La Corte dei Conti si pronuncia sul caso di danno erariale indiretto subito dalla pubblica amministrazione a seguito del pagamento della sanzione amministrativa inflitta all’ente dal Garante privacy per la violazione della normativa in materia di protezione dei dati personali.
La Regione Valle di Aosta veniva sanzionata nel marzo 2015 dal Garante per la protezione dei dati personali a seguito della diffusione illecita di dati personali relativa della pubblicazione on line sul sito web istituzionale senza anonimizzazione di dati di una delibera di trasferimento di un dipendente per incompatibilità ambientale con i dati personali in chiaro. La Regione, a seguito dell'intervento del Garante, provvedeva alla rimozione del documento. Il Garante intimava alla Regione di uniformare la pubblicazione on line degli atti ai principi e alle norme in materia di protezione dei dati personali e richiamava l'attenzione degli operatori sulla necessità di anonimizzare i dati e rispettare i limiti temporali di pubblicazione on line sull'albo pretorio (indicati dalla normativa di settore in quindici giorni). I fatti in esame si sono svolti prima dell'entrata in vigore e diretta applicazione del regolamento europeo in materia di protezione dei dati personali; le violazioni contestate all'epoca si riferivano, pertanto, al mancato rispetto dei principi di necessità, pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione ( articolo 3 e 11 del codice della privacy poi abrogato dal decreto 101 del 2018). La Regione, negli anni successivi, non ha adottato le sopra citate misure richieste e non ha seguito le prescrizioni indicate dal Garante nel sopracitato provvedimento. La Regione è stata, pertanto, successivamente sanzionata dal Garante privacy con i provvedimenti n. 397 (sanzione di 20.000 euro) e 398 del 7 ottobre 2017 (sanzione di 100.00 euro) per non avere assicurato di avere adeguato le modalità di pubblicazione degli atti regionali alle disposizioni del Codice della privacy e per non avere eliminato dal sito web i numerosi atti contenenti dati personali degli interessati pubblicati oltre il termine di 15 giorni, nonché le delibere non sottoposte ad anonimizzazione. Nelle interlocuzioni con il Garante l'amministrazione ha sostenuto la liceità della pubblicazione attraverso anche le osservazioni del proprio dirigente, responsabile della struttura “Provvedimenti amministrativi”, preposto alle pubblicazioni on line delle deliberazioni della Giunta e incardinato nel Dipartimento Segreteria della Giunta stessa. Il processo di fronte alla Corte dei Conti ha riguardato sia il Presidente della regione, sia il coordinatore della presidenza sia il Dirigente di settore delle pubblicazioni della Giunta. Secondo la Corte dei Conti, il sopra citato Dirigente non adottò le misure richieste del Garante di adeguamento delle procedure pubblicazioni on line ai principi della normativa europea e nazionale in materia di protezione dei dati personali e mostrò una resistenza alle indicazioni dell'Autority e lamentò l'indeterminatezza delle prescrizioni del Garante piuttosto che interloquire in modo proficuo con il Garante. Il dirigente insistette nella pubblicazione delle delibere nelle modalità contestate dallo stesso Garante. Secondo la Corte non si può accogliere la tesi rappresentata dal Dirigente che un atto di trasferimento per incompatibilità ambientale rientri tra quelli relativo all'organizzazione e alle attività delle pubbliche amministrazioni” disciplinati dal “Decreto Trasparenza”, quest'ultimi sono dati e documenti di interesse generale non provvedimenti specifici di gestione del rapporto di lavoro ( Corte di Cassazione, sentenza 11 maggio 2017 n. 11568 ). Il richiamo alla normativa Trasparenza avrebbe comportato la pubblicazione delle deliberazioni per cinque anni ( articolo 1 e 8 del D.Lgs. 33 del 2013 ) e non di quindici giorni (previsti per le pubblicazioni su albo pretorio). La Corte dei Conti ha evidenziato, pertanto, una carenza nella diligenza dovuta, qualificata dalla Corte stessa come colpa grave. In qualità di Dirigente, il dipendente avrebbe dovuto alla luce anche delle funzioni e competenze, attivarsi con tempestività per garantire la conformità alle prescrizioni del Garante. La condotta omissiva del Dirigente ha contribuito alla sanzione inflitta al Garante e quindi al danno erariale indiretto subito dall'ente pubblico di appartenenza: la Corte ha sottolineato il nesso eziologico fra la condotta del dirigente e l'esborso sostenuto successivamente dall'ente; in assenza dell'adempimento delle prescrizioni integrali del garante non ci sarebbe verificata la sanzione. La Corte inoltre, sottolinea che il dipendente svolge il ruolo di Dirigente della struttura competente rispetto alla pubblicazione delle deliberazioni della Giunta. La sentenza è coerente con il recente orientamento della giurisprudenza della Corte dei Conti in materia: le figure apicali sono ritenute responsabili di persona se non ottemperano agli adempimenti privacy e alle prescrizioni indicate dal Garante privacy (Corte dei Conti, sez. giur. Sardegna, sentenza del 12 aprile 2018 n. 73; Corte dei Conti, Sezione Giurisdizionale del Lazio sentenza del 28 maggio 2019, n. 