richiesta. Con il provvedimento in questione, l’Autorità Garante ha ritenuto violati: 1) il principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), del Regolamento;
2) il principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento;
3) il principio di esattezza di cui all’art. 5, par. 1, lett. d), del Regolamento;
4) la protezione dei dati personali fin dalla progettazione e per impostazione predefinita, di cui all’art. 25 del Regolamento;
5) l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati di cui all’art. 35 del Regolamento;
6) il principio di responsabilizzazione di cui agli artt. 5, par. 2, e 24, del Regolamento. L’opponente ha sostenuto l’infondatezza dei rilievi del Garante ed ha chiesto l’annullamento del provvedimento, o, in subordine, la riduzione della sanzione irrogata. Il resistente si è costituito in giudizio, domandando il rigetto dell’opposizione. Con sentenza n. 4735/2022 pubblicata il 24.03.2022, il Tribunale di Roma, in accoglimento del ricorso, ha annullato il provvedimento impugnato ed ha condannato parte resistente a rifondere all’opponente le spese di lite. Nella motivazione, il Tribunale ha osservato quanto segue. Con riferimento alla violazione del principio di liceità, correttezza e trasparenza del trattamento, doveva rilevarsi che era la stessa previsione legislativa di cui al d.l. n. 18/2020 ad escludere il diritto al bonus ID per coloro che fossero stati iscritti, al momento della presentazione della domanda, ad altre forme di previdenza obbligatorie, né conduceva a conclusioni di segno contrario l’avvenuta richiesta al Ministero del lavoro di 4 un parere, il cui contenuto era risultato conforme alle determinazioni assunte dall’istituto. Il Tribunale, inoltre, ha ritenuto la condotta dell’opponente rispettosa del principio di minimizzazione alla luce delle seguenti considerazioni: - essa garantiva una maggiore celerità dei controlli ed era l’unica in grado di ricomprendere anche le domande ancora in corso di istruttoria, che avrebbero potuto essere accolte in un secondo momento in quanto ancora pendenti, ovvero in forza della sopravvenuta proroga dei termini di presentazione delle domande;
- la limitazione del trattamento alle sole istanze definite positivamente avrebbe comportato, in caso di riesame o ricorsi, la necessità di operare nuovi trattamenti;
- i dati trattati erano stati limitati al minimo necessario per verificare la spettanza del bonus, ovvero per la finalità specifica (e doverosa, oltre che legittima) perseguita dall’INPS. Quanto alla violazione del principio di esattezza, la contestazione doveva considerarsi mossa in via astratta, posto che nessun caso di c.d. omocodia risultava essersi verificato in concreto;
inoltre, ritenuto che l’art. 5 del Regolamento, nel raccomandare di “adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”, prevede la possibilità di una verifica di esattezza successiva al trattamento, purché raccolto sulla base di elementi sufficientemente attendibili, doveva rilevarsi che i codici fiscali erano stati calcolati sulla base di un procedimento previsto da una norma regolamentare e di dati anagrafici estratti da banche ufficiali ed aperte alla libera consultazione. La violazione del principio di protezione dei dati personali fin dalla progettazione e per impostazione predefinita andava esclusa sulla scorta della genericità del rilievo, in assenza della prospettazione concreta di un comportamento alternativo lecito, nonché avuto riguardo al fatto che la procedimentalizzazione dell’evasione della domanda di indennità non 5 poteva non comprendere l’esecuzione di controlli successivi, e, infine, tenuto conto della prevedibilità del trattamento per le finalità di controllo in questione;
quanto ai rischi per i diritti e le libertà degli interessati, essi dovevano ritenersi insussistenti, in considerazione della mancata divulgazione dei nominativi dei politici che avevano richiesto l’erogazione del bonus e dell’assenza di interferenza concreta di tali rischi con le specifiche violazioni contestate. Per quanto concerne la violazione dell’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati, il Tribunale, pur avendo rilevato che si era al cospetto di un trattamento effettuato su larga scala, ha escluso la ricorrenza dei presupposti per siffatta valutazione, in quanto l’unico rischio concreto dell’incrocio dei dati era costituito dalla perdita di un beneficio economico erogato indebitamente, rischio non contemplato nel considerando 75 del Regolamento, mentre il rischio di divulgazione dei dati non era in rapporto causale con il trattamento medesimo. Infine, una volta esclusa la sussistenza delle altre violazioni, doveva essere ritenuta insussistente anche la violazione del principio di responsabilizzazione, osservandosi, inoltre, che l’INPS aveva indirizzato al Garante una comunicazione in cui, oltre ad indicarsi la figura del responsabile