Nuovi equilibri tra giurisprudenza e Autorità indipendenti: il caso Siri e il Garante Privacy
Nuovi equilibri tra giurisprudenza e Autorità indipendenti: il caso Siri e il Garante Privacy
Uno sguardo critico ai vizi logici presenti nella sentenza della Suprema Corte di Cassazione
Non c’è pace per il Garante Privacy. Appena stemperato il clamore derivante dalle vicende legate ai presunti illeciti commessi dai componenti del Collegio, la Corte di Cassazione ha sostenuto un orientamento che rischia di mettere in crisi l’operatività di un’Autorità che, da alcuni mesi a questa parte, non sta attraversando la sua fase più popolare. A ciò si aggiunga che il crescente numero di procedimenti incardinati presso il Garante per la Protezione dei Dati Personali (GDPD) comporta un carico di lavoro oggettivamente sfidante, in considerazione delle risorse in organico[1]. Ebbene, se già siamo di fronte a un’Autorità afflitta da sottodimensionamento, la sentenza della Suprema Corte non potrà che peggiorare la situazione.
La posizione della Corte di Cassazione
Il provvedimento della Corte di Cassazione reso nel procedimento che ha visto protagonista Armando Siri (R.G. 759/2025), infatti, rappresenta un momento cruciale nell'evoluzione giurisprudenziale sul tema dei termini procedimentali del Garante. In particolare, la sentenza interviene su un ricorso principale proposto da Armando Siri e un ricorso incidentale promosso nell’interesse del Garante (anche controricorrente), avverso la sentenza del Tribunale di Roma n. 14569/2024. La vicenda ha origine da un reclamo presentato da Siri nel 2020, riguardante la diffusione, da parte di RAI-Radiotelevisione Italiana S.p.A., di sue email personali durante le trasmissioni "Presa Diretta" e "Report". Il Garante, con provvedimento n. 297 del 6 luglio 2023, aveva imposto a RAI un divieto di ulteriore trattamento (diffusione) e un ammonimento per violazione degli artt. 5, 6 e 139 del d.lgs. 196/2003 (Codice Privacy), nonché delle Regole deontologiche[2].
Il Tribunale di Roma aveva annullato il provvedimento per tardività, qualificando come perentorio il termine di 12 mesi dalla presentazione del reclamo (ex art. 143, co. 3, d.lgs. 196/2003[3]), in applicazione dei cosiddetti “Engel criteria” della CEDU, che configurano il potere sanzionatorio come sostanzialmente "penale", con la conseguente necessità di tassatività, legalità e tempestività. Il giudice di merito aveva sottolineato la correlazione tra rispetto del termine ed effettività del diritto di difesa (art. 24 Cost.), evidenziandone anche i riflessi sulla capacità dissuasiva della sanzione. Il Garante, nel ricorso incidentale, aveva invece sostenuto la natura ordinatoria del termine, in assenza di espressa qualificazione dello stesso come perentorio (art. 152, co. 2, c.p.c.), senza contestare, tuttavia, la qualificazione "afflittiva" dell'ammonimento, in linea con l'art. 58, par. 2, lett. b) GDPR[4] e con quanto stabilito dalla Corte Costituzionale.
La Suprema Corte, rigettando sia il ricorso principale, sia quello incidentale, ha confermato l'annullamento del provvedimento adottato dal Garante. In particolare, i giudici di legittimità hanno ribadito la distinzione tra fase investigativa/preistruttoria (prevista dall’art. 166, co. 4, d.lgs. 196/2003[5], per la cui conclusione non vengono stabiliti termini perentori) e fase sanzionatoria in senso stretto (di cui all’art. 166, co. 5, d.lgs. 196/2003[6]), operata nella precedente sentenza della Corte n. 18583/2025 (Garante contro Enel Energia S.p.A.[7]). Secondo la Corte, il termine di 120 giorni (previsto al punto 2 della Tabella B allegata al Regolamento n. 2/2019 del Garante[8]) decorrerebbe dalla conclusione della fase preistruttoria e, precisamente, dalla notifica delle presunte violazioni al titolare o al responsabile del trattamento, imponendo l'esercizio del potere sanzionatorio entro tale lasso temporale, pena l’esaurimento della potestà sanzionatoria del Garante. La perentorietà di tale termine deriverebbe dalle esigenze costituzionali di certezza giuridica e diritto di difesa vincolando l'Autorità al rispetto del termine “autoimposto”, pur senza espressa sanzione decadenziale. Nel “caso Siri”, la Cassazione ha precisato che il termine non è influenzato dal carattere correttivo della misura (ammonimento), poiché la norma regolamentare non distingue gli esiti della fase sanzionatoria.
