La responsabilità erariale del Comune per violazioni privacy: attenzione agli aspetti organizzativi
La Corte dei Conti – Sezione giurisdizionale di Bolzano, con la sentenza n 1/2024, è intervenuta in una materia alquanto problematica, legata alla responsabilità erariale conseguente alla sanzione comminata all’Ente Locale dall’Autorità Garante per violazioni in materia di protezione dei dati personali.
In particolare, nel caso in questione la Procura Regionale segnalava che i due presunti responsabili del Comune di Bolzano nella loro qualità, rispettivamente, di titolare del trattamento dei dati (Sindaco) e di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali e, dal 25 maggio 2018, Privacy Manager, non si sarebbero attivati per verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 4 settembre 2015, n. 151, neanche a seguito della pronuncia del Garante del 13 luglio 2016 (Trattamento dei dati dei dipendenti mediante posta elettronica e altri strumenti di lavoro), e non sarebbero intervenuti per eliminare le forme di trattamento dei dati personali illeciti neppure in sede di adozione delle “Linee guida per le procedure di adeguamento del GDPR 2016/679”.
La stessa Procura aveva ritenuto che, in considerazione della circostanza che entrambi i convenuti avevano specifici compiti in materia di tutela della riservatezza e il connesso potere-dovere di attivarsi, il danno subito dal comune di Bolzano andava ripartito tra i due convenuti pro quota nella misura del 50 per cento.
Di diverso avviso è stata la Sezione giurisdizionale che ha distinto le posizioni dei due convenuti al fine di accertare la sussistenza dei presupposti, oggettivi e soggettivi, della responsabilità contabile.
Al riguardo, il Collegio ha chiarito che sul sindaco, in quanto legale rappresentante del comune di Bolzano titolare del trattamento dei dati, ricadeva l’attuazione degli obblighi previsti per tale figura, tra i quali rientra ogni decisione in merito alle modalità del trattamento dei dati personali e agli strumenti da utilizzare. L’ampiezza dei compiti affidati, ovviamente, porta a ritenere effettivamente sussistente un obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 4 settembre 2015, n. 151 e, quindi, astrattamente configurabile una condotta omissiva eziologicamente ricollegabile al danno derivato al Comune dall’avvenuta irrogazione di una sanzione.
Nello specifico, però, il Collegio ha ritenuto non sussistente il requisito della colpa grave, in quanto il sindaco aveva confidato nell’operato del responsabile e degli incaricati, non potendo effettivamente essere chiamato ad occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy.
Detta circostanza traspare, peraltro, nello stesso provvedimento di irrogazione della sanzione all’interno del quale il Garante precisa che “è stato considerato che il titolare del trattamento avesse confidato nella liceità dei trattamenti posti in essere avendo assolto agli obblighi previsti dalla normativa di settore”.
In relazione alla posizione dell’altra convenuta, invece, il collegio la pensa diversamente poiché quest’ultima nel periodo interessato 2015-2019 aveva rivestito gli incarichi di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali e, dal 25 maggio 2018, di Privacy Manager: compiti, questi, che presuppongono specifiche competenze con connesse responsabilità. In particolare, la convenuta in base alla determina n. 5017 del 16 giugno 2015, nella qualità di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali, aveva, tra gli altri, il compito di approvare gli schemi di atti obbligatori e di linee guida e il documento programmatico della sicurezza, nonché predisporre le modifiche al regolamento per il trattamento dei dati sensibili e giudiziari. A seguito del decreto n. 14/S/2018 del 24 maggio 2018 aveva assunto, poi, il ruolo di Privacy Manager, cioè di coordinatore interno delle attività di adeguamento al GDPR.
Ne discende che secondo il collegio, può ritenersi sussistente a suo carico il contestato obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna al quadro normativo introdotto dal d.lgs. 4 settembre 2015, n. 151, oltre che un generale obbligo di vigilanza sul rispetto della predetta normativa, ed è, quindi, configurabile, anche in questo caso, un comportamento omissivo ricollegabile al danno subito dal Comune a seguito dell’avvenuta irrogazione di una sanzione.
Nello specifico, difatti, dagli atti emerge che la convenuta, seppur funzionaria e non dirigente, era intestataria di pregnanti compiti in materia di privacy inerenti non il solo Ufficio di appartenenza, ma l’intera amministrazione comunale, dato che la struttura in cui la stessa era incardinata, Ufficio organizzazione e formazione, era stata individuata come quella preposta all’attuazione della normativa in materia di privacy.
Dal provvedimento, in esame, quindi deriva un insegnamento molto importante per le realtà locali che devono definire con particolare attenzione, nel rispetto anche del principio di accountability, un modello organizzativo privacy valido ed efficiente con precisa individuazione dei ruoli e delle competenze dei vari attori coinvolti.
