I RICORSI AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI:
LE NUOVE REGOLE DEL PROCEDIMENTO

di
Marco Maglio

Una nuova tessera si aggiunge al mosaico della tutela dei dati personali: con la pubblicazione sulla Gazzetta ufficiale n. 25 del 01.02.1999 del DPR 31.03.1998 n. 501 vengono chiarite le modalità del procedimento amministrativo davanti all'Autorità Garante. Oltre a stabilire norme sull'organizzazione interna dell'Autorità, questo testo normativo contiene alcune regole utili per l'esercizio e la tutela dei diritti dei cittadini in materia di trattamento dei dati personali, in modo particolare per ciò che concerne il loro diritto di conoscere i dati che li riguardano detenuti dai vari gestori di banche-dati, e di chiederne la correzione o l'integrazione.

Come può agire un cittadino che ritiene di aver subito un illecito trattamento dei suoi dati personali? E come possono difendersi il titolare o il responsabile che siano chiamati a fornire chiarimenti circa le operazioni compiute sui dati personali dei propri clienti o fornitori?

In assenza di precise "regole di rito" relative procedimento davanti Garante, finora era problematico fornire una risposta esauriente a queste domande anche se è noto che la legge sulla tutela dei dati personali prevede che chi vede lesi i propri diritti in materia di privacy può alternativamente adire l'Autorità giudiziaria Ordinaria o l'Autorità Garante per la protezione dei dati personali. Quest'ultima opportunità ha assunto connotati più chiari a seguito dalla pubblicazione sulla Gazzetta Ufficiale del 1° febbraio 1999 del DPR 31.03.1998 n. 501 recante norme sul Regolamento dell'Ufficio del Garante.

Grazie a questo provvedimento il Garante assume poteri dai contorni più definiti, adeguati alla propria natura di Autorità Amministrativa Indipendente, pur non rivestendo la dignità ed i caratteri di una giurisdizione speciale. Non va dimenticato infatti che il Garante per la protezione dei dati personali è un'Autorità Indipendente con funzione, tra le altre, di controllare se i trattamenti di dati sono effettuati nel rispetto delle norme di legge, con l'obbligo di ricevere le segnalazioni ed i reclami degli interessati provvedendo sui ricorsi presentati da chi ritenga di aver subito un illecito trattamento delle informazioni che lo riguardano. A tale funzione sono specificamente dedicati i tre articoli (18, 19 e 20) che compongono il capo VI del DPR n. 501/1998.

Peraltro va qui chiarito che, stante il divieto di istituzioni di giudici straordinari o speciali ai sensi dell'articolo 102 della Costituzione, al Garante resta preclusa l'attività propriamente giurisdizionale di applicazione della legge ai casi concreti, affermando l'esistenza di diritti soggettivi o denegandone la rilevanza giuridica, potendo quest'organo svolgere tutt'al più un compito coadiuvante, e strumentalmente rilevante, per la protezione dei diritti attribuiti dalla legge n. 675/1996 agli interessati.

D'altra parte, seguendo le suggestioni offerte dalle scelte terminologiche del legislatore, va sottolineato il fatto che l'organo di controllo istituito dalla legge n. 675/1996 sia stato definito "Garante per la protezione dei dati personali" e non "Garante per la tutela dei dati personali". E in termini giuridici il concetto di protezione è afferente ad un'area concettuale diversa rispetto a quella dei diritti soggettivi pieni. Tutto questo non mette comunque in discussione l'importante azione che il Garante potrà svolgere per l'affermazione dei diritti degli interessati attraverso l'emanazione di provvedimenti di natura amministrativa rilevanti sul piano dell'effettività delle norme.

Nell'introdurre alcune regole dettagliate per la tutela del cittadino, il Regolamento disciplina i casi in cui l'Interessato può rivolgersi al Garante in base alla legge n. 675/1996, rendendo più chiara la distinzione tra le semplici segnalazioni e i reclami inviati all'Autorità (che non richiedono particolari formalità per la loro presentazione e che saranno comunque esaminati da parte del Garante) e, invece, i veri e propri ricorsi.

Per completezza va ricordato che il Regolamento disciplina anche alcune modalità concrete per adempiere, anche attraverso strumenti informatici, a determinati obblighi che la legge fissa a carico dei gestori di banche dati (richieste di autorizzazioni, notificazioni ecc.).

