Con sentenza n. 28385 del 11 ottobre 2023, la Corte di Cassazione ha statuito che in tema di violazioni della disciplina relativa al trattamento dei dati personali, il Garante della Privacy può infliggere sanzioni amministrative pecuniarie anche ad autorità e/o organismi pubblici.

Nel caso di specie, il Garante della privacy aveva comminato una sanzione amministrativa pari ad Euro 80.000,00 all’ATS (Agenzia di Tutela della Salute) di Milano per aver implementato il sistema di tracciamento epidemiologico, rendendo di semplice rilevazione la conoscibilità dei dati riguardante lo stato di salute degli utenti registrati, in violazione dell’art. 5, par. 1, lett. a) e f), e par. 2, nonché degli artt. 13, 25, 32 e 35 del Regolamento UE 2016/679.

La Corte di Cassazione quindi, respingendo il ricorso proposto dall’ATS avverso la sentenza del Tribunale di Milano che aveva confermato la correttezza della sanzione amministrativa emessa nei suoi confronti, ha affermato il diritto dell’utente a un’effettiva tutela sostanziale e non solo formale.