TRIB
Sentenza 17 aprile 2025
Sentenza 17 aprile 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Velletri, sentenza 17/04/2025, n. 841 |
|---|---|
| Giurisdizione : | Trib. Velletri |
| Numero : | 841 |
| Data del deposito : | 17 aprile 2025 |
Testo completo
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO TRIBUNALE DI VELLETRI Prima Sezione Civile Il Tribunale di Velletri, prima sezione civile, in composizione monocratica, nella persona del giudice, dott.ssa Prisca Picalarga, all'esito della camera di consiglio, ha pronunciato ex art. 429 c.p.c. la seguente
SENTENZA nella causa civile iscritta al n. 6217 del Ruolo Generale Affari Contenziosi dell'anno 2021 e vertente
TRA
(C.F. ), rappresentato e difeso dagli Avv.ti Luca Parte_1 C.F._1
Sanna e Tiziana Pica;
- PARTE RICORRENTE-
E
(C.F. Controparte_1
), in persona del legale rappresentante p.t., rappresentata e difesa dall'avv. to Gianluca P.IVA_1
Di Ascenzo;
- PARTE RESISTENTE-
E
(C.F. , in persona del Ministro p.t., rappresentato e Controparte_2 P.IVA_2 difeso dall'Avvocatura Generale dello Stato;
-PARTE RESISTENTE-
OGGETTO: Altri istituti e leggi speciali
CONCLUSIONI: come da note di trattazione scritta per l'udienza del 17 marzo 2025
MOTIVI IN FATTO E IN DIRITTO DELLA DECISIONE 1 Con ricorso ai sensi dell'art. 78 del regolamento (UE) n. 2016/679, dell'art. 152 del d.lgs. n. 196/2003 e dell'art. 10 del d.lgs. n. 150/2011, , evocando in giudizio il Garante per Parte_1 la protezione dei dati personali e della privacy nonché il ha chiesto al Controparte_2 Tribunale: “- in via principale, accogliere la presente impugnazione per le motivazioni esposte in nella parte motiva dell'atto (Capitoli da I a V) e revocare/annullare/rendere inefficace il provvedimento di archiviazione protocollo n. U.0041095 del 06.08.2021 (Documento 1) ed il relativo allegato provvedimento di chiusura indagini protocollo n. U.0040736 del 04.08.2021 (Documento 2), e per l'effetto: - disporre la riforma dei provvedimenti ut supra indicati ordinando al Garante di avviare il procedimento ai sensi dell'art. 12 del Reg. 1/2019 del Garante (doc. 11) con l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del GDPR ai sensi dell'art. 12 del Reg. n. 1/2019 del 4 aprile 2019, per le ragioni di diritto di seguito meglio specificate, in quanto certamente nel caso di specie sono ravvisabili “[…] allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali” (art. 11 lett. b) Reg. 1/2019 – cfr. doc. 11), ovvero, - in via subordinata, nella denegata ipotesi in cui non si riscontri la sussistenza dell'illiceità dei trattamenti del Ministero oggetto del reclamo definito con il provvedimento impugnato, comunque ingiungere all'Autorità Garante di integrare l'istruttoria del procedimento DRP/ML-EP/147880 ai fini di poter superare le condizioni ostative di cui all'art. 11 del Reg. 1/2019 (doc. 11) e permettere così l'avvio del procedimento ai sensi dell'art. 12 del Reg. per l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e/o 83 del Regolamento UE n.
pagina1 di 10 2016/679. Con vittoria delle spese di lite da rifondersi in favore dei procuratori che si dichiarano entrambi antistatari”. L'opponente ha esposto che, essendo affetto da patologia riconosciuta dipendente da causa di servizio ("periartrite scapolo omerale bilaterale [...] e condropatia con lieve gonartrosi del ginocchio sinistro"), otteneva, a seguito di sentenza del Tribunale Civile di Roma, Sez. Lavoro, l'accertamento del diritto all'equo indennizzo con condanna del alla corresponsione. Nel Controparte_2 corso della gestione amministrativa interna della pratica da parte del , numerose CP_2 comunicazioni intercorrevano tra la Direzione per le Risorse Umane e la Direzione Centrale per le
Risorse Finanziarie e Strumentali. Tali comunicazioni interne, contenenti dati personali dell'opponente qualificabili come "categorie particolari di dati" ai sensi dell'art. 9 GDPR (inclusa documentazione medica dettagliata, verbali di Commissioni Mediche Ospedaliere e informazioni sulle vicende giudiziarie), venivano caricate nel sistema di protocollazione documentale "Webarch" in uso presso il Ministero. Detto sistema, pur prevedendo tecnicamente la possibilità di limitare l'accesso ai documenti contenenti dati sensibili, veniva configurato in modo da consentire la libera consultazione di tale documentazione a tutto il personale abilitato all'utilizzo del sistema (circa trecento unità nella sola Direzione Centrale per le risorse finanziarie), senza alcuna restrizione basata sulle mansioni o sulla necessità di conoscere. L'opponente, rilevata tale potenziale violazione della normativa in materia di protezione dei dati personali, inoltrava dapprima segnalazione al
Ministero (25.02.2020), la quale riceveva riscontro solo parziale e non attinente alla violazione privacy lamentata, in violazione dell'art. 12, par. 4, GDPR. Successivamente, in data 27.02.2020, proponeva formale reclamo ex art. 77 GDPR al Garante per la Protezione dei Dati Personali. Il
Garante, dopo oltre 16 mesi (superando i termini previsti dall'art. 143 D.Lgs. 196/2003), chiudeva l'istruttoria in data 04.08.2021 e disponeva l'archiviazione del reclamo in data 05.08.2021. L'opponente ha quindi impugnato il provvedimento di archiviazione del Garante datato 05.08.2021 (Doc. 1) e, per relationem, il presupposto provvedimento di chiusura dell'istruttoria del 04.08.2021
(Doc. 2).
A motivo di tale opposizione ha rilevato: - che il provvedimento del Garante risulta viziato da manifesta illogicità laddove attribuisce all'opponente la responsabilità dell'indebita accessibilità dei propri dati sensibili ("utilizzo improprio del sistema [...] da parte dello stesso reclamante"), nonostante le comunicazioni contenenti tali dati fossero di natura interna tra uffici del e CP_2
l'opponente non avesse avuto alcun ruolo nella loro gestione e protocollazione;
- ha contestato inoltre l'assunto secondo cui spetterebbe all'interessato segnalare la natura sensibile dei dati, essendo onere del Titolare (la P.A.) implementare misure idonee a riconoscerli e trattarli conformemente alla normativa;
- ha eccepito la violazione dei termini procedurali per la gestione del reclamo (mancata informativa sullo stato del procedimento entro 3 mesi, superamento del termine di 9 e 12 mesi per la decisione); - ha lamentato altresì la violazione del principio del contraddittorio e del diritto di partecipazione al procedimento amministrativo (art. 7 ss. L. 241/1990), non essendo stato l'opponente coinvolto nell'istruttoria. Tali violazioni procedurali avrebbero inficiato la validità del provvedimento finale;
- ha contestato al Garante di non aver esercitato compiutamente i propri compiti di sorveglianza e indagine. L'Autorità si sarebbe limitata ad accogliere acriticamente le dichiarazioni del senza svolgere autonome verifiche CP_2 sull'effettiva configurazione del sistema Webarch, sulle misure tecniche e organizzative adottate (art. 24, 25, 32 GDPR), sulla presenza e adeguatezza delle autorizzazioni al trattamento (art. 29
GDPR, art.
2-quaterdecies D.Lgs. 196/2003) e senza richiedere documentazione essenziale quale il
Registro dei Trattamenti (art. 30 GDPR), - ha lamentato il mancato esercizio, da parte del Garante, dei poteri correttivi e di indagine previsti dalla norma. Anche in assenza di presupposti per sanzioni,
l'Autorità avrebbe potuto e dovuto, stante le criticità emerse, quantomeno rivolgere ammonimenti al Ministero (art. 58, par. 2, lett. a) GDPR) o ingiungere l'adozione di misure correttive per adeguare il sistema Webarch e mitigare i rischi di violazione (art. 58, par. 2, lett. d) GDPR), anche nell'ottica di promuovere la cultura della protezione dei dati all'interno della P.A; - ha evidenziato l'omesso riscontro, da parte del , alla segnalazione iniziale dell'opponente del 25.02.2020 in merito CP_2
pagina2 di 10 alle violazioni privacy, in violazione dell'obbligo di riscontro alle istanze dell'interessato (art. 12, par. 4 GDPR). Tale inadempimento del Titolare, non rilevato né sanzionato dal Garante, costituisce ulteriore elemento a sostegno dell'inadeguatezza dell'istruttoria e dell'infondatezza del provvedimento di archiviazione.
