05.01.01. Ricorsi giurisdizionali proposti principalmente per asserita messa a rischio dei dati personali delle persone fisiche obbligate ad ottenere i “green pass”: un aspetto processuale innovativo e da considerare. Ne dipende la giurisdizione. [DEMO]
Nel corso degli ultimi due anni circa si sono moltiplicati i ricorsi e, in generale, le azioni giudiziali attinenti alle limitazioni di molti diritti personali.
Ebbene, in considerazione dell’aumentata sensibilità verso la normativa posta a protezione dei dati personali e, dunque, delle stesse persone fisiche, anche i giuristi italiani iniziano a valutare la materia quale presidio forte dei diritti fondamentali delle persone fisiche dagli stessi assistite.
Ciò ha comportato l'insorgere di contenziosi e, alcuni di questi, sebbene riguardanti l’applicazione della normativa sul trattamento dei dati, sono stati incardinati presso il Giudice Amministrativo facendo nascere una serie di perplessità per nulla di scarso peso posto che le stesse attengono alla sussistenza della giurisdizione, ossia del potere che il Giudice ha di decidere.
Nel seguito verranno pertanti trattati (seppur sommariamente) due recenti decisioni che permettono di introdurre e, al contempo, analizzare, il possibile approccio processuale innovativo – ma non trascurabile – sotteso alla materia.
Vi è subito da anticipare che è il Giudice Ordinario che dovrebbe decidere ove si ritenga che i diritti messi in gioco siano stati violati in ragione di un previsto trattamento disposto dal titolare o dal responsabile del trattamento. Il TAR ed il Consiglio di Stato, in tali casi, non avrebbero giurisdizione per poter decidere.
Ma vediamo di meglio comprendere la basilare tematica della giurisdizione mediante una recente vertenza incardinata presso il Giudice Amministrativo
Ebbene il TAR per il Lazio, sez. I^, ordinanza n. 04281/2021, nonché il Consiglio di Stato, sez. III^, ordinanza n. 05130/2021, sono stati chiamati a decidere in merito al ritenuto contrasto di un DPCM che, in base alla norma delegante di cui all’art. 9, comma 10 del D.L. n. 52/2021 (convertito in L. n. 87/2021), disciplina gli aspetti di regolamentazione tecnica dell’istituto del c.d.“Green pass” che, in base a quanto sostenuto dai ricorrenti e appellanti cautelari, si sarebbe trovato in netto contrasto con la normativa europea in tema di trattamento dei dati personali, nonché con la normativa costituzionale nazionale ma, si badi, pur sempre «con particolare riferimento alla protezione dei dati personali sanitari»; qui a voler usare le testuali parole che si leggono nell’anzidetta ordinanza del Consiglio di Stato.
Al tempo, la prima sezione del TAR Lazio e la terza sezione del Consiglio di Stato hanno rigettato le domande poste dai ricorrenti in via cautelare per ottenere la sospensione dell’efficacia del detto DPCM sui “green pass” in attesa della sentenza di primo grado che giudicherà circa la richiesta di annullamento svolta presso il Tribunale Amministrativo poiché, appunto, ritenuto in generale munito della competenza giurisdizionale a conoscere e decidere, in primo grado, della validità degli atti della pubblica amministrazione, ivi compresi i decreti della Presidenza del Consiglio dei ministri (DPCM) poiché – come oramai reso noto anche ai “non addetti ai lavori” – da considerarsi atti amministrativi.
Le due decisioni del Giudice Amministrativo, sebbene succintamente motivate, lasciano comunque ben trasparire che l’oggetto realedella questione sollevata riguarda (in via di fatto) la pretesa messa a rischio e violazione dei diritti e libertà fondamentali dei ricorrenti rispetto ai dati personali di natura particolare (“sensibile”) degli stessi in quanto destinati, o destinabili, ad entrare a far parte delle procedure messe a regime dalla Presidenza del Consiglio dei Ministri (e dei Ministeri coinvolti) rispetto all’applicazione dell’istituto del citato “green pass”.
Ebbene, al di là delle possibili angolature attinenti alla fondatezza nel merito della vertenza, nonché al netto di un singolare richiamo motivazionale ad una norma ormai abrogata dal 2018 (ossia l’art. 15 del Dlgs 196/2003 indicato a pag. 3 dell’ordinanza n. 5130/2021) è esclusivo interesse di chi scrive argomentare circa l’insussistenzadella giurisdizione del Giudice Amministrativo a conoscere e decidere una simile vertenza poiché, come detto, sarebbe basata sulla dedotta violazione dei diritti attinenti ai dati personali dei ricorrenti rispetto ad un trattamento deciso e/o posto in essere dalle istituzioni governative mediante la prevista procedura attinente all’istituto del “Green Pass”.
