Se il dirigente o l'amministratore della PA sono negligenti devono pagare di tasca propria la sanzione del Garante per la Privacy
Dirigenti e amministratori pubblici alla cassa per pagare il conto delle sanzioni privacy irrogate all’ente di appartenenza. Se, a causa della loro negligenza, il Garante ha comminato una sanzione pecuniaria alla P.A., scatta la responsabilità erariale e, quindi, la condanna del responsabile da parte della Corte dei Conti a rimborsare l’ente pubblico.
È quanto è capitato a un presidente di Regione (Corte dei Conti, sezione giurisdizionale della Calabria, sentenza n. 429/2019), a un dirigente scolastico (Corte dei Conti, sezione giurisdizionale del Lazio, sentenza n. 246/2019) e a un Commissario di delle Aziende Sanitarie Locali (Corte dei Conti, sezione giurisdizionale della Toscana, sentenza n. 445/2019).
Se gli atti sanzionatori del Garante della privacy hanno come destinatari gli enti e le persone giuridiche, bisogna, infatti, considerare che gli stessi devono agire in rivalsa sulle persone che, con la loro condotta, hanno dato adito alla contestazione dell’illecito e alla applicazione della sanzione.
Nel settore pubblico questo significa verificare se ricorrono i presupposti della responsabilità per danno erariale, su cui giudica la Corte dei conti.
Può essere, dunque, che una sanzione per violazione della privacy sia alla fine messa a carico dell’amministratore o del dirigente pubblico.
Nel caso laziale sopra citato, un dirigente scolastico è stato al condannato al pagamento della somma di euro 7.500,00 a favore dell’istituto scolastico di appartenenza e ciò a titolo di rimborso parziale dell’ente, condannato dal garante della privacy a pagare una sanzione pecuniaria di 20 mila euro per pubblicazione online di una circolare contente dati di scolari minori di età e disabili.
Per arrivare a gravare sul singolo dirigente, la Corte dei conti ha considerato che i capi degli istituti scolastici devono assicurare la gestione unitaria dell’istituzione, ne hanno la legale rappresentanza, e sono responsabili della gestione delle risorse finanziarie e strumentali e dei risultati dei servizi. Tanto è bastato al giudice contabile per ritenere il dirigente scolastico quale unico responsabile della complessiva organizzazione e gestione dell’Istituto scolastico.
Nella vicenda calabrese, anch’essa sopra citata, si è trattato della mancata risposta a una richiesta da parte del Garante e del mancato adeguamento alle misure di sicurezza previste dalla normativa a tutela della protezione dei dati.
Qui il Garante ha applicato a una regione una sanzione di 80 mila euro e la Corte dei conti ha condannato il presidente della regione medesima a rimborsare 66 mila euro.
Anche in questo caso, la sentenza si addentra ad analizzare i presupposti soggettivi della responsabilità. La ragione della condanna erariale del presidente dell’ente si è basata sulla sua qualifica di legale rappresentante dell’ente titolare del trattamento, dalla quale derivava al medesimo il dovere di attuazione degli obblighi incardinati nei confronti del titolare del trattamento.
Non è stata accolta la difesa incentrata sul ruolo esclusivamente politico e non gestionale del presidente della Regione. Nel caso specifico non è valsa a esonerare il presidente da responsabilità neppure l’esistenza di una serie di atti organizzativi, con i quali la generica funzione di “tutela della privacy” era stata attribuita ad alcuni funzionari, in modo promiscuo con altre funzioni.
Nel caso toscano, all’azienda sanitaria è stato contestato di non avere designato un fornitore esterno (gestore del protocollo informatizzato degli atti aziendali) quale responsabile del trattamento e di avere pubblicato dati sensibili sul sito internet ed è stata applicata dal Garante una sanzione di 16 mila euro.
La Corte dei conti ha condannato il commissario straordinario a rimborsare 4 mila euro (limitatamente alla mancata nomina del responsabile esterno). Qui si è considerato la titolarità della legale rappresentanza ed anche il mancato conferimento di nessuna delega specifica in materia di privacy.
La conseguenza di tutti questi orientamenti è che anche gli organi politici e di legale rappresentanza degli enti pubblici sono, ormai, coinvolti patrimonialmente nelle sanzioni privacy, aspetto, questo, tanto più da tenere in considerazione, a fronte dell’aumento dell’importo del massimo delle sanzioni operato dal Regolamento Ue sulla protezione dei dati n. 2016/679.