Quando un ente locale inciampa in una sanzione per mancato rispetto della privacy, spetta al titolare del trattamento in prima battuta pagare la sanzione. Ma se la negligenza del dirigente è particolarmente evidente, sarà poi interesse del Comune rivalersi sull'apicale che non ha svolto correttamente il proprio lavoro.
Lo ha chiarito la Corte dei conti, sez. Veneto, con la sentenza n. 10 del 14 gennaio 2026. Il destinatario di un'ordinanza di sgombero ha segnalato all'Autorità privacy la pubblicazione da parte del Comune di un provvedimento adottato dal primo cittadino senza precauzioni a tutela della riservatezza. Il Garante per la protezione dei dati personali ha avviato un'istruttoria che si è conclusa con l'applicazione di una severa sanzione amministrativa a carico del Comune. Il quale successivamente, dopo aver pagato la sanzione, ha segnalato l'episodio ai giudici contabili . L'istruttoria della Corte dei conti si è risolta favorevolmente perché non è stata riscontrata la colpa grave delle persone coinvolte ovvero il sindaco e il suo funzionario. La Procura contabile ha ricostruito l'intera vicenda come un tipico caso di trattamento illecito di dati personali, derivante dalla pubblicazione sull'albo pretorio online di un'ordinanza amministrativa contenente riferimenti nominativi non pertinenti rispetto alle finalità di trasparenza. Secondo l'impostazione accusatoria, l'ente locale aveva diffuso un dato personale senza che vi fosse una specifica previsione normativa o regolamentare che autorizzasse la divulgazione in chiaro, circostanza che aveva determinato l'intervento dell'Autorità Garante e l'irrogazione di una sanzione pecuniaria di oltre 20.000 euro, comprensiva di spese. Somma che, essendo stata sostenuta con fondi pubblici, veniva prospettata come danno erariale “indiretto” , suscettibile di azione di rivalsa nei confronti di chi, con condotta gravemente negligente, aveva determinato la violazione. La Procura individuava quindi due profili di responsabilità . Da un lato, quello del dirigente responsabile del settore che aveva curato la pubblicazione dell'atto; dall'altro, quello del sindaco , qualificato quale titolare del trattamento e quindi ritenuto obbligato a garantire un adeguato sistema organizzativo di gestione della privacy, tramite direttive, circolari e controlli interni. Sul piano difensivo venivano sollevate, anzitutto, eccezioni di prescrizione, contestando che il termine quinquennale dovesse decorrere non dal pagamento della sanzione ma dalla pubblicazione originaria dell'atto o, quantomeno, dall'avvio della contestazione da parte del Garante. Inoltre, veniva evidenziato che l'atto amministrativo era soggetto a obbligo di pubblicazione e che la presenza del nominativo costituiva una mera svista materiale , peraltro limitata ad un singolo riferimento, in un documento nel quale risultavano già oscurati numerosi altri dati identificativi. Veniva altresì sottolineato che la pubblicazione aveva riguardato esclusivamente il cognome dell'interessato, circostanza che – in assenza di ulteriori elementi – avrebbe ridotto notevolmente la capacità identificativa dell'informazione divulgata. Inoltre, la difesa insisteva sul fatto che la scelta dell'ente di non attivare tempestivamente strumenti di difesa o di definizione agevolata del procedimento sanzionatorio, con possibile riduzione dell'importo, non poteva essere automaticamente imputata né al dirigente né al sindaco, trattandosi di decisione complessiva dell'amministrazione. La Corte dei conti, in via preliminare, ha rigettato l'eccezione di prescrizione, richiamando il consolidato orientamento secondo cui, nel caso di danno indiretto derivante dal pagamento di sanzioni amministrative, il dies a quo decorre dal momento del pagamento effettivo e non dalla commissione originaria della violazione. Ne consegue che l'azione era stata promossa entro il termine quinquennale, essendosi il danno concretizzato solo quando l'ente aveva materialmente corrisposto la somma al Garante. Nel merito, tuttavia, la Sezione veneta ha escluso che la condotta dei convenuti potesse essere qualificata come connotata da colpa grave , requisito imprescindibile per la responsabilità amministrativa. Il Collegio ha riconosciuto che la pubblicazione dell'ordinanza contenente un nominativo non oscurato era effettivamente contraria al quadro normativo vigente ratione temporis , poiché la diffusione da parte di un soggetto pubblico