2 Instaurato il contradditorio, con memoria di costituzione e risposta, il Garante per la protezione dei dati personali e della privacy e il hanno chiesto: “In via preliminare Controparte_2 dichiarare la propria incompetenza per territorio in favore del Tribunale di Roma, quale Foro erariale;
- Sempre in via preliminare accertare e dichiarare la nullità delle notifiche del ricorso;
- In subordine e nel merito, rigettare il ricorso perché infondato. Spese vinte”. A fondamento di tali conclusioni, i resistenti hanno esposto, in punto di fatto, che in data
27.02.2020, il ricorrente presentava reclamo al GPDP lamentando un presunto trattamento illecito di propri dati personali (inclusi dati relativi alla salute inerenti infermità da causa di servizio) da parte del , datore di lavoro. La doglianza verteva sulla presunta accessibilità Controparte_2 generalizzata ("a chiunque") di comunicazioni relative a sue istanze attraverso il sistema di protocollo informatico ministeriale "Webarch". Il GPDP avviava istruttoria preliminare, informandone il reclamante e richiedendo informazioni dettagliate al Ministero (nota 09.11.2020). Il
, ottenuta proroga, forniva riscontro (nota 13.01.2021) precisando che: a) le CP_2 comunicazioni oggetto di reclamo erano state protocollate nel sistema WeArch e-prot e trasmesse tra Aree Organizzative Omogenee (AOO) competenti (Direzione Politiche Personale e Direzione
Risorse Finanziarie) esclusivamente via PEC. b) la consultazione era avvenuta ad opera di personale specificamente autorizzato in base a mansioni e compiti, tenuto all'obbligo di riservatezza. c) emergeva che il reclamante stesso, dipendente con mansioni di assistente informatico, aveva utilizzato direttamente il sistema Webarch per inoltrare istanze di natura personale (relative alla causa di servizio), bypassando la procedura ordinaria (inoltro tramite il proprio ufficio) e senza segnalare la natura sensibile dei dati contenuti, inviandole contestualmente a più uffici. d) pertanto,
l'eventuale ampliamento della conoscibilità derivava da un "utilizzo improprio del medesimo sistema" da parte del reclamante. Sulla base di tali elementi, ritenuti veritieri (ex art. 168 Codice Privacy), il concludeva per l'insussistenza di violazioni da parte del , rilevando anzi Pt_2 CP_2 la condotta non conforme del reclamante. Conseguentemente, disponeva l'archiviazione del reclamo ai sensi dell'art. 11 Regolamento GPDP n. 1/2019 (provvedimento 06.08.2021), informandone l'interessato. Successivamente, il ricorrente presentava istanza di accesso agli atti (24.09.2021), che veniva accolta dal GPDP, previo contraddittorio con il Ministero e con oscuramento dei dati personali di terzi non necessari (nel rispetto dell'art. 5, par. 1, lett. c) RGPD).
In via preliminare, gli opposti hanno eccepito l'incompetenza del Tribunale adito in favore del
Tribunale di Roma, in applicazione del cd. "Foro erariale" (art. 25 c.p.c.), stante la presenza in giudizio di un'Amministrazione dello Stato ( ) e la nullità della notifica del Controparte_2 ricorso, avvenuta presso le sedi degli enti anziché presso l'Avvocatura Generale dello Stato, difensore ex lege delle Amministrazioni convenute.
In punto di diritto, hanno ribadito che l'uso improprio del sistema di protocollo da parte del ricorrente (assistente informatico) per finalità personali, bypassando le procedure ordinarie, è elemento rilevante e non trascurabile nella valutazione della vicenda.
In ordine alla durata del procedimento e accesso agli atti hanno rilevato che i termini ex art. 143 Codice Privacy sono ordinatori e il loro superamento non vizia il provvedimento finale;
hanno sostenuto che la doglianza sul mancato riscontro all'accesso agli atti è smentita documentalmente, essendo stata l'istanza accolta nei termini di legge (L. 241/1990), e che l'istanza ex art. 210 c.p.c. è dunque infondata.
Hanno ulteriormente dedotto che la procedura seguita dal GPDP è conforme a RGPD, Codice Privacy e Reg. 1/2019. Il reclamante è stato informato dell'avvio e dell'esito; sono state acquisite informazioni dal titolare;
l'archiviazione è stata motivata succintamente come previsto dall'art. 11, c.
2, Reg. 1/2019 per i casi di insussistenza prima facie di violazioni. Hanno proseguito affermando che -l'archiviazione si fonda sull'accertamento che il trattamento dei dati sanitari è avvenuto nel pagina3 di 10 quadro normativo legittimante (D.P.R. 461/2001 per causa di servizio e benefici connessi;
cfr.
Linee Guida GPDP 2007), ad opera di personale competente e autorizzato;
la problematica di accessibilità è riconducibile all'uso improprio del sistema da parte dello stesso reclamante;
- mancando i presupposti di un trattamento illecito da parte del , correttamente il GPDP non CP_2 ha esercitato i poteri di indagine ulteriore o correttivi/sanzionatori ex artt. 57/58 RGPD.
3 Tali i fatti controversi, all'udienza del 22.01.24 il giudice, ritenuta la sussistenza di conflitto di interessi tra l'Autorità Garante per la protezione dei dati personali e il , ha Controparte_2 dichiarato l'inammissibilità della costituzione in giudizio dell'Autorità Garante per la protezione dei dati personali, dichiarato la nullità della notifica del ricorso all'Autorità Garante per la protezione dei dati personali, fissato l'udienza di comparizione delle parti per il giorno 3.06.2024, assegnando alla parte ricorrente termine perentorio sino al 30.03.2024 per rinnovare la notifica del ricorso e dell'ordinanza all'Autorità Garante per la Protezione dei Dati Personali.
4 In data 22.05.2024 si è costituita l'Autorità Garante per la Protezione dei Dati Personali chiedendo “IN VIA PRELIMINARE IN RITO, dichiarare l'inammissibilità del ricorso per la violazione dell'art. 10, co. 3 del D. Lgs. 1 settembre 2011, n. 150; IN VIA PRINCIPALE E NEL MERITO, nella denegata ipotesi che il deposito del ricorso venga ritenuto tempestivo, rigettare il ricorso proposto dal Sig. in quanto infondato in fatto e diritto. Con vittoria di Parte_1 spese, competenze ed onorari del presente giudizio”. In via preliminare ha eccepito l'inammissibilità del ricorso ex art. 10, comma 3, D.Lgs. n. 150/2011 deducendo che il provvedimento del Garante per la Protezione dei Dati Personali impugnato, notificato in data 06.08.2021, è stato oggetto di ricorso depositato presso codesto Tribunale e iscritto a ruolo solo in data 13.10.2021. Detta disposizione normativa impone, a pena di inammissibilità, la proposizione del ricorso entro il termine perentorio di trenta giorni dalla comunicazione del provvedimento. Essendo detto termine ampiamente decorso, ha chiesto la declaratoria di inammissibilità del ricorso.
In subordine, nel merito, ha contestato l'eccepita violazione del termine di conclusione del procedimento (art. 143, comma 3, Codice Privacy e art. 8, comma 2, Regolamento Garante n. 2/2019). Ha argomentato sulla natura meramente ordinatoria, e non perentoria, di detto termine (nel caso di specie, 12 mesi previa proroga motivata). Ha evidenziato altresì che la dies a quo per le
Autorità Indipendenti decorre dalla piena conoscenza dei fatti e che proroghe sono ammissibili e state concesse. L'Autorità ha poi confutato le censure di cui ai paragrafi I), IV) e V) del ricorso, relative a presunta illogicità, carenza istruttoria e travisamento dei fatti. Ha rappresentato, mediante richiamo agli atti del procedimento (all.ti 2-8 fascicolo Garante), la completezza e correttezza dell'attività istruttoria svolta dall'Autorità Garante ed in particolare che: - il Garante ha richiesto puntuali chiarimenti al
(nota U.0042070.09/11/2020) - ha informato il reclamante dell'avvio dell'istruttoria (nota CP_2
U.0042116.09/11/2020) - ha acquisito dettagliato riscontro dal (nota del 13.1.2021), reso CP_2 con consapevolezza della responsabilità ex art. 168 Codice Privacy - da tale riscontro è emerso che la conoscibilità delle note oggetto di reclamo è derivata da un utilizzo improprio del sistema di protocollazione da parte dello stesso reclamante per finalità personali - il Garante ha comunque verificato che il trattamento dei dati (stato di salute) rientrava nel quadro normativo legittimante
(D.P.R. n. 461/2001 e Linee Guida Garante 2007) per finalità connesse al rapporto di lavoro (causa di servizio); - sulla base di tali elementi, in assenza di ulteriori riscontri di violazioni, il Garante ha legittimamente disposto l'archiviazione ex art. 11 Regolamento n. 1/2019. Ha rilevato che l'Autorità ha correttamente esercitato la propria discrezionalità tecnica, con provvedimento immune da vizi logici o travisamenti. Ha chiesto, pertanto, il rigetto anche di tali motivi di ricorso.
5 All'udienza del 7.10.2024 il giudice ha rinviato per la discussione all'udienza del 17 marzo 2025, assegnando alle parti termine per note. All'udienza del 17 marzo 2025, sostituita dal deposito di note scritte, le parti hanno discusso la causa e il giudice si è ritirato in camera di consiglio, pronunciando all'esito la sentenza.
6.1 In via preliminare deve esaminarsi l'eccezione di incompetenza del Tribunale adito.
pagina4 di 10 L'eccezione è infondata. A norma dell'art. 10 comma 2 del d. lgs. 1 settembre 2011, n. 150, rubricato “Delle controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali”: “2. Sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell'interessato”. In argomento la giurisprudenza di legittimità ha precisato che “in tema di competenza per territorio in materia di cause relative alla protezione dei dati personali, quando il Garante per la protezione dei dati personali è parte di una controversia rientrante tra quelle espressamente indicate all'art. 152, comma 1, del d.lgs. n. 196 del 2003, ai sensi dell'art. 10 del d.lgs. n. 150 del 2011 sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell'interessato. Viceversa, quando in una di tali controversie è parte in causa, come titolare del trattamento o ad altro titolo, un'amministrazione statale diversa dal Garante, in applicazione delle regole sul foro erariale, devono ritenersi competenti le sedi dell'Avvocatura distrettuale dello Stato corrispondenti al luogo in cui ha sede il titolare del trattamento o al luogo di residenza dell'interessato (così Cass.,
Sez. 3, Ordinanza n. 24281 del 22/11/2007; Cass., Sez. 6 - 3, Ordinanza n. 2330 del 25/01/2023).
Sussiste quindi la competenza del Tribunale di Velletri, ossia il tribunale del luogo di residenza dello . Pt_1
6.2 Sempre in via preliminare occorre esaminare l'eccezione di tardività del ricorso. L'eccezione è infondata. A norma dell'art. dell'art. 10 comma 2 del d. lgs. 1settembre 2011, n. 150 “Il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell'interessato, è proposto, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero”. Sebbene regolate dal rito del lavoro ex art. 10 del d.lgs. n. 150 del 2011, le controversie in materia di protezione dei dati personali sono soggette alla sospensione feriale dei termini, poiché
l'esclusione prevista dall'art. 3 della l. n. 742 del 1969 per le controversie di lavoro si riferisce alla natura della causa e non al rito da cui è disciplinata (si veda Cass., Sez. 6 -
2, Ordinanza n. 22389 del 02/11/2015).
