La Corte di Cassazione con la sentenza del 17 gennaio 2026 n. 984 (Pres. Tricomi, Rel. Pazzi) ha sancito il carattere perentorio del termine di 120 giorni per l’esercizio del potere sanzionatorio del Garante Privacy.
Il procedimento amministrativo realizzato di fronte al Garante Privacy gode di due differenti fasi: una investigativa o preistruttoria e una sanzionatoria in senso stretto.
Contrariamente alla fase investigativa, quella sanzionatoria in senso stretto gode di un termine pari a 120 giorni per l’irrogazione della sanzione, così come previsto dal punto 2 dell’allegato “B” del Regolamento del Garante n. 2/2019.
La Cassazione ne ha sancito il carattere perentorio ed ha evidenziato come tale termine decorra non dall’avvio del procedimento sanzionatorio, ma dalla conclusione della fase investigativa ossia dall’effettivo accertamento della violazione, per la successiva notificazione al titolare o al responsabile del trattamento.
Nel contesto dell’emissione di una sanzione espressiva della potestà punitiva della PA, infatti, la perentorietà del termine è funzionale a garantire la certezza giuridica e il diritto di difesa: la Corte richiama sul punto la giurisprudenza della Corte Costituzionale (151/2021), per cui, in mancanza di tale carattere, vi sarebbe un collocamento della potestà punitiva in una posizione ingiustificatamente privilegiata.
Nel caso di specie, il Garante aveva provveduto all’adozione del provvedimento sanzionatorio un anno e mezzo dopo la scadenza dei 120 giorni dall’accertamento delle violazioni.
Il ricorrente in Cassazione, nonostante il Tribunale di primo grado – in sede di impugnazione del provvedimento sanzionatorio – già avesse qualificato tale termine come perentorio, aveva lamentato la violazione e/o falsa applicazione dell’art 143 Codice Privacy e dell’art. 8 Regolamento GDPR n. 2/2019 poiché il Tribunale non aveva appunto considerato di carattere ordinatorio il termine relativo al procedimento amministrativo di fronte al Garante.
Il Garante Privacy, inoltre, con ricorso incidentale, precisava che fosse errato ritenere che il termine di conclusione procedimentale avesse carattere perentorio, in assenza di un’espressa previsione normativa in questo senso.
La Cassazione, confermando la ricostruzione del Giudice di prime cure, respingeva entrambi i ricorsi, confermando definitivamente la natura perentoria del termine per l’esercizio del potere sanzionatorio del Garante.
