Digest Network Come funziona
Digest / Comunicato

Obblighi privacy per PA: le sanzioni del Garante e il danno erariale

Compatibilità
Salva(0)
Condividi

Home PA Digitale Obblighi privacy per la PA: le sanzioni del Garante e il danno erariale

Una recente sentenza della Corte dei Conti ha riaperto un confronto sulla responsabilità amministrativa per violazione della privacy. La sentenza evidenzia che non si tratta di meri adempimenti formali, ma di obblighi giuridici la cui inosservanza espone l’ente a sanzioni e i funzionari responsabili a giudizi per danno erariale

12 Settembre 2025

C

Patrizia Cardillo

Esperta di Protezione dati personali

Foto di Marija Zaric su Unsplash - https://unsplash.com/it/foto/un-muro-di-mattoni-con-un-buco-in-esso-oDR9VZZYBIg

Una sentenza della Sezione giurisdizionale della Corte dei Conti per la Regione Valle D’Aosta (di seguito: Regione) è destinata a riaprire il confronto in materia di responsabilità amministrativa connessa alla violazione della normativa sulla protezione dei dati personali. Nel provvedimento, n.36/2025, deciso nella camera di consiglio del 29 gennaio 2025[1], colpiscono le considerazioni sull’operato della PA nelle modalità di pianificare la sua organizzazione in materia privacy, l’attenta valutazione del comportamento tenuto dal dirigente pubblico, determinante poi per la quantificazione della sanzione e i molti passaggi nei quali si fa riferimento alle ripetute indicazioni del Garante, i cui reiterati inviti e richiami sono rimasti inascoltati.

La vicenda

La vicenda ha origine il 7 giugno 2013 con la pubblicazione, senza anonimizzazione, dei dati personali e identificativi della persona oggetto del provvedimento, della deliberazione di Giunta della Regione n. 1016/2013 (di seguito: D.G.R. n. 1016/13) disponeva il trasferimento di un dipendente. Il Garante, su segnalazione dello stesso dipendente, richiedeva alla Regione chiarimenti in merito ai presupposti di legittimità relativi della pubblicazione oltre all’osservanza dei principi di necessità, di pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione rispetto alla legittima finalità perseguita.

In risposta la Regione ha sempre sostenuto la legittimità della pubblicazione, facendo riferimento anche alle norme di attuazione dello Statuto speciale della Regione.

In data 26 marzo 2015, con il provvedimento n.182/15 il Garante sanciva da un lato l’illiceità della diffusione dei dati personali del segnalante con la pubblicazione della D.G.R. n. 1016/2013, con conseguente divieto di diffondere ulteriormente in internet i dati oggetto di segnalazione e dall’altro prescriveva alla Regione un più generale obbligo di conformare la pubblicazione di atti e documenti alle disposizioni del Codice sulla privacy, alla luce delle indicazioni contenute nelle “Linee Guida in materia di trattamento dei dati personali contenuti in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” (provv. 2 marzo 2011).

Comportamento della Regione

La Regione, in data 22 aprile 2015 mentre provvedeva a rimuovere dal sito la D.G.R. n. 1016/13 non provvedeva ad adeguare le modalità complessive di pubblicazione degli atti, mantenendo sul sito istituzionale numerosi provvedimenti riportanti dati identificativi di dipendenti oltre i termini di legge e lamentando, altresì l’indeterminatezza della seconda prescrizione del Garante.

L’intervento sanzionatorio

A fronte delle numerose interlocuzioni nelle quali Regione ha continuato ad insistere sulla legittimità delle modalità di pubblicazione, il Garante con provvedimento n. 398 del 5 ottobre 2017 disponeva il pagamento della sanzione pecuniaria di euro 100.000,00 per non avere adeguato le modalità di pubblicazione degli atti alle disposizioni del Codice della privacy.

Senza esito i ricorsi presentati dalla Regione presso il Tribunale di Aosta e successivamente in Cassazione.

Il pagamento della sanzione avveniva in data 26 ottobre 2018.

La Procura regionale della Corte dei conti per la Regione Valle d’Aosta disponeva l’apertura del fascicolo istruttorio per un giudizio di responsabilità amministrativa, nei confronti:

– del Presidente e legale rappresentante della Regione per responsabilità gravemente colposa con particolare riferimento al mancato adempimento alle prescrizioni del Garante specificatamente, in relazione al non avere assicurato l’adeguamento delle modalità di pubblicazione degli atti e documenti alle prescrizioni del Codice determinando così l’illecito trattamento dei dati personali oltre a delineare una condotta omissiva del correlativo obbligo di  attivarsi in capo alla persona fisica incardinata nell’organo cui sono intestati i poteri di azione amministrativa e di impulso/verifica anche sotto il profilo della individuazione dei soggetti “responsabili” dei trattamenti dei dati

– del Coordinatore della Presidenza della Regione e del Dirigente della Struttura “Provvedimenti amministrativi” all’interno del Dipartimento “Segreteria della Giunta regionale”, ai quali veniva imputata pro quota una parte del danno indiretto complessivo oltre interessi, rivalutazione monetaria e spese di giudizio.