Il vulnus della sentenza Siri e i suoi effetti immediati
A ben vedere, tuttavia, l’orientamento delineato nella sentenza in commento – che ricalca la precedente sentenza “Enel” n. 18583/2025 – sembra affetto da un vizio logico, laddove la Cassazione afferma la distinzione tra fase investigativa/preistruttoria (caratterizzata da flessibilità dei termini) e fase sanzionatoria in senso stretto (con termine perentorio di 120 giorni decorrenti “dal definitivo accertamento dell’illecito”). Nella sentenza “Siri”, il Collegio giudicante applica meccanicamente tale dicotomia, assimilando in maniera impropria la contestazione della (presunta) violazione ai sensi dell’art. 166, co. 5, d.lgs. 196/2003, a un atto definitorio del procedimento, generando quindi confusione fra l’avvio della fase sanzionatoria e la decisione in senso stretto, con ripercussioni significative sul contenzioso pendente e sull'azione amministrativa quotidiana del Garante.
L'effetto più immediato della sentenza sul contenzioso in corso sarebbe l'annullamento sistematico dei provvedimenti sanzionatori adottati oltre i 120 giorni dalla notifica della contestazione, interpretati come perentori e decadenziali. L’applicazione aprioristica di questo principio rischierebbe di travolgere centinaia di procedimenti pendenti dinanzi ai tribunali di merito e alla Cassazione. Per altro verso, la perentorietà dei 120 giorni – interpretati come scadenza per il provvedimento finale, anziché, come si evince dal combinato disposto dell’art. 166, comma 5 del Codice Privacy e dell’Allegato B al Regolamento del Garante n. 2/2019, per l'avvio della fase sanzionatoria – renderebbe ingestibili istruttorie complesse, in quanto non consentirebbe il pieno contraddittorio tra le parti (accesso agli atti, memorie, audizione, valutazione collegiale) violando l'art. 6 CEDU[9] (principio del giusto processo).
Complessivamente, l'impatto della sentenza sembra erodere la "supremazia speciale" dell'amministrazione (Corte Cost. 151/2021[10]), favorendo la predictability, ma paralizzando le azioni in settori critici (come quello della salute o della finanza), con potenziali danni erariali per inefficacia, rischio che già la Corte Costituzionale ha paventato.
Ad avviso di chi scrive, l’interpretazione fornita dalla Corte è opinabile per diversi motivi, derivanti da una lettura della norma regolamentare che si discosta dal tenore letterale della stessa e dal quadro sistematico del procedimento sanzionatorio dinanzi all’Autorità Garante. Innanzitutto, il Regolamento del Garante n. 2/2019, all’Allegato B, stabilisce espressamente che il termine di 120 giorni decorre "dall'accertamento della violazione per la notificazione della stessa ai residenti nel territorio della Repubblica" (o 360 giorni per i non residenti). Questo termine si riferisce, con tutta evidenza, alla fase di avvio del procedimento sanzionatorio in senso stretto (art. 166, comma 5, d.lgs. 196/2003), coincidente con la notifica della contestazione delle presunte violazioni al titolare o al responsabile del trattamento. Non si tratta, cioè, di un termine per la conclusione del procedimento attraverso la decisione dello stesso e l’eventuale l’irrogazione della sanzione, bensì di un limite endo-procedimentale per l'avvio del contraddittorio nell’ambito della fase sanzionatoria. Nella sentenza “Siri” (ma anche nella precedente sentenza “Enel”), la Corte interpreta tale termine come relativo all'"irrogazione della sanzione", con decorrenza dal "definitivo accertamento dell'illecito", alla scadenza del quale sarebbe esaurita la potestà sanzionatoria del Garante. Questa lettura, però, non appare coerente con quanto disposto dall’Allegato B al Regolamento, all’interno del quale, infatti, non si fa menzione dell'irrogazione, ma solo della "notificazione della violazione", che è l'atto di apertura della fase sanzionatoria.
