In caso di colpa grave, in materia di privacy, il funzionario apicale può essere chiamato a rispondere per il danno indiretto subito dall’ente pubblico a seguito di sanzioni comminate dal Garante per la protezione dei dati personali.
Lo ha chiarito la Corte dei Conti, Sezione giurisdizionale per la Regione Valle d'Aosta, con le sentenze numero 1/2025 e numero 2/2025 del 6 febbraio 2025. La vicenda riguarda la Regione Valle d'Aosta, destinataria di un primo provvedimento sanzionatorio del Garante per la protezione dei dati personali il 26 marzo 2015 per la diffusione illecita dei dati personali di un dipendente . La delibera contestata, la numero 1016 del 7 giugno 2013, pubblicata sul sito web della Regione, riportava valutazioni sulla professionalità e sul comportamento del dipendente , identificato con nome e cognome, e ne disponeva il trasferimento per accertata incompatibilità ambientale. Nonostante l'intervento del Garante, l'ente non si è adeguato tempestivamente alle prescrizioni , portando all'adozione di due ulteriori provvedimenti sanzionatori dell'Autorità di controllo. Le ordinanze numero 397 e numero 398 del 5 ottobre 2017, con le quali sono state inflitte alla Regione sanzioni per un totale di 120.000 euro 20.000 euro per il primo provvedimento e 100.000 euro per il secondo . Le sanzioni derivavano non solo dalla pubblicazione illecita, ma anche dalla mancata conformità della Regione alle indicazioni del Garante per la protezione dei dati personali . A seguito del pagamento delle sanzioni, la Corte dei Conti ha avviato un'istruttoria per accertare eventuali responsabilità amministrative. Le sentenze in commento si sono concentrate sulla posizione di un singolo dirigente che aveva corrisposto direttamente con il Garante senza adottare misure adeguate per la corretta pubblicazione degli atti . Nel giudizio abbreviato richiesto dal dipendente la Corte ha riconosciuto la sua responsabilità gravemente colposa per la mancata rimozione tempestiva e l'inosservanza delle prescrizioni del Garante. Il dirigente ha quindi concordato il pagamento di 12.500 euro in totale per definire la propria posizione nei due procedimenti, accedendo al rito abbreviato ai sensi dell'articolo 130 del codice di giustizia contabile. La vicenda mette in evidenza il principio secondo cui i dirigenti responsabili della gestione dei dati personali nelle pubbliche amministrazioni devono garantire il rispetto delle norme sulla protezione dei dati . In presenza di colpa grave, infatti, può essere accertata la loro responsabilità amministrativa per il danno indiretto subito dall'ente sanzionato. Questa giurisprudenza rafforza il concetto che i soggetti apicali , nell'ambito delle loro competenze, esercitano una funzione di controllo sulla corretta gestione dei dati personali e, in caso di negligenza grave, possono essere chiamati a rispondere economicamente delle conseguenze del loro operato.