Privacy, ricorso alla Cedu dopo il reclamo al Garante

Ricorsi a Strasburgo per violazione dei dati personali possibili solo dopo aver presentato il reclamo all’Autorità garante per la protezione dei dati che, pur non essendo un organo giurisdizionale, ha caratteristiche di indipendenza simili ed è in grado di adottare misure effettive di tutela. Lo ha stabilito la Corte europea dei diritti dell’uomo nella decisione resa pubblica il 28 novembre 2024 (n. 25578/11), con la quale è stato dichiarato inammissibile il ricorso di un cittadino italiano contro l’Italia, accusata di non aver garantito il diritto al rispetto della vita privata (articolo 8 della Convenzione europea) in cui è inclusa la tutela dei dati personali.

I fatti

La vicenda riguardava la sottrazione di dati dal Servizio per le informazioni sul contribuente (Serpico), ossia il database dell’anagrafe tributaria che raccoglie dati e informazioni rilevanti per le questioni fiscali, a opera di un ufficiale della Guardia di Finanza che aveva poi fornito i dati relativi a diverse persone a un giornalista. Era seguita l’apertura di un procedimento penale e il patteggiamento con condanna a un anno di carcere (pena sospesa). Anche la Guardia di Finanza aveva avviato un’inchiesta, verificando che vi erano stati 1.372 accessi al database senza alcuna giustificazione legata all’adempimento dei propri doveri.

Tra le vittime, anche il ricorrente che si è rivolto alla Corte europea ritenendo che le autorità nazionali non avessero rispettato l’obbligo di garantire la tutela dei dati custoditi nel database in ragione del fatto che sussisteva un perdurante rischio di inadeguata protezione dei dati personali conservati nella banca dati.

Necessario provare la violazione

Prima di tutto, la Corte ribadisce che una parte dei dati contenuti nel servizio per le informazioni sul contribuente riguardano, senza dubbio, aspetti della vita privata del ricorrente, con la conseguenza che l’articolo 8 della Convenzione è applicabile. In base alla Convenzione, infatti, gli Stati hanno un obbligo di adottare tutte le misure volte a proteggere gli individui da accessi abusivi in grado di compromettere il diritto convenzionale. Non basta, però, contestare l’esistenza di un rischio perché gli individui che ricorrono alla Corte devono dimostrare, a causa della propria situazione personale, di essere vittime di una violazione anche con riguardo al pericolo di una futura violazione per uso improprio o per un abuso dei dati personali da parte di terzi che hanno accesso alla banca dati. Non può trattarsi – precisa la Corte – di una mera ipotesi perché, in una simile situazione, il ricorrente non può essere considerato vittima di una violazione.

Il ruolo del Garante privacy

Per quanto riguarda il previo esaurimento dei ricorsi interni, la Corte ritiene che il ricorrente avrebbe potuto presentare un reclamo all’Autorità garante per la protezione dei dati personali, come stabilito dal Codice sulla protezione dei dati. L’Autorità garante, infatti, ha a disposizione strumenti idonei a bloccare gli abusi nel trattamento dei dati. Poco importa che non possa essere qualificata, in modo formale, come autorità giurisdizionale perché ciò che conta è che si tratti di un organo stabilito per legge in grado di assicurare la tutela effettiva dei diritti. Inoltre, la Corte evidenzia che l’Autorità è autonoma e indipendente, è costituita da membri nominati dal Parlamento, scelti tra gli esperti nel settore, le cui decisioni possono essere impugnate in sede giurisdizionale, anche davanti alla Cassazione.