La confusione generata dalla Cassazione
Inoltre, è possibile ritenere che l’interpretazione della Corte sia contraria alla legge perché viola il principio di legalità formale (art. 23 Cost.), imponendo un effetto decadenziale non previsto dal legislatore delegato (nella specie, il Garante, in virtù dell’art. 166, comma 9, d.lgs. 196/2003[11]) che, all’interno del Regolamento attuativo, non qualifica il termine di 120 giorni come perentorio-decadenziale per la conclusione del procedimento, ma come ordinatorio per l'avvio della fase sanzionatoria (in linea con l'art. 3, comma 5, del Regolamento stesso, che rinvia alla l. 241/1990 per i termini istruttori).
Sembra, peraltro, che la Corte equipari la notifica prevista dall’art. 166, comma 5 del Codice Privacy a quella di cui all’art. 14 l. 689/1981[12], attribuendole valenza definitoria del procedimento amministrativo. Tuttavia, nella l. 689/1981, la contestazione spesso include la quantificazione della sanzione e l'ordinanza-ingiunzione è vista come eventuale; nel Codice Privacy, invece, la notifica è un atto interlocutorio che avvia il contraddittorio, privo di contenuto sanzionatorio, che può seguire solo dopo memorie, audizioni e decisione finale. L'art. 166, comma 7, oltretutto, esclude espressamente l'applicazione integrale della l. 689/1981[13] (e, in particolare, dell’art. 14), limitandola a profili specifici, e il Regolamento n. 2/2019 non opera tale assimilazione. Si assiste quindi ad una forzatura che ignora la specificità del procedimento previsto dal GDPR, orientato a misure correttive proporzionate e non solo punitive, e viola il principio di tipicità dei procedimenti amministrativi (l. 241/1990, art. 1). La Corte impone un termine perentorio per la conclusione dei procedimenti incardinati dinanzi al Garante, rendendo irragionevole il sistema: 120 giorni, come già osservato, non basterebbero per garantire il pieno contraddittorio tra le parti (accesso atti, memorie, audizioni), come stabilito dalla Corte Costituzionale n. 151/2021, che richiede contiguità, ma non rigidità assoluta.
Da ultimo, è verosimile ravvisare una violazione degli articoli 24 e 25 Cost. (diritto di difesa e principio del nullum crimen sine lege), dovuta all’estensione di effetti decadenziali non previsti e alla limitazione temporale di istruttorie complesse senza fondamento normativo. In proposito, la Corte Costituzionale (sent. 151/2021) ha sì sottolineato la necessità di termini perentori stabiliti per legge, ma in questo caso il termine è regolamentare e non espressamente decadenziale.
Quali soluzioni?
In sintesi, l'interpretazione della Cassazione genera un vizio logico che provoca instabilità sia dal punto di vista contenzioso sia sotto un profilo amministrativo, e appare contra legem perché trasforma il termine per la notifica di violazioni presunte (da accertare in contraddittorio tra le parti) in un termine per la conclusione del procedimento, ignorando il tenore letterale della norma regolamentare e assimilando modelli incompatibili, con effetti invalidanti non previsti dalla legge.
Il rischio più alto è che, all’interno di procedimenti complessi, l’azione del Garante sia in buona sostanza paralizzata.
Quali soluzioni possono allora ipotizzarsi? Certamente il Garante potrebbe adottare un provvedimento interno, interpretativo del citato Regolamento n. 2/2019, per fugare ogni dubbio in merito alla natura di questi 120 giorni, chiarendo che si tratta di un termine per l’avvio della fase sanzionatoria, in modo da orientare i procedimenti a venire (soprattutto quelli più complessi da un punto di vista istruttorio) e da non costringere l’attività operativa in un lasso di tempo realisticamente troppo breve. In alternativa, si potrebbe auspicare una determinazione di interpretazione autentica da inserire all’interno di un futuro provvedimento sanzionatorio di portata più rilevante, che costituisca un riferimento per i successivi procedimenti dinanzi al Garante.
Vedremo quale sarà la strada scelta dall’Autorità per riportare ordine interpretativo, almeno in questo caso. Sul resto delle problematiche “politiche” che sta attraversando il nostro Garante il discorso è più complesso e di certo non è utile soffiare ulteriormente sul fuoco per il bene della materia di cui ci occupiamo.