è ammessa soltanto se prevista da norma di legge o di regolamento. Tuttavia, l'errore è stato valutato come episodio isolato, occasionale e sostanzialmente scusabile, non riconducibile a trascuratezza sistemica o a disinteresse verso i doveri d'ufficio. Quanto al dirigente, la Corte ha evidenziato come la quasi totalità dei dati personali presenti nell'atto fosse stata correttamente oscurata , elemento ritenuto decisivo per dimostrare che il soggetto aveva piena consapevolezza degli obblighi di tutela della riservatezza e che la residua presenza di un cognome fosse frutto di un errore materiale non riconducibile a grave negligenza. Quanto alla posizione del sindaco , il Collegio ha adottato un'impostazione più articolata, riconoscendo che egli è responsabile dell'amministrazione e sovrintende al funzionamento generale dell'ente, ma chiarendo che tale funzione non può tradursi in un obbligo di controllo puntuale su ogni singolo atto della macchina amministrativa. La Corte ha inoltre rilevato che l'ente era dotato di un regolamento interno in materia di trattamento dei dati personali, già adottato anni prima, che individuava i responsabili del trattamento nei dirigenti competenti e disciplinava la pubblicazione degli atti. Tale elemento ha contribuito ad escludere che vi fosse un'omissione grave imputabile al vertice politico. Particolarmente significativa è la parte del provvedimento in cui la Corte prende atto che il sindaco, nel corso dell'interlocuzione con l'Autorità Garante, aveva fornito riscontri tempestivi e aveva adottato misure organizzative per evitare la reiterazione del problema, intervenendo sulla gestione dell'albo storico online. Anche questo comportamento è stato valutato come indice di attenzione e collaborazione istituzionale , incompatibile con una condotta gravemente colposa. Sotto altro profilo, la sentenza lascia emergere un tema tutt'altro che secondario, destinato a riproporsi con forza anche nell'attuale cornice del GDPR . La qualificazione del sindaco quale titolare del trattamento viene richiamata con una certa automatica linearità, ma non appare pienamente coerente con la struttura organizzativa dell'ente locale. La Corte dei conti, infatti, sembra muoversi lungo un'impostazione “tradizionale”, nella quale la titolarità del trattamento viene sovrapposta alla figura del legale rappresentante. Tuttavia, tale sovrapposizione non è priva di criticità. Il GDPR , come noto, individua nel titolare del trattamento il soggetto che determina finalità e mezzi del trattamento , concetto che mal si concilia con un approccio meramente formale o rappresentativo. In ambito comunale, il sindaco rappresenta l'ente, ma non necessariamente esercita in modo diretto e concreto la determinazione delle modalità operative dei trattamenti, che sono invece normalmente affidate, in via gestionale, ai dirigenti e ai responsabili dei servizi, secondo la ripartizione delle competenze delineata dal TUEL . In altri termini, l' esercizio effettivo della funzione di “titolare” è spesso frammentato e mediato dalla struttura burocratica, mentre la rappresentanza legale rimane un attributo istituzionale del vertice politico. La sentenza, pur non affrontando esplicitamente questa distinzione, finisce per confermare indirettamente la difficoltà di attribuire al sindaco una responsabilità in materia privacy, almeno quando l'ente abbia adottato strumenti regolamentari minimi e abbia individuato responsabilità settoriali coerenti con la disciplina organizzativa. Si tratta di un passaggio rilevante, perché evidenzia un punto di tensione ancora irrisolto nella prassi . L'esigenza di individuare un referente apicale della compliance privacy non può tradursi automaticamente in un'estensione della responsabilità personale del sindaco, soprattutto laddove il trattamento contestato sia legato ad un singolo atto gestionale predisposto dagli uffici. La pronuncia veneta conferma quindi un principio di fondo. La sanzione privacy, in prima battuta, resta a carico dell'ente, ma la rivalsa contabile è possibile solo quando la violazione sia frutto di un comportamento gravemente negligente , caratterizzato da superficialità macroscopica e disprezzo delle regole minime di prudenza. In mancanza di tali presupposti, anche un errore oggettivamente illecito, come la pubblicazione di un nominativo non oscurato, non è sufficiente per attivare automaticamente la responsabilità amministrativa personale.