La decisione della Corte dei Conti

L’elemento qualificante della decisione risiede nella ricostruzione delle responsabilità individuali. In capo al Presidente della Regione, titolare del trattamento, incombeva un obbligo di impulso e di vigilanza sulle modalità di pubblicazione, mentre  in capo ai dirigenti competenti gravava la responsabilità operativa di assicurare la conformità delle prassi regionali alle prescrizioni del Garante e al Codice Privacy.

Soprattutto la Corte rileva come nell’organizzazione della struttura privacy della Regione si evidenzia un frazionamento delle competenze e una molteplicità dei soggetti con un ruolo nella vicenda che non hanno facilitato l’unitaria visione della materia.

La Corte ha ritenuto che nella condotta dei dirigenti emerga una colpa grave determinata dalla reiterata difesa, anche nella interlocuzione diretta con il Garante, della legittimità della pubblicazione integrale degli atti senza, pertanto, ritenere di dover procedere all’adeguamento richiesto, consistente nell’anonimizzare i dati personali o mantenere i provvedimenti per non più di 15 giorni in pubblicazione. Non è stata accolta l’eccezione di prescrizione dell’azione erariale e la presunta indeterminatezza delle prescrizioni del Garante: i giudici hanno chiarito che i termini erano sospesi ex lege durante l’emergenza Covid-19 e che le indicazioni dell’Autorità erano sufficientemente chiare e vincolanti ed ampi erano stati i tempi disponibili per un confronto, durante i quali i dirigenti responsabili avrebbero dovuto diligentemente interloquire con il Garante al fine di superare tale difficoltà in spirito di leale collaborazione (laddove avevano continuato a sostenere, ostinatamente, e quindi con superficialità, la legittimità della diffusione dei dati su Internet).

Inoltre emergono alcune valutazioni in merito ad alcuni passaggi chiave:

  1. Illecito trattamento e danno erariale: anche le sanzioni pecuniarie comminate ad una PA per la violazione delle norme in materia di protezione dei dati costituiscono danno erariale, di cui rispondono personalmente i funzionari e dirigenti che hanno contribuito, con condotta gravemente colposa, all’inadempimento. Il punto è chiaro ma è opportuno ribadirlo.
  2. Centralità della funzione dirigenziale: il dirigente responsabile della struttura preposta alla pubblicazione degli atti non può limitarsi a rivendicare la legittimità delle prassi esistenti, ma ha il dovere di attivarsi per assicurare la compliance alla normativa e alle prescrizioni dell’Autorità, adottando misure concrete di adeguamento.
  3. Rapporto tra trasparenza e privacy: la pubblicazione online di provvedimenti riguardanti dipendenti (nel caso trasferimenti per incompatibilità ambientale) non rientra nella categoria degli atti di “organizzazione” da rendere disponibili integralmente per cinque anni ai sensi del d.lgs. 33/2013. In tali casi prevale il principio di necessità e proporzionalità della diffusione dei dati personali, con obbligo di limitare i tempi di pubblicazione e, se necessario, anonimizzare gli atti.
  4. Gerarchia delle fonti: regolamenti regionali o prassi interne non possono derogare ai limiti fissati dalla legge statale (d.lgs. 320/1994) e dalla normativa nazionale ed europea in materia di protezione dei dati. Va peraltro precisato che le norme applicabili alla Regione a Statuto speciale erano coerenti con l’impianto normativo privacy, laddove risultava gravemente carente la modalità in uso relativa alla pubblicazione delle deliberazioni della Giunta regionale sul sito web istituzionale.

In conclusione, la sentenza evidenzia la piena rilevanza contabile delle violazioni privacy: non si tratta di meri adempimenti formali, ma di obblighi giuridici la cui inosservanza espone l’ente a sanzioni e i funzionari responsabili a giudizi per danno erariale. Per gli operatori degli enti locali, ciò si traduce nella necessità di integrare stabilmente i principi di protezione dei dati personali nei processi di pubblicazione e trasparenza, evitando di opporre la trasparenza alla privacy ma cercando un bilanciamento normativamente corretto.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] La sentenza n.36/225 è stata depositata in segreteria il 12 agosto 2025 LINK

Fonte: https://www.forumpa.it/pa-digitale/obblighi-privacy-per-la-pa-le-sanzioni-del-garante-e-il-danno-erariale/
Recapiti
di Patrizia Cardillo

Comunicati correlati

Press Release cover image
23/07/2019
Cronaca Giudiziaria
Cronaca Nera
Legge/Diritto
Economia
Finanza
Trasparenza online in ambito pubblico - ITER Srl
Fonte
ITER SRL
Scopri affinità
0
Press Release cover image
26/02/2025
Legge/Diritto
Salute
Mercato del lavoro
Sindacale
Il datore di lavoro non può “chiamare” il medico del dipendente - SIULP
Fonte
SIULP ROMA
Scopri affinità
0
Press Release cover image
13/01/2025
Cronaca Giudiziaria
Cronaca Nera
Legge/Diritto
Politica Interna
Sicurezza delle informazioni
Per postare una foto del figlio minore di 14 anni sui social è necessario il consenso di entrambi i genitori - SIULP
Fonte
SIULP ROMA
Scopri affinità
0