Pertanto, rilevata la notifica del provvedimento impugnato in data 05.08.2021 e il deposito del ricorso in data 29.09.2021, lo stesso deve dirsi tempestivo.
7.1 Nel merito, il ricorso è infondato per i motivi che seguono. Previamente deve evidenziarsi che la presente controversia rientra nella fattispecie di cui all'art. 78 del Regolamento UE 679/16 (Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo) secondo cui “ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda”. A tal proposito l'art. 152 del D. lgs. 196/03, come modificato dal D. lgs. 101/2018 prevede, che “1. Tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli
78 e 79 del Regolamento e quelli, comunque, riguardanti l'applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell'articolo 82 del medesimo Regolamento, sono attribuite all'autorità giudiziaria ordinaria.
1-bis. Le controversie di cui al comma 1 sono disciplinate dall'articolo 10 del decreto legislativo 1° settembre 2011, n. 150”. L'art. 10 del decreto legislativo 1° settembre 2011, n. 150 (Delle controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali), prevede, al comma 1 che le controversie previste dall'articolo 152 del decreto legislativo 30 giugno 2003, n. 196, sono regolate dal rito del lavoro, ove non diversamente disposto dal presente articolo. Il comma 10 prevede che la sentenza che definisce il giudizio non è appellabile e può prescrivere le misure necessarie anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248,
pagina5 di 10 allegato E), anche in relazione all'eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno. 7.2 Le censure sollevate dall'opponente nel primo motivo di impugnazione nonché parte delle doglianze contenute nel terzo e quarto motivo possono essere tutte ricondotte alla figura sintomatica del vizio di legittimità dell'eccesso di potere.
Le censure risultano infondate.
In primo luogo, giova evidenziare che la valutazione, operata dal Garante, dell'adeguatezza delle misure tecniche e organizzative (art. 32 GDPR) e l'analisi dei rischi intrinseci a certi trattamenti o violazioni costituiscono esercizio di discrezionalità tecnica. Pertanto, in disparte la questione in ordine all'ampiezza del sindacato del giudice sulla discrezionalità tecnica (sindacato estrinseco o intrinseco), costituisce ius receptum il principio per cui il giudice non può sostituire la propria valutazione tecnica a quella della Pubblica Amministrazione latu sensu intesa.
Il controllo giudiziale mira a verificare la legittimità e l'attendibilità dell'esercizio del potere tecnico-discrezionale; il giudice può quindi annullare l'atto se la valutazione tecnica è viziata
(poiché basata su criteri errati, illogica, irragionevole, non supportata da adeguata istruttoria), ma non può imporre una diversa valutazione tecnica. In secondo luogo, preme sottolinearsi che a norma dell'art. 10 del Regolamento n. 1/2019 (concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali), rubricato
“Istruttoria preliminare”: “1. Il reclamo regolarmente presentato non comporta la necessaria adozione di un provvedimento del Collegio ai sensi dell'articolo 143, comma 1, del Codice.
2. Il dipartimento, servizio o altra unità organizzativa cui il reclamo è assegnato avvia un'istruttoria preliminare e, fermo restando quanto previsto dall'articolo 8, commi 1 e 2, del presente articolo informa l'istante dello stato o dell'esito del reclamo entro tre mesi dalla data della sua ricezione o della sua regolarizzazione”. Ciò premesso, il provvedimento impugnato si fonda su un'accurata e completa istruttoria (in particolare le note oggetto di reclamo (a) Prot. n. 2018-000763 I;
b) Prot. n. 2018-00184271; c)
Prot. n. 2019-0068536 I;
d) Prot. n. 2020-0099942 I) e le “memorie” delle parti), nel corso della quale sono stati esaminati gli elementi pertinenti forniti dalle parti e acquisiti d'ufficio. Non vi è stata alcuna omissione rilevante né travisamento dei fatti essenziali posti a base della decisione.
Non sussiste, pertanto, il lamentato difetto di istruttoria. In particolare, deve evidenziarsi che l'Autorità Garante, a mezzo nota prot. U.0042070.09/11/2020, rif. DRP/ML -EP/14788, ha chiesto al Ministero opposto ed al RPD incaricato “le modalità con cui le note oggetto di reclamo sono state protocollate, indicando tutti i soggetti o le categorie di soggetti abilitati alla consultazione di dette note e i motivi per i quali essi avrebbero necessità di accedere alle stesse;
- in generale, le misure con le quali viene assicurata la riservatezza di atti e documenti che contengono dati personali dei dipendenti, anche relativi a categorie particolari, specificando la tipologia di atti per i quali è previsto che siano protocollati in forma riservata”. Come già evidenziato, l'opponente ha lamentato che tutte le comunicazioni intercorse tra il e il reclamante, in relazione a talune istanze presentate da quest'ultimo con riguardo ad CP_2 infermità riconosciute per causa di servizio, contenenti anche dati relativi alla salute, sarebbero avvenute “attraverso il protocollo informatico (http://webarchl.dippp.interno.it)”, essendo
“accessibili a chiunque”, in violazione dell'“obbligo di riservatezza”. Con la nota prot. n. 42070 del 9 novembre 2020 il Ministero, il quale risponde ai sensi dell'art. 168 del codice della privacy per “Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante”, ha dichiarato che i documenti in questione sono stati registrati ufficialmente con il sistema di protocollo informatico WeArch e-prot, in uso alle Aree Organizzative Omogenee (AOO) del Dipartimento competente, inclusa l'AOO ricevente (Direzione centrale per le risorse finanziarie e strumentali), ciascuna per i propri compiti. Contr Le comunicazioni tra le due sono avvenute esclusivamente tramite Posta Elettronica
pagina6 di 10 Certificata (PEC). In particolare, le note specifiche oggetto del reclamo (a) Prot. n. 2018-000763 I;
b) Prot. n. 2018-00184271; c) Prot. n. 2019-0068536 I;
d) Prot. n. 2020-0099942 I) sono state inviate dal sistema di protocollo dell'AOO Direzione centrale per le politiche del personale (ex
Direzione centrale risorse umane) via PEC all'AOO Direzione centrale per le risorse finanziarie e strumentali.
Il ha dichiarato, altresì, che la consultazione degli atti menzionati è stata permessa solo a CP_2 personale specificamente abilitato, in linea con le loro responsabilità professionali e i compiti loro assegnati di volta in volta. Tale personale era inoltre vincolato al rispetto della riservatezza.
Nel dettaglio, dall'analisi delle comunicazioni inviate il 13 e 25 febbraio 2020, emerge che queste non sono state inoltrate tramite l'ufficio di appartenenza del dipendente. È risultato invece che sia stato lo stesso dipendente a utilizzare direttamente il sistema di protocollazione dell'Amministrazione. Si è concluso, pertanto, che lo stesso opponente abbia utilizzato il sistema Webarch per inviare comunicazioni non attinenti alla sua attività professionale, ma per inoltrare richieste di carattere personale.
Peraltro, dalla verifica sul sistema Webarch, è risultato che tali richieste sono state inviate personalmente dall'interessato, non tramite il suo ufficio, e indirizzate non solo all' ma CP_4 anche alla del Dipartimento senza Controparte_5 alcuna segnalazione o evidenziazione della natura 'sensibile' del contenuto.
Da ciò ne consegue che, coerentemente con quanto statuito dal Garante, la problematica sollevata riguardo alla possibile accessibilità indiscriminata dei dati tramite il protocollo Webarch è stata, di fatto, causata dallo stesso attraverso un utilizzo non appropriato di tale sistema. Pt_1 Il Garante ha altresì precisato che “In ogni caso, i trattamenti di dati personali in questione risultano avvenuti nell'ambito di un preciso quadro normativo in materia di riconoscimento della dipendenza delle infermità da causa di servizio, di concessione della pensione privilegiata ordinaria e di equo indennizzo di cui al D.P.R. 29 ottobre 2001, n. 461 (v. in particolare, artt. 4, comma 2, 14 e 15), in base al quale l'amministrazione può trattare legittimamente dati idonei a rivelare lo stato di salute dei propri dipendenti, nell'ambito dei relativi procedimenti, per concedere i benefici di legge che spettano al lavoratore (cfr. par.
8.4 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" adottate dal Garante il 14 giugno 2007, doc. web n. 1417809)”. Data l'assenza di ulteriori elementi probanti idonei e l'assenza di alcuna infrazione alla normativa rilevante in materia di privacy, il Garante ha proceduto all'archiviazione del reclamo. Alla luce delle considerazioni soprarichiamate, l'analisi degli atti dimostra una puntuale aderenza della decisione alle risultanze fattuali emerse in sede istruttoria, la motivazione del provvedimento impugnato esplicita chiaramente le ragioni di fatto e di diritto che hanno condotto alla decisione finale, dovendosi escludere vizi di contraddittorietà o di manifesta illogicità. Parimenti, le disposizioni normative di riferimento sono state interpretate e applicate in modo corretto e coerente con la loro ratio legis.
In particolare, l'Autorità ha applicato correttamente la normativa di settore interpretandola in modo ragionevole e coerente con le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico adottate dal Garante il 14 giugno 2007. L'applicazione fatta non risulta né arbitraria né frutto di un'interpretazione palesemente errata o distorta.
7.3 Quanto alla seconda doglianza per cui vi sarebbe violazione da parte dell'autorità dell'art. 143 del d. lgs. 196/2003 si osserva quanto segue. A norma dell'art. 143, comma 3, del d. lgs. 196/2003 “Il Garante decide il reclamo entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data informa l'interessato sullo stato del procedimento. In presenza di motivate esigenze istruttorie, che il Garante comunica all'interessato, il reclamo è deciso entro dodici mesi. In caso di attivazione del procedimento di pagina7 di 10 cooperazione di cui all'articolo 60 del Regolamento, il termine rimane sospeso per la durata del predetto procedimento”. Nella fattispecie in esame, il reclamo è stato presentato in data 27.02.20.
