NEWS

Se il dirigente o l'amministratore della PA sono negligenti devono pagare di tasca propria la sanzione del Garante per la Privacy

Dirigenti e amministratori pubblici alla cassa per pagare il conto delle sanzioni privacy irrogate all’ente di appartenenza. Se, a causa della loro negligenza, il Garante ha comminato una sanzione pecuniaria alla P.A., scatta la responsabilità erariale e, quindi, la condanna del responsabile da parte della Corte dei Conti a rimborsare l’ente pubblico.


È quanto è capitato a un presidente di Regione (Corte dei Conti, sezione giurisdizionale della Calabria, sentenza n. 429/2019), a un dirigente scolastico (Corte dei Conti, sezione giurisdizionale del Lazio, sentenza n. 246/2019) e a un Commissario di delle Aziende Sanitarie Locali (Corte dei Conti, sezione giurisdizionale della Toscana, sentenza n. 445/2019).

Se gli atti sanzionatori del Garante della privacy hanno come destinatari gli enti e le persone giuridiche, bisogna, infatti, considerare che gli stessi devono agire in rivalsa sulle persone che, con la loro condotta, hanno dato adito alla contestazione dell’illecito e alla applicazione della sanzione.

Nel settore pubblico questo significa verificare se ricorrono i presupposti della responsabilità per danno erariale, su cui giudica la Corte dei conti.

Può essere, dunque, che una sanzione per violazione della privacy sia alla fine messa a carico dell’amministratore o del dirigente pubblico.

Nel caso laziale sopra citato, un dirigente scolastico è stato al condannato al pagamento della somma di euro 7.500,00 a favore dell’istituto scolastico di appartenenza e ciò a titolo di rimborso parziale dell’ente, condannato dal garante della privacy a pagare una sanzione pecuniaria di 20 mila euro per pubblicazione online di una circolare contente dati di scolari minori di età e disabili.

Per arrivare a gravare sul singolo dirigente, la Corte dei conti ha considerato che i capi degli istituti scolastici devono assicurare la gestione unitaria dell’istituzione, ne hanno la legale rappresentanza, e sono responsabili della gestione delle risorse finanziarie e strumentali e dei risultati dei servizi. Tanto è bastato al giudice contabile per ritenere il dirigente scolastico quale unico responsabile della complessiva organizzazione e gestione dell’Istituto scolastico.

Nella vicenda calabrese, anch’essa sopra citata, si è trattato della mancata risposta a una richiesta da parte del Garante e del mancato adeguamento alle misure di sicurezza previste dalla normativa a tutela della protezione dei dati.

Qui il Garante ha applicato a una regione una sanzione di 80 mila euro e la Corte dei conti ha condannato il presidente della regione medesima a rimborsare 66 mila euro.

Anche in questo caso, la sentenza si addentra ad analizzare i presupposti soggettivi della responsabilità. La ragione della condanna erariale del presidente dell’ente si è basata sulla sua qualifica di legale rappresentante dell’ente titolare del trattamento, dalla quale derivava al medesimo il dovere di attuazione degli obblighi incardinati nei confronti del titolare del trattamento.

Non è stata accolta la difesa incentrata sul ruolo esclusivamente politico e non gestionale del presidente della Regione. Nel caso specifico non è valsa a esonerare il presidente da responsabilità neppure l’esistenza di una serie di atti organizzativi, con i quali la generica funzione di “tutela della privacy” era stata attribuita ad alcuni funzionari, in modo promiscuo con altre funzioni.

Nel caso toscano, all’azienda sanitaria è stato contestato di non avere designato un fornitore esterno (gestore del protocollo informatizzato degli atti aziendali) quale responsabile del trattamento e di avere pubblicato dati sensibili sul sito internet ed è stata applicata dal Garante una sanzione di 16 mila euro.

La Corte dei conti ha condannato il commissario straordinario a rimborsare 4 mila euro (limitatamente alla mancata nomina del responsabile esterno). Qui si è considerato la titolarità della legale rappresentanza ed anche il mancato conferimento di nessuna delega specifica in materia di privacy.

La conseguenza di tutti questi orientamenti è che anche gli organi politici e di legale rappresentanza degli enti pubblici sono, ormai, coinvolti patrimonialmente nelle sanzioni privacy, aspetto, questo, tanto più da tenere in considerazione, a fronte dell’aumento dell’importo del massimo delle sanzioni operato dal Regolamento Ue sulla protezione dei dati n. 2016/679.

Note sull'Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev Misure di sicurezza inadeguate, sanzione da 500mila sterline alla Cathay Pacific Airways
Next Istituto sanitario spedisce effetti personali all'ex dipendente, ma dentro le scatole ci sono le cartelle cliniche dei pazienti

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy