Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

La Cassazione impone un termine perentorio per l’irrogazione delle sanzioni del Garante Privacy

Con la sentenza del 16 dicembre 2025 (R.G. n. 759/2025) la Corte di Cassazione ha stabilito che l’Autorità Garante per la protezione dei dati personali è tenuta a rispettare termini temporali rigorosi nell’esercizio del proprio potere sanzionatorio.

Il procedimento sanzionatorio dell’Autorità Garante

Il Regolamento (UE) 2016/679 (GDPR) riconosce all’Autorità Garante poteri investigativi, correttivi, autorizzativi e consultivi per garantire la conformità al trattamento dei dati personali.

Nel sistema italiano, la procedura per l’adozione dei provvedimenti correttivi e delle sanzioni amministrative è disciplinata dall’art. 166 del Codice Privacy, nonché dal Regolamento interno del Garante n. 2/2019, che definisce durata e scansione temporale dei procedimenti amministrativi di competenza dell’Autorità.

La Cassazione, con la sentenza del 16 dicembre 2025 (R.G. n. 759/2025), ribadisce che il procedimento dinanzi al Garante Privacy deve suddividersi in due fasi: la prima fase dedicata alla raccolta delle prove e dell’accertamento dei fatti e una seconda fase in cui vengono formalizzate le contestazioni e viene adottato il provvedimento sanzionatorio.

Secondo la Corte, una volta conclusa l’istruttoria e definitivamente accertata la violazione, il Garante dispone di 120 giorni per notificare la contestazione e irrogare la sanzione. Tale termine ha natura perentoria, in quanto “decorre dal definitivo accertamento dell’illecito ed impone l’esercizio del potere sanzionatorio”.

Il mancato rispetto di questo limite temporale, in assenza di un giustificato motivo, comporta l’inefficacia dell’azione sanzionatoria, con conseguente venir meno della legittimità del provvedimento adottato oltre il termine.

Il caso oggetto della decisione

La decisione trae origine da un caso che ha coinvolto la RAI Radiotelevisione italiana in relazione ai servizi giornalistici di Presa Diretta e Report, coinvolti in una presunta violazione della disciplina sulla protezione dei dati personali.

Nel caso concreto, l’Autorità Garante aveva impiegato quasi due anni tra l’avvio del procedimento e l’irrogazione della sanzione, superando ampiamente il termine di 120 giorni previsto dal proprio regolamento interno.

Gli effetti della sentenza

La decisione della Cassazione rappresenta un passaggio di particolare rilievo nel rapporto tra Autorità di controllo e soggetti sottoposti a vigilanza, richiamando principi costituzionali fondamentali quali la necessità di una tutela giurisdizionale rapida ed efficace, la prevedibilità degli effetti dell’attività amministrativa e la garanzia del diritto di difesa.

Il potere sanzionatorio, infatti, deve essere esercitato nel rispetto di termini certi e ragionevoli, al fine di assicurare un corretto bilanciamento tra l’interesse pubblico alla repressione delle violazioni e i diritti dei destinatari delle sanzioni.