246; Corte dei Conti, sezione giurisdizionale della Calabria, sentenza n. 429/2019, Corte dei Conti; sezione giurisdizionale della Toscana, sentenza n. 445/2019; Corte dei Conti, Sezione giurisdizionale per la Regione Valle di Aosta,sentenze n.1 e 2/2025 ; per i funzionari; Corte dei Conti sezione giurisdizionale di Bolzano, sentenza n. 1/2024). La pubblicazione on line di dati personale oltre i termini di legge può, pertanto, implicare la responsabilità amministrativa personale del dirigente e fare scattare il risarcimento per il danno indiretto subito dall'ente. Gli enti sono tenuti ad attenersi ai principi della normativa privacy europea e nazionale e alle preziose Linee guida del Garante privacy per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web, del 2 marzo 2011. Nelle sopra citate linee guida, sono individuate nella sez. B, ad oggetto: “Pubblicità degli atti amministrativi e albo pretorio on line”, gli specifici accorgimenti per impedire l'illecita diffusione dei dati con l'uso dei più comuni motori di ricerca (anonimizzazione, rimozione). La Corte dei Conti ha ritenuto estinto il giudizio per l'ex Presidente della Regione, rappresentante legale per sopravvenuto decesso dello stesso e ha dato atto che la posizione del coordinatore della Presidenza è stata definita in sede di rito abbreviato e ha invece condannato il dirigente di settore. La procura della Corte dei Conti aveva proposto per il Dirigente di settore per l'imputazione pro quota del danno del pagamento della somma di 25.000 euro. La Corte ha condannato il Dirigente al pagamento della sanzione di ottomila euro e ha ritenuto, fermo restando la colpa grave e la responsabilità del convenuto nella causazione del danno, sussistano i presupposti ai fini dell'esercizio del potere riduttivo. Da una coordinata disamina dei fatti è emerso che siamo in presenza di un problema “sistemico”, presso l'ente, sul tema della tutela dei dati personali in relazione ai provvedimenti amministrativi adottati dalla Giunta, almeno nel periodo temporale esaminato. La causa del problema sistemico è il frazionamento delle competenze e dalla molteplicità dei soggetti che, per le funzioni svolte potevano avere e hanno avuto un ruolo nella vicenda. La Corte sottolinea infatti, come la frammentazione delle competenze abbiano impedito l'unitaria visione di insieme del tema. Tenuto conto alle carenze organizzative e sistemiche interne della regione quindi si è proceduto alla riduzione dell'addebito rispetto alla domanda originaria ad un importo pari del trenta per cento di quello contestato. Il richiamo al rischio sistemico potrebbe costituire un possibile alibi per le amministrazioni pubbliche nell'ambito della gestione degli adempimenti relativi alla protezione dei dati personali che è normativa fondamentale nei rapporti con i cittadini e strumento per l'esercizio di altri diritti e libertà fondamentali delle persone. Si osservi tuttavia, che i fatti contestati si sono verificati prima della diretta applicazione del GDPR che ha introdotto nel nostro ordinamento e negli enti il principio di accountability che implica l'obbligo per chi gestisce dati personali non solo di rispettare le regole, ma anche di poter dimostrare, in modo trasparente e documentato, il rispetto di tali regole e la correttezza delle proprie scelte in materia di privacy e protezione dei dati persona Risulta fondamentale in questo scenario il supporto e il ruolo del Data protection Officer (DPO) o Responsabile per la protezione dei dati personali (RTD), figura introdotta del GDPR e obbligatoria nel comparto pubblico. Il principio di accountability evita che si verificano le situazioni rappresentate dalla Corte dei Conti di carenze nella regolamentazione “a monte” delle modalità del trattamento dei dati conformemente a legge che, poi si ripercuotono anche nel mancato adeguamento “a valle”. La pubblicazione di dati in una delibera in violazione dei principi di privacy by design e privacy by default e in violazione dei termini di pubblicazione può comportare l'apertura del fascicolo istruttorio della Procura dei Conti e fare scattare, pertanto, la responsabilità personale dei dirigenti e può esporre i dirigenti a eventuali responsabilità disciplinare e l'amministrazione a cause per il risarcimento dei danni di fronte al giudice civile. La regione aveva impugnato le ordinanze del Garante di fronte al Tribunale, ma le relative impugnazioni sono state rigettate, anche il ricorso alla Cassazione contro i provvedimenti del Garante non sono stati accolti. La sentenza ha il merito di richiamare l'attenzione degli enti e degli operatori su alcuni nodi importanti in materia di protezione dei dati personali: la posizione di garanzia del rappresentante legale e dei dirigenti, il correlativo obbligo di attivarsi in capo alle persone fisiche cui sono intestati dalla normativa poteri di azione amministrativa e di impulso/verifica, l'importanza di una leale collaborazione attenta, concreta fra le amministrazioni (regione e il Garante privacy); l'obbligo di adempiere alle prescrizioni del Garante e l'importanza della formazione e dell'aggiornamento normativo anche per le figure apicali e organizzativo in materia di protezione dati.