della protezione dei dati, identificata nella Direzione Centrale Antifrode, era stato anche precisato che la diffusione delle notizie di stampa relative alla vicenda era avvenuta attraverso fonti estranee all’istituto, come gli stessi organi di stampa coinvolti avevano comunicato, e che le misure adottate apparivano del tutto adeguate, in presenza di un trattamento che non presentava alcun tipo di rischio elevato, posto che esso era costituito dall’incrocio di informazioni non sensibili, tratte da un sistema di open data, con elementi forniti dagli interessati, nell’ambito delle finalità specifiche per cui gli stessi erano stati raccolti. Il Garante per la protezione dei dati personali ha proposto ricorso per cassazione avverso la sentenza in questione sulla scorta di otto motivi. 6 L’INPS – Istituto Nazionale per la Previdenza Sociale ha resistito con controricorso. Fissata la trattazione in pubblica udienza, il Pubblico Ministero, in persona del Sostituto Procuratore Generale dott. LE Di Mauro, ha presentato conclusioni scritte e l’I.N.P.S. ha depositato una memoria illustrativa. RAGIONI DELLA DECISIONE 1. Va preliminarmente disattesa l’eccezione di inammissibilità del ricorso per difetto di specificità, sollevata da parte controricorrente, osservandosi, in generale, che il ricorrente ha compiutamente indicato le norme di legge assertivamente violate, ne ha esaminato il contenuto ed ha richiamato le affermazioni, contenute nella sentenza impugnata, ritenute in contrasto con le disposizioni in questione, indicandone le ragioni. 2. Il primo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 5, par. 1, lett. a) del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), anche in combinato disposto con gli artt. da 27 a 31 e 38 del D.L 18/2020 – art. 360 , comma 1, n. 3 c.p.c. In particolare, secondo parte ricorrente, premesso che non era stata contestata all’INPS l’assenza di una base giuridica del trattamento, si era invece rilevato che l’istituto aveva effettuato gli accertamenti sulla sussistenza dei presupposti legittimanti l’erogazione del bonus per categorie di soggetti, e non in relazione al singolo beneficiario;
ciò emergeva dal fatto che fosse stato richiesto il parere del Ministero del lavoro dopo l’avvio dei trattamenti, in relazione ai parlamentari e agli organi rappresentativi degli enti locali, e non già in termini generali rispetto ai requisiti previsti dalla legge (sussistenza, o meno, di altre forme previdenziali di una certa consistenza). Secondo l’autorità 7 ricorrente, i dubbi interpretativi sulla portata della norma avrebbero dovuto essere risolti in relazione ai singoli richiedenti in astratto, e comunque prima di effettuare il controllo di secondo livello in ordine all’appartenenza del soggetto all’una o all’altra categoria. In particolare, mentre la modalità prescelta dall’INPS aveva riguardato i controlli sulle categorie di individui (i parlamentari e gli amministratori locali) che avrebbero potuto (insieme a tante altre categorie) presentare istanza per ottenere il beneficio, la legge consentiva, invece, controlli su tutti gli individui che effettivamente avessero richiesto ed ottenuto il beneficio, onde verificare l’esistenza dei requisiti di legge per poterlo ottenere. Ai fini di tali controlli, i codici fiscali dichiarati all’atto della presentazione della domanda avrebbero potuto essere incrociati con quelli presenti nelle banche dati disponibili (INPS e Anagrafe tributaria). Il motivo è infondato. Il trattamento oggetto di causa risulta essere avvenuto da parte dell’INPS per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui era investito il titolare del trattamento. In proposito, il Garante ha inquadrato il suddetto interesse pubblico nella previsione di cui all’art.
2-sexies, comma 2, lettere l) e m) d.lgs. n. 196/2003, riguardanti, rispettivamente, le «attività di controllo e ispettive» e quelle di «concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni». L’acquisizione finalizzata all’esecuzione dei controlli di secondo livello ha riguardato i dati anagrafici di deputati e amministratori regionali e locali ed è stata effettuata dalle banche dati aperte (open data) rese disponibili a chiunque, tramite le apposite pagine web messe a disposizione dalle Camere del Parlamento e dal Dipartimento per gli affari interni e territoriali del Ministero dell’interno. 8 Al riguardo, è pacifico che non si verta in tema di dati sensibili di cui all’art. 9 del Regolamento del Parlamento europeo 679/2016/UE, vale a dire dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona: entrambe le parti hanno escluso che i dati trattati rientrassero nella previsione di cui innanzi ed anche il Tribunale ha rilevato espressamente che essi non erano dati sensibili. Pertanto, il trattamento stesso si inquadra giuridicamente nell’ambito dell’art. 6, par. 3, lettera b) del Regolamento, richiamato dall’art.
