Cassazione: giusta la sanzione del Garante Privacy contro il Comune che tiene oltre 15 giorni i dati della dipendente sul web
Sanzionato dal Garante della privacy il Comune che diffonde i dati personali di una dipendente, tenendoli oltre 15 giorni nell’albo pretorio on line. Uno sforamento del tempo massimo indicato dal Testo unico degli enti locali, per la pubblicazione delle delibere comunali. La Corte di cassazione, con la sentenza 18292, respinge il ricorso del Comune, finito nel mirino dell’Authority, per aver lasciato sul web, per oltre un