I diritti tutelabili dinanzi al Garante sono quelli previsti dall'art. 13, 1° comma della legge n. 675/1996: diritto all'informativa, diritto di correzione, diritto all'aggiornamento, diritto alla cancellazione ed opposizione al trattamento dei dati personali.

Il ricorso da inoltrare al Garante ha carattere formale. Il suo contenuto infatti ripropone i medesimi contenuti del ricorso davanti all'Autorità Giudiziaria Ordinaria.

E' necessario indicare:

gli estremi del ricorrente e del titolare del trattamento nonché dell'eventuale responsabile,

gli estremi dell' eventuale procuratore speciale e del domicilio eletto, il petitum cioè il provvedimento richiesto, la causa petendi.

Inoltre è necessario, con le eccezioni che vedremo più avanti, l'apposizione della sottoscrizione autenticata.

La mancanza di uno di tali requisiti determina l'inammissibilità del ricorso (art. 19, c. 1/c del DPR n. 501). Ciò nonostante, il Garante (art 18, c. 5 DPR n. 501) mantiene vasti poteri di richiesta di regolarizzazione che il ricorrente deve effettuare entro il termine massimo di tre giorni dalla ricezione dell'invito. Trascorso tale termine il ricorso s'intenderà presentato all'atto della successiva ed eventuale regolarizzazione; tanto al fine evidente di sollecitare il ricorrente a farsi parte diligente nell'integrazione.

L'autenticazione della sottoscrizione del ricorrente non è necessaria in tre casi:

qualora la firma sia apposta presso l'Ufficio del Garante,

qualora il ricorso sia sottoscritto da un avvocato, regolarmente esercente la professione e dotato di procura alle liti resa ai sensi dell'art. 83 cpc,

in caso di presentazione telematica del ricorso.

L'art. 19, oltre all'ipotesi sopra ricordata, prevede esplicitamente altri tre casi di inammissibilità:

provenienza del ricorso da parte di soggetto non fornito di legittimazione ad agire,

mancato decorso del termine di cinque giorni per l'adempimento spontaneo,

precedente presentazione di ricorso dinanzi all'Autorità Giudiziaria Ordinaria.

Conseguentemente la presentazione del ricorso al Garante rende improponibile la stessa domanda dinanzi all'Autorità Giudiziaria Ordinaria che comunque potrà essere successivamente adita in opposizione (art. 29, c. 6 della legge). Risulta in questo modo recepito il principio di alternatività tra l'esercizio dell'azione giurisdizionale e la presentazione del ricorso davanti al Garante: scelta una via non è possibile accedere alla via alternativa.

Il DPR n. 501 inoltre richiede, ma non a pena di inammissibilità, allegazione della documentazione utile nonché l'indicazione di un recapito che consenta l'utilizzo di strumenti di comunicazione rapidi quali telefax o posta elettronica (art. 18, c. 4).

Peraltro va chiarito che, in assenza di precisazioni normative, la presentazione del ricorso può avvenire solo a mezzo di piego raccomandato; in futuro e in data da individuare a cura del Garante, sarà possibile effettuarla anche per via telematica, presumibilmente mediante la posta elettronica di origine certificata. In ogni caso dovrà essere possibile garantire l'avvenuta ricezione del documento a mezzo di messaggio di conferma. Ma, mentre da una parte il ricorso a strumenti telematici rimane ancora una soluzione percorribile in futuro, dall'altra è stata accantonata definitivamente dal DPR n. 501 la possibilità di presentazione del ricorso su supporto magnetico come originariamente previsto dalla legge n. 675/1996.

La presentazione del ricorso non è gratuita. Il Garante, ai sensi dell' art. 11 del DPR n. 501, ha la competenza di stabilire l'ammontare dei diritti di segreteria e le modalità di pagamento valide anche per la futura presentazione telematica del ricorso. Restano gratuiti i reclami e le segnalazioni che, a differenza dei ricorsi, non richiedono particolari formalità per la loro presentazione e che saranno comunque esaminati da parte del Garante.