2-ter d. lgs. n. 196/2003, nel testo vigente all’epoca in cui si è verificata la vicenda che ha condotto all’irrogazione della sanzione, vale a dire prima della modifica intervenuta con d.l. 8 ottobre 2021, n. 139, convertito con modificazioni dalla l. 3 dicembre 2021, n. 205. In particolare, deve escludersi l’applicabilità dell’art.
2-sexies d. lgs. n. 196/2003, che riguarda specificamente i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento. Passando ad esaminare le doglianze di parte ricorrente, la prima norma di cui la stessa assume l’avvenuta violazione è l’art. 5, par. 1, lett. a) del Regolamento del Parlamento europeo 679/2016/UE, il quale prevede che i dati personali sono «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»)». A sua volta, l’art. 6 del Regolamento disciplina le condizioni di liceità del trattamento medesimo, prevedendo, fra l’altro, al par. 3, per l’ipotesi in cui esso avvenga, in assenza di consenso dell’interessato, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, che lo stesso si fondi su un’adeguata base normativa. 9 Con il provvedimento oggetto dell’opposizione, è stato contestato all’INPS l’avvenuto trattamento dei dati finalizzato ai controlli di secondo livello in ordine all’erogazione del bonus sotto il profilo in questione, unicamente in quanto avvenuto prima che fosse stata stabilita la spettanza o meno dello stesso nei casi in questione. Al riguardo, il considerando 41 del Regolamento contiene le seguenti indicazioni: «Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell'uomo». Da parte sua, il Tribunale di Roma, in relazione a quanto precede, ha, in sostanza, ritenuto sufficientemente chiara e precisa la base giuridica costituita dalla normativa emergenziale di cui al d.l. n. 18/2020, con conseguente giudizio di irrilevanza della successiva richiesta di parere ministeriale, che peraltro aveva confermato le determinazioni dell’istituto. La valutazione in questione è di merito, e dunque insindacabile in questa sede, salvo l’eventuale vizio di motivazione, nella specie non dedotto. Va in ogni caso rilevato che: - il presupposto dell’indennità, consistente nella mancata iscrizione dei richiedenti ad altre forme previdenziali obbligatorie, era previsto direttamente dal d.l. n. 18/2020; - l’eventuale sussistenza di dubbi interpretativi in capo all’INPS all’epoca del trattamento non incideva di per sé sulla chiarezza e precisione delle norme;
- il parere ministeriale, successivamente acquisito, non costituiva fonte normativa secondaria di dettaglio rispetto a quella primaria sopra citata, sicché era unicamente a quest’ultima che occorreva fare 10 riferimento al fine di verificare se, all’epoca del trattamento, la relativa base giuridica fosse o meno sufficientemente chiara e precisa;
- lo stesso comma 1 dell’art.
2-ter d.lgs. n. 196/2003, nel testo vigente ratione temporis, prevede, in relazione al trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, che la base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento, fonti entrambe diverse dal parere ministeriale. Pertanto, neppure è ravvisabile la violazione di legge lamentata da parte ricorrente, avuto riguardo alle censure sollevate con il provvedimento oggetto di opposizione. Le ulteriori considerazioni formulate nel ricorso per cassazione, lungi dal contraddire la motivazione adottata sul punto dal giudice del merito, riguardano aspetti diversi che, con riferimento specifico alla violazione in questione, non sono stati considerati né nel provvedimento opposto né, dunque, nella sentenza impugnata. Nel ricorso, in ogni caso, non risulta specificato se ed in quali termini le deduzioni in questione siano state formulate nel corso del giudizio di merito, sicché esse sono inammissibili nella presente sede. 3. Il secondo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 5, par. 1, lett. c), del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), anche in combinato disposto con gli artt. da 27 a 31 e 38 del D.L 18/2020 – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo il ricorrente, premesso che il trattamento sui dati personali relativi a parlamentari ed amministratori regionali e locali non 11 era stato limitato ai soli beneficiari della prestazione, avendo invece coinvolto tutti coloro che avevano richiesto il bonus ID, compresi i soggetti le cui domande, già in sede di controllo di primo livello, erano state esaminate e rigettate, doveva considerarsi che, se la finalità dell’istituto era quella di recuperare le somme percepite illegittimamente dai titolari di cariche politiche, il trattamento avrebbe dovuto essere limitato a coloro che avevano effettivamente percepito l’indennità. In relazione a coloro che, pur avendo presentato la domanda, non avevano percepito il bonus, non vi era ragione per effettuare un controllo di secondo livello e, dunque, neppure il trattamento dei dati. In definitiva, secondo parte ricorrente, non era ammissibile un