[1] Formalmente, il Garante Privacy italiano non può dirsi sottodimensionato rispetto alla norma, per quanto riguarda il numero di membri del Collegio. Tuttavia, a livello organico operativo effettivo, l’Autorità è decisamente carente rispetto alle maggiori Autorità omologhe europee, come il Commissario federale tedesco e la francese CNIL, che dispongono di centinaia di dipendenti dedicati alla protezione dei dati. In particolare, in Germania si stimano circa 1000/1100 dipendenti, che rendono il suo Garante la più grande Autorità privacy in Unione Europea per organico. La Commission Nationale de l’Informatique et des Libertés, in Francia, conta all’incirca 245 persone, mentre in Olanda, per fornire un altro esempio, l’Autorità consta di circa 175 dipendenti, potendosi considerare relativamente ampia, soprattutto in rapporto ad un Paese medio-piccolo. In Italia, lavorano per il Garante per la Protezione dei Dati Personali meno di 200 dipendenti, dato che implica che la nostra sia fra le Autorità più limitate per organico operativo, in rapporto al numero di abitanti.
[2] Per completezza, ricordiamo che il combinato disposto delle norme citate chiarisce quando e come la disciplina sulla protezione dei dati personali si applica anche all’attività giornalistica, e quale ruolo svolgano le regole deontologiche relative a detta categoria. In particolare, l’articolo 139 del Codice Privacy stabilisce che: “1. Il Garante promuove, ai sensi dell'articolo 2 quater, l'adozione da parte del Consiglio nazionale dell'ordine dei giornalisti di regole deontologiche relative al trattamento dei dati di cui all'articolo 136, che prevedono misure ed accorgimenti a garanzia degli interessati rapportate alla natura dei dati, in particolare per quanto riguarda quelli relativi alla salute e alla vita o all'orientamento sessuale. Le regole possono anche prevedere forme particolari per le informazioni di cui agli articoli 13 e 14 del Regolamento; 2. Le regole deontologiche o le modificazioni od integrazioni alle stesse che non sono adottate dal Consiglio entro sei mesi dalla proposta del Garante sono adottate in via sostitutiva dal Garante e sono efficaci sino a quando diviene efficace una diversa disciplina secondo la procedura di cooperazione; 3. Le regole deontologiche e le disposizioni di modificazione ed integrazione divengono efficaci quindici giorni dopo la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'articolo 2 quater; 4. In caso di violazione delle prescrizioni contenute nelle regole deontologiche, il Garante può vietare il trattamento ai sensi dell'articolo 58 del Regolamento; 5. Il Garante, in cooperazione con il Consiglio nazionale dell'ordine dei giornalisti, prescrive eventuali misure e accorgimenti a garanzia degli interessati, che il Consiglio è tenuto a recepire”.
[3] La norma, statuendo in merito alla decisione del reclamo, prevede che “Il Garante decide il reclamo entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data informa l'interessato sullo stato del procedimento. In presenza di motivate esigenze istruttorie, che il Garante comunica all'interessato, il reclamo è deciso entro dodici mesi. In caso di attivazione del procedimento di cooperazione di cui all'articolo 60 del Regolamento, il termine rimane sospeso per la durata del predetto procedimento”.
[4] L’articolo citato stabilisce che ogni autorità di controllo detiene alcuni poteri, fra i quali quello di “rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento”.
[5] Il quarto comma dell’articolo 166 del Codice Privacy prevede che “Il procedimento per l'adozione dei provvedimenti e delle sanzioni indicati al comma 3 può essere avviato, nei confronti sia di soggetti privati, sia di autorità pubbliche ed organismi pubblici, a seguito di reclamo ai sensi dell'articolo 77 del Regolamento o di attività istruttoria d'iniziativa del Garante, nell'ambito dell'esercizio dei poteri d'indagine di cui all'articolo 58, paragrafo 1, del Regolamento, nonché in relazione ad accessi, ispezioni e verifiche svolte in base a poteri di accertamento autonomi, ovvero delegati dal Garante”.
[6] Il successivo comma 5 del sopracitato articolo, invece, stabilisce che “L'Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attività di cui al comma 4 configurino una o più violazioni indicate nel presente titolo e nell'articolo 83, paragrafi 4, 5 e 6, del Regolamento, avvia il procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni, nel rispetto delle garanzie previste dal Regolamento di cui al comma 9”, ossia il Regolamento con il quale il Garante definisce le modalità del procedimento per l'adozione dei provvedimenti e delle sanzioni di propria competenza e i relativi termini.