Peraltro il Garante stesso ha ricordato che il ricorso non va presentato per ogni caso di sospetta violazione della legge n. 675/1996, ma solo per far valere precisi diritti riconosciuti dall'art. 13 (accesso, rettifica, cancellazione ecc.) e solo dopo aver interpellato inutilmente il gestore della banca dati (a meno che non vi sia un caso di particolare e comprovata urgenza che possa comportare un serio danno).

Il procedimento è basato sul principio dispositivo delle parti. Il Garante non potrà quindi procedere d'ufficio ma dovrà sempre agire su impulso di parte.

A tale proposito va osservato che i termini procedimentali sono rigorosamente fissati a pena di decadenza. Già la legge n. 675/1996 ha previsto all'art. 29 comma 4 che il procedimento si deve esaurire nel termine massimo di venti giorni scaduti i quali la mancata pronunzia, sia in ordine alla domanda ordinaria che quella avanzata in via cautelare, equivale a silenzio-rigetto.

Abbiamo già visto che condizione di ammissibilità del ricorso sono:

l' esperimento del tentativo di conciliazione tra le parti (art. 29, c. 2, legge n. 675), che deve essere obbligatoriamente esercitato dal ricorrente;

il decorso di cinque giorni dalla richiesta.

Non sarà necessario rispettare tale condizione solo laddove anche un breve lasso di tempo possa pregiudicare in modo imminente ed irreparabile il ricorrente. Il Garante in tal senso può essere adito in via cautelare e provvederà, ai sensi del comma 5, art. 29 della legge n.675.

Un'elemento caratterizzante introdotto dal DPR n. 501 ripropone lo schema processuale del patteggiamento: è infatti prevista la preliminare richiesta da parte del Garante al titolare responsabile del trattamento di dar luogo all'adesione spontanea alla richiesta di tutela avanzata dal ricorrente (art. 20, c. 1 e 2). Una volta ricevuto il ricorso, il Garante dovrà inviarlo alle controparti (titolare e responsabile del trattamento) con l'avvertimento della possibilità di adesione spontanea entro e non oltre tre giorni dalla sua ricezione.

L'adesione spontanea se da una parte determina una sorta di non luogo a procedere del giudizio, dall'altra prevede la condanna alle spese, sempre se richieste, e che l'autorità liquiderà in misura forfetaria.

Contestualmente alla comunicazione del ricorso ed alla richiesta di adesione spontanea, il Garante indica il termine in cui il titolare, il responsabile del trattamento nonché l'interessato possono presentare memorie e documenti e la data di eventuale audizione in contraddittorio anche mediante videoconferenza. Evidentemente tale mezzo tecnologico potrà essere utilmente sfruttato solo ove siano precisati le modalità, le condizioni e i protocolli di utilizzo (art. 20, c. 4).

Le parti possono stare in giudizio personalmente e non è necessaria un'assistenza legale tecnica in quanto il comma 5 dell'art. 20 prevede che il titolare ed il responsabile del trattamento possano essere assistiti anche da persona di fiducia non titolata.

Quanto ai poteri istruttori previsti in capo al Garante, è indicata la possibilità di disporre una consulenza tecnica (art. 29, c.3). A questo riguardo il comma 4° dell'art. 20 del DPR n. 501 richiama implicitamente le norme del processo ordinario; infatti, similmente a quanto previsto per il processo civile, è richiesta la precisazione del contenuto dell'incarico, la sua durata e la facoltà delle parti di presenziare alle operazioni o personalmente o tramite procuratori e consulenti di parte.

Sempre in ordine ai poteri istruttori si ricorda che la legge n. 675/1996 ha riconosciuto al Garante quelli di richiesta di informazioni ed esibizione di documenti (artt. 29 e 32) la cui omissione viene punita con la sanzione amministrativa dell'art. 39 (sanzione da un milione a sei milioni di lire).

Il provvedimento, sia definitivo che reso in via cautelare, viene comunicato alle parti entro il termine ordinatorio di tre giorni (che, in assenza di specifica precisazione da parte del legislatore, si deve immaginare decorrano dal deposito in Segreteria), presso il domicilio eletto ovvero presso il domicilio indicato nelle memorie. Ovviamente la brevità del termine impone l'utilizzo se non di posta elettronica per lo meno di una trasmissione mezzo telefax, come previsto dalla seconda parte del comma 10 dell'art. 19.