trattamento, in via preventiva e generalizzata, nei confronti di qualunque richiedente non beneficiario, ivi compreso chi avesse dimostrato acquiescenza rispetto alla decisione di rigetto assunta dall'istituto. Il quarto motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 25 del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo l’autorità ricorrente, la mancata adozione di criteri predeterminati al fine di limitare il trattamento di dati personali a quelli strettamente necessari era un fatto incontestato e tale da integrare gli estremi della violazione dell'art. 25 del Regolamento. La prevedibilità del trattamento in presenza di un legittimo interesse del titolare non incideva sulla necessità di dare attuazione alla norma di cui innanzi, e ciò senza contare che il trattamento oggetto di causa era stato svolto non già per un legittimo interesse del titolare, bensì per l'esecuzione di un compito di interesse pubblico, ipotesi, quest’ultima, ben diversa dalla prima. 12 I due motivi in questione risultano strettamente connessi, visto che la mancanza di un’adeguata progettazione del trattamento rimproverata all’INPS da parte del Garante si è tradotta, a parere di quest’ultimo, nell’omissione di idonee misure volte a garantire che, per impostazione predefinita, fossero trattati unicamente i dati necessari per ogni specifica finalità del trattamento, con violazione del principio di minimizzazione. Detti motivi sono infondati. L’art. 5, par. 1, lett. c) del Regolamento del Parlamento europeo 679/2016/UE prevede che i dati personali sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)». Il considerando 39 del Regolamento indica, inoltre, che «i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi». A sua volta, l’art. 25, par. 2, del Regolamento del Parlamento europeo 679/2016/UE prevede quanto segue: «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica». In proposito, è stato osservato che il principio privacy by design ha lo scopo di garantire l’esistenza di un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo così come durante il loro ciclo di vita. Esso, in altre parole, punta ad assicurare un corretto livello di protezione dei dati in tutte le attività di trattamento ed attuazioni 13 effettuate all’interno di una organizzazione. Per l’adempimento di questo principio, titolare e responsabile del dato devono essere proattivi e preventivi, valutando e predisponendo le misure tecniche ed organizzative idonee ad integrare nel trattamento le garanzie per la tutela dell’interessato e ad applicare i principi fondamentali della protezione di dati specificati nell’art. 5 del Regolamento UE n. 2016/679 quali trasparenza, limitazione delle finalità e minimizzazione (cfr.: Cass. n. 28385/2023). In concreto, è pacifico il fatto che l’incrocio dei dati non abbia riguardato i soli soggetti, titolari di cariche politiche, che avevano effettivamente percepito l’indennità, ma sia stato esteso anche alle persone le cui domande erano state già disattese. L’istituto controricorrente, peraltro, ha fatto presente che, come dedotto nell’originario ricorso presentato dinanzi al Tribunale, l’iter di tutte le domande era ancora in corso ed anche quelle inizialmente respinte erano soggette a riesame, perché il D.L. n. 24/2020 aveva prorogato il termine di presentazione e rimosso alcune incompatibilità già previste con il precedente D.L. n. 18/2020. Al riguardo, deve osservarsi che, in generale, il considerando 4 del Regolamento afferma che «il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità». Anche al principio di minimizzazione, per la sua stessa formulazione, non può essere attribuito carattere assoluto, essendo richiesto lo svolgimento, di volta in volta, di un’attività di comparazione tra la tutela del diritto alla riservatezza dei dati personali e le esigenze che ne giustificano il trattamento. Inoltre, detta attività comparativa non può non tenere conto anche del tipo di dato oggetto del trattamento, essendo evidente che, a tal fine, non 14 possono essere posti sullo stesso piano i dati sensibili di cui all’art. 9 del Regolamento e quelli che, invece, tali non sono. Nella specie, come innanzi si è visto, le esigenze dell’INPS erano quelle istituzionali correlate all’effettuazione dei controlli di secondo livello sulle domande di accesso al c.d. bonus ID, onde verificare l’effettiva spettanza del beneficio ed evitare pagamenti indebiti o frodi. In sede di interpretazione giurisprudenziale di legittimità, in generale, è stato rilevato che il diritto ad esigere una corretta gestione dei propri dati personali, pur se rientrante nei diritti fondamentali di cui all’art. 2 Cost., non è un “tiranno” o un “totem”, al quale debbano sempre sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale: al contrario, le regole sulla tutela dei dati sensibili vanno coordinate e bilanciate con le disposizioni costituzionali che tutelano altri e prevalenti diritti, per quanto