ABSTRACT:
- ricorsi giurisdizionali contro i DPCM proposti principalmente per asserita messa rischio dei dati personali delle persone fisiche obbligate ad ottenere i famigerati “green pass”;
- la normativa posta a protezione dei dati personali e, dunque, delle stesse persone fisiche, non è un “orpello” ma un presidio dei diritti fondamentali;
- oltretutto è il Giudice Ordinario che dovrebbe decidere ove si ritenga che i diritti messi in gioco siano stati violati in ragione di un previsto trattamento disposto dal titolare o dal responsabile del trattamento. Il TAR ed il Consiglio di Stato, in tali casi, non avrebbero giurisdizione per poter decidere.
La vertenza incardinata presso il Giudice Amministrativo
Il TAR per il Lazio (sez. I^, ordinanza n. 04281/2021) ed il Consiglio di Stato (sez. III^, ordinanza n. 05130/2021) sono stati chiamati a decidere in merito al ritenuto contrasto del DPCM che, in base alla norma delegante di cui all’art. 9, comma 10 del D.L. n. 52/2021 (convertito in L. n. 87/2021), disciplina gli aspetti di regolamentazione tecnica dell’istituto del c.d. “Green pass” che, in base a quanto sostenuto dai ricorrenti e appellanti cautelari, contrasterebbero con la normativa europea in tema di trattamento dei dati personali, nonché con la normativa costituzionale ma pur sempre «con particolare riferimento alla protezione dei dati personali sanitari», per usare le testuali parole che si leggono nell’anzidetta recente ordinanza del Consiglio di Stato.
Al momento, la prima sezione del TAR Lazio e la terza sezione del Consiglio di Stato hanno rigettato le domande poste dai ricorrenti in via cautelare per ottenere la sospensione dell’efficacia del detto DPCM sui “green pass” in attesa della sentenza di primo grado che giudicherà circa la richiesta di annullamento svolta presso il Tribunale Amministrativo poiché, appunto, ritenuto in generale munito della competenza giurisdizionale a conoscere e decidere, in primo grado, della validità degli atti della pubblica amministrazione, ivi compresi i decreti della Presidenza del Consiglio dei ministri poiché, come oramai reso noto anche ai non addetti ai lavori, da considerarsi atti amministrativi.
L’oggetto reale della questione dovrebbe mettere “fuori gioco” il Giudice Amministrativo
Le due decisioni del Giudice Amministrativo, sebbene succintamente motivate, lasciano comunque ben trasparire che l’oggetto reale della questione sollevata riguarda (in via di fatto) la pretesa messa a rischio e violazione dei diritti e libertà fondamentali dei ricorrenti rispetto ai dati personali di natura particolare (“sensibile”) degli stessi in quanto destinati o destinabili ad entrare a far parte delle procedure messe a regime dalla Presidenza del Consiglio dei Ministri (e dei Ministeri coinvolti) rispetto all’applicazione dell’istituto del citato “green pass”.
Ebbene, al di là delle possibili angolature attinenti alla fondatezza nel merito della vertenza, nonché al netto di un singolare richiamo motivazionale ad una norma oramai abrogata dal 2018 (l’art. 15 del Dlgs 196/2003 indicato a pag. 3 dell’ordinanza n. 5130/2021) è esclusivo interesse di chi scrive argomentare circa l’insussistenza della giurisdizione del Giudice Amministrativo a conoscere e decidere la vertenza che, come detto, sarebbe basata sulla dedotta violazione dei diritti attinenti ai dati personali dei ricorrenti rispetto ad un trattamento deciso e/o posto in essere dalle istituzioni governative mediante la prevista procedura attinente all’istituto del “Green Pass”.
E che a decidere delle vertenze come quelle in commento non debba essere il Giudice Amministrativo ma, di conseguenza, il solo Giudice ordinario si dovrebbe evincere chiaramente dalle norme nel seguito riportate e, sebbene succintamente, spiegate passo per passo.
GDPR e Codice nazionale italiano: il Giudice Ordinario è competente a decidere
Come sancito dal paragrafo 1 dell’art. 79 del GDPR «ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento». In particolare, prosegue poi la norma al paragrafo 2, «le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membroin cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento».
E tale violazione la si può riscontrare nelle ragioni dedotte nel caso di cui si stanno occupando i Giudici amministrativi italiani ove, difatti, i ricorrenti, ritenendo che il DPCM del 17/06/2021 violasse i diritti sanciti dalla disciplina nazionale ed europea in materia di trattamento dati, hanno promosso ricorso contro i titolari del disposto trattamento: principalmente la Presidenza del Consiglio dei Ministri, il Ministero della Salute, dell’Interno e quello dell’Economia.
Difatti, la Presidenza del Consiglio dei Ministri ed i Ministeri coinvolti, definendo, ovvero anche solo partecipando a definire, le finalità e i mezzi del trattamento, vengono a qualificarsi come Titolari del trattamento in base all’art. 4 del GDPR, ovverosia quali «persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri» (sulla nozione di Titolare e Responsabile del trattamento, anche con riguardo alle istituzioni pubbliche o governative, cfr., da ultimo, le Linee Guida EDPB n. 7/2020).
In Italia l’autorità giurisdizionale competente in questi casi, avanti la quale proporre l’azione, viene molto ben individuata dall’art. 152 del Dlgs. n. 196/2003, ai sensi del quale «tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e quelli comunque riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo regolamento, sono attribuite all’autorità giudiziaria ordinaria».
Dunque, la normativa nazionale che specifica quella sovranazionale non sembra lasciar spazio ad interpretazioni che si discostino dal suo chiaro significato letterale: nelle circostanze descritte, la giurisdizione appartiene unicamente al Giudice Ordinario, a nulla rilevando che pure gli atti emanati dalla Presidenza del Consiglio dei ministri, in quanto “amministrativi”, vengano generalmente attribuiti alla competenza del Giudice Amministrativo.
E non è tutto atteso che il disposto dell’art. 152 del Dlgs n. 196/2003 non solo appare univoco nell’affermare la competenza del Giudice ordinario ma al comma 1bis lo stesso sancisce pure che «le controversie di cui al comma 1 sono disciplinate dall’art. 10 del decreto legislativo 1° settembre 2011 n. 150» il quale decreto, al proprio art. 10, si occupa delle controversie «in materia di applicazione delle disposizioni in materia di protezione dei dati personali» attribuendo specificatamente al Giudice Ordinario un potere decisionale che va oltre alla facoltà che, di norma, consente allo stesso di semplicemente disapplicare gli atti amministrativi (in ragione della riserva prevista dagli artt. 4 e 5 dell’allegato E della L. n. 2248/1865, che permette al solo Giudice Amministrativo di annullarli).
Tale ulteriore potere attribuito al Giudice Ordinario si evince nitidamente dal comma 10 dell’art. 10 del citato Dlgs n. 150/2011 ove si prevede invero che «la sentenza che definisce il giudizio non è appellabile e può prescrivere le misure necessarie anche in deroga al divieto di cui all’art. 4 della legge 20 marzo 1865, allegato E), anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno».
Quindi, in definitiva, ove in giudizio si faccia questione di diritti o libertà fondamentali degli interessati attinenti al corretto trattamento dei dati personali degli stessi, ovvero alla mancata osservanza delle norme che ne disciplinano la materia, solo il Giudice Ordinario dovrebbe considerarsi dotato di giurisdizione: e ciò anche quando vengano in rilievo atti amministrativi a contenuto regolamentare assunti a livello governativo.
*****
Avv. Lorenzo TAMOS, dello Studio Legale Tamos & Partners
