The Supreme Court of Cassation: The Unlawful Conduct of Failure To Provide Information And To Obtain Consent Is Continuous And Not Instantaneous. Legitimate Accumulation of Sanctions

  • Posted By Pierangela Rodilosso
  • |
  • 10 September 2020
  • |
  • 0 comments

Sharing is caring!

PREMISE

By order of December 5 2013, the Data Protection Authority has sanctioned Postel S.p.A., the document and printing management company of the Poste Italiane Group, for a series of violations of Legislative Decree no. 196 of 2003 (after this also referred to as the “Privacy Code”) in the management of user data, imposing a penalty of € 340,000.00 on the company.

In particular, the alleged violations concerned:

– Article 162, paragraph 2-bis, for the unauthorised transfer of data, registration, organisation in the “DB Postel”, use and transfer of personal data, taken from electoral lists, for marketing activities;

– Article 164, for failure to provide timely response to the Authority’s request for information;

– Article 164-bis, paragraph 2, for having committed the violations above concerning databases of particular importance and size.

By appeal of February 14 2014, Postel appealed against the Authority’s decision before the Court of Rome, which, with a ruling of January 21 2016, annulled the order limited to the fine of € 100,000.00 imposed for violation of Article 162, paragraph 2-bis of the Privacy Code and rejected the opposition on the remaining grounds.

THE COURT’S DECISION

The company has appealed against the sentence of the Court of Rome. By order no. 18288, filed on September 3, 2020, the Supreme Court rejected Postel’s main appeal, upholding the cross-appeal proposed by the Authority and therefore ruling that:

– the question of constitutional legitimacy of Articles 162, paragraph 2-bis and 164-bis of the Privacy Code, raised by the appellant under Article 77 of the Constitution, is manifestly unfounded. This is because the harsher sanctions, contested by the applicant and concerning the regulation of the processing of personal data in the context of the abuse of databases for commercial promotion and telemarketing purposes, were deemed necessary due to the oligopoly of some companies in the collection and processing, without the consent of the parties concerned, of data acquired from public archives or in the public domain;

– the unlawful conduct of the omitted information referred to in Article 161 of the Privacy Code and the omitted acquisition of consent for data acquired from citizens’ electoral rolls is continuous, “enduring” until the checks are carried out, since the conduct of data management, processing and storage has continued until the date indicated in the provision of the Guarantor since the company can put an end to such conduct at any time;

– concerning administrative offences referred to in the Privacy Code, the dies a quo for the calculation of the ninety days for the notification of the report of the dispute arises from the ascertainment of the violation, which does not coincide with the general and approximate perception of the fact and with the acquisition of the relative documentation but requires the processing of the data thus obtained to identify the constitutive elements of the possible violations; therefore, given the permanent nature of the offences ascribed to Postel, the plea of limitation of the violations, raised by the plaintiff, cannot be accepted;

– in upholding the incidental appeal brought by the Privacy Authority, the Supreme Court found that the ordinary Court had erroneously annulled the sanction under article 162, paragraph 2-bis, of the Privacy Code, deeming it to be absorbed in the sanction under article 164-bis and therefore considering that the joint application of the two rules to the case in question resulted in a violation of the “ne bis in idem” principle. In this regard, the Court specified that in the matter of administrative offences referred to in the Privacy Code, the case provided for in article 164-bis, which was applied jointly to the case in question, led to a violation of the “ne bis in idem” principle. 164-bis, paragraph 2, does not constitute an aggravated hypothesis concerning the simple breaches referred to therein, but a completely autonomous offence, in that it provides for the possibility that some simple hypotheses may be breached by the offender, even with several actions and at different times, which are considered by the rule concerning “databases of particular importance or size”, so that, in the event of the concurrence of breaches of other provisions together with the one under examination, there is a hypothesis of material accumulation of administrative sanctions.

***

LA CORTE SUPREMA DI CASSAZIONE: LE CONDOTTE ILLECITE DELL’OMESSA INFORMATIVA E DELL’OMESSA ACQUISIZIONE DEL CONSENSO HANNO CARATTERE CONTINUATIVO E NON ISTANTANEO. LEGITTIMO IL CUMULO DELLE SANZIONI

PREMESSA

Con ordinanza ingiunzione del 5 dicembre 2013, il Garante per la protezione dei dati personali aveva sanzionato Postel S.p.A., la società di gestione documentale e stampa del Gruppo Poste Italiane, per una serie di violazioni del D.Lgs. n.196 del 2003 (di seguito anche solo “Codice Privacy”) nella gestione dei dati degli utenti, irrogando alla società una sanzione pari a € 340.000,00.

