I termini per emettere le sanzioni sono perentori: lo ha affermato il Tribunale di Roma in una sentenza del 13 febbraio 2023, le cui motivazioni sono state rese pubbliche a fine gennaio 2024, che ha annullato un provvedimento del Garante privacy contro Enel energia.
Il ragionamento dei giudici è lineare: l’articolo 2 della legge 241/1990 (la legge sul procedimento amministrativo) impone, in via generale, il termine perentorio di 30 giorni per la conclusione dei procedimenti amministrativi.
Questo termine può essere allungato su base regolamentare (fino a 120 giorni, come nel caso di specie).
Il Garante ha emesso le sanzioni a termine scaduto e il provvedimento è stato, di conseguenza, annullato.
Vediamo, nel dettaglio, quali sono i passaggi argomentativi e le implicazioni di questa sentenza della XVIII Sezione civile del Tribunale di Roma.
La causa e la sentenza
Enel energia era stata sanzionata dall’Autorità Garante per il trattamento dei dati personali con provvedimento numero 443 del 2021; la sanzione amministrativa applicata era “enorme”, ossia 26.513.977,00 euro di multa, oltre a diversi avvertimenti, ammonizioni e prescrizioni, con la sanzione accessoria della pubblicazione sul sito del Garante.
La Top 5 delle minacce informatiche e come contrastarle
A Enel energia erano state contestate 15 violazioni del GDPR e del Codice privacy ed erano state basate su istruttorie trattate con richieste cumulative (abbreviate in “CUM”) avviate tra la fine del 2018 ed il 2019; il procedimento sanzionatorio era stato avviato solo nel maggio 221.
Quello che è interessante della sentenza, però, non è il merito della vicenda o stabilire se Enel energia meritasse, o meno, la sanzione comminata e se la sanzione fosse proporzionata alle violazioni.
Interessa invece segnalare, in primo luogo, che Enel era riuscita a far sospendere invia cautelare l’efficacia del provvedimento con ricorso inaudita altera parte (con provvedimento emesso, cioè, dal giudice senza contraddittorio).
La sospensione era stata concessa e confermata, subordinatamente alla prestazione di una garanzia a prima richiesta (fornita tempestivamente da Enel energia), all’esito del contraddittorio.
Le regole che reggono il procedimento sanzionatorio
La questione oggetto della causa, come anticipato, non era il merito della vicenda – in cui Enel energia pare aver effettuato effettivamente telemarketing “selvaggio” –, ma le regole che reggono il procedimento sanzionatorio dell’Autorità Garante per il trattamento dei dati personali ed i relativi termini.
Le questioni sul tavolo erano due: la natura perentoria – e non ordinatoria – del termine per emettere la sanzione ed il metro di individuazione del dies a quo, ossia del giorno da cui devono decorrere i termini per l’emissione del provvedimento sanzionatorio.
La prima questione viene risolta, dal Tribunale di Roma, in modo lineare, facendo riferimento alla legge sul procedimento amministrativo ed al regolamento del Garante.
La motivazione della sentenza parte dall’articolo 2 della lege 241/1990 che impone, in via generale, il termine di 30 giorni per la conclusione dei procedimenti amministrativi.
I commi 3, 4 e 5 dello stesso articolo consentono la fissazione di termini più lunghi (fino a 90 o 180 giorni) per le autorità di garanzia e di vigilanza, cui è attribuita la facoltà di stabilire esse stesse «in conformità ai proprî ordinamenti, i termini di conclusione dei procedimenti di rispettiva competenza» (comma 5).
I successivi commi 6 e 7 dell’articolo 2, infine, disciplinano rispettivamente la decorrenza dei termini («dall’inizio del procedimento d’ufficio o dal ricevimento della domanda se il procedimento è ad iniziativa di parte») e le condizioni e limiti della loro sospensione (trenta giorni per una sola volta), anche con riferimento al comma 5.
Il Garante privacy aveva adottato un proprio regolamento (2/2019), attribuendosi il termine di “120 giorni dall’accertamento della violazione per la notificazione della stessa ai residenti nel territorio della Repubblica”.
