Sanzione del Garante per mancata ottemperanza costituisce danno erariale indiretto.
La Corte dei conti ha stabilito un importante principio in materia di responsabilità amministrativa e protezione dei dati: le sanzioni pecuniarie comminate a una Pubblica Amministrazione per violazione delle norme sulla privacy costituiscono un danno erariale indiretto, di cui rispondono personalmente i funzionari e dirigenti inadempienti.
Nel caso specifico, la Corte ha condannato il responsabile del trattamento dei dati personali della Giunta della Regione Valle d’Aosta al pagamento di 8.000 euro a titolo di danno erariale.
La condanna è scaturita dalla sua colpevole inottemperanza alle prescrizioni del Garante per la protezione dei dati personali, che aveva intimato la rimozione di atti illegittimamente diffusi online.
L’Antefatto: Dati Sensibili Pubblicati Senza Base Legale
La vicenda giudiziaria ha avuto origine dalla pubblicazione online da parte della Giunta regionale di due diverse deliberazioni riguardanti il trasferimento di dipendenti per “accertata incompatibilità ambientale”.
- Prima Deliberazione (L’Avvertimento): Il Garante aveva dichiarato illiceità la diffusione dei dati personali e aveva prescritto al responsabile di conformare la pubblicazione degli atti ai principi del Codice della Privacy, in particolare al principio di liceità (Art. 11, comma 1, lett. a), che richiede una norma di legge o di regolamento come base giuridica per la diffusione di dati personali.
Il responsabile aveva rimosso il primo atto ma aveva contemporaneamente inviato una nota al Garante sostenendo la legittimità della pubblicazione, basandosi sulla normativa sulla Trasparenza (D.Lgs. n. 33/2013) e sulle norme di attuazione dello Statuto speciale (Art. 10 del D.Lgs. n. 320/1994). - Seconda Deliberazione (La Sanzione): Successivamente, a fronte della pubblicazione di un secondo atto con analoghe problematiche, il Garante aveva irrogato alla Regione una sanzione pecuniaria di 100.000 euro per violazione delle Linee guida sulla diffusione dei dati online.
La Regione, pur opponendosi alla sanzione in Tribunale e poi in Cassazione, non ha avuto successo.
La Sentenza della Corte dei Conti: Ostinazione e Superficialità
La Corte dei conti ha agito in seguito al pagamento effettivo della sanzione da parte dell’amministrazione regionale, acclarando così l’esistenza di un danno erariale.
La sentenza ha preso atto del definitivo pronunciamento della Corte di Cassazione, che aveva confermato la legittimità della sanzione amministrativa, riconoscendo che la pubblicazione online dei dati personali del dipendente era avvenuta in modo difforme dal principio di pertinenza e non eccedenza.
Il fulcro della condanna erariale non risiede solo nella violazione della privacy, ma nell’atteggiamento del responsabile del trattamento.
La Corte ha infatti censurato la condotta del funzionario, il quale, invece di avviare un “rapporto collaborativo” con il Garante dopo il primo avvertimento, ha scelto di “continuare a sostenere, ostinatamente, e quindi con superficialità, la legittimità della diffusione dei dati su internet“.
Questa condotta ha portato all’irrogazione della sanzione di 100.000 euro, quantificata poi come danno erariale al bilancio regionale.
La pronuncia stabilisce, in conclusione, che l’inerzia o la resistenza dei dirigenti a conformarsi a provvedimenti vincolanti del Garante, quando tale condotta comporta un esborso finanziario per la PA sotto forma di sanzioni, genera una responsabilità contabile diretta.
