Il Codice privacy, D.lgs. 196/2003, è certamente uno dei pilastri della tutela normativa in materia di dati personali. È anche una costruzione giuridica rispettata, e a buon titolo. Nel 2003 infatti aprì all’attualità l’ordinamento nazionale, rafforzando e ampliando, in misura notevole, gli istituti introdotti dalla legge 675/96, testo già di suo pregevole. Sotto alcuni aspetti, il Codice anticipò perfino il GDPR, si pensi all’abrogato art. 3 in rapporto all’attuale art. 25 GDPR.
Siamo tuttavia sicuri dell’integrale conformità del d.lgs. 196/03 al Regolamento? Il tema potrebbe intercettare alcune sensibilità, me ne scuso, e risultano del resto rarissimi, almeno a mia conoscenza, i casi di disapplicazione della disciplina nazionale sulla protezione dei dati per contrasto con il diritto dell’Unione (es. di recente G.i.p. Roma, decr. 25 aprile 2021, giud. Sabatini rispetto all’art. 132 Codice).
In realtà, a parere di chi scrive, le disposizioni incompatibili con la disciplina eurounitaria non sono poche e toccano temi non di lieve impatto sui diritti e le libertà individuali. L’applicazione del GDPR dal 25 maggio 2018 e gli interventi di adeguamento realizzati con il d.lgs. 101/2018 le hanno talvolta amplificate. Sul punto appare necessario adottare lo spirito laico e la libertà di pensiero propria dell’avvocato.
Without further ado, come direbbero gli inglesi, veniamo a quella che mi pare una delle criticità più evidenti e certamente una delle più gravi, la regola dell’alternatività delle tutele. Nell’analisi ci viene in supporto, possiamo già anticiparlo, una recente pronuncia della Corte di giustizia, la sentenza 12 gennaio 2023, Budapesti Elektromos Művek, Causa C-132/21.
Indice degli argomenti
Che cos’è l’alternatività delle tutele?
L’istituto dell’alternatività, disciplinato dall’art. 140-bis d.lgs. 196/03, pone all’interessato una scelta singolare quanto brutale: contro la stessa parte e per lo stesso oggetto, egli è chiamato a decidere tra il proporre un rimedio amministrativo (reclamo al Garante) o giurisdizionale (ricorso al giudice civile).
Viene cioè in considerazione una vera e propria preclusione, addirittura una preclusione all’azione. E questo dovrebbe già apparirci straordinariamente originale e in contrasto sia con l’art. 24 Cost. sia con l’art. 19 TUE, che dispone: “Gli Stati membri stabiliscono i rimedi giurisdizionali necessari per assicurare una tutela giurisdizionale effettiva nei settori disciplinati dal diritto dell’Unione”. Una tutela preclusa (e da che cosa poi? Dal previo esperimento di un legittimo rimedio amministrativo!) non è effettiva e per la verità non è neppure propriamente una tutela, perché implica la rinuncia a un’altra tutela, quella appunto in sede amministrativa, peraltro connotata da caratteristiche intrinsecamente diverse.
Si potrebbe evocare anche l’art. 52 CDFUE, che impone proporzionalità e necessità quando si operano limitazioni, l’identificazione esatta dei diritti antagonisti da bilanciare e l’impossibilità che la compressione giunga alla soppressione di uno di essi, ma non c’è nemmeno bisogno di andare tanto in là.
In prospettiva storica, l’istituto dell’alternatività ci proviene in lascito addirittura dalla gloriosa legge 675/96, ossia fa parte di quel patrimonio primitivo – nel senso di originario – del formante nazionale. Ad avviso di chi scrive, appariva già allora in contrasto con la disciplina comunitaria. Tuttavia, l’alternatività era inizialmente per lo meno limitata a una sola tipologia di rimedi amministrativi, i ricorsi al Garante, e si relazionava con una tessitura verbale della direttiva “madre”, la dir. 95/46, meno netta rispetto al GDPR quanto ai rapporti tra i mezzi di tutela esperibili in concorso.
Ma perché l’alternatività delle tutele è in contrasto con il GDPR?
Perché il Regolamento agli articoli da 77 a 79 presenta una formulazione chiarissima, riassumibile in quattro punti:
- il rimedio amministrativo (reclamo all’autorità di controllo) è posto, nell’architettura dell’atto normativo, sullo stesso piano di importanza del rimedio giurisdizionale;
- nessuno dei rimedi esperibili è condizionato dall’esperimento di un altro;
- non esiste alcun criterio di priorità tra rimedi;
- tutti i rimedi costituiscono diritti dell’interessato.
Orbene, con la sentenza C-132/21, la Corte di giustizia non ha fatto che sottolineare gli elementi connotanti del diritto dell’Unione sopra menzionati. Nell’arresto è più volte ribadito che tutti i mezzi di tutela riconosciuti agli articoli da 77 a 79 GDPR possono essere esercitati in modo concorrente (dunque non escludente), indipendente, parallelo tra loro.