Termine perentorio o ordinatorio per l’emissione di una sentenza?
Sulla base di queste premesse il giudice ha verificato che, effettivamente, il Garante aveva “sforato” il termine di 120 giorni, come lamentato dalla difesa di Enel energia.
La tematica, dunque, era – ed è – la seguente: il termine è perentorio o ordinatorio?
Nel primo caso lo spirare del termine determina il decadere de potere amministrativo di emettere la sanzione, nel secondo non vi è alcuna decadenza di sorta.
Il Tribunale di Roma ha affermato la natura perentoria del termine, a partire da considerazioni condivisibili: “In materia sanzionatoria, la perentorietà dei termini entro i quali l’autorità procedente deve concludere le varie vasi del procedimento, sino al provvedimento finale, è presupposto irrinunciabile per l’effettivo rispetto di principî fondamentali dell’ordinamento, anche coperti da garanzia costituzionale, e consacrati anche in strumenti giuridici internazionali vincolanti per l’Italia”.
Oltre a questa petizione di principio, il giudice romano ha ritenuto rilevante anche il regolamento adottato dal Garante stesso: adottare un regolamento che prevede un termine più favorevole all’amministrazione rispetto a quello ordinario porta a rafforzare la tesi della natura perentoria del termine stesso.
Quando decorre il termine per emettere provvedimenti sanzionatori
La questione, quindi, si spostava sul dies a quo, ossia il momento da cui far decorrere il termine per emettere il provvedimento.
Qui la motivazione si spinge su ragionamenti innovativi: “il Tribunale deve riconoscere che la giurisprudenza, sia ordinaria che amministrativa, è concorde nell’individuare il dies a quo non già nel momento in cui l’autorità viene a conoscenza «del fatto ipoteticamente sanzionabile nella sua materialità» bensì in quello successivo (e però, occorre sottolineare, del tutto incerto, al limite del puro arbitrio) in cui essa acquista «piena conoscenza della condotta illecita; conoscenza a sua volta implicante il riscontro, anche ai fini di una corretta formulazione della contestazione, dell’esistenza e della consistenza dell’infrazione e dei suoi effetti», ma non può esimersi dal sollevare convinte obiezioni ad una simile tesi, in primo luogo per le stesse ragioni che inevitabilmente conducono ad affermare la perentorietà del termine: un termine il cui dies a quo è del tutto incerto, rimesso alla mera volontà dell’organo amministrativo, volontà, peraltro, che si forma nel segreto delle sue deliberazioni interne, non è calcolabile e non è, quindi, un “termine”. Una siffatta incertezza – anzi, per meglio dire, una siffatta mistificazione del concetto di “termine” – non è compatibile con le esigenze del diritto di interlocuzione e difesa del soggetto destinatario di una contestazione di violazione e, potenzialmente, di una sanzione amministrativa”.
Sulla base di questi argomenti, il Tribunale di Roma ha affermato che il dies a quo “va individuato nella data in cui il Garante privacy riceve le risposte (definitive) alle sue richieste di informazioni ed eventualmente, poi, di ulteriori chiarimenti”.
In conclusione, la sanzione del Garante era stata emessa tardivamente e, per l’effetto, è stata annullata, ma le spese di lite sono state compensate, per la “novità delle questioni trattate”.
Conclusioni
La sentenza è lineare ed onesta nel suo incedere argomentativo, anche se è lecito un dubbio sul fatto che l’entità della sanzione e l’identità del soggetto ricorrente abbiano influito sulla natura “liberale” dei principi su cui si è basata la decisione.
Di certo, in linea di principio, questo arresto giurisprudenziale, anche se “solo” di merito, va salutato con favore, per l’individuazione dei criteri che enuclea chiaramente e per le conclusioni a cui arriva.
Ciò che resta da comprendere, ora, è se la sentenza terrà al vagli di legittimità, sia civile che amministrativa e se vi sono molti contenziosi su questi temi.
Gestione dei container di software: come renderli eseguibili ovunque, in sicurezza
@RIPRODUZIONE RISERVATA