Con nota del 4.12.2020, il chiedeva una proroga, fino al 13.01.2021, per la trasmissione CP_2 delle informazioni richieste dal Garante, poiché l'adempimento richiedeva l'acquisizione di informazioni ed elementi da diversi uffici dell'Amministrazione e il Garante, con nota del 21.12. 2020, accoglieva la richiesta. Ciò nonostante, l'archiviazione del reclamo è avvenuta in data 04.08.2021. Risulta quindi dirimente qualificare la natura perentoria ovvero ordinatoria del termine di conclusione del procedimento amministrativo. In primo luogo, occorre rilevare che l'art. 143 del d. lgs. 196/2003 non correla al superamento del termine un effetto decadenziale né qualifica espressamente tale termine come perentorio. Merita richiamarsi quei principi giurisprudenziali per cui “il carattere della perentorietà del termine può essere attribuito ad una scadenza temporale solo da una espressa norma di legge. Pertanto, in assenza di specifica disposizione che espressamente preveda il termine come perentorio, comminando la perdita della possibilità di azione da parte dell'Amministrazione al suo spirare o la specifica sanzione della decadenza, il termine va inteso come meramente sollecitatorio o ordinatorio, sicché il suo superamento non determina l'illegittimità dell'atto” (Consiglio di Stato sez. V, 07/03/2023). La giurisprudenza ha altresì sottolineato che “l'individuazione del termine come perentorio - oltre che dalla definizione come tale - discende in primo luogo dalla ragione della sua introduzione, normalmente consistente nell'esigenza di celerità insita nella fase specifica del procedimento, in coerenza con la giurisprudenza prevalente, secondo cui, per i termini esistenti all'interno del procedimento amministrativo, il carattere perentorio o meno deve essere ricavato dalla loro 'ratio'” (Cons. Stato, Adunanza Plenaria, n. 10 del 2014), nonché dalle specifiche esigenze di rilievo pubblico che lo svolgimento di un adempimento in un arco di tempo prefissato è indirizzato a soddisfare. Deve a tal punto precisarsi che il procedimento del Garante per la protezione dei dati personali a seguito di reclamo non ha, di per sé, natura esclusivamente sanzionatoria ma solo eventualmente sanzionatoria.
La procedura avviata a seguito di un reclamo ha principalmente una funzione di accertamento e di tutela dei diritti dell'interessato. Il Garante, una volta ricevuto un reclamo, svolge un'istruttoria per verificare se il trattamento dei dati personali effettuato dal titolare o dal responsabile del trattamento sia conforme alla normativa vigente (Regolamento UE 2016/679 - GDPR e d.lgs. 196/2003 e s.m.i.). Nella fattispecie in esame, il procedimento si è concluso con l'archiviazione del reclamo;
pertanto, ad esso non risultano riferibili le considerazioni in ordine al potere sanzionatorio attribuito dal legislatore alle Autorità Amministrative Indipendenti che laddove presenti i cosiddetti “Engel criteria”, in base alla giurisprudenza della CEDU, è qualificato come sostanzialmente penale, con carattere dunque tassativo e di stretta legalità.
Nella specie, considerato che il provvedimento impugnato non ha natura sanzionatoria bensì dispone l'archiviazione del reclamo, non si ritengono sussistenti esigenze di rilievo pubblico, sicché trovano applicazione i principi consolidati della giurisprudenza amministrativa, secondo cui il termine di conclusione del procedimento riveste, di regola, natura ordinatoria, con la conseguenza che il mancato rispetto del medesimo non vizia l'atto adottato tardivamente (si veda sul punto
Consiglio di Stato, sez. VI, 25 maggio 2020, n. 3307 e Consiglio di Stato sez. VI, 08/07/2015,
n.3401). 7.4 Ancora, risultano infondate le censure in ordine all'assenza di “qualsivoglia contraddittorio con l'interessato reclamante”.
pagina8 di 10 Si è già evidenziato che il contraddittorio sia stato adeguatamente garantito attraverso le diverse fasi del “procedimento amministrativo” e, in particolare, della fase istruttoria (immune da vizi), del cui avvio è stato dato avviso al reclamante (nota U.0042116.09/11/2020).
Per una completa disanima della disciplina del procedimento relativo all'esame dei reclami, il quale prevede modalità semplificate e termini abbreviati per la trattazione di reclami riguardanti la violazione degli articoli da 15 a 22 del Regolamento (UE) 2016/679 (GDPR), adottato dal Garante, si rinvia alla Deliberazione del 4 aprile 2019 - Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali.
7.5 Deve a tal punto rilevarsi che la circostanza, processualmente assorbente, per cui la problematica sollevata riguardo alla possibile accessibilità indiscriminata dei dati tramite il protocollo Webarch è stata, di fatto, causata dallo stesso attraverso un utilizzo non Pt_1 appropriato di tale sistema, sarebbe di per sé sufficiente a esimere l'intestato Tribunale dal vagliare le ulteriori censure articolate nel ricorso.
Ciò nonostante, il Tribunale rileva quanto segue. Le residue censure in ordine alla violazione dell'art 57 del Regolamento, eccetto quelle già esaminate sopra, si sostanziano in una mera elencazione di norme giuridiche avulse dalla specifica vicenda oggetto di contestazione.
A tal riguardo, sebbene non esista una disciplina ad hoc sui requisiti del ricorso giurisdizionale avverso una decisione giuridicamente vincolante dell'autorità di controllo, anche laddove non si aderisca alla tesi per cui il giudizio avverso un provvedimento del Garante abbia natura impugnatoria, preme rilevarsi che il ricorso giurisdizionale deve essere necessariamente specifico e motivato. Ogni motivo di censura deve indicare le ragioni in fatto e in diritto per cui si contesta la legittimità o la fondatezza del provvedimento di archiviazione, gli errori che si ritengono siano stati commessi dal Garante nella valutazione del reclamo o nella motivazione dell'archiviazione nonché l'esplicita e puntuale connessione con i fatti che hanno originato il reclamo e la successiva decisione. Dacché, le predette residue doglianze, così come esposte dall'opponente, risultano affette da genericità e non forniscono all'organo giudicante gli elementi necessari per valutarne la fondatezza.
7.6 Medesime conclusioni dovrebbero, in vero, predicarsi in ordine alla lamentata violazione dell'art. 58 del Regolamento U.E. n. 679/2016. Sotto tal profilo, deve comunque aggiungersi che, nel merito, risultano prive di pregio le doglianze circa l'omessa opera di “moral suasion finalizzata a sensibilizzare, diffondere la cultura della privacy e ad innalzare il livello di adeguatezza delle misure di tutela dei dati personali adottate negli uffici […] di una delle Pubbliche amministrazioni dai compiti di maggiore rilievo e delicatezza” atteso che il , con riferimento alla nota n. U.0042070.09, ha dichiarato che Controparte_2
“Per ciò che attiene altresì alle misure con le quali viene garantita la riservatezza di atti e documenti contenenti dati personali, si comunica che in ogni caso i dipendenti sono sempre stati informati circa l'obbligo di riservatezza, e, a tal fine, di recente sono state emanate istruzioni ai dirigenti, affinché richiamino i singoli dipendenti alla corretta trattazione di tali documenti, nel rispetto dell'art. 15 del D.P.R. 10/1/1957 n. 3 e a non diffondere in alcun modo documenti o informazioni contenenti dati sensibili o personali che non abbiano attinenza con lo svolgimento delle proprie specifiche mansioni, ai sensi dell'art. 616 c.p., e dal GDPR Regolamento Generale sulla Protezione
Dati, in vigore in tutti i paesi dell'Unione Europea dal 25 maggio 2018 (General Data Protection Regulation, Regolamento UE n. 2016/679)”. Vista l'assenza di alcuna violazione della normativa di settore addebitabile al , rilevato CP_2 altresì che i dipendenti erano stati puntualmente informati circa l'obbligo di riservatezza, non vi era necessità alcuna, in capo al Garante, di sensibilizzare e diffondere la cultura della privacy.
7.7 Da ultimo, anche la doglianza avente ad oggetto la violazione da parte del
[...]
del combinato disposto degli art. 12, parag. 4 e 15 del regolamento UE n. 2016/679 è CP_2 priva di fondamento.
pagina9 di 10 In primo luogo, si evidenzia che l'opponente non aveva specificamente contestato la Nota Ministeriale nel reclamo originariamente presentato dinanzi al Garante. Ciò detto, deve rilevarsi che la nota, quand'anche fossero accertate le violazioni ad essa ascritte, non può in alcun modo invalidare la decisione del Garante di archiviazione del procedimento.
Non sussiste alcun nesso di causalità diretto e necessario tra le presunte violazioni della nota ministeriale e la decisione del Garante;
quest'ultima è stata adottata all'esito di un'istruttoria che ha portato il Garante a ritenere, per le ragioni soprarichiamate ed espresse nel provvedimento stesso, che non sussistono gli elementi per procedere ulteriormente. L'istanza di emissione dell'ordine di esibizione del fascicolo istruttorio custodito dal Garante per la protezione dei dati personali formulata da parte opponente risulta, all'evidenza, inammissibile dacché, risulta in atti, che l'istanza di accesso agli atti ai sensi della l. n. 241 del 7 agosto 1990 è stata accolta. Per tutti i motivi sopra indicati, il ricorso va respinto.
8 Le spese di lite seguono il principio della soccombenza e si liquidano in dispositivo alla stregua dei parametri di cui al D.M. 55/2014 (così come aggiornati dal D.M. 147/2022) tenuto conto del valore indeterminabile (complessità bassa) della controversia e dei valori medi previsti per ciascuna fase, minimi per la fase istruttoria documentale.
P.Q.M.
Il Tribunale di Velletri, prima sezione civile, in composizione monocratica e nella persona del giudice dott.ssa Prisca Picalarga, definitivamente pronunciando nel processo in epigrafe, ogni contraria istanza, eccezione e difesa disattese, così provvede:
- 1 rigetta il ricorso;
- 2 condanna , al pagamento, in favore del , in persona del Parte_1 Controparte_2
Ministro p.t., e dell'Autorità Garante per la Protezione dei Dati Personali, in persona del legale rappresentante p.t., delle spese di lite che si liquidano per ciascuna parte in euro 6.713,00 per compensi oltre rimborso spese generali, IVA e CPA come per legge.
