Il contenzioso giurisdizionale e il Garante - Relazione 2023

20 Il contenzioso giurisdizionale

20.1. Considerazioni generali

In applicazione del quadro normativo vigente, tutte le controversie che riguarda-
no l’applicazione della disciplina in materia di protezione dei Dati personali devono
essere comunicate al Garante, anche se non sono relative all’impugnazione di prov-
vedimenti dell’Autorità (art. 152 del Codice e art. 10, comma 9, d.lgs. n. 150/2011,
come modificato dall’art. 17 del d.lgs. n. 101/2018),

In relazione a tale obbligo informativo, si registra, nel decorso anno, un deciso
aumento rispetto al passato: a fronte dei 58 ricorsi del 2021 e 70 del 2022, nel 2023
è stata comunicata all’Autorità la pendenza di 101 controversie in materia di prote-
zione dati tra soggetti terzi.

Permane, invece, non sempre puntualmente adempiuto l’altro obbligo, a carico
delle cancellerie, di trasmettere al Garante copia dei provvedimenti emessi dall’Au-
torità giudiziaria in materia di protezione dati e di criminalità informatica (art. 154,
comma 6, del Codice). Tali comunicazioni contribuiscono ad arricchire la conoscen-
za da parte dell’Autorità dell’evoluzione della giurisprudenza in materia di protezio-
ne dei Dati personali e a individuare gli interventi normativi ritenuti necessari per la
tutela dei diritti degli interessati, da segnalare al Parlamento e al Governo.

20.2. Le opposizioni ai provvedimenti del Garante e le decisioni giudiziali di maggior
rilievo

L’anno 2023 ha registrato una rilevante riduzione nella proposizione delle opposi-
zioni a provvedimenti dell’Autorità: 75 a fronte dei 123 ricorsi del 2022.
Nel decorso anno, inoltre, l’Autorità ha avuto notizia di 159 decisioni dell’Auto-
rità giudiziaria relative a opposizioni a provvedimenti del Garante (di cui 37 relative
a cartelle di pagamento), a fronte delle 113 pervenute nel 2022.
Di seguito si dà conto delle sentenze di maggior rilievo.

Con sentenza 9 giugno 2023, n. 451, il Tribunale di Cuneo ha respinto l’opposi-
zione proposta da un comune ai sensi dell’art. 615, comma 1, c.p.c. avverso la car-
tella esattoriale recante la sanzione pecuniaria comminata dall’Autorità all’esito del
provvedimento con il quale l’Ufficio aveva contestato la violazione dell’art. 13 del
Codice, sanzionata dall’art. 161 del medesimo Codice, allora vigenti, per aver svolto
trattamenti di Dati personali senza aver reso un’idonea informativa agli interessati.
Il procedimento traeva origine da una segnalazione con la quale l’interessato aveva
lamentato l’inidoneità dell’informativa in relazione al Trattamento di dati personali
effettuato dal comune tramite un dispositivo elettronico di rilevazione delle infrazio-
ni semaforiche. Nelle more del procedimento era intervenuta la disciplina di cui al
d.lgs. n. 101/2018, cosicché l’atto di contestazione immediata di cui all’art.14 della
l. n. 689/1981 aveva assunto il “valore dell’ordinanza-ingiunzione […] senza obbligo
di ulteriore notificazione” (ex art. 18, comma 3, d.lgs. n. 101/2018), onde l’Autorità
aveva provveduto a iscrivere a ruolo la detta somma, dovuta dal comune in ragione
del verbale di accertamento di violazione amministrativa del 7 dicembre 2016.
Occorre innanzitutto evidenziare che il giudice ha ritenuto non fondata in via

Trattamento di dati
da parte di soggetti
pubblici

199
RELAZIONE 2023
IIII
20

preliminare l’eccezione spiegata dal Garante di inammissibilità del ricorso per in-
tervenuta decadenza ex art. 10, comma 3, d.lgs. n. 150/2011. Ad avviso del Tribu-
nale, infatti, “per effetto dell’art. 18 del d.lgs. n. 101/2018 (ritenuto in questa sede
pienamente applicabile), l’atto endo-procedimentale di contestazione dell’infrazione
notificato al presunto trasgressore il 7 dicembre 2016, è stato trasformato, ope legis,
in provvedimento finale del procedimento sanzionatorio avente il valore di ordinan-
za-ingiunzione. In altri termini, in virtù della novella legislativa, il provvedimento
sanzionatorio che ha pregiudicato la posizione dell’ente comunale coincide inte-
gralmente con l’atto di contestazione della violazione dell’art. 13 del Codice della
privacy nella sua formulazione pro tempore vigente: si tratta di un provvedimento che
si è formato in via progressiva per silentium e, in particolare, per effetto della notifica
dell’atto di contestazione al presunto trasgressore e, a seguito dell’entrata in vigore
del d.lgs. n. 101/2018, per l’omessa presentazione da parte di quest’ultimo delle
memorie difensive all’autorità amministrativa nel termine perentorio previsto dal
legislatore. Tanto premesso, l’ingiunto può far valere i vizi di illegittimità del prov-
vedimento sanzionatorio (quali emergenti dall’atto di contestazione che ha valore
di ordinanza-ingiunzione) – nonché i vizi di costituzionalità dell’art. 18 del d.lgs.
n. 101/2018 che ha trasformato l’atto di contestazione dell’infrazione in provvedi-
mento conclusivo del procedimento amministrativo e che, quindi, in via riflessa, si
ripercuotono sulla validità del provvedimento sanzionatorio – nel termine decaden-
ziale di cui all’art 10, comma terzo, del d.lgs. n. 150/2011 decorrente, ovviamente,
dalla data in cui si è perfezionata la notifica della cartella di pagamento, in quanto
quest’ultimo rappresenta il primo atto con cui al comune è stata comunicata l’irro-
gazione della sanzione nei suoi confronti”.

L’opposizione all’esecuzione viene pertanto in questa sede ritenuta come “recupe-
ratoria” di una garanzia negata all’intimato in virtù della normativa sopravvenuta e
non viene accettata la tesi (sostenuta dall’Ufficio e dall’Avvocatura) per cui il dies a
quo, da cui sono decorsi i 30 giorni per impugnare, andrebbe individuato nella data
nella quale si consumavano i novanta giorni dopo l’entrata in vigore del decreto,
scaduti i quali, in assenza di pagamento agevolato o produzione di nuove memorie,
la contestazione si sarebbe convertita ope legis in ordinanza-ingiunzione.
Interessanti appaiono le considerazioni del giudice in punto di legittimità costitu-
zionale dell’art. 18, commi 2 e 4, del citato d.lgs. n. 101/2018.

