Con l’ordinanza n. 15882/2025 la II Sezione Civile della Corte di Cassazione (clicca qui per consultare il testo integrale della decisione) affronta una vicenda rappresentativa di violazione del Codice della privacy, rafforzando l’autonomia della fattispecie di cui all’art. 164-bis, comma 2, del D.lgs. 196/2003, nonché la responsabilità del titolare per il malfunzionamento dei sistemi gestionali. Confermata la sanzione di 800.000 euro a carico di una compagnia telefonica, con derivazioni di rilievo in ambito di diritto sanzionatorio amministrativo, oneri probatori e compliance tecnica-organizzativa.
Anomalia sistemica dai risvolti sanzionatori
La vicenda origina da un check del Garante per la protezione dei dati personali, attivato dalla segnalazione di un utente a cui erano state attribuite, in assenza di giustificazione alcuna, centinaia di linee telefoniche.
L’ispezione aveva accertato che la compagnia telefonica aveva, nel tempo, attribuito in modo del tutto arbitrario oltre 7.000 utenze a centinaia di soggetti ignari. La ragione era stata ricondotta a un’anomalia del software nel corso di una migrazione dati tra sistemi gestionali.
Il Garante per la protezione dei dati personali aveva, per l’effetto, sanzionato la compagnia tramite un’ordinanza-ingiunzione di importo pari a 800.000 euro, ritenendo violate differenti disposizioni del Codice della privacy, tra cui l’articolo 164-bis, comma 2. L’ordinanza è stata contestata e la vicenda è approdata fino a Piazza Cavour.
Natura autonoma dell’illecito da gestione abusiva
La Suprema Corte di Cassazione ha ribadito che la fattispecie prevista dall’art. 164-bis, comma 2, configura un illecito di indole autonoma, distinto dalle singole violazioni richiamate dallo stesso articolo (artt. 161, 162, ecc.). L’illecito si concretizza nell’abusiva gestione di un’intera banca dati di particolare rilevanza o dimensione, e non è soggetto al cumulo giuridico previsto dall’art. 8 della legge n. 689/1981.
La Cassazione ha ritenuto non applicabile il principio del cd. “ne bis in idem”, in quanto le condotte sanzionate sono risultate eterogenee e rispondenti a presupposti differenti. In particolare, da un lato la violazione delle regole sul consenso al trattamento, dall’altro la cattiva gestione di un sistema informativo tale da determinare trattamenti illeciti a catena.
Potrebbe interessarti anche:
Onere probatorio e responsabilità
Di rilievo peculiare appare la posizione della Corte nell’ambito della colpa cd. organizzativa. Non è ammesso, stando alla lettera della pronuncia, giustificare l’illiceità del trattamento con un generico errore informatico. Ricorrendo all’art. 2050 c.c., la Corte evidenzia come competa al titolare del trattamento comprovare di aver adottato ogni misura idonea a prevenire il danno. Il principio di responsabilità oggettiva d’impresa si traduce in un dovere proattivo nella gestione dei dati, che comporta il monitoraggio continuo dei processi informatici e la pronta correzione di eventuali anomalie.
Proporzione della sanzione
In merito alla quantificazione della sanzione, la Corte ha considerato sia il prolungato intervallo cronologico della violazione, ovvero dal 2003 al 2015, sia l’elevato numero di utenti coinvolti. Ha, ulteriormente, valorizzato in senso negativo l’omessa iniziativa autonoma della società nel porre rimedio alla situazione. La decisione ha ribadito che il giudizio di adeguatezza e proporzionalità della sanzione viene rimesso alla discrezionalità del giudice di merito, nel rispetto dei confini legali. La motivazione della Cassazione esclude che la quadruplicazione dell’importo rispetto alla soglia base (200.000 euro) sia irragionevole, e anzi la conferma come proporzionata alla gravità dell’illecito.
Responsabilità e compliance
L’ordinanza in disamina si pone quale step fondamentale nella giurisprudenza in materia di data protection. Ha chiarito i confini tra errore tecnico e responsabilità giuridica, ponendo in primo piano l’importanza della governance informatica in contesti a elevata intensità di dati personali. Il titolare non solo deve rispettare le regole, bensì deve anche comprovare di aver posto in essere tutto il possibile per evitarne la violazione. In uno scenario sempre più digitalizzato, la conformità normativa non rappresenta un’opzione formale, bensì una componente strutturale dell’attività imprenditoriale. E ciò a pena di sanzioni economiche di rilievo e duri colpi alla reputazione aziendale.
Formazione in materia
Il Master in Cybersecurity e compliance integrata è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali. <<<clicca qui per iscriverti>>>