Velletri, 17 aprile 2025
Il giudice
Dott.ssa Prisca Picalarga
pagina10 di 10
SENTENZA nella causa civile iscritta al n. 6217 del Ruolo Generale Affari Contenziosi dell'anno 2021 e vertente
TRA
(C.F. ), rappresentato e difeso dagli Avv.ti Luca Parte_1 C.F._1
Sanna e Tiziana Pica;
- PARTE RICORRENTE-
E
(C.F. Controparte_1
), in persona del legale rappresentante p.t., rappresentata e difesa dall'avv. to Gianluca P.IVA_1
Di Ascenzo;
- PARTE RESISTENTE-
E
(C.F. , in persona del Ministro p.t., rappresentato e Controparte_2 P.IVA_2 difeso dall'Avvocatura Generale dello Stato;
-PARTE RESISTENTE-
OGGETTO: Altri istituti e leggi speciali
CONCLUSIONI: come da note di trattazione scritta per l'udienza del 17 marzo 2025
MOTIVI IN FATTO E IN DIRITTO DELLA DECISIONE 1 Con ricorso ai sensi dell'art. 78 del regolamento (UE) n. 2016/679, dell'art. 152 del d.lgs. n. 196/2003 e dell'art. 10 del d.lgs. n. 150/2011, , evocando in giudizio il Garante per Parte_1 la protezione dei dati personali e della privacy nonché il ha chiesto al Controparte_2 Tribunale: “- in via principale, accogliere la presente impugnazione per le motivazioni esposte in nella parte motiva dell'atto (Capitoli da I a V) e revocare/annullare/rendere inefficace il provvedimento di archiviazione protocollo n. U.0041095 del 06.08.2021 (Documento 1) ed il relativo allegato provvedimento di chiusura indagini protocollo n. U.0040736 del 04.08.2021 (Documento 2), e per l'effetto: - disporre la riforma dei provvedimenti ut supra indicati ordinando al Garante di avviare il procedimento ai sensi dell'art. 12 del Reg. 1/2019 del Garante (doc. 11) con l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del GDPR ai sensi dell'art. 12 del Reg. n. 1/2019 del 4 aprile 2019, per le ragioni di diritto di seguito meglio specificate, in quanto certamente nel caso di specie sono ravvisabili “[…] allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali” (art. 11 lett. b) Reg. 1/2019 – cfr. doc. 11), ovvero, - in via subordinata, nella denegata ipotesi in cui non si riscontri la sussistenza dell'illiceità dei trattamenti del Ministero oggetto del reclamo definito con il provvedimento impugnato, comunque ingiungere all'Autorità Garante di integrare l'istruttoria del procedimento DRP/ML-EP/147880 ai fini di poter superare le condizioni ostative di cui all'art. 11 del Reg. 1/2019 (doc. 11) e permettere così l'avvio del procedimento ai sensi dell'art. 12 del Reg. per l'adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e/o 83 del Regolamento UE n.
pagina1 di 10 2016/679. Con vittoria delle spese di lite da rifondersi in favore dei procuratori che si dichiarano entrambi antistatari”. L'opponente ha esposto che, essendo affetto da patologia riconosciuta dipendente da causa di servizio ("periartrite scapolo omerale bilaterale [...] e condropatia con lieve gonartrosi del ginocchio sinistro"), otteneva, a seguito di sentenza del Tribunale Civile di Roma, Sez. Lavoro, l'accertamento del diritto all'equo indennizzo con condanna del alla corresponsione. Nel Controparte_2 corso della gestione amministrativa interna della pratica da parte del , numerose CP_2 comunicazioni intercorrevano tra la Direzione per le Risorse Umane e la Direzione Centrale per le
Risorse Finanziarie e Strumentali. Tali comunicazioni interne, contenenti dati personali dell'opponente qualificabili come "categorie particolari di dati" ai sensi dell'art. 9 GDPR (inclusa documentazione medica dettagliata, verbali di Commissioni Mediche Ospedaliere e informazioni sulle vicende giudiziarie), venivano caricate nel sistema di protocollazione documentale "Webarch" in uso presso il Ministero. Detto sistema, pur prevedendo tecnicamente la possibilità di limitare l'accesso ai documenti contenenti dati sensibili, veniva configurato in modo da consentire la libera consultazione di tale documentazione a tutto il personale abilitato all'utilizzo del sistema (circa trecento unità nella sola Direzione Centrale per le risorse finanziarie), senza alcuna restrizione basata sulle mansioni o sulla necessità di conoscere. L'opponente, rilevata tale potenziale violazione della normativa in materia di protezione dei dati personali, inoltrava dapprima segnalazione al
Ministero (25.02.2020), la quale riceveva riscontro solo parziale e non attinente alla violazione privacy lamentata, in violazione dell'art. 12, par. 4, GDPR. Successivamente, in data 27.02.2020, proponeva formale reclamo ex art. 77 GDPR al Garante per la Protezione dei Dati Personali. Il
Garante, dopo oltre 16 mesi (superando i termini previsti dall'art. 143 D.Lgs. 196/2003), chiudeva l'istruttoria in data 04.08.2021 e disponeva l'archiviazione del reclamo in data 05.08.2021. L'opponente ha quindi impugnato il provvedimento di archiviazione del Garante datato 05.08.2021 (Doc. 1) e, per relationem, il presupposto provvedimento di chiusura dell'istruttoria del 04.08.2021
(Doc. 2).
A motivo di tale opposizione ha rilevato: - che il provvedimento del Garante risulta viziato da manifesta illogicità laddove attribuisce all'opponente la responsabilità dell'indebita accessibilità dei propri dati sensibili ("utilizzo improprio del sistema [...] da parte dello stesso reclamante"), nonostante le comunicazioni contenenti tali dati fossero di natura interna tra uffici del e CP_2
l'opponente non avesse avuto alcun ruolo nella loro gestione e protocollazione;
- ha contestato inoltre l'assunto secondo cui spetterebbe all'interessato segnalare la natura sensibile dei dati, essendo onere del Titolare (la P.A.) implementare misure idonee a riconoscerli e trattarli conformemente alla normativa;
- ha eccepito la violazione dei termini procedurali per la gestione del reclamo (mancata informativa sullo stato del procedimento entro 3 mesi, superamento del termine di 9 e 12 mesi per la decisione); - ha lamentato altresì la violazione del principio del contraddittorio e del diritto di partecipazione al procedimento amministrativo (art. 7 ss. L. 241/1990), non essendo stato l'opponente coinvolto nell'istruttoria. Tali violazioni procedurali avrebbero inficiato la validità del provvedimento finale;
- ha contestato al Garante di non aver esercitato compiutamente i propri compiti di sorveglianza e indagine. L'Autorità si sarebbe limitata ad accogliere acriticamente le dichiarazioni del senza svolgere autonome verifiche CP_2 sull'effettiva configurazione del sistema Webarch, sulle misure tecniche e organizzative adottate (art. 24, 25, 32 GDPR), sulla presenza e adeguatezza delle autorizzazioni al trattamento (art. 29
GDPR, art.
2-quaterdecies D.Lgs. 196/2003) e senza richiedere documentazione essenziale quale il
Registro dei Trattamenti (art. 30 GDPR), - ha lamentato il mancato esercizio, da parte del Garante, dei poteri correttivi e di indagine previsti dalla norma. Anche in assenza di presupposti per sanzioni,
l'Autorità avrebbe potuto e dovuto, stante le criticità emerse, quantomeno rivolgere ammonimenti al Ministero (art. 58, par. 2, lett. a) GDPR) o ingiungere l'adozione di misure correttive per adeguare il sistema Webarch e mitigare i rischi di violazione (art. 58, par. 2, lett. d) GDPR), anche nell'ottica di promuovere la cultura della protezione dei dati all'interno della P.A; - ha evidenziato l'omesso riscontro, da parte del , alla segnalazione iniziale dell'opponente del 25.02.2020 in merito CP_2
pagina2 di 10 alle violazioni privacy, in violazione dell'obbligo di riscontro alle istanze dell'interessato (art. 12, par. 4 GDPR). Tale inadempimento del Titolare, non rilevato né sanzionato dal Garante, costituisce ulteriore elemento a sostegno dell'inadeguatezza dell'istruttoria e dell'infondatezza del provvedimento di archiviazione.
2 Instaurato il contradditorio, con memoria di costituzione e risposta, il Garante per la protezione dei dati personali e della privacy e il hanno chiesto: “In via preliminare Controparte_2 dichiarare la propria incompetenza per territorio in favore del Tribunale di Roma, quale Foro erariale;
- Sempre in via preliminare accertare e dichiarare la nullità delle notifiche del ricorso;
- In subordine e nel merito, rigettare il ricorso perché infondato. Spese vinte”. A fondamento di tali conclusioni, i resistenti hanno esposto, in punto di fatto, che in data
27.02.2020, il ricorrente presentava reclamo al GPDP lamentando un presunto trattamento illecito di propri dati personali (inclusi dati relativi alla salute inerenti infermità da causa di servizio) da parte del , datore di lavoro. La doglianza verteva sulla presunta accessibilità Controparte_2 generalizzata ("a chiunque") di comunicazioni relative a sue istanze attraverso il sistema di protocollo informatico ministeriale "Webarch". Il GPDP avviava istruttoria preliminare, informandone il reclamante e richiedendo informazioni dettagliate al Ministero (nota 09.11.2020). Il
, ottenuta proroga, forniva riscontro (nota 13.01.2021) precisando che: a) le CP_2 comunicazioni oggetto di reclamo erano state protocollate nel sistema WeArch e-prot e trasmesse tra Aree Organizzative Omogenee (AOO) competenti (Direzione Politiche Personale e Direzione
Risorse Finanziarie) esclusivamente via PEC. b) la consultazione era avvenuta ad opera di personale specificamente autorizzato in base a mansioni e compiti, tenuto all'obbligo di riservatezza. c) emergeva che il reclamante stesso, dipendente con mansioni di assistente informatico, aveva utilizzato direttamente il sistema Webarch per inoltrare istanze di natura personale (relative alla causa di servizio), bypassando la procedura ordinaria (inoltro tramite il proprio ufficio) e senza segnalare la natura sensibile dei dati contenuti, inviandole contestualmente a più uffici. d) pertanto,
l'eventuale ampliamento della conoscibilità derivava da un "utilizzo improprio del medesimo sistema" da parte del reclamante. Sulla base di tali elementi, ritenuti veritieri (ex art. 168 Codice Privacy), il concludeva per l'insussistenza di violazioni da parte del , rilevando anzi Pt_2 CP_2 la condotta non conforme del reclamante. Conseguentemente, disponeva l'archiviazione del reclamo ai sensi dell'art. 11 Regolamento GPDP n. 1/2019 (provvedimento 06.08.2021), informandone l'interessato. Successivamente, il ricorrente presentava istanza di accesso agli atti (24.09.2021), che veniva accolta dal GPDP, previo contraddittorio con il Ministero e con oscuramento dei dati personali di terzi non necessari (nel rispetto dell'art. 5, par. 1, lett. c) RGPD).