Nonostante la premessa sul rito precisata, il giudice ha in ogni caso ritenuto co-
stituzionalmente legittimo l’impianto complessivo del d.lgs. n. 101/2018, eviden-
ziandone la ratio di deflazione del carico amministrativo, fornendo una lettura della
sentenza della Corte costituzionale n. 260/2021 che ha ritenuto tale normativa non
conforme unicamente nella parte relativa all’interruzione del termine quinquennale
di prescrizione del diritto dell’amministrazione a riscuotere le somme (comma 5).
Ha inoltre pienamente accolto tutte le eccezioni spiegate nel merito dalla difesa
del Garante, confermando il provvedimento dell’Autorità e le inadempienze del co-
mune in materia di informativa resa ai cittadini.

Con sentenza 31 maggio 2023, n. 8722, il Tribunale di Roma ha confermato
il provvedimento correttivo-sanzionatorio del Garante 26 novembre 2020, n. 236
(doc. web n. 9522206) in tema di responsabilità amministrativa della persona giuri-
dica per fatto del dipendente. La vicenda riguardava la diffusione in rete di un video
riguardante un uomo, ripreso all’interno dei locali di un commissariato di pubblica
sicurezza della Capitale, nell’atto di compiere gesti autolesionistici in uno stato di
evidente alterazione psicofisica. Nel video si vedeva chiaramente il volto dell’uomo
mentre si procurava lesioni al capo e si sentiva chiaramente che, tra i lamenti dispe-
rati, dichiarava di essere malato oncologico e di avere l’AIDS.

Il procedimento avviato d’ufficio dal Garante aveva portato all’accertamento

200
L’ATTIVITÀ SVOLTA DAL GARANTE
II
L’ATTIVITÀ SVOLTA DAL GARANTE
II
20

dell’illiceità del Trattamento complessivamente posto in essere dagli operatori di po-
lizia, infliggendo al Ministero dell’interno una sanzione pecuniaria pari a 60.000
euro, nonché impartendo allo stesso misure correttive. Con la sentenza in esame, il
Tribunale di Roma ha rigettato il ricorso proposto dal menzionato Ministero, che è
stato altresì condannato alla rifusione delle spese di lite in favore della controparte.
In particolare, il Tribunale ha ritenuto pienamente condivisibile quanto sostenuto
dal Garante nel provvedimento impugnato ove si afferma che “i dati, di cui il Mini-
stero disponeva in ragione e per lo svolgimento dei propri compiti istituzionali, che
erano in suo pieno ed esclusivo controllo ed in relazione ai quali aveva un obbligo
di custodia ben dettagliato dalle norme sulla protezione dei dati personali, sono stati
comunicati e diffusi in violazione delle norme stesse ed in modo gravemente lesivo
della dignità della persona interessata”.
In merito poi alla riconducibilità al medesimo Ministero della responsabilità am-
ministrativa per la divulgazione in esame, il Tribunale di Roma non ha ritenuto
fondati i rilievi dell’amministrazione ricorrente per cui, tanto la condivisione del
filmato sulla chat dell’applicazione WhatsApp, quanto la diffusione su internet sa-
rebbero state opera individuale del singolo dipendente (perseguito penalmente e
disciplinarmente), con la conseguenza che l’amministrazione non avrebbe potuto
essere chiamata a rispondere dell’illecito in questione, in ragione della sussistenza di
un mero nesso di “occasionalità necessaria”, in quanto “esterna” alla sua possibilità di
controllo, diversamente da quanto accade per la responsabilità civile del dipendente
in caso di illecito aquiliano (richiamando Cass., SS.UU., n. 13246/2019, oltre agli
artt. 28 Cost. e 2049 c.c.).

È stata, pertanto, riconosciuta la responsabilità amministrativa del Ministero per
la mancata adozione di Misure minime di sicurezza volte ad impedire la condivisione
e la diffusione dei dati.

Il Tribunale di Padova, con sentenza n. 649/2023, pubblicata il 31 marzo 2023, ha
accolto il ricorso proposto da un comune contro l’Agenzia delle entrate-riscossione
e il Garante per l’annullamento di una cartella esattoriale fondata su una contesta-
zione di violazione amministrativa formulata dal Garante, che aveva assunto ope legis
valore di ordinanza-ingiunzione, ai sensi dell’art. 18, comma 2, d.lgs. n. 101/2018.
La contestazione ha avuto origine da una segnalazione pervenuta all’Autorità nella
quale l’interessato aveva rappresentato che, dopo aver scaricato dal sito della polizia
locale alcune foto relative a una multa ricevuta, constatava che nei fotogrammi mes-
si a disposizione era possibile visualizzare non soltanto la targa relativa alla propria
moto, bensì anche quella, non oscurata, relativa ad altro veicolo, non interessato dal
procedimento amministrativo. Dopo aver acquisito informazioni dal comune, che
ha ammesso il fatto connotandolo come una “svista”, l’Autorità aveva rilevato che il
comune aveva posto in essere un illecito Trattamento di dati personali, mediante la
pubblicazione sul proprio sito internet di fotogrammi relativi a una violazione del
codice della strada, recanti dati non pertinenti ed eccedenti per il perseguimento
della finalità di accertamento di comportamenti contrari alle disposizioni in materia
di segnaletica stradale, in violazione delle prescrizioni contenute nel punto 5.3.1.
del provvedimento generale del Garante dell’8 aprile 2010, contestando la relativa
sanzione amministrativa.

Il Tribunale di Padova ha accolto il ricorso ritenendo in particolare che “[…] l’ele-
mento del numero della targa, senza alcuna indicazione circa il conducente, non può
farsi rientrare nel novero dei Dati personali meritevoli di tutela da parte della nor-
mativa in materia di privacy, d.lgs. n. 196/2003 e succ. mod., in quanto trattasi di
dati rinvenibili in pubblici registri, collegati a veicoli, di cui ne consentono l’indivi-
duazione e non a persone che rappresentano il bene tutelato dalla normativa citata”.
Per tali motivi l’Autorità ha proposto alla competente avvocatura di impugnare in

201
RELAZIONE 2023
IIII
20

Cassazione la sentenza, anche in ragione dell’importanza del principio di diritto in
discussione, tenuto conto della preesistente giurisprudenza in materia sia di ambito
nazionale sia di matrice unionale.