ora rileva l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa. Onde stabilire se un soggetto abbia violato le regole legali sulla gestione dei dati altrui impone di interpretare queste ultime, bilanciando gli interessi da esse tutelati con gli altri interessi costituzionalmente protetti, potenzialmente in conflitto (cfr.: Cass. n. 10280/2015; Cass. n. 6177/2023). La necessità di una ponderazione tra i diversi interessi in gioco con riferimento al principio di minimizzazione dei dati di cui all’articolo 5, paragrafo 1, lettera c), del Regolamento è stata affermata anche dalla Corte di Giustizia UE (cfr.: sentenza in data 02.03.2023 della Terza Sezione della Corte nella causa n. C‑268/21, in tema di produzione di un documento contenente dati personali nell’ambito di un procedimento giurisdizionale civile). La valutazione circa l’adeguatezza, la pertinenza e la necessità del trattamento rispetto alle sue finalità, avuto riguardo a tutte le circostanze del caso concreto, spetta al giudice del merito ed è insindacabile in sede di legittimità, ove congruamente motivata. 15 Nella specie, i dati estratti dalle banche dati istituzionali ed utilizzati ai fini dei controlli erano pacificamente quelli anagrafici di dominio pubblico, in quanto liberamente consultabili da parte di chiunque, e gli ulteriori dati con cui essi sono stati incrociati erano quelli forniti all’istituto da parte di coloro che avevano presentato la domanda di accesso al bonus ed il cui trattamento costituiva un passaggio obbligato ai fini della valutazione circa la spettanza o meno del beneficio. Il trattamento, inoltre, è pacificamente avvenuto in un contesto particolare, legato allo stato emergenziale, all’elevato numero di richieste presentate ed all’esigenza di assicurare ad esse una pronta risposta istituzionale. Il Tribunale, tenuto conto dei rilievi del Garante e delle difese svolte dall’INPS, ha ritenuto che il trattamento sia stato rispettoso del principio di minimizzazione, visto che il procedimento seguito garantiva una maggiore celerità dei controlli ed era l’unico in grado di ricomprendere anche le domande ancora in corso di istruttoria, che avrebbero potuto essere accolte in un secondo momento, in quanto ancora pendenti ovvero in forza della sopravvenuta proroga dei termini di presentazione delle stesse. Nella specie, considerato quanto precede ed avuto riguardo alla prevalenza dell’interesse pubblico ad una celere definizione della procedura, deve ritenersi che il ragionamento del giudice del merito sia stato rispettoso dei principi sopra esposti. Per il resto, si è al cospetto di una valutazione di merito, congruamente motivata e non sindacabile in questa sede poiché presidiata dall'accertamento della indispensabilità del trattamento come effettuato (cfr.: Cass. n. 9922/2022). Secondo il Garante, il trattamento in esame non è stato effettuato nel rispetto dei principi di protezione dei dati personali, fin dalla progettazione e per impostazione predefinita, sanciti dall’art. 25 del Regolamento, e ciò in considerazione della mancata predeterminazione delle condizioni 16 ostative alla spettanza o meno del bonus in capo a parlamentari e amministratori regionali e locali, del trattamento di dati non necessari per l’effettuazione dei controlli di secondo livello e della mancata considerazione dei rischi che il trattamento presentava per i diritti e le libertà degli interessati, tra cui anche quello derivante da possibili inesattezze delle modalità di calcolo del codice fiscale degli interessati. Al riguardo, l’insussistenza di oggettivi motivi di incertezza rilevanti ai fini dell’individuazione della base normativa del trattamento e la mancata violazione del principio di minimizzazione rendono ampiamente ragione circa l’inesistenza a carico dell’istituto controricorrente di un obbligo di predisposizione di impostazioni predefinite di trattamento dei dati diverse ed ulteriori rispetto a quelle comunemente utilizzate nello svolgimento della normale attività istituzionale dell’ente, sicché anche sul punto in questione la decisione impugnata risulta rispettosa dell’art. 25 del Regolamento. 4. Il terzo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 5, par. 1, lett. d) del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo parte ricorrente, non sarebbe stata corretta l’estrazione da parte dell’INPS del codice fiscale degli appartenenti alla classe politica mediante utilizzo dei dati anagrafici acquisiti mediante la consultazione delle banche dati delle Camere e del Ministero dell’interno e l’utilizzo del sistema di cui al d.m. 12 marzo 1974 n. 2227, che non scongiurava il rischio di c.d. omocodie (cioè, identità di codice fiscale fra due o più persone); a suo dire, infatti, la potenziale lesione derivante dal rischio in questione rileverebbe di per sé stessa. 17 Il motivo è infondato. L’art. 5, par. 1, lett. d) del Regolamento del Parlamento europeo 679/2016/UE prevede che i dati personali sono «esatti e, se necessario, aggiornati;
devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»)». Il considerando 39 del Regolamento indica, inoltre, che «è opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati». Poiché si verte in tema di dato identificativo, viene in rilievo anche il considerando 26, che, dopo aver indicato che «è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile», afferma che, «per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente» e che «per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici». Al riguardo, è ben vero che l’esattezza del dato, pur potendo essere ulteriormente verificata dopo l’acquisizione, costituisce obiettivo ben preciso dell’attività di acquisizione, da perseguirsi mediante l’adozione delle modalità più idonee a raggiungerlo. Deve tuttavia osservarsi che i dati anagrafici raccolti dalle banche dati pubbliche delle Camere e del Ministero dell’interno dovevano presumersi esatti, data la loro provenienza istituzionale, e che il procedimento 18 utilizzato per l’estrazione del codice fiscale dagli stessi era quello ufficiale previsto dal d.m. 12 marzo 1974 n. 2227. Quanto al rischio di c.d. omocodie, l’art. 6 del predetto d.m. prevede che, quando l'espressione alfanumerica relativa ai primi quindici caratteri del codice risulta comune a due o più soggetti, si provvede a differenziarla per ciascuno dei soggetti successivi al primo soggetto codificato, il che significa che a nessuno dei soggetti coinvolti viene attribuito il codice così determinato. Da quanto precede, deriva che, in caso di comunanza a più soggetti dell'espressione alfanumerica relativa ai primi quindici caratteri così calcolati, nessuno di tali soggetti avrebbe potuto essere identificato mediante il codice in tal modo ottenuto. Ulteriore corollario di quanto precede è l’assoluta inesistenza, in tal caso, di rischi per la riservatezza, vista l’impossibilità di associare un qualsiasi soggetto al codice eventualmente errato. Peraltro, la legittima possibilità di errore risulta ammessa alla luce della previsione normativa concernente la cancellazione o la rettifica dei dati eventualmente inesatti rispetto alle finalità per le quali sono trattati. Come rilevato dal giudice del merito e non posto in discussione in questa sede, in concreto non si è rilevata alcuna inesattezza nell’identificazione dei soggetti i cui dati sono stati incrociati, sicché la contestazione del Garante ha carattere meramente astratto. Le considerazioni formulate dal giudice del merito risultano corrette alla luce di quanto precede e ad esse deve aggiungersi che il comportamento alternativo prospettato dal Garante, consistente nella richiesta dei codici fiscali all’Anagrafe Tributaria, avrebbe provocato, oltre ad uno slittamento dei tempi relativi ai controlli di secondo livello, anche una più ampia circolazione dei dati personali necessari per la loro effettuazione. 5. Il quinto motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione all’art. 35 del Regolamento del 19 Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo l’autorità ricorrente, sussisteva un rischio per i diritti e le libertà delle persone, che non era costituito dalla possibilità di perdere, per effetto dei controlli, un beneficio economico indebitamente ricevuto;
al contrario, era il trattamento in sé, se operato senza la previa valutazione dei rischi, a poter avere come conseguenza (potenzialmente anche ingiusta) la perdita del diritto. Il sesto motivo è rubricato come segue: omessa motivazione circa un fatto decisivo per il giudizio che è stato oggetto di discussione fra le parti (art. 360, comma 1, n. 5 c.p.c.). In particolare, l’autorità ricorrente si duole del fatto che, nell’esame relativo alla ricorrenza o meno dei presupposti per la valutazione di impatto, il giudice del merito abbia fatto riferimento ad un presupposto («modalità che va oltre le ragionevoli aspettative dell’interessato») non menzionato nel provvedimento opposto, ed abbia, invece, del tutto trascurato il criterio, di carattere decisivo, relativo alla «creazione di corrispondenza o combinazione di insieme di dati», espressamente indicato. I motivi, da esaminarsi in maniera unitaria attesa la loro connessione, sono infondati. L’art. 35, par. 1, del Regolamento del Parlamento europeo 679/2016/UE prevede che, «quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali». 20 I rischi per i diritti e le libertà delle persone fisiche che possono giustificare la necessità della valutazione d’impatto sono così descritti nel considerando 75: «I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano;
se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati». Deve premettersi che nessuna delle parti ha fatto riferimento all’avvenuto utilizzo, ai fini del trattamento, di tecnologie nuove o diverse da quelle usualmente impiegate dall’istituto controricorrente per la sua attività istituzionale. Ciò premesso, si osserva che le “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il 21 trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (“WP 248, rev. 01”), hanno individuato nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