In via preliminare, gli opposti hanno eccepito l'incompetenza del Tribunale adito in favore del
Tribunale di Roma, in applicazione del cd. "Foro erariale" (art. 25 c.p.c.), stante la presenza in giudizio di un'Amministrazione dello Stato ( ) e la nullità della notifica del Controparte_2 ricorso, avvenuta presso le sedi degli enti anziché presso l'Avvocatura Generale dello Stato, difensore ex lege delle Amministrazioni convenute.
In punto di diritto, hanno ribadito che l'uso improprio del sistema di protocollo da parte del ricorrente (assistente informatico) per finalità personali, bypassando le procedure ordinarie, è elemento rilevante e non trascurabile nella valutazione della vicenda.
In ordine alla durata del procedimento e accesso agli atti hanno rilevato che i termini ex art. 143 Codice Privacy sono ordinatori e il loro superamento non vizia il provvedimento finale;
hanno sostenuto che la doglianza sul mancato riscontro all'accesso agli atti è smentita documentalmente, essendo stata l'istanza accolta nei termini di legge (L. 241/1990), e che l'istanza ex art. 210 c.p.c. è dunque infondata.
Hanno ulteriormente dedotto che la procedura seguita dal GPDP è conforme a RGPD, Codice Privacy e Reg. 1/2019. Il reclamante è stato informato dell'avvio e dell'esito; sono state acquisite informazioni dal titolare;
l'archiviazione è stata motivata succintamente come previsto dall'art. 11, c.
2, Reg. 1/2019 per i casi di insussistenza prima facie di violazioni. Hanno proseguito affermando che -l'archiviazione si fonda sull'accertamento che il trattamento dei dati sanitari è avvenuto nel pagina3 di 10 quadro normativo legittimante (D.P.R. 461/2001 per causa di servizio e benefici connessi;
cfr.
Linee Guida GPDP 2007), ad opera di personale competente e autorizzato;
la problematica di accessibilità è riconducibile all'uso improprio del sistema da parte dello stesso reclamante;
- mancando i presupposti di un trattamento illecito da parte del , correttamente il GPDP non CP_2 ha esercitato i poteri di indagine ulteriore o correttivi/sanzionatori ex artt. 57/58 RGPD.
3 Tali i fatti controversi, all'udienza del 22.01.24 il giudice, ritenuta la sussistenza di conflitto di interessi tra l'Autorità Garante per la protezione dei dati personali e il , ha Controparte_2 dichiarato l'inammissibilità della costituzione in giudizio dell'Autorità Garante per la protezione dei dati personali, dichiarato la nullità della notifica del ricorso all'Autorità Garante per la protezione dei dati personali, fissato l'udienza di comparizione delle parti per il giorno 3.06.2024, assegnando alla parte ricorrente termine perentorio sino al 30.03.2024 per rinnovare la notifica del ricorso e dell'ordinanza all'Autorità Garante per la Protezione dei Dati Personali.
4 In data 22.05.2024 si è costituita l'Autorità Garante per la Protezione dei Dati Personali chiedendo “IN VIA PRELIMINARE IN RITO, dichiarare l'inammissibilità del ricorso per la violazione dell'art. 10, co. 3 del D. Lgs. 1 settembre 2011, n. 150; IN VIA PRINCIPALE E NEL MERITO, nella denegata ipotesi che il deposito del ricorso venga ritenuto tempestivo, rigettare il ricorso proposto dal Sig. in quanto infondato in fatto e diritto. Con vittoria di Parte_1 spese, competenze ed onorari del presente giudizio”. In via preliminare ha eccepito l'inammissibilità del ricorso ex art. 10, comma 3, D.Lgs. n. 150/2011 deducendo che il provvedimento del Garante per la Protezione dei Dati Personali impugnato, notificato in data 06.08.2021, è stato oggetto di ricorso depositato presso codesto Tribunale e iscritto a ruolo solo in data 13.10.2021. Detta disposizione normativa impone, a pena di inammissibilità, la proposizione del ricorso entro il termine perentorio di trenta giorni dalla comunicazione del provvedimento. Essendo detto termine ampiamente decorso, ha chiesto la declaratoria di inammissibilità del ricorso.
In subordine, nel merito, ha contestato l'eccepita violazione del termine di conclusione del procedimento (art. 143, comma 3, Codice Privacy e art. 8, comma 2, Regolamento Garante n. 2/2019). Ha argomentato sulla natura meramente ordinatoria, e non perentoria, di detto termine (nel caso di specie, 12 mesi previa proroga motivata). Ha evidenziato altresì che la dies a quo per le
Autorità Indipendenti decorre dalla piena conoscenza dei fatti e che proroghe sono ammissibili e state concesse. L'Autorità ha poi confutato le censure di cui ai paragrafi I), IV) e V) del ricorso, relative a presunta illogicità, carenza istruttoria e travisamento dei fatti. Ha rappresentato, mediante richiamo agli atti del procedimento (all.ti 2-8 fascicolo Garante), la completezza e correttezza dell'attività istruttoria svolta dall'Autorità Garante ed in particolare che: - il Garante ha richiesto puntuali chiarimenti al
(nota U.0042070.09/11/2020) - ha informato il reclamante dell'avvio dell'istruttoria (nota CP_2
U.0042116.09/11/2020) - ha acquisito dettagliato riscontro dal (nota del 13.1.2021), reso CP_2 con consapevolezza della responsabilità ex art. 168 Codice Privacy - da tale riscontro è emerso che la conoscibilità delle note oggetto di reclamo è derivata da un utilizzo improprio del sistema di protocollazione da parte dello stesso reclamante per finalità personali - il Garante ha comunque verificato che il trattamento dei dati (stato di salute) rientrava nel quadro normativo legittimante
(D.P.R. n. 461/2001 e Linee Guida Garante 2007) per finalità connesse al rapporto di lavoro (causa di servizio); - sulla base di tali elementi, in assenza di ulteriori riscontri di violazioni, il Garante ha legittimamente disposto l'archiviazione ex art. 11 Regolamento n. 1/2019. Ha rilevato che l'Autorità ha correttamente esercitato la propria discrezionalità tecnica, con provvedimento immune da vizi logici o travisamenti. Ha chiesto, pertanto, il rigetto anche di tali motivi di ricorso.
5 All'udienza del 7.10.2024 il giudice ha rinviato per la discussione all'udienza del 17 marzo 2025, assegnando alle parti termine per note. All'udienza del 17 marzo 2025, sostituita dal deposito di note scritte, le parti hanno discusso la causa e il giudice si è ritirato in camera di consiglio, pronunciando all'esito la sentenza.
6.1 In via preliminare deve esaminarsi l'eccezione di incompetenza del Tribunale adito.
pagina4 di 10 L'eccezione è infondata. A norma dell'art. 10 comma 2 del d. lgs. 1 settembre 2011, n. 150, rubricato “Delle controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali”: “2. Sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell'interessato”. In argomento la giurisprudenza di legittimità ha precisato che “in tema di competenza per territorio in materia di cause relative alla protezione dei dati personali, quando il Garante per la protezione dei dati personali è parte di una controversia rientrante tra quelle espressamente indicate all'art. 152, comma 1, del d.lgs. n. 196 del 2003, ai sensi dell'art. 10 del d.lgs. n. 150 del 2011 sono competenti, in via alternativa, il tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero il tribunale del luogo di residenza dell'interessato. Viceversa, quando in una di tali controversie è parte in causa, come titolare del trattamento o ad altro titolo, un'amministrazione statale diversa dal Garante, in applicazione delle regole sul foro erariale, devono ritenersi competenti le sedi dell'Avvocatura distrettuale dello Stato corrispondenti al luogo in cui ha sede il titolare del trattamento o al luogo di residenza dell'interessato (così Cass.,
Sez. 3, Ordinanza n. 24281 del 22/11/2007; Cass., Sez. 6 - 3, Ordinanza n. 2330 del 25/01/2023).
Sussiste quindi la competenza del Tribunale di Velletri, ossia il tribunale del luogo di residenza dello . Pt_1
6.2 Sempre in via preliminare occorre esaminare l'eccezione di tardività del ricorso. L'eccezione è infondata. A norma dell'art. dell'art. 10 comma 2 del d. lgs. 1settembre 2011, n. 150 “Il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali, ivi compresi quelli emessi a seguito di un reclamo dell'interessato, è proposto, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all'estero”. Sebbene regolate dal rito del lavoro ex art. 10 del d.lgs. n. 150 del 2011, le controversie in materia di protezione dei dati personali sono soggette alla sospensione feriale dei termini, poiché
l'esclusione prevista dall'art. 3 della l. n. 742 del 1969 per le controversie di lavoro si riferisce alla natura della causa e non al rito da cui è disciplinata (si veda Cass., Sez. 6 -
2, Ordinanza n. 22389 del 02/11/2015).
Pertanto, rilevata la notifica del provvedimento impugnato in data 05.08.2021 e il deposito del ricorso in data 29.09.2021, lo stesso deve dirsi tempestivo.