La Corte di cassazione, con sentenza 11 settembre 2023, n. 26267/2023, ha
confermato la legittimità della sanzione di 20.000 euro irrogata a una regione, per
avere pubblicato sul sito web istituzionale una deliberazione della Giunta regionale
avente a oggetto “Mobilità per esigenze organizzative di un dipendente nell’ambito
dell’organico della giunta regionale”, contenente valutazioni sulla professionalità e
sul contegno dell’interessato, espressamente identificato. La Corte ha riconosciuto la
correttezza del provvedimento del Garante, poiché in base all’art. 19 del Codice (suc-
cessivamente abrogato a seguito delle modifiche apportate dal d.lgs. n. 101/2018), la
diffusione di Dati personali da parte di un soggetto pubblico era ammessa unicamen-
te quando prevista da una norma di legge o di regolamento. La Corte ha precisato
che la finalità del controllo sull’agire dell’amministrazione mediante la trasparenza
delle informazioni deve essere attuata mediante forme di pubblicità la cui conoscen-
za sia ragionevolmente ed effettivamente connessa all’esercizio di un controllo, nel
rispetto dei limiti di proporzionalità e pertinenza, non giustificandosi una totale e
indiscriminata ostensione dei dati stessi (cfr. Corte cost. n. 20/2019), nemmeno nel
regime del d.lgs. n. 33/2013.

Con ordinanza 21 settembre 2023, n. 26974, adottata all’esito di un giudizio
intentato da un comune, la Suprema Corte ha affermato che “l’art. 18 del d.lgs.
n. 101 del 2018, attuativo del GDPR, ha introdotto una deroga all’art. 16 della
l. n. 689 del 1981 quanto ai procedimenti sanzionatori per violazione degli artt.
161, 162, 162-bis, 162-ter, 163, 164, 164-bis, comma 2, del Codice in materia
di protezione dei dati personali, tale per cui, in ipotesi di mancata definizione e di
mancata presentazione di “nuove memorie difensive”, il titolo si cristallizza nel ver-
bale di contestazione, ove codesto contenga tutti gli elementi necessari a individuare
una ben determinata pretesa sanzionatoria; donde la cartella di pagamento che sia
successivamente notificata costituisce non il primo atto teso a far valere la pretesa
patrimoniale, sebbene e proprio l’atto della riscossione, la quale è consentita me-
diante il ruolo, stante la definitività del titolo a monte”. Inoltre, la Suprema Corte
ha esaminato anche la questione di legittimità costituzionale della norma, ritenendo
che la Corte costituzionale, con la nota sentenza n. 260/2021, ha ritenuto incostitu-
zionale la disciplina censurata nei limiti del ripetuto quinto comma, per violazione
del principio di ragionevolezza e del canone di proporzionalità, non ravvisando, “a
sostegno della disposizione censurata, alcun motivo idoneo a giustificare un livello
tanto intenso di compressione della posizione del privato” (così la Consulta). E con
ciò - continua la Corte di cassazione con questa ordinanza – la Corte costituzionale
“ha implicitamente ritenuto legittima, invece, la scelta legislativa nel suo ulteriore
profilo precettivo, giacché la ratio è nella semplificazione della procedura, e tale ratio
risiede nell’esigenza di far fronte al sovraccarico di oneri amministrativi derivanti per
l’appunto dall’entrata in vigore del GDPR. Sicché solo l’interruzione della prescri-
zione è illegittima [e tale è stata dichiarata], perché si configura come un’ulteriore
e non giustificata prerogativa dell’amministrazione per perseguire il fine citato. Ne
segue che i profili di incostituzionalità della disciplina di legge afferente al caso con-
creto sono chiaramente infondati”.

Con sentenza 9 maggio 2023, n. 1544, la Corte d’appello di Milano ha accolto
il ricorso presentato dal Garante e, per l’effetto, in totale riforma della decisione di
primo grado, ha respinto l’opposizione proposta da una società avverso una cartella
esattoriale emessa dall’Agenzia delle entrate a titolo di violazioni della disciplina in
materia di protezione dei Dati personali ai sensi dell’art. 18 del d.lgs. n. 101/2018.
In particolare la Corte ha affermato che, nel caso di specie, all’epoca di entrata

Ricorsi avverso cartelle
esattoriali

202
L’ATTIVITÀ SVOLTA DAL GARANTE
II
L’ATTIVITÀ SVOLTA DAL GARANTE
II
20

in vigore della novella, il procedimento non era ancora stato definito con l’ordinan-
za-ingiunzione, né la società aveva acceduto alla definizione agevolata nei termini di
legge, né infine aveva provveduto alla presentazione di memorie, di talché alla luce
della previsione suddetta, il verbale di contestazione della violazione, fondante l’e-
missione della cartella esattoriale opposta dalla società nelle forme di cui all’art. 615
c.p.c, ha acquistato valore (rectius si è convertito in) di ordinanza-ingiunzione “senza
obbligo di ulteriore notificazione”, opponibile soltanto nelle forme e nei termini di
cui alla l. n. 689/81. Ragion per cui l’opposizione ex art. 615 c.p.c. proposta avverso
la cartella esattoriale sulla base della sanzione irrogata dal Garante non poteva essere
validamente accolta alla luce del fatto che la pretesa sanzionatoria è da ritenersi cri-
stallizzata per mancanza di rituale opposizione, e cioè nei termini e nelle forme di
cui alla normativa di riferimento.

Il Tribunale di Arezzo con sentenza 25 gennaio 2023, n. 74, ha rigettato l’oppo-
sizione proposta da una società avverso la cartella di pagamento emessa dall’Agenzia
delle entrate a titolo di violazioni della disciplina in materia di protezione dei dati
personali ai sensi dell’art. 18 del d.lgs. n. 101/2018, per la somma di 22.000 euro
oltre agli oneri accessori.