Tocca poi agli Stati membri, fermo quanto sopra (dunque non in deroga a quanto sopra) trovare soluzioni per evitare conflitti di giudicato, che, peraltro, possono essere solo tra pronunce ai sensi dell’art. 78 e dell’art. 79, non certo tra provvedimenti amministrativi e decisioni giurisdizionali. Il nostro diritto processuale è già ampiamente dotato di questi istituti, come è ben noto, né servono integrazioni.
Piace rimarcare che il Giudice europeo ha collegato la regola dell’esperimento contestuale di rimedi diversi all’assicurazione di “un livello elevato di tutela dei diritti garantiti dall’articolo 16 TFUE e dall’articolo 8 della Carta”. Semplicemente, i diritti non esistono se non sono effettivi anche in sede di tutela. Un GDPR limitatamente ricorribile in contenzioso giustiziale o giudiziale costituisce nient’altro che un elenco di affermazioni depotenziate.
E il Garante?
Il Garante, non diversamente dal Giudice civile, è tenuto a disapplicare la norma nazionale incompatibile con il GDPR, e più in generale con il soprastante diritto dell’Unione, soprattutto dopo la pronuncia sopra menzionata della Corte di giustizia, ma su questo si rimanda il lettore alle conclusioni più in basso.
Esistono infatti due appendici ulteriori dell’istituto dell’alternatività di cui è ancora necessario parlare, entrambe di creazione dell’Authority. Si tratta dell’alternatività tra esercizio dell’azione civile e deposito di segnalazione al Garante e dell’alternatività tra reclamo e deposito di denuncia-querela, ricondotte tutt’e due all’art. 140-bis, che assolutamente non le menziona.
Quanto alla prima ipotesi (segnalazione che, se ben intendiamo, preclude ricorso giurisdizionale), essa è evidentemente contraria tanto alla lettera del citato articolo, quanto alla differenza sostanziale tra reclamo e segnalazione (che è sostanzialmente un esposto), ma soprattutto al noto divieto di applicazione analogica di norme che pongono deroghe ed eccezioni, cfr. art. 14 preleggi. Certamente l’art. 140-bis d.lgs. 196/03 è una di queste norme.
Quanto alla seconda ipotesi, che creerebbe una mutua preclusione tra procedimento amministrativo e procedimento penale, essa cozza innanzitutto con la formulazione dell’art. 140-bis richiamato, che al primo comma circoscrive l’alternatività al “ricorso” giurisdizionale e al terzo comma rende esplicito che tale ricorso è solo quello in sede civile disciplinato dall’art. 10 d.lgs. 150/2011. In secondo luogo, vale naturalmente anche qui la considerazione sul divieto di applicazione analogica di norme eccezionali, ai sensi dell’art. 14 preleggi.
Soprattutto, comunque, un procedimento in sede amministrativa e in sede penale non presentano identità di parti e certamente non presentano identità di oggetto, ciò già per l’ovvia differenza di petitum, come ha rilevato di recente da Trib. Milano, Sez. I, 29 aprile 2022, n. 9542, che si è trovato a ricevere la questione: “Diverso è poi l’oggetto tra i due procedimenti, posto che nella querela viene richiesto che vengano fatte le dovute indagini per accertare la sussistenza di eventuali fatti di reato”.
A ben vedere, l’ipotesi di un’alternatività penale stride con elementi strutturali: la Cassazione ha già da tempo chiarito che l’alternatività non è, neppure concettualmente, ipotizzabile su materie escluse dalla cognizione del Garante (nella specie il risarcimento del danno, dunque certamente a fortiori l’intera materia penale).
Conclusioni
È necessario disapplicare la norma nazionale in contrasto con il diritto dell’Unione, nella specie in contrasto con il GDPR. Tale obbligo di disapplicazione discende dal principio del primato del diritto eurounitario, sarebbe infatti inammissibile e contrario agli impegni assunti dagli Stati membri mantenere disposizioni difformi rispetto a quelle fissate al livello comune condiviso.
L’obbligo di disapplicazione non riguarda soltanto l’autorità giurisdizionale, ma ogni amministrazione dello Stato, dunque anche il Garante. L’esperienza personale dello scrivente mostra per esempio come l’Authority continui ad applicare la regola dell’alternatività perfino mesi dopo la citata sentenza CGUE C-132/21.
È auspicabile peraltro che il legislatore intervenga in maniera tempestiva per eliminare le norme in conflitto con gli impegni eurounitari. Era successo per esempio ad esito della causa CGUE, Prokuratuur, C-746/18 quando con una relativamente celere modifica venne novellato l’art. 132 d.lgs. 196/03.
Giova comunque notare che, anche indipendentemente da correzioni di diritto positivo, opera l’obbligo di disapplicazione, come ribadito dal consolidato formante della Corte di giustizia in proposito.