3) monitoraggio sistematico degli interessati;
4) dati sensibili o dati aventi carattere altamente personale;
5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;
7) dati relativi a interessati vulnerabili;
8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9) quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto" A sua volta, il Garante, con provvedimento n. 467 dell'11 ottobre 2018, ha ritenuto che il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati, ed ha individuato l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, riportate nell’allegato 1 facente parte integrante del provvedimento in questione. Nella specie, i criteri la cui ricorrenza è stata indicata nel provvedimento del Garante oggetto di opposizione sono i seguenti: 1) il trattamento di 22 dati su larga scala;
2) la creazione di corrispondenze o combinazione di insiemi di dati;
3) il fatto che il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Ora, nella sentenza impugnata, risulta positivamente verificata la sussistenza del primo presupposto (con la precisazione che si verteva in tema di trattamento su larga scala, ma non avente ad oggetto i dati sensibili di cui all’art. 9 del Regolamento), mentre è stata esclusa la sussistenza del terzo. Quanto al secondo, diversamente da quanto lamentato da parte ricorrente, esso è stato preso in considerazione in sentenza, nella parte in cui si è fatto riferimento alla «modalità che va oltre le ragionevoli aspettative dell’interessato». Va infatti osservato che il testo delle linee guida WP29, citate tanto dalle parti quanto dal giudice del merito, sul punto in questione è del seguente tenore: «creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse e/o da titolari del trattamento diversi secondo una modalità che va oltre le ragionevoli aspettative dell'interessato». Ne deriva che il riferimento del giudice del merito al superamento delle ragionevoli aspettative dell’interessato si riferisce proprio al criterio in questione, criterio che l’autorità ricorrente ritiene - erroneamente stante quanto sopra - trascurato e la cui ricorrenza, invece, è stata presa in considerazione e motivatamente esclusa dal Tribunale. Sul punto, a parte lamentare una - inesistente alla luce di quanto innanzi - mancata considerazione, parte ricorrente nulla ha dedotto. Peraltro, l’elemento relativo al superamento delle ragionevoli aspettative dell’interessato era da ritenersi incompatibile con il carattere pubblico del dato identificativo utilizzato dall’INPS. Ne deriva il rigetto del sesto motivo. Da quanto precede, consegue il rigetto anche del quinto motivo. 23 Invero, l’art. 35, par. 1, del Regolamento del Parlamento europeo 679/2016/UE, nel prevedere la possibilità di «un rischio elevato per i diritti e le libertà delle persone fisiche», tale da richiedere la preventiva valutazione di impatto, si riferisce al trattamento da effettuarsi in sé, a prescindere dalle modalità con cui esso sia stato, poi, svolto. Infatti, la valutazione d’impatto, dovendo essere effettuata prima dell’esecuzione del trattamento, presuppone un giudizio ex ante in ordine alla sussistenza di eventuali rischi;
su ciò conviene anche parte ricorrente, come emerge dal ricorso a pag. 16. Ora, il Garante, oltre a non aver fatto riferimento all'uso di nuove tecnologie, non spiega quali sarebbero stati i rischi potenziali di un trattamento effettuato su larga scala che avrebbero giustificato, ex ante, e dunque indipendentemente dalla considerazione delle violazioni oggi ascritte all’INPS, una valutazione d’impatto, e ciò diversamente dal giudice del merito, il quale ha invece rilevato come il trattamento di per sé non comportasse alcuna pubblicazione o divulgazione di dati personali e come l’unico rischio potenziale per i destinatari di esso fosse quello di perdere, in caso di esito sfavorevole dei controlli, un’indennità ricevuta indebitamente. Peraltro, come esattamente affermato dal Tribunale, sarebbe stata la carenza dei requisiti a determinare la revoca del beneficio, e non il trattamento in sé. Ne deriva che, attesa la mancata coesistenza di plurimi indicatori della necessità della valutazione d’impatto, la sentenza impugnata risulta giuridicamente corretta. 