In particolare, il Tribunale ha affermato che l’art. 18 del d.lgs. n. 101/2018 è
chiaro nello stabilire che, decorso il termine di legge, l’atto con il quale sono stati no-
tificati gli estremi della violazione assume il valore di ordinanza-ingiunzione, senza
obbligo di ulteriore notificazione, salvo che il contravventore non produca “nuove”
memorie difensive. Tale ultima circostanza pacificamente non ricorreva nel caso in
esame, non avendo la società presentato alcuna nuova memoria a seguito della en-
trata in vigore del richiamato decreto legislativo. Ne consegue che, spirato il termine,
il verbale si era convertito ex lege in ordinanza-ingiunzione (e costituiva dunque il
titolo esecutivo sul quale si fondava la cartella di pagamento), senza che fosse neces-
saria ulteriore notificazione. Né ha ritenuto condivisibile l’assunto di parte ricorrente
secondo cui, al momento dell’entrata in vigore della norma, erano decorsi i “termini
perentori” per la conclusione del procedimento amministrativo, “essendo pacifico
che l’ordinanza-ingiunzione può essere emessa sino a che non è spirato il termine
di prescrizione quinquennale”. Il Tribunale ha altresì rilevato che non sussistevano
i denunciati profili di incostituzionalità della norma. Infatti, non risultava leso il
diritto di difesa, potendo la parte esercitare appieno il proprio diritto, tanto in seno
al procedimento amministrativo (con la presentazione di nuove memorie difensive)
tanto in sede giurisdizionale (mediante tempestiva impugnazione del verbale di con-
testazione, divenuto ordinanza-ingiunzione); non sussisteva la violazione del princi-
pio di eguaglianza formale, dal momento che il legislatore ha dettato una disciplina
uniforme per soggetti che si trovavano nella medesima situazione, né il meccanismo
introdotto dal legislatore risultava manifestamente irragionevole, essendo contro-
bilanciato dalla possibilità, per il trasgressore, di ottenere l’estinzione mediante pa-
gamento in misura ridotta e comunque dalla facoltà di ottenere un provvedimento
espresso mediante presentazione di nuove memorie difensive (fermo comunque il
diritto di impugnare il provvedimento conclusivo). Avverso la sentenza in parola la
società ha proposto ricorso davanti alla Corte di cassazione.
Merita di essere altresì segnalata la sentenza della Corte di cassazione in sede ci-
vile (sez. I, 20 dicembre 2023, n. 35568) la quale, nell’ambito di un contenzioso
intentato da una società contro il Garante, ha ribadito che, in tema di protezione dei
dati personali, l’art. 18 del d.lgs. n. 101/2018, attuativo del RGPD, “[…] ha intro-
dotto un meccanismo di definizione agevolata delle violazioni ancora non definite
con ordinanza-ingiunzione alla data di applicazione del Regolamento medesimo.
Esso si traduce, ove mancante detta definizione e la presentazione di nuove memo-
rie difensive, nella conversione ex lege del verbale di contestazione, già notificato,

203
RELAZIONE 2023
IIII
20

in ordinanza-ingiunzione della quale non necessita ulteriore notificazione, sicché il
dies a quo del termine per la proposizione dell’opposizione (…) va individuato (…)
nell’ultimo momento utile per produrre le memorie suddette ai sensi del comma 4
del medesimo articolo, né il Destinatario della prima può avvalersi della opposizione
cd. recuperatoria”.

Il Tribunale di Napoli con sentenza n. 3661 pubblicata il 5 aprile 2023 ha riget-
tato l’opposizione proposta dalla ricorrente avverso la cartella di pagamento emessa
dall’Agenzia delle entrate a titolo di violazioni della disciplina in materia di prote-
zione dei Dati personali ai sensi dell’art. 18 del d.lgs. n. 101/2018, per la complessiva
somma di 22.783,08 euro.

In particolare, il menzionato Tribunale aveva qualificato come opposizione agli
atti esecutivi ex art. 617 c.p.c. la domanda proposta nella parte relativa alla lamentata
mancata notificazione del titolo esecutivo, asseritamente da rinvenirsi nella sentenza
n. 1764/19 (pronunciata dal medesimo Tribunale a definizione del giudizio concer-
nente l’annullamento del provvedimento dirigenziale del 25 gennaio 2018, a seguito
del quale, nelle more della notifica dell’atto di citazione, il Garante aveva contestato
la violazione amministrativa). Il Tribunale di Napoli ha quindi dichiarato inammis-
sibile tale domanda per decorrenza del termine previsto dall’art. 617 c.p.c. atteso
che la cartella di pagamento era stata notificata il 12 novembre 2021 ed il giudizio
radicato solo il 12 aprile 2022.

Inoltre, avendo qualificato come opposizione all’esecuzione ex art. 615 c.p.c. la
domanda della ricorrente, il Tribunale ha ritenuto in concreto realizzata la conver-
sione ex lege dell’atto di contestazione in ordinanza-ingiunzione ai sensi dell’art. 18,
comma 2, d.lgs. n. 101/2018, la quale poteva essere preclusa soltanto dal deposito di
memorie successive all’entrata in vigore dell’art. 18.

La Corte di cassazione civile (sez. I, ord. 1° agosto 2023, n. 23405), ricalcando
una precedente pronuncia (n. 13406 del 12 maggio 2023), ha affermato che, in
tema di sanzioni amministrative, l’audizione del trasgressore e la relativa convoca-
zione non costituiscono atti idonei a interrompere la prescrizione, ai sensi dell’art.
28, secondo comma, l. n. 689/1981, non essendo funzionali a far valere il diritto
dell’amministrazione alla riscossione della pena pecuniaria, in maniera tale da co-
stituire esercizio della pretesa sanzionatoria. Se, infatti, non è in discussione che
allorquando l’amministrazione provveda, a titolo esemplificativo, a rideterminare la
sanzione, riducendola anche in accoglimento dei rilievi difensivi del trasgressore (v.
Cass. n. 787/2022), esprima comunque la propria volontà di dar corso al procedi-
mento sanzionatorio e, quindi, di proseguire nell’azione punitiva, diverso significato
deve, invece, attribuirsi alla convocazione per l’audizione, ex art. 18, comma 2, l.
n. 689/1981, disposta su richiesta dell’interessato, la quale ha solo la funzione di
consentire l’esercizio del diritto di difesa prima che l’amministrazione proceda a una
valutazione definitiva della correttezza dell’accertamento precedentemente eseguito
(nel caso di specie l’atto di contestazione). Dunque, l’atto di convocazione, avendo
natura neutra rispetto alla pretesa sanzionatoria, rispondendo solo ad un’esigenza
di salvaguardia del principio del contraddittorio, che deve essere tutelato anche nel
procedimento amministrativo (come si desume dall’art. 10, l. n. 241/1990), non
può certo ritenersi idoneo a costituire in mora il Destinatario dell’atto di accertamen-
to, a norma dell’art. 2943 c.c.