[7] La sentenza è disponibile al seguente link https://i-law.it/wp-content/uploads/2026/01/Cassazione-Sentenza-18583-2025.pdf
[8] Per prendere visione della tabella, si veda https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10126424.
[9] L’articolo 6 della CEDU garantisce il diritto a un equo processo, stabilendo che “1. Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un tribunale indipendente e imparziale, costituito per legge, il quale sia chiamato a pronunciarsi sulle controversie sui suoi diritti e doveri di carattere civile o sulla fondatezza di ogni accusa penale formulata nei suoi confronti. La sentenza deve essere resa pubblicamente, ma l’accesso alla sala d’udienza può essere vietato alla stampa e al pubblico durante tutto o parte del processo nell’interesse della morale, dell’ordine pubblico o della sicurezza nazionale in una società democratica, quando lo esigono gli interessi dei minori o la protezione della vita privata delle parti in causa, o, nella misura giudicata strettamente necessaria dal tribunale, quando in circostanze speciali la pubblicità possa portare pregiudizio agli interessi della giustizia; 2. Ogni persona accusata di un reato è presunta innocente fino a quando la sua colpevolezza non sia stata legalmente accertata; 3. In particolare, ogni accusato ha diritto di: (a) essere informato, nel più breve tempo possibile, in una lingua a lui comprensibile e in modo dettagliato, della natura e dei motivi dell’accusa formulata a suo carico; (b) disporre del tempo e delle facilitazioni necessarie a preparare la sua difesa; (c) difendersi personalmente o avere l’assistenza di un difensore di sua scelta e, se non ha i mezzi per retribuire un difensore, poter essere assistito gratuitamente da un avvocato d’ufficio, quando lo esigono gli interessi della giustizia; (d) esaminare o far esaminare i testimoni a carico e ottenere la convocazione e l’esame dei testimoni a discarico nelle stesse condizioni dei testimoni a carico; (e) farsi assistere gratuitamente da un interprete se non comprende o non parla la lingua usata in udienza”.
[10] È possibile prendere visione della sentenza al seguente link: https://www.cortecostituzionale.it/scheda-pronuncia/2021/151
[11] La norma stabilisce che “Nel rispetto dell'articolo 58, paragrafo 4, del Regolamento, con proprio regolamento pubblicato nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce le modalità del procedimento per l'adozione dei provvedimenti e delle sanzioni di cui al comma 3 ed i relativi termini, in conformità ai principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all'irrogazione della sanzione”.
[12] L’articolo citato prevede che “La violazione, quando e possibile, deve essere contestata immediatamente tanto al trasgressore quanto alla persona che sia obbligata in solido al pagamento della somma dovuta per la violazione stessa.
Se non è avvenuta la contestazione immediata per tutte o per alcune delle persone indicate nel comma precedente, gli estremi della violazione debbono essere notificati agli interessati residenti nel territorio della Repubblica entro il termine di novanta giorni e a quelli residenti all'estero entro il termine di trecentosessanta giorni dall'accertamento.
Quando gli atti relativi alla violazione sono trasmessi all'autorità competente con provvedimento dell'autorità giudiziaria, i termini di cui al comma precedente decorrono dalla data della ricezione.
Per la forma della contestazione immediata o della notificazione si applicano le disposizioni previste dalle leggi vigenti. In ogni caso la notificazione può esse effettuata, con le modalità previste dal codice di procedura civile, anche da un funzionario dell'amministrazione che ha accertato la violazione.
Per i residenti all'estero, qualora la residenza, la dimora o il domicilio non siano noti, la notifica non è obbligatoria e resta salva la facoltà del pagamento in misura ridotta sino alla scadenza del termine previsto nel secondo comma dell'articolo 22 per il giudizio di opposizione.
L'obbligazione di pagare la somma dovuta per la violazione si estingue per la persona nei cui confronti è stata omessa la notificazione nel termine prescritto”.
[13] Nell’articolo 166, comma 7, si legge infatti che “Nell'adozione dei provvedimenti sanzionatori nei casi di cui al comma 4 si osservano, in quanto applicabili, gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689; nei medesimi casi può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante o dell'ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell'articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione. I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all'articolo 156, comma 8, per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante”.