7.1 Nel merito, il ricorso è infondato per i motivi che seguono. Previamente deve evidenziarsi che la presente controversia rientra nella fattispecie di cui all'art. 78 del Regolamento UE 679/16 (Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo) secondo cui “ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell'autorità di controllo che la riguarda”. A tal proposito l'art. 152 del D. lgs. 196/03, come modificato dal D. lgs. 101/2018 prevede, che “1. Tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli
78 e 79 del Regolamento e quelli, comunque, riguardanti l'applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell'articolo 82 del medesimo Regolamento, sono attribuite all'autorità giudiziaria ordinaria.
1-bis. Le controversie di cui al comma 1 sono disciplinate dall'articolo 10 del decreto legislativo 1° settembre 2011, n. 150”. L'art. 10 del decreto legislativo 1° settembre 2011, n. 150 (Delle controversie in materia di applicazione delle disposizioni in materia di protezione dei dati personali), prevede, al comma 1 che le controversie previste dall'articolo 152 del decreto legislativo 30 giugno 2003, n. 196, sono regolate dal rito del lavoro, ove non diversamente disposto dal presente articolo. Il comma 10 prevede che la sentenza che definisce il giudizio non è appellabile e può prescrivere le misure necessarie anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248,
pagina5 di 10 allegato E), anche in relazione all'eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno. 7.2 Le censure sollevate dall'opponente nel primo motivo di impugnazione nonché parte delle doglianze contenute nel terzo e quarto motivo possono essere tutte ricondotte alla figura sintomatica del vizio di legittimità dell'eccesso di potere.
Le censure risultano infondate.
In primo luogo, giova evidenziare che la valutazione, operata dal Garante, dell'adeguatezza delle misure tecniche e organizzative (art. 32 GDPR) e l'analisi dei rischi intrinseci a certi trattamenti o violazioni costituiscono esercizio di discrezionalità tecnica. Pertanto, in disparte la questione in ordine all'ampiezza del sindacato del giudice sulla discrezionalità tecnica (sindacato estrinseco o intrinseco), costituisce ius receptum il principio per cui il giudice non può sostituire la propria valutazione tecnica a quella della Pubblica Amministrazione latu sensu intesa.
Il controllo giudiziale mira a verificare la legittimità e l'attendibilità dell'esercizio del potere tecnico-discrezionale; il giudice può quindi annullare l'atto se la valutazione tecnica è viziata
(poiché basata su criteri errati, illogica, irragionevole, non supportata da adeguata istruttoria), ma non può imporre una diversa valutazione tecnica. In secondo luogo, preme sottolinearsi che a norma dell'art. 10 del Regolamento n. 1/2019 (concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali), rubricato
“Istruttoria preliminare”: “1. Il reclamo regolarmente presentato non comporta la necessaria adozione di un provvedimento del Collegio ai sensi dell'articolo 143, comma 1, del Codice.
2. Il dipartimento, servizio o altra unità organizzativa cui il reclamo è assegnato avvia un'istruttoria preliminare e, fermo restando quanto previsto dall'articolo 8, commi 1 e 2, del presente articolo informa l'istante dello stato o dell'esito del reclamo entro tre mesi dalla data della sua ricezione o della sua regolarizzazione”. Ciò premesso, il provvedimento impugnato si fonda su un'accurata e completa istruttoria (in particolare le note oggetto di reclamo (a) Prot. n. 2018-000763 I;
b) Prot. n. 2018-00184271; c)
Prot. n. 2019-0068536 I;
d) Prot. n. 2020-0099942 I) e le “memorie” delle parti), nel corso della quale sono stati esaminati gli elementi pertinenti forniti dalle parti e acquisiti d'ufficio. Non vi è stata alcuna omissione rilevante né travisamento dei fatti essenziali posti a base della decisione.
Non sussiste, pertanto, il lamentato difetto di istruttoria. In particolare, deve evidenziarsi che l'Autorità Garante, a mezzo nota prot. U.0042070.09/11/2020, rif. DRP/ML -EP/14788, ha chiesto al Ministero opposto ed al RPD incaricato “le modalità con cui le note oggetto di reclamo sono state protocollate, indicando tutti i soggetti o le categorie di soggetti abilitati alla consultazione di dette note e i motivi per i quali essi avrebbero necessità di accedere alle stesse;
- in generale, le misure con le quali viene assicurata la riservatezza di atti e documenti che contengono dati personali dei dipendenti, anche relativi a categorie particolari, specificando la tipologia di atti per i quali è previsto che siano protocollati in forma riservata”. Come già evidenziato, l'opponente ha lamentato che tutte le comunicazioni intercorse tra il e il reclamante, in relazione a talune istanze presentate da quest'ultimo con riguardo ad CP_2 infermità riconosciute per causa di servizio, contenenti anche dati relativi alla salute, sarebbero avvenute “attraverso il protocollo informatico (http://webarchl.dippp.interno.it)”, essendo
“accessibili a chiunque”, in violazione dell'“obbligo di riservatezza”. Con la nota prot. n. 42070 del 9 novembre 2020 il Ministero, il quale risponde ai sensi dell'art. 168 del codice della privacy per “Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante”, ha dichiarato che i documenti in questione sono stati registrati ufficialmente con il sistema di protocollo informatico WeArch e-prot, in uso alle Aree Organizzative Omogenee (AOO) del Dipartimento competente, inclusa l'AOO ricevente (Direzione centrale per le risorse finanziarie e strumentali), ciascuna per i propri compiti. Contr Le comunicazioni tra le due sono avvenute esclusivamente tramite Posta Elettronica
pagina6 di 10 Certificata (PEC). In particolare, le note specifiche oggetto del reclamo (a) Prot. n. 2018-000763 I;
b) Prot. n. 2018-00184271; c) Prot. n. 2019-0068536 I;
d) Prot. n. 2020-0099942 I) sono state inviate dal sistema di protocollo dell'AOO Direzione centrale per le politiche del personale (ex
Direzione centrale risorse umane) via PEC all'AOO Direzione centrale per le risorse finanziarie e strumentali.
Il ha dichiarato, altresì, che la consultazione degli atti menzionati è stata permessa solo a CP_2 personale specificamente abilitato, in linea con le loro responsabilità professionali e i compiti loro assegnati di volta in volta. Tale personale era inoltre vincolato al rispetto della riservatezza.
Nel dettaglio, dall'analisi delle comunicazioni inviate il 13 e 25 febbraio 2020, emerge che queste non sono state inoltrate tramite l'ufficio di appartenenza del dipendente. È risultato invece che sia stato lo stesso dipendente a utilizzare direttamente il sistema di protocollazione dell'Amministrazione. Si è concluso, pertanto, che lo stesso opponente abbia utilizzato il sistema Webarch per inviare comunicazioni non attinenti alla sua attività professionale, ma per inoltrare richieste di carattere personale.
Peraltro, dalla verifica sul sistema Webarch, è risultato che tali richieste sono state inviate personalmente dall'interessato, non tramite il suo ufficio, e indirizzate non solo all' ma CP_4 anche alla del Dipartimento senza Controparte_5 alcuna segnalazione o evidenziazione della natura 'sensibile' del contenuto.
Da ciò ne consegue che, coerentemente con quanto statuito dal Garante, la problematica sollevata riguardo alla possibile accessibilità indiscriminata dei dati tramite il protocollo Webarch è stata, di fatto, causata dallo stesso attraverso un utilizzo non appropriato di tale sistema. Pt_1 Il Garante ha altresì precisato che “In ogni caso, i trattamenti di dati personali in questione risultano avvenuti nell'ambito di un preciso quadro normativo in materia di riconoscimento della dipendenza delle infermità da causa di servizio, di concessione della pensione privilegiata ordinaria e di equo indennizzo di cui al D.P.R. 29 ottobre 2001, n. 461 (v. in particolare, artt. 4, comma 2, 14 e 15), in base al quale l'amministrazione può trattare legittimamente dati idonei a rivelare lo stato di salute dei propri dipendenti, nell'ambito dei relativi procedimenti, per concedere i benefici di legge che spettano al lavoratore (cfr. par.
8.4 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" adottate dal Garante il 14 giugno 2007, doc. web n. 1417809)”. Data l'assenza di ulteriori elementi probanti idonei e l'assenza di alcuna infrazione alla normativa rilevante in materia di privacy, il Garante ha proceduto all'archiviazione del reclamo. Alla luce delle considerazioni soprarichiamate, l'analisi degli atti dimostra una puntuale aderenza della decisione alle risultanze fattuali emerse in sede istruttoria, la motivazione del provvedimento impugnato esplicita chiaramente le ragioni di fatto e di diritto che hanno condotto alla decisione finale, dovendosi escludere vizi di contraddittorietà o di manifesta illogicità. Parimenti, le disposizioni normative di riferimento sono state interpretate e applicate in modo corretto e coerente con la loro ratio legis.
In particolare, l'Autorità ha applicato correttamente la normativa di settore interpretandola in modo ragionevole e coerente con le linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico adottate dal Garante il 14 giugno 2007. L'applicazione fatta non risulta né arbitraria né frutto di un'interpretazione palesemente errata o distorta.
7.3 Quanto alla seconda doglianza per cui vi sarebbe violazione da parte dell'autorità dell'art. 143 del d. lgs. 196/2003 si osserva quanto segue. A norma dell'art. 143, comma 3, del d. lgs. 196/2003 “Il Garante decide il reclamo entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data informa l'interessato sullo stato del procedimento. In presenza di motivate esigenze istruttorie, che il Garante comunica all'interessato, il reclamo è deciso entro dodici mesi. In caso di attivazione del procedimento di pagina7 di 10 cooperazione di cui all'articolo 60 del Regolamento, il termine rimane sospeso per la durata del predetto procedimento”. Nella fattispecie in esame, il reclamo è stato presentato in data 27.02.20.
