Categorie: Insights, Giurisprudenza

Tag: compliance, GDPR, protezione dei dati personali


30 Set 2020

La mancata adozione delle misure previste dal GDPR è equiparabile alla “colpa di organizzazione” prevista dal D.lgs. 231/2001

La Corte di Cassazione, con l’ordinanza n. 18292 emessa il 3 settembre 2020, ha osservato che l’omessa predisposizione di misure tecniche ed organizzative a tutela della protezione dei dati personali dell’interessato è equiparabile alla colpa organizzativa legata alla mancata adozione di un modello organizzativo ai sensi del D.Lgs. 231/2001.

I fatti

Nel caso di specie, un ente locale ha presentato ricorso in Cassazione avverso un’ordinanza di ingiunzione dell’Autorità Garante per la protezione dei dati personali (il “Garante”) con la quale gli era stata comminata una sanzione per aver pubblicato sull’albo pretorio on line i dati personali di una dipendente comunale oltre il termine di 15 giorni previsto dall’articolo 124 del TUEL (“Testo Unico degli Enti Locali”).

Era stato, infatti, accertato che il Comune aveva mantenuto visibili per oltre un anno le determinazioni da cui risultavano evidenti (i) il nome e il cognome dell’interessata, (ii) l’esistenza di un contenzioso tra la stessa e l’Amministrazione comunale, (iii) lo stato di famiglia e (iv) le circostanze che la medesima vivesse da sola, avesse avanzato una domanda di rateizzazione del dovuto e che tale domanda non fosse stata accolta.

Il Comune, a sostegno della propria posizione, ha eccepito che la colpa della mancata cancellazione dei dati dell’interessata dall’albo pretorio on line dovesse essere imputata all’opera di un consulente esterno a cui era stato dato l’incarico di configurare il sito internet dell’Amministrazione in conformità alla normativa vigente.

La decisione della Corte di Cassazione

La Corte di Cassazione, nel respingere il ricorso, ha chiarito che i dati della dipendente non riguardavano alcun “aspetto dell’organizzazione”, non costituivano “indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse”, né tantomeno rappresentavano “risultati dell’attività di misurazione e valutazione svolta dagli organi competenti”. Pertanto, la loro pubblicazione oltre il termine fissato dalla legge non poteva considerarsi legittima.

In merito poi alla responsabilità del consulente esterno, la Corte di Cassazione ha precisato che il titolare del trattamento, ai sensi dell’art. 4 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”), è la persona giuridica e non il legale rappresentante o l’amministratore, configurandosi così una autonoma responsabilità proprio in capo alla persona giuridica. Questa responsabilità, proseguono i giudici, deve essere configurata come “colpa di organizzazione”, ossia come “rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti”, “analogamente a quanto previsto dal D.lgs. 231/2001 in tema di responsabilità da reato degli enti”.

Alla luce di quanto sin qui espresso, la Corte di Cassazione è giunta alla conclusione che il ritardo nella rimozione dall’albo pretorio on line dei dati pubblicati è “pienamente riconducibile alla sfera di signoria dell’Ente e del suo apparato”.

Conclusioni

Con l’ordinanza in esame, la Corte di Cassazione rileva un’importante analogia tra la disciplina in materia di protezione dei dati personali e quella in tema di responsabilità da reato degli enti, comparando e parificando appunto la mancata adozione di adeguate misure tecniche ed organizzative (ex art. 32, GDPR) alla c.d. “colpa di organizzazione” prevista dal D.lgs. 231/2001.

Altri Insights correlati:

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…