La recente decisione della Cassazione introduce un chiarimento che incide in modo diretto sui procedimenti sanzionatori in materia di protezione dei dati personali. Il punto centrale riguarda il tempo a disposizione del Garante per la protezione dei dati personali per adottare un provvedimento sanzionatorio dopo la conclusione dell’istruttoria. Secondo i giudici, questo tempo non può dilatarsi oltre un limite preciso, perché superata una certa soglia il potere sanzionatorio si consuma.
La vicenda nasce da un reclamo presentato nel 2020 in relazione alla diffusione televisiva di comunicazioni private. L’istruttoria si è conclusa nell’estate del 2021, ma il provvedimento sanzionatorio è arrivato solo nel luglio 2023. Un intervallo che ha portato prima il Tribunale di Roma e poi la Cassazione a interrogarsi sulla natura dei termini previsti dal regolamento interno dell’Autorità.
Quando decorrono i termini per le sanzioni privacy
Il regolamento interno n. 2 del 2019 del Garante prevede un termine di 120 giorni per l’adozione della sanzione. La Cassazione chiarisce che questo termine riguarda esclusivamente la fase decisoria, quella che si apre dopo la chiusura dell’istruttoria e la contestazione delle violazioni. Da quel momento il conto alla rovescia è rigido. Se il provvedimento arriva oltre i 120 giorni, l’atto risulta privo di effetti perché il potere sanzionatorio è ormai esaurito.
La distinzione tra fase istruttoria e fase sanzionatoria assume quindi un ruolo centrale. L’attività di accertamento preliminare resta caratterizzata da una maggiore elasticità, anche perché influenzata da richieste di chiarimenti, memorie difensive e interlocuzioni con le parti. Una volta completata, però, l’Autorità deve decidere entro un perimetro temporale definito.
Certezza del diritto e limiti all’azione dell’Autorità
Nel ragionamento della Corte emerge con forza il tema della certezza del diritto. L’assenza di un termine finale chiaro finirebbe per collocare l’Autorità in una posizione privilegiata rispetto ai soggetti sottoposti a controllo, esponendoli a un’incertezza prolungata e difficile da gestire sul piano organizzativo e difensivo.
La previsione di un limite temporale per l’esercizio della potestà sanzionatoria viene letta come una garanzia per l’effettività del diritto di difesa. Chi è destinatario di una contestazione deve poter sapere entro quale arco temporale quella contestazione può trasformarsi in una sanzione. Oltre quel limite, l’ordinamento non riconosce più la possibilità di intervenire.
Resta aperta una questione rilevante, che la sentenza non risolve in modo definitivo. Il regolamento interno del Garante indica anche un termine complessivo di dodici mesi per la durata dell’intero procedimento, dalla segnalazione iniziale alla decisione finale. Su questo punto la Cassazione non prende posizione sulla natura perentoria o ordinatoria del termine, lasciando spazio a futuri contenziosi e a possibili ulteriori chiarimenti giurisprudenziali.
I procedimenti sanzionatori in materia di dati personali devono rispettare tempi certi anche dal lato dell’Autorità. La gestione del rischio, la strategia difensiva e la valutazione degli impatti economici di una contestazione passano anche dalla dimensione temporale. Da oggi questo elemento assume un peso giuridico preciso.