Sul tema della procedura in questione, si segnala anche la sentenza della Corte
di cassazione n. 22798/2023 che ha chiarito alcuni aspetti della disciplina transi-
toria per la definizione agevolata delle violazioni in materia di protezione dei dati
personali, di cui al ripetuto art. 18, precedentemente oggetto di contrasto nella
giurisprudenza di merito. In particolare, la Cassazione ha stabilito, come sopra ri-
cordato, che la procedura transitoria di cui ai primi 4 commi dell’art. 18 comporta

204
L’ATTIVITÀ SVOLTA DAL GARANTE
II
L’ATTIVITÀ SVOLTA DAL GARANTE
II
20

che se il contravventore non effettua il pagamento nella misura agevolata o non
produce nuove memorie nei termini indicati dalla norma, la conversione della con-
testazione in ordinanza avviene ope legis e non è ammessa azione recuperatoria. Il
Supremo Collegio ha anche ritenuto che la procedura transitoria di cui ai primi 4
commi dell’art. 18 è costituzionalmente legittima e non comprime i diritti di difesa,
osservando che “la Corte costituzionale, con sentenza n. 260/2021 che ha dichiara-
to l’illegittimità costituzionale, per violazione del principio di ragionevolezza e del
canone di proporzionalità, dell’art. 18, comma 5, d.lgs. n. 101 del 2018, […] ha
implicitamente riconosciuto la tenuta costituzionale dei primi quattro commi del
medesimo articolo, i quali delineano il meccanismo di definizione agevolata delle
violazioni in materia di protezione dei dati personali”.

Con sentenza 17 maggio 2023, n. 1386, il Tribunale di Foggia - sez. San Severo,
ha annullato l’ordinanza-ingiunzione 12 luglio 2012, n. 202 con la quale il Garante
aveva intimato a una società il pagamento di 11.000 euro a titolo di sanzione ammini-
strativa pecuniaria ai sensi degli artt. 161 e 162, comma 2-bis, del Codice per l’invio di
e-mail pubblicitarie in violazione degli artt. 13, 23 e 130 del Codice, all’epoca vigenti.
Nell’accogliere l’opposizione il Tribunale ha rappresentato che anche nel caso di
specie trovava applicazione l’orientamento espresso dalla Corte di cassazione pena-
le, secondo cui “affinché la condotta assuma rilievo penale, occorre che si verifichi
per ciascun Destinatario un effettivo “nocumento”, che non può certo esaurirsi nel
semplice fastidio di dover cancellare di volta in volta le e-mail indesiderate, ma deve
tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscet-
tibile di essere giuridicamente apprezzato […]” (cfr. Cass. pen. n. 41604/2019). Ne
consegue che è richiesta un’adeguata verifica fattuale volta ad accertare, ad es., se
l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi
e se, nonostante tale iniziativa, il soggetto agente (ossia, Titolare o Responsabile del
trattamento) abbia perseverato in maniera non occasionale a inviare messaggi inde-
siderati, creando così un reale disagio al destinatario. In relazione alla fattispecie de
qua, ha in particolare aggiunto che “a fronte del non trascurabile importo ingiunto
a titolo di sanzione, alcuna prova oggettiva l’opposta ha fornito circa l’effettivo nu-
mero di e-mail spedite dall’opponente”.
Nel 2023 si è chiuso il contenzioso fra TIM e il Garante sorto a seguito dell’im-
pugnazione, da parte della Società di telefonia, di alcuni provvedimenti con i quali il
Garante aveva sanzionato il mancato riscontro a richieste di avvocati dirette a ottene-
re i dati di traffico telefonico per esigenze difensive in ambito penale, effettuate sulla
base dell’art. 132, comma 3, del Codice nel testo in vigore all’epoca dei fatti (si tratta
di quattro ricorsi giudiziali relativi all’impugnazione di altrettanti provvedimenti
del Garante: ordinanza-ingiunzione 14 maggio 2020, n. 85 (doc. web n. 9442587);
ordinanza-ingiunzione 27 maggio 2021, n. 216; ordinanza-ingiunzione 13 gennaio
2022, n. 10 (doc. web n. 9744518); ordinanza-ingiunzione 8 luglio 2021, n. 272
(doc. web n. 9693464).

Nella specie, a fronte del menzionato omesso riscontro, gli interessati si erano
rivolti all’Autorità che, configurando le doglianze in termini di reclamo al Garante,
aveva effettuato la relativa istruttoria, all’esito della quale aveva ingiunto a TIM di
fornire i dati richiesti e adottato sanzioni pecuniarie.

Il ricorso di TIM, in estrema sintesi e con varie sfumature sulla base delle parti-
colarità dei singoli casi, è stato fondato sulla ritenuta sussistenza del principio electa
una via, altera non datur, nel senso che a fronte della richiesta diretta al fornitore,
da parte dei difensori, volta ad ottenere i dati relativi alle utenze intestate al proprio
assistito con le modalità indicate dall’art. 391-quater c.p.p., il rimedio esperibile in
caso di inerzia sarebbe unicamente quello previsto dalla medesima norma processua-
le, ossia l’istanza al PM, con eventuale intervento del GIP (artt. 367 e 368 c.p.p.).

Spamming
Telefonia
205
RELAZIONE 2023
IIII
20

Il Garante aveva sostenuto invece che la disposizione di cui all’art. 132 non esclu-
deva la possibilità, in caso di diniego all’accesso, di presentare reclamo al Garante;
infatti, non solo una tale esclusione non è prevista dall’art. 132 del Codice, ma essa
non sarebbe nemmeno astrattamente ipotizzabile, poiché il diritto dell’interessato
di proporre reclamo all’autorità di controllo è stabilito senza limitazioni dall’art. 77
del RGPD. L’art. 23 del RGPD, prevede che eventuali limitazioni possono essere
introdotte dalla legislazione nazionale con riferimento alla “portata degli obblighi e
dei diritti di cui agli articoli da 12 a 22”, ma non al diritto di ricorrere, in caso di vio-
lazioni, al Garante. Su tale questione non è ammissibile alcuna artificiosa distinzione
tra procedura di accesso di cui all’art. 15 del RGPD e procedura di accesso ai sensi
dell’art. 132, comma 3, del Codice, in quanto la questione riguarda la tutela dei dirit-
ti e non le procedure: il diritto di accesso, riconosciuto in termini generali dagli artt.
15 e seguenti del RGPD, non può conoscere alcuna limitazione in termini di tutela
in caso di inadempimento, compreso il caso dell’accesso ai dati del traffico telefonico.
Nel primo caso della serie (ordinanza-ingiunzione 14 maggio 2020, n. 85) il Tri-
bunale di Milano aveva respinto il ricorso di TIM (sentenza 9 aprile 2021). Tale deci-
sione era stata tuttavia ribaltata dalla Corte di cassazione (sentenza n. 21314/2022),
secondo cui, ove sia esperita l’istanza diretta del difensore ex art. 391-quater c.p.p.,
come richiamato dal vecchio testo dell’art. 132, comma 3, del previgente Codice,
l’iter successivo in caso di mancato riscontro deve essere unicamente quello previsto
dal c.p.p. rispetto al quale il Garante non è competente.