Il provvedimento, come chiarito, non ha natura giurisdizionale e può essere classificato tra le c.d. decisioni amministrative ed in particolare tra gli atti amministrativi di accertamento, formati in modo contenzioso. Anche da questo punto di vista il Garante presenta la natura di autorità indipendente con funzione di vigilanza e di prevenzione dei conflitti rispetto agli illeciti trattamenti dei dati personali ed esercita un'attività amministrativa partecipata su impulso di parte.

A tale riguardo va osservato che il provvedimento del Garante può indicare "le misure necessarie a tutelare i diritti dell'interessato" e quindi invocare le condotte attive od omissive da porre in essere per evitare il lamentato pregiudizio ed il termine della loro adozione. Ma questo atto non ha né può rivestire alcun contenuto di natura costitutiva di diritti soggettivi. Esso, pertanto, non potrà essere eseguibile mediante esecuzione coattiva. L'unico deterrente al rispetto del provvedimento è rappresentato dalla norma penale di cui all'art. 37 della legge che prevede, in caso di mancata osservanza dei provvedimenti del Garante, la condanna alla reclusione da tre mesi a due anni.

La condanna alle spese anche in questa sede segue la soccombenza. La parte a cui carico viene emesso il procedimento paga le spese di giudizio nella misura determinata dal provvedimento finale in modo forfettario.

I provvedimenti infine vengono pubblicati, debitamente emendati delle generalità delle parti, sul Bollettino del Garante che, ai sensi dell' art. 21 del DPR n. 501 dovrebbe dare spazio non solo alle pronunzie ma anche a tutti gli atti e documenti di rilevanza pubblica (ad esempio i comunicati stampa) ed alle risposte di quesiti. Tale Bollettino dovrà essere in futuro consultabile anche da parte degli Uffici Giudiziari attraverso strumenti telematici.

L'ultimo comma dell'art. 20 disciplina il caso di difficoltà o contestazioni in ordine all'esecuzione del provvedimento definitivo (art. 29, c. 4 della legge) od in ordine all'esecuzione di una decisione, resa in via cautelare o d'urgenza (art. 29, c. 5 della legge), che ha disposto il blocco dei dati o la sospensione di una o più operazioni di trattamento. In questi casi il Garante sempre in contraddittorio delle parti dispone le modalità di attuazione avvalendosi del personale dell' Ufficio o della collaborazione di altri organi dello Stato. Stante la natura non giurisdizionale dei provvedimenti e la già ricordata non eseguibilità forzata degli stessi è assai discutibile la valenza giuridica dell'ultima parte della norma sul piano dell'effettività.

Il DPR n. 501 non ha introdotto nessuna sostanziale innovazione in materia di impugnazione delle decisioni emesse dall'Autorità.

I provvedimenti del Garante, sia quelli espressi che quelli taciti di rigetto, sono ricorribili mediante proposizione di opposizione dinanzi al Tribunale del luogo di residenza del titolare del trattamento. Tale impugnativa, che comunque non sospende il provvedimento, deve essere esercitata entro trenta giorni dalla data di comunicazione del provvedimento dell'Autorità.

L'eventuale provvedimento cautelare reso dal Garante sarà impugnabile solo unitamente alla decisione che definisce il provvedimento. E' quindi preclusa la possibilità di impugnazione incidentale della decisione provvisoria emessa in via d'urgenza.

Circa i rapporti tra procedimento davanti al Garante e processo davanti alla magistratura vertente sul medesimo oggetto e tra le medesime parti in sede di opposizione, sul piano interpretativo si può ritenere che, una volta investita della decisione sul caso, l'Autorità Giudiziaria Ordinaria abbia ampi poteri di cognizione e che il giudizio si articoli secondo il principio della devoluzione piena riacquistando una connotazione civilistica pura. Di conseguenza il Giudice competente potrà pronunciarsi anche in ordine al risarcimento del danno patrimoniale e non patrimoniale, eventualmente richiesto, a seguito di comportamento illegittimo accertato in capo al titolare o al responsabile del trattamento.

Il decreto del Tribunale, reso in camera di consiglio per garantire una celere definizione, sarà ricorribile solo in Cassazione.

Milano, Marzo 1999