In particolare, le violazioni contestate riguardavano:

–  l’art. 162, comma 2-bis, per la cessione non autorizzata di dati, la registrazione, organizzazione nel “DB Postel”, utilizzo e cessione di dati personali, tratti da liste elettorali, per attività di marketing;

–  l’art. 164, per non aver fornito tempestivo riscontro alla richiesta di informazioni del Garante;

–  l’art. 164–bis, comma 2, per aver commesso le violazioni citate in relazione a banche dati di particolare rilevanza e dimensioni.

Con ricorso del 14 febbraio 2014 Postel aveva impugnato il provvedimento del Garante dinanzi al Tribunale di Roma che, con sentenza del 21 gennaio 2016, aveva annullato l’ordinanza limitatamente alla sanzione di € 100.000,00 comminata per la violazione dell’art. 162, comma 2-bis del Codice Privacy e rigettato l’opposizione per i rimanenti motivi.

LA DECISIONE DELLA CORTE

Contro la sentenza del Tribunale di Roma  la società ha proposto ricorso per cassazione. Con ordinanza n. 18288, depositata il 3 settembre 2020, la Suprema Corte ha rigettato il ricorso principale di Postel, accogliendo quello incidentale proposto dal Garante e stabilendo, pertanto, che:

– la questione di legittimità costituzionale degli artt. 162, comma 2-bis e 164-bis del Codice Privacy, sollevata dalla ricorrente con riferimento all’art. 77 della Costituzione, è manifestamente infondata. Ciò in quanto gli inasprimenti sanzionatori, contestati dalla ricorrente e riguardanti la disciplina del trattamento di dati personali in contesto di abuso di banche dati a fini di promozione commerciale e di telemarketing,  erano ritenuti necessari in ragione della condizione di oligopolio di alcune aziende nella raccolta e nel trattamento, senza consenso degli interessati, di dati acquisiti presso archivi pubblici o di pubblico dominio;

– le condotte illecite dell’omessa informativa di cui all’art. 161 del Codice Privacy e dell’omessa acquisizione del consenso per i dati acquisiti dalle liste elettorali dei cittadini hanno carattere continuativo, “perdurante” fino agli accertamenti, in quanto la condotta di gestione, trattamento e conservazione dei dati si è protratta fino alla data indicata nel provvedimento del Garante, potendo la società fare cessare tali condotte in qualsiasi momento;

–  in tema di illeciti amministrativi di cui al Codice Privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione ricorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della relativa documentazione, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventualu violazioni; pertanto, visto il carattere permanente degli illeciti ascritti a Postel, l’eccezione di prescrizione delle violazioni, sollevata dalla ricorrente, non può essere accolta;

–  in accoglimento del ricorso incidentale proposto dal Garante Privacy, la Corte ha rilevato che il Tribunale aveva erroneamente annullato la sanzione di cui all’art. 162, comma 2-bis, del Codice Privacy, ritenendola assorbita in quella di cui all’art. 164-bis e ritenendo, pertanto, che l’applicazione congiunta delle due norme al caso di specie determinasse una violazione del principio del “ne bis in idem”. Al riguardo, la Corte ha precisato che in tema di illeciti amministrativi di cui al Codice Privacy, la fattispecie prevista dall’art. 164-bis, comma 2, costituisce non un’ipotesi aggravata rispetto alle violazioni semplici ivi richiamate, ma una figura di illecito del tutto autonoma, in quanto prevede la possibilità  che vengano infrante dal contravventore, anche con più azioni e in tempi diversi, una pluralità di ipotesi semplici, unitariamente considerate dalla norma con riferimento a “banche di dati di particolare rilevanza o dimensioni”, sicché, in caso di concorso di violazioni di altre disposizioni unitamente a quella in esame, ne deriva un’ipotesi di cumulo materiale delle sanzioni amministrative.

Leave a Comment

shares