La Corte di giustizia dell’Unione europea (CGUE) ferma un principio dirompente per la normativa italiana: l’interessato può esperire in maniera parallela il reclamo ai sensi dell’art. 77 GDPR e il ricorso giurisdizionale ex art. 79 GDPR.
Perché la sentenza CGUE è così importante?
La pronuncia (ved. più sotto) ha enormi ricadute concrete nel sistema italiano.
Vige infatti all’art. 140-bis cod. privacy (d.lgs. 196/03) una preclusione fortemente limitante per i diritti dell’interessato, nota come “regola dell’alternatività”.
La regola, a pena di improponibilità, impone di scegliere tra due strade alternative: ricorso al Giudice ordinario oppure reclamo al Garante per la protezione dei dati personali.
Vale insomma il meccanismo electa una via non datur recusus ad alteram (scelta una strada non è consentito attivare l’altra), fermo restando che la decisione amministrativa del Garante sarà poi sempre impugnabile avanti all’Autorità giudiziaria.
Quanti danni la regola dell’alternatività ha prodotto nel sistema italiano?
Numerosi. La regola dell’alternatività riduce infatti drasticamente i mezzi di tutela, invece molto ampi, che il GDPR ha inteso in modo espresso riconoscere all’interessato.
Ciò determina una compressione significativa del diritto a una tutela effettiva, e non esiste un diritto alla protezione dei dati personali senza tutela effettiva.
Per apprezzare i danni in concreto, si pensi al contenzioso giuslavoristico che riguardi anche un trattamento di dati personali. Ad es., al caso sempre più frequente di licenziamenti basati su un trattamento di dati personali (un filmato di videosorveglianza, una registrazione, gli esiti di un sistema di valutazione algoritmico, altro).
Il dipendente ha precisi termini processuali per l’impugnazione del licenziamento ed è costretto a trattare le questioni di protezione dei dati personali in quel contesto, rinunciando a giovarsi del rilevante apporto che potrebbe fornire il Garante, Autorità specializzata nella valutazione dei profili “privacy”.
Ma gli esempi che potrebbero farsi sono innumerevoli.
E ora?
Fissiamo un punto. La regola dell’alternatività è abusiva. Ed è sempre stato evidente che lo fosse, dal momento che il GDPR indica chiaramente che reclamo dell’interessato e ricorso giurisdizionale sono proponibili con salvezza reciproca.
Sia permesso ricordare che lo scrivente si è sempre espresso per la macroscopica contrarietà al GDPR dell’art. 140-bis cod. priv.. Ad esempio, nel commentario Bolognini-Pelino (direttori), “Codice della Disciplina Privacy”, ed. Giuffrè, indicavo:
La disciplina europea, lungi dal prevedere la regola dell’alternatività dei rimedi, appare semmai orientata al principio della coesistenza dei mezzi di tutela. E’ infatti precisato dagli artt. 77 e 79 GDPR che i rimedi amministrativi e giurisdizionali non si escludono a vicenda, ma sono esperibili senza mutuo pregiudizio, “without prejudice of”, passaggio reso in italiano [nel testo del GDPR, n.d.r.] con la clausola di salvezza “fatto salvo”.
E’ esattamente quanto ha precisato la Corte di giustizia con sentenza 12 gennaio 2023, causa Budapesti Elektromos Művek, C-132/21.
Era difficile pervenire a una pronuncia su questo tema specifico in Italia, per ovvie ragioni: nessuno rischia l’improcedibilità per affermare un principio che verosimilmente dovrà attendere fino al (non scontato) rinvio pregiudiziale ex art. 267 TFUE alla Corte di Giustizia per essere esaminato.
Dunque è provvidenziale che la questione sia stata sollevata da un’autorità giudiziaria ungherese a meri fini di chiarimento interpretativo (la normativa locale è diversa da quella italiana) e che la Corte l’abbia trattata.
Adesso in Italia sarebbe necessaria una modifica urgente dell’art. 140-bis cod. priv., altrimenti l’alternativa, ingiustamente penalizzante per gli interessati, è quella di chiedere di volta in volta al Giudice (ma anche al Garante, perché anche questo, benché poco noto, può essere fatto) la disapplicazione della norma nazionale in contrasto con il diritto europeo, attraverso argomenti giuridici ben strutturati e con l’alea sempre presente di incomprensioni.
Lo scrivente continuerà a battersi per la riconduzione del codice nazionale al regolamento eurounitario.
Corre l’obbligo di segnalare che quella in esame non è, peraltro, l’unica disposizione del codice privacy in palese violazione del GDPR.