6. Il settimo motivo è rubricato come segue: violazione e/o falsa applicazione di legge in relazione agli artt. 5, par. 2, e 24 del Regolamento del Parlamento europeo 679/2016/UE relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE 24 (regolamento generale sulla protezione dei dati) – art. 360, comma 1, n. 3 c.p.c. In particolare, secondo parte ricorrente, era erroneo l’accertamento da parte del Tribunale dell’insussistenza della violazione del principio di responsabilizzazione ove fondato sull’inesistenza delle altre violazioni. L’ottavo motivo è rubricato come segue: nullità della sentenza per mera apparenza della motivazione (art. 360 comma 1 n. 4 c.p.c.) In particolare, secondo parte ricorrente, le argomentazioni utilizzate dal Tribunale per affermare l’insussistenza della violazione in questione erano eccentriche rispetto a quanto contestato dal Garante nel provvedimento opposto, nonché inconferenti rispetto al principio di responsabilizzazione, sicché la motivazione sul punto era meramente apparente. I due motivi, da esaminarsi congiuntamente in quanto connessi, sono infondati. L’art. 5, par. 2, del Regolamento del Parlamento europeo 679/2016/UE prevede che «il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)». A sua volta, l’art. 24 del Regolamento del Parlamento europeo 679/2016/UE prevede quanto segue: «1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di 25 certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento». In concreto, il Garante, nel provvedimento opposto, ha ritenuto di ravvisare una specifica violazione delle norme sopra indicate osservando come, nel corso dell’istruttoria svolta, l’INPS non avesse adeguatamente documentato, sotto vari profili, le circostanze concernenti le misure prese e le relative ragioni. Da parte sua, il giudice del merito, oltre ad escludere la sussistenza della violazione in esame alla luce dell’inesistenza delle altre, ha citato in motivazione, ritenendola rilevante, la comunicazione, indirizzata dall’INPS all’autorità, in cui, oltre ad indicarsi la figura del responsabile della protezione dei dati, identificata nella Direzione Centrale Antifrode, era stato anche precisato che la diffusione delle notizie di stampa relative alla vicenda era avvenuta attraverso fonti estranee all’istituto, come gli stessi organi di stampa coinvolti avevano comunicato, e che le misure adottate apparivano del tutto adeguate, in presenza di un trattamento che non presentava alcun tipo di rischio elevato, posto che era costituito dall’incrocio di informazioni non sensibili, tratte da un sistema di open data, con elementi forniti dagli stessi interessati, nell’ambito delle finalità specifiche per cui erano stati raccolti. Ora, la motivazione in questione non può essere considerata meramente apparente. Invero, la motivazione è solo apparente, e la sentenza è nulla perché affetta da error in procedendo, quando, benché graficamente esistente, non renda tuttavia percepibile il fondamento della decisione, perché recante argomentazioni obiettivamente inidonee a far conoscere il ragionamento seguito dal giudice per la formazione del proprio convincimento, non potendosi lasciare all'interprete il compito di integrarla con le più varie, ipotetiche congetture (cfr.: Cass. n. 1986/2025). 26 Al contrario, nel caso di specie, il ragionamento del giudice del merito si evince chiaramente dall’esame delle considerazioni esposte in motivazione, ancorché esse non siano condivise da parte ricorrente, la quale le ritiene eccentriche rispetto alle contestazioni contenute nel provvedimento opposto. Nella specie, la già rilevata insussistenza a carico dell’istituto controricorrente di un obbligo di predisposizione di impostazioni predefinite di trattamento dei dati, diverse ed ulteriori rispetto a quelle comunemente utilizzate nello svolgimento della sua normale attività istituzionale, la pari insussistenza anche dei presupposti per lo svolgimento di una preventiva valutazione di impatto, la tipologia e la provenienza dei dati trattati conducono a ritenere giuridicamente corretta la motivazione del giudice del merito, posto che l’istituto non aveva da comprovare in concreto nulla di più rispetto all’organizzazione della sua normale attività. 7. Alla luce di quanto precede, il ricorso va rigettato. Le spese seguono la soccombenza e vanno liquidate come da dispositivo. Sussistono i presupposti processuali, ai sensi dell’art. 13, comma 1- quater, D.P.R. n. 115/02, inserito dall’art. 1, comma 17, legge n. 228/12, per il versamento da parte del ricorrente dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1-bis dello stesso art. 13, se dovuto.
P.Q.M.
La Corte rigetta il ricorso e condanna parte ricorrente a rifondere al controricorrente le spese processuali del giudizio di legittimità, che liquida in euro 200,00 per spese ed euro 12.000,00 per compensi, oltre 15% per rimborso forfettario delle spese generali ed accessori di legge, se ed in quanto dovuti. Sussistono i presupposti processuali, ai sensi dell’art. 13, comma 1- quater, D.P.R. n. 115/02, inserito dall’art. 1, comma 17, legge n. 228/12, 27 per il versamento da parte della ricorrente dell’ulteriore importo a titolo di contributo unificato pari a quello per il ricorso, a norma del comma 1-bis dello stesso art. 13, se dovuto. Così deciso in Roma, nella camera di consiglio della seconda sezione civile della Corte di cassazione, in data 22 gennaio 2026. Il Consigliere ID De RG Il Presidente IL LA