Con nota del 4.12.2020, il chiedeva una proroga, fino al 13.01.2021, per la trasmissione CP_2 delle informazioni richieste dal Garante, poiché l'adempimento richiedeva l'acquisizione di informazioni ed elementi da diversi uffici dell'Amministrazione e il Garante, con nota del 21.12. 2020, accoglieva la richiesta. Ciò nonostante, l'archiviazione del reclamo è avvenuta in data 04.08.2021. Risulta quindi dirimente qualificare la natura perentoria ovvero ordinatoria del termine di conclusione del procedimento amministrativo. In primo luogo, occorre rilevare che l'art. 143 del d. lgs. 196/2003 non correla al superamento del termine un effetto decadenziale né qualifica espressamente tale termine come perentorio. Merita richiamarsi quei principi giurisprudenziali per cui “il carattere della perentorietà del termine può essere attribuito ad una scadenza temporale solo da una espressa norma di legge. Pertanto, in assenza di specifica disposizione che espressamente preveda il termine come perentorio, comminando la perdita della possibilità di azione da parte dell'Amministrazione al suo spirare o la specifica sanzione della decadenza, il termine va inteso come meramente sollecitatorio o ordinatorio, sicché il suo superamento non determina l'illegittimità dell'atto” (Consiglio di Stato sez. V, 07/03/2023). La giurisprudenza ha altresì sottolineato che “l'individuazione del termine come perentorio - oltre che dalla definizione come tale - discende in primo luogo dalla ragione della sua introduzione, normalmente consistente nell'esigenza di celerità insita nella fase specifica del procedimento, in coerenza con la giurisprudenza prevalente, secondo cui, per i termini esistenti all'interno del procedimento amministrativo, il carattere perentorio o meno deve essere ricavato dalla loro 'ratio'” (Cons. Stato, Adunanza Plenaria, n. 10 del 2014), nonché dalle specifiche esigenze di rilievo pubblico che lo svolgimento di un adempimento in un arco di tempo prefissato è indirizzato a soddisfare. Deve a tal punto precisarsi che il procedimento del Garante per la protezione dei dati personali a seguito di reclamo non ha, di per sé, natura esclusivamente sanzionatoria ma solo eventualmente sanzionatoria.
La procedura avviata a seguito di un reclamo ha principalmente una funzione di accertamento e di tutela dei diritti dell'interessato. Il Garante, una volta ricevuto un reclamo, svolge un'istruttoria per verificare se il trattamento dei dati personali effettuato dal titolare o dal responsabile del trattamento sia conforme alla normativa vigente (Regolamento UE 2016/679 - GDPR e d.lgs. 196/2003 e s.m.i.). Nella fattispecie in esame, il procedimento si è concluso con l'archiviazione del reclamo;
pertanto, ad esso non risultano riferibili le considerazioni in ordine al potere sanzionatorio attribuito dal legislatore alle Autorità Amministrative Indipendenti che laddove presenti i cosiddetti “Engel criteria”, in base alla giurisprudenza della CEDU, è qualificato come sostanzialmente penale, con carattere dunque tassativo e di stretta legalità.
Nella specie, considerato che il provvedimento impugnato non ha natura sanzionatoria bensì dispone l'archiviazione del reclamo, non si ritengono sussistenti esigenze di rilievo pubblico, sicché trovano applicazione i principi consolidati della giurisprudenza amministrativa, secondo cui il termine di conclusione del procedimento riveste, di regola, natura ordinatoria, con la conseguenza che il mancato rispetto del medesimo non vizia l'atto adottato tardivamente (si veda sul punto
Consiglio di Stato, sez. VI, 25 maggio 2020, n. 3307 e Consiglio di Stato sez. VI, 08/07/2015,
n.3401). 7.4 Ancora, risultano infondate le censure in ordine all'assenza di “qualsivoglia contraddittorio con l'interessato reclamante”.
pagina8 di 10 Si è già evidenziato che il contraddittorio sia stato adeguatamente garantito attraverso le diverse fasi del “procedimento amministrativo” e, in particolare, della fase istruttoria (immune da vizi), del cui avvio è stato dato avviso al reclamante (nota U.0042116.09/11/2020).
Per una completa disanima della disciplina del procedimento relativo all'esame dei reclami, il quale prevede modalità semplificate e termini abbreviati per la trattazione di reclami riguardanti la violazione degli articoli da 15 a 22 del Regolamento (UE) 2016/679 (GDPR), adottato dal Garante, si rinvia alla Deliberazione del 4 aprile 2019 - Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali.
7.5 Deve a tal punto rilevarsi che la circostanza, processualmente assorbente, per cui la problematica sollevata riguardo alla possibile accessibilità indiscriminata dei dati tramite il protocollo Webarch è stata, di fatto, causata dallo stesso attraverso un utilizzo non Pt_1 appropriato di tale sistema, sarebbe di per sé sufficiente a esimere l'intestato Tribunale dal vagliare le ulteriori censure articolate nel ricorso.
Ciò nonostante, il Tribunale rileva quanto segue. Le residue censure in ordine alla violazione dell'art 57 del Regolamento, eccetto quelle già esaminate sopra, si sostanziano in una mera elencazione di norme giuridiche avulse dalla specifica vicenda oggetto di contestazione.
A tal riguardo, sebbene non esista una disciplina ad hoc sui requisiti del ricorso giurisdizionale avverso una decisione giuridicamente vincolante dell'autorità di controllo, anche laddove non si aderisca alla tesi per cui il giudizio avverso un provvedimento del Garante abbia natura impugnatoria, preme rilevarsi che il ricorso giurisdizionale deve essere necessariamente specifico e motivato. Ogni motivo di censura deve indicare le ragioni in fatto e in diritto per cui si contesta la legittimità o la fondatezza del provvedimento di archiviazione, gli errori che si ritengono siano stati commessi dal Garante nella valutazione del reclamo o nella motivazione dell'archiviazione nonché l'esplicita e puntuale connessione con i fatti che hanno originato il reclamo e la successiva decisione. Dacché, le predette residue doglianze, così come esposte dall'opponente, risultano affette da genericità e non forniscono all'organo giudicante gli elementi necessari per valutarne la fondatezza.
7.6 Medesime conclusioni dovrebbero, in vero, predicarsi in ordine alla lamentata violazione dell'art. 58 del Regolamento U.E. n. 679/2016. Sotto tal profilo, deve comunque aggiungersi che, nel merito, risultano prive di pregio le doglianze circa l'omessa opera di “moral suasion finalizzata a sensibilizzare, diffondere la cultura della privacy e ad innalzare il livello di adeguatezza delle misure di tutela dei dati personali adottate negli uffici […] di una delle Pubbliche amministrazioni dai compiti di maggiore rilievo e delicatezza” atteso che il , con riferimento alla nota n. U.0042070.09, ha dichiarato che Controparte_2
“Per ciò che attiene altresì alle misure con le quali viene garantita la riservatezza di atti e documenti contenenti dati personali, si comunica che in ogni caso i dipendenti sono sempre stati informati circa l'obbligo di riservatezza, e, a tal fine, di recente sono state emanate istruzioni ai dirigenti, affinché richiamino i singoli dipendenti alla corretta trattazione di tali documenti, nel rispetto dell'art. 15 del D.P.R. 10/1/1957 n. 3 e a non diffondere in alcun modo documenti o informazioni contenenti dati sensibili o personali che non abbiano attinenza con lo svolgimento delle proprie specifiche mansioni, ai sensi dell'art. 616 c.p., e dal GDPR Regolamento Generale sulla Protezione
Dati, in vigore in tutti i paesi dell'Unione Europea dal 25 maggio 2018 (General Data Protection Regulation, Regolamento UE n. 2016/679)”. Vista l'assenza di alcuna violazione della normativa di settore addebitabile al , rilevato CP_2 altresì che i dipendenti erano stati puntualmente informati circa l'obbligo di riservatezza, non vi era necessità alcuna, in capo al Garante, di sensibilizzare e diffondere la cultura della privacy.
7.7 Da ultimo, anche la doglianza avente ad oggetto la violazione da parte del
[...]
del combinato disposto degli art. 12, parag. 4 e 15 del regolamento UE n. 2016/679 è CP_2 priva di fondamento.
pagina9 di 10 In primo luogo, si evidenzia che l'opponente non aveva specificamente contestato la Nota Ministeriale nel reclamo originariamente presentato dinanzi al Garante. Ciò detto, deve rilevarsi che la nota, quand'anche fossero accertate le violazioni ad essa ascritte, non può in alcun modo invalidare la decisione del Garante di archiviazione del procedimento.
Non sussiste alcun nesso di causalità diretto e necessario tra le presunte violazioni della nota ministeriale e la decisione del Garante;
quest'ultima è stata adottata all'esito di un'istruttoria che ha portato il Garante a ritenere, per le ragioni soprarichiamate ed espresse nel provvedimento stesso, che non sussistono gli elementi per procedere ulteriormente. L'istanza di emissione dell'ordine di esibizione del fascicolo istruttorio custodito dal Garante per la protezione dei dati personali formulata da parte opponente risulta, all'evidenza, inammissibile dacché, risulta in atti, che l'istanza di accesso agli atti ai sensi della l. n. 241 del 7 agosto 1990 è stata accolta. Per tutti i motivi sopra indicati, il ricorso va respinto.
8 Le spese di lite seguono il principio della soccombenza e si liquidano in dispositivo alla stregua dei parametri di cui al D.M. 55/2014 (così come aggiornati dal D.M. 147/2022) tenuto conto del valore indeterminabile (complessità bassa) della controversia e dei valori medi previsti per ciascuna fase, minimi per la fase istruttoria documentale.
P.Q.M.
Il Tribunale di Velletri, prima sezione civile, in composizione monocratica e nella persona del giudice dott.ssa Prisca Picalarga, definitivamente pronunciando nel processo in epigrafe, ogni contraria istanza, eccezione e difesa disattese, così provvede:
- 1 rigetta il ricorso;
- 2 condanna , al pagamento, in favore del , in persona del Parte_1 Controparte_2
Ministro p.t., e dell'Autorità Garante per la Protezione dei Dati Personali, in persona del legale rappresentante p.t., delle spese di lite che si liquidano per ciascuna parte in euro 6.713,00 per compensi oltre rimborso spese generali, IVA e CPA come per legge.
Velletri, 17 aprile 2025
Il giudice
Dott.ssa Prisca Picalarga
pagina10 di 10