A fronte della predetta sentenza di legittimità, il Tribunale di Milano, avanti al
quale pendevano gli altri contenziosi, ha accolto i restanti ricorsi di TIM (sentenze
nn. 591/2023; 841/2023; 4100/2023); tuttavia, probabilmente in considerazione
del contrasto di giurisprudenza evidenziato in riferimento alla prima causa, il Tribu-
nale ha disposto la compensazione delle spese per tutti i ricorsi.

L’Autorità ha ritenuto di non proseguire il contenzioso mediante ricorso per cas-
sazione avverso le predette sentenze di merito, anche considerando che la questione
controversa attiene all’applicazione di norme non più vigenti.

Con la sentenza della I sez. civile 23 dicembre 2023, n. 5648, la Corte di cassa-
zione ha rigettato il ricorso presentato da una società avverso un’ordinanza-ingiun-
zione con la quale il Garante aveva intimato il pagamento di 30.000 euro a titolo
di sanzione pecuniaria per avere illecitamente realizzato una piccola parte dei parco-
metri del Comune di Roma (i cd. parcometri evoluti) attraverso “[…] l’inserimento
facoltativo della targa del veicolo, in modo da evitare al conducente di dover esporre
il tagliando o lo scontrino di pagamento sul cruscotto del veicolo”. La Suprema
Corte ha accolto integralmente gli argomenti difensivi del Garante, confermando
la sanzione comminata e disponendo la rifusione, da parte del soccombente, delle
spese di giudizio sostenute dal Garante, liquidate in 5.000 euro. Innanzitutto, ha
sancito, inequivocabilmente e in coerenza con la tesi sostenuta dal Garante, che la
targa dell’autoveicolo è da considerarsi dato personale (tesi più volte contraddetta
dai giudici di primo grado). Inoltre la Cassazione ha stabilito un importante princi-
pio, ovvero che “L’esistenza di obblighi contrattuali di natura privatistica tra l’oppo-
nente e la sua committenza non può valere a giustificare un Trattamento effettuato
senza il rispetto delle prescrizioni regolamentari”. Dunque, se esiste un contratto tra
la parte opponente e un soggetto terzo, ciò non basta a qualificare il soggetto terzo
come Responsabile del relativo Trattamento dei dati che deriva dall’esecuzione del
suddetto contratto.

Con sentenza n. 603 pubblicata il 13 gennaio 2023, il TAR Lazio ha rigettato
il ricorso con cui una importante società di servizi autostradali aveva impugnato,
chiedendone l’annullamento, il provvedimento n. 28601 dell’AGCM adottato nei
suoi confronti per pratica commerciale scorretta ai sensi degli artt. 21 e 22 del

Mobilità e tecnologie
206
L’ATTIVITÀ SVOLTA DAL GARANTE
II
L’ATTIVITÀ SVOLTA DAL GARANTE
II
20
codice del consumo in relazione ad una contestazione relativa ad omesse infor-
mazioni nei confronti degli utenti che richiedono preventivi su polizze RC auto
tramite una specifica applicazione.

L’Autorità, intervenuta nel giudizio, ha rilevato che nella controversia l’AGCM
non aveva acquisito il suo parere, ai sensi dell’art. 27, comma 1-bis, del codice del
consumo, e che il Garante ha il “mandato eurounitario” di assicurare “non solo la
protezione dei diritti individuali nella elaborazione dei Dati personali (e dunque nel-
la autodeterminazione informativa del singolo), ma anche la “libera circolazione dei
dati”; in tale sede ha altresì richiamato il principio di leale collaborazione tra autorità
(art. 154, comma 4, del Codice), nonché le conclusioni dell’Avvocato generale nella
causa C-252/21 Meta c. Autorità per la concorrenza della RFT.

Sotto il profilo di interesse, il TAR ha affermato che “non sussisteva alcun obbligo
di legge di interpellare il Garante, in quanto non si trattava di richiedere un parere
obbligatorio nell’ambito di un settore regolato, ai sensi dell’art. 27, comma 1-bis del
codice del consumo. Il Garante per la protezione dei Dati personali è autorità gene-
ralista preposta alla tutela trasversale di un diritto fondamentale e non un’Autorità
regolatoria di settore. Sotto altro aspetto, il mancato coinvolgimento del Garante
neppure può ridondare come vizio di istruttoria, attesa la predetta totale autonomia
dei piani di tutela”.

Telepass ha impugnato la sentenza in parola dinanzi al Consiglio di Stato. Il Ga-
rante si è costituito in giudizio, ribadendo il proprio ruolo di primazia riconosciu-
togli dall’ordinamento eurounitario nell’assicurare non solo la protezione dei dati
personali, ma anche la libera circolazione di tali dati. In ragione di tale primazia,
l’Autorità ha chiesto di “affermare il principio, pienamente rispettoso delle rispettive
competenze, della necessaria leale collaborazione fra Autorità il cui compasso rego-
latorio è suscettibile di coprire casi e situazioni che si sovrappongono”. Al riguardo,
è stato ricordato anche quanto statuito dalla Corte di giustizia dell’UE nella causa
C-252/21 sopra ricordata, in continuità con le conclusioni formulate dall’Avvoca-
to generale, e in particolare la necessità per tali Autorità di utilizzare le reciproche
competenze e conoscenze nello spirito di leale collaborazione, al fine di fugare ogni
dubbio sulla portata delle decisioni da assumere nel singolo caso.
Tale linea è stata accolta in pieno dal Consiglio di Stato con sentenza n. 497/2024
pubblicata il 15 gennaio 2024.

Con sentenza 20 luglio 2023, n. 912, parzialmente favorevole, il Tribunale di
Reggio Emilia ha ridotto la sanzione da 5.000 a 3.000 euro e compensato le spese in
un caso in cui un dipendente aveva lamentato l’uso della posta elettronica aziendale
con indirizzo comprensivo del proprio nome, anche oltre la cessazione del rapporto
di lavoro.

Con sentenza 16 maggio 2023 il Tribunale di Pordenone, in parziale accoglimen-
to del ricorso proposto da un’azienda sanitaria regionale in relazione a una vicenda
relativa al Trattamento di Dati personali attraverso il FSE, ha rimodulato la sanzione
originariamente irrogata, pari a 50.000 euro, riducendola a 5.000. Il Tribunale ha
comunque confermato la correttezza del provvedimento del Garante, respingendo la
tesi del ricorrente sulla sua non colpevolezza, in quanto l’azienda sarebbe stata solo
formalmente Titolare del trattamento, a fronte del ruolo della società in house, re-
sponsabile del Trattamento tramite il FSE per conto della generalità delle aziende sa-
nitarie regionali, nonché della regione stessa. È stato quindi confermato il principio
secondo cui la titolarità del Trattamento impone precisi obblighi sanciti dal RGPD
cui non è dato sottrarsi, quanto meno attraverso una continua attività di direttiva e
di controllo nei confronti del proprio Responsabile del trattamento.
La Corte di cassazione in sede civile (sez. I, ord. 11 ottobre 2023, n. 28417), cas-
sando con rinvio la sentenza del Tribunale di Ravenna (31 marzo 2022, n. 188), che
Posta elettronica
aziendale
Dati sulla salute
207
RELAZIONE 2023
IIII
20

aveva accolto l’opposizione proposta dalla ASL di zona avverso il provvedimento del
Garante 27 gennaio 2021, n. 36, ha affermato che il fatto di comunicare l’esigenza di
un Trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa
dunque come situazione che renda necessario un Trattamento sanitario – attiene a
dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento
sanitario o di quale malattia si tratti. La Corte cita numerosi precedenti sul concetto
“lato” di dato sulla salute. Inoltre, in tema di sanzioni amministrative, richiamando
numerosi precedenti, la Corte ha ritenuto che l’opposizione all’ordinanza-ingiunzio-
ne non configura un’impugnazione dell’atto, ma introduce, piuttosto, un ordinario
giudizio sul fondamento della pretesa dell’autorità amministrativa, devolvendo al
giudice adito la piena cognizione circa la legittimità e la fondatezza della stessa,
avendo il giudice il potere-dovere di esaminare l’intero rapporto, con cognizione
estesa – nell’ambito delle deduzioni delle parti – all’esame completo nel merito della
fondatezza dell’ingiunzione, ivi compresa la determinazione dell’entità della sanzio-
ne sulla base di un apprezzamento discrezionale.
Il Tribunale di Milano, con sentenza 28 febbraio 2023, n. 9157 ha rigettato un
ricorso presentato da una società contro un provvedimento prescrittivo del Garante
in materia di data breach e violazione di misure di sicurezza, condannando alle spese
la soccombente. Ciò ha comportato la vittoria del Garante nella causa connessa,
relativa all’ordinanza-ingiunzione che era stata comminata dall’Autorità per il data
breach, anche se il giudice ha ridotto l’importo della sanzione da 600.000 a 400.000
euro (Trib. Milano 31 gennaio 2024, n 1165). Allo stato non risultano depositate le
motivazioni della sentenza.

Con la sentenza 13 dicembre 2023 il Tribunale di Milano ha respinto il ricorso in
opposizione proposto da una società avverso il provvedimento del Garante 2 dicem-
bre 2021, n. 424 (doc. web n. 9731682) con il quale era stato definito un reclamo
afferente all’invio di un SMS e al conseguente esercizio del diritto di accesso a dati
personali. Nel ricorso veniva lamentata l’entità della sanzione irrogata dal Garante,
tenuto conto che le violazioni sarebbero state esigue rispetto alla rilevanza dell’at-
tività di marketing posta in essere e che il Trattamento dei dati in questione non
aveva creare pregiudizi agli interessati. Il giudice, concordando con la linea difensiva
proposta dal Garante, ha ritenuto in particolare che l’Autorità avesse già operato
un bilanciamento dei fattori (da un lato, il massimo edittale previsto dall’art. 83,
comma 5, del RGPD, ampiamente superiore alla somma oggetto di ingiunzione;
la durata della violazione, articolatasi nel corso del 2019 e del 2020; l’assenza della
dimostrazione dei controlli cui l’opponente aveva fatto riferimento anche nel ricorso
in discussione; il limitato grado di cooperazione attivato nei rapporti con l’Autorità;
dall’altro, la natura dei dati trattati, di tipo comune; i risultati economici registrati
a bilancio nel 2020; l’assenza di precedenti procedimenti a carico dell’opponente)
che potevano incidere sulla quantificazione dell’importo oggetto di ingiunzione, in
modo tale che la somma individuata non poteva ritenersi eccessiva.
Con sentenza 26 giugno 2023, n. 2 il Tribunale de L’Aquila ha fatto chiarezza
su due importanti aspetti, spesso ricorrenti nei giudizi relativi all’impugnazione dei
provvedimenti del Garante: uno di natura meramente procedurale e l’altro relativo
ad una questione di competenza. La vicenda trae origine da un atto presentato per-
sonalmente dall’opponente con cui si proponeva opposizione avverso un provvedi-
mento del Garante (nota 21 ottobre 2022) con il quale era stato archiviato il reclamo
presentato dallo stesso.

Il Tribunale, facendo riferimento all’art. 10 del d.lgs. n. 150/2011, nella parte
in cui dispone che i provvedimenti in materia di protezione dati seguono il rito del
lavoro, pur considerando la possibilità per il ricorrente di farsi rappresentare da un
ente del Terzo settore, ha ribadito comunque l’applicabilità delle norme del codice di
Data breach
Telemarketing
Ricorsi verso
provvedimenti di
archiviazione di reclami

208
L’ATTIVITÀ SVOLTA DAL GARANTE
II
L’ATTIVITÀ SVOLTA DAL GARANTE
II
20

procedura civile sulla rappresentanza in giudizio, e quindi della obbligatoria difesa
tecnica. Nel caso di specie, essendo stato il ricorso presentato personalmente dalla
parte, non erano state seguite le obbligatorie forme di proposizione della domanda
giudiziale, e il difensore è stato officiato solo nel corso del giudizio. Il giudice ha
ritenuto che tale costituzione non potesse sanare il vizio originario ed ha pertanto
ritenuto il ricorso inammissibile.
Il giudice ha poi individuato un ulteriore profilo per non accogliere il ricorso. Il
ricorrente infatti lamentava che, in un avviso di asta giudiziaria, all’interno di una
procedura esecutiva, fosse stata allegata una CTU nella quale non erano stati oscu-
rati i propri dati in qualità di debitore e della moglie (oltre che dei terzi confinanti).
Il Garante aveva al riguardo disposto l’archiviazione sostenendo di non poter inter-
ferire nell’attività giudiziaria.
Il Giudice ha ritenuto la deduzione fondata rilevando che si trattava di questione
che andava fatta valere nel procedimento giudiziario, “comunque, rispetto alla quale
il Garante non ha alcun compito, ai sensi degli artt. 184 comma 7 e 160-bis Codice
privacy, conformemente alle disposizioni del Regolamento UE 2016/679”.
Con sentenza 12 settembre 2023 (n.r.g. 4262/2022) il Tribunale di Roma ha
respinto l’opposizione proposta dal ricorrente avverso il provvedimento di archi-
viazione del reclamo da questi presentato dinanzi all’Autorità. Il reclamante aveva
lamentato di essere venuto a conoscenza di una presunta violazione della privacy ai
suoi danni consistente nella trasmissione di suoi dati personali, conferiti alla ASL
di zona, Titolare del loro trattamento, al fine di iscriversi all’albo dei professionisti
esterni, ad altro soggetto pubblico (l’Avvocatura regionale) in assenza di un suo con-
senso. Il giudice ha respinto il ricorso, condividendo in pieno le motivazioni rese
dal Garante nel provvedimento impugnato, secondo cui: “per i soggetti pubblici il
trattamento dei Dati personali è lecito se necessario “per l’esecuzione di un compito
di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par. 1, lett.
e), del RGPD) prescindendo, dunque, dal Consenso dell’interessato (con. 43 del
RGPD)”.

La sentenza del Tribunale di Milano 10 novembre 2023, n. 8893 è tornata a esa-
minare la questione dell’ostensione dei dati di terzi beneficiari di polizze sottoscritte
dal de cuius, in relazione alla quale il Garante è incompetente non potendosi appli-
care ai dati di un Terzo (il beneficiario della polizza) la disciplina dell’accesso ai dati
personali dell’interessato (in tal caso del de cuius), e trovando invece applicazione
l’art. 24, comma 1, lett. f), del Codice (il Trattamento dei dati è scriminato dalla
finalità di difesa in giudizio). Pertanto ogni valutazione è rimessa al giudice e non già
all’Autorità, il cui intervento in questo tipo di contenzioso si appalesa superfluo (per
carenza di legittimazione passiva).

Con sentenza favorevole al Garante il Tribunale di Mantova (n.r.g. 2833/2022)
in data 31 ottobre 2023 ha precisato il concetto di “essenzialità” della notizia in re-
lazione alla richiesta di dichiarare l’illegittimità della pubblicazione di dati personali
come il luogo e la data di nascita del ricorrente.

Con sentenza 24 maggio 2023, n. 160, il Tribunale di Verbania ha disposto l’an-
nullamento della sola parte del dispositivo del provvedimento del Garante che aveva
imposto a una società di servizi di comunicazione elettronica di ordinare i risultati
cronologicamente dal più recente al meno recente, cosa che l’opponente aveva dimo-
strato, in corso di causa, essere tecnicamente non realizzabile, oltre a configurare un
ultra petitum rispetto a quanto richiesto ed ottenuto dal reclamante. Le spese sono
state integralmente compensate a causa della particolarità e novità del giudizio; per
queste ragioni non si è ritenuto opportuno proporre ricorso in Cassazione.
Il Tribunale di Milano, con sentenza 30 novembre 2023 (n.r.g. 15976/2023)
ha rigettato il ricorso presentato da una casa editrice avverso un provvedimento del
Conoscibilità dei dati
dei beneficiari di
polizze assicurative

Altra casistica
209
RELAZIONE 2023
IIII
20

Garante (ordinanza-ingiunzione 2 marzo 2023, n. 62, doc. web n. 9880427 con cui
veniva irrogata la sanzione di 2.000 euro) concernente l’illecita pubblicazione dei
dati personali e delle ulteriori informazioni in contrasto con gli artt. 5, par. 1, lett.
a) e c), del RGPD e 137, comma 3 , del Codice, oltre che con gli artt. 5, comma 2,
e 6 delle regole deontologiche relative al Trattamento dei Dati personali nell’esercizio
dell’attività giornalistica. Il Tribunale ha accolto le motivazioni espresse dall’Avvo-
catura in difesa dell’Autorità, con particolare riferimento al principio sancito dalla
Suprema Corte (sez. unite, 22 luglio 2019, n. 19861), per il quale la “menzione
deve ritenersi lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel
momento presente l’interesse della collettività, sia per ragioni di notorietà che per
il ruolo pubblico rivestito. In caso contrario, prevale il diritto degli interessati alla
riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’o-
nore e dei quali si sia ormai spenta la memoria collettiva”.

20.3. Il contributo del Garante nei giudizi in materia di protezione dati
Come si è visto al paragrafo 20.1, l’Autorità giudiziaria deve comunicare al Garante
la pendenza di una controversia, trasmettendo copia degli atti introduttivi (art. 10,
comma 9, d.lgs. n. 150/2011, come modificato dall’art. 17 del d.lgs. n. 101/2018).
Tale comunicazione consente all’Autorità, “nei casi in cui non sia parte in giudizio”,
di “presentare osservazioni, da rendere per iscritto o in udienza, sulla controversia in
corso con riferimento ai profili relativi alla protezione dei dati personali”.

Conformemente agli indirizzi giurisprudenziali e al parere espresso dall’Avvocatu-
ra generale dello Stato, il Garante, nei giudizi diversi da quelli direttamente attinenti
a pronunce dell’Autorità, limita, in generale, il proprio contributo ai soli casi in cui
sorga, o possa sorgere in prosieguo, la necessità di difendere o comunque far valere
particolari questioni di diritto.

In tal senso si segnala il caso comunicato dal Tribunale di Bari relativo alla pen-
denza di un giudizio instaurato dai genitori di un giovane deceduto, quali eredi e in
proprio, nei confronti di una società in ragione del diniego opposto alla loro istanza
di accesso ai Dati personali del figlio defunto, ai sensi e per gli effetti di cui agli artt.
15 del RGPD e 2-terdecies del Codice. All’esito di una complessa istruttoria, l’Auto-
rità ha trasmesso al giudice un articolato parere sulla delicata questione.
L’Autorità ha comunque seguito con attenzione tutti i contenziosi nei quali non
ha ritenuto opportuno intervenire, chiedendo alle avvocature distrettuali dello Stato
di essere informata sull’evoluzione delle vicende processuali e di ricevere comunica-
zione in merito agli esiti.