E che a decidere delle vertenze come quelle in commento non debba essere il Giudice Amministrativo ma, di conseguenza, il solo Giudice ordinario si dovrebbe evincere chiaramente dalle norme nel seguito riportate e succintamente spiegate passo per passo.
Orbene, come sancito dal paragrafo 1 dell’art. 79 del Regolamento Generale UE n. 679/2016 (GDPR) «ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento»
In particolare, prosegue la norma al paragrafo 2, «le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento». ↑
.
E tale violazione è riscontrabile nelle ragioni dedotte nel caso in parola e di cui si sono occupati i Giudici amministrativi italiani rispetto al quale, infatti, i ricorrenti, ritenendo che il detto DPCM del 17/06/2021 violasse i diritti sanciti dalla disciplina nazionale ed europea in materia di trattamento dati, hanno promosso ricorso contro i titolari del disposto trattamento: principalmente la Presidenza del Consiglio dei Ministri, il Ministero della Salute, dell’Interno e quello dell’Economia.
Invero, la Presidenza del Consiglio dei Ministri ed i Ministeri coinvolti, definendo, ovvero anche solo partecipando a definire, le finalità e i mezzi del trattamento, vengono a qualificarsi come Titolari del trattamento in base all’art. 4 del GDPR, ovverosia quali «persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri»
Sulla nozione di Titolare e Responsabile del trattamento, anche con riguardo alle istituzioni pubbliche o governative, cfr., da ultimo, le Linee Guida EDPB n. 7/2020, nonché, specularmente, l’art. 10 del Reg. UE n. 953/2021 che si occupa di certificati digitali verdi interoperabili europei. ↑
.
E in Italia, l’autorità giurisdizionale competente in questi casi, avanti la quale proporre l’azione, viene molto ben individuata dall’art. 152 del Dlgs. n. 196/2003, ai sensi del quale, difatti, «tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e quelli comunque riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo regolamento, sono attribuite all’autorità giudiziaria ordinaria».
Dunque, la normativa nazionale che specifica quella sovranazionale non sembra lasciar spazio ad interpretazioni che si discostano dal suo chiaro significato letterale: nelle circostanze descritte, la giurisdizione apparterrebbe unicamente al Giudice Ordinario, a nulla rilevando che pure gli atti emanati dalla Presidenza del Consiglio dei ministri, in quanto “amministrativi”, vengono generalmente attribuiti alla competenza del Giudice Amministrativo.
E non è tutto atteso che il richiamato disposto dell’art. 152 del Dlgs n. 196/2003 non solo appare univoco nell’affermare la competenza del Giudice ordinario ma, al suo comma 1bis, sancisce pure che «le controversie di cui al comma 1 sono disciplinate dall’art. 10 del decreto legislativo 1° settembre 2011 n. 150» il quale decreto, al proprio art. 10, si occupa delle controversie «in materia di applicazione delle disposizioni in materia di protezione dei dati personali» attribuendo specificatamente al Giudice Ordinario un potere decisionale che va oltre alla facoltà che, di norma, consente allo stesso di semplicemente disapplicare gli atti amministrativi (in ragione della riserva prevista dagli artt. 4 e 5 dell’allegato E della L. n. 2248/1865, che permette al solo Giudice Amministrativo di annullarli).
Tale ulteriore potere attribuito al Giudice Ordinario, che rafforza la riserva di giurisdizione a favore dello stesso anche ove si faccia questione di atti amministrativi, si evince nitidamente dal comma 10 dell’art. 10 del citato Dlgs n. 150/2011 ove si prevede invero che «la sentenza che definisce il giudizio non è appellabile e può prescriverele misure necessarie anche in deroga al divieto di cui all’art. 4 della legge 20 marzo 1865, allegato E), anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno».
Quindi, in definitiva, ove in giudizio si faccia questione di diritti o libertà fondamentali degli interessati attinenti al corretto trattamento dei dati personali degli stessi, ovvero alla mancata osservanza delle norme che ne disciplinano la materia, solo il Giudice Ordinario dovrebbe considerarsi dotato di giurisdizione: e ciò anche quando vengano in rilievo atti amministrativi a contenuto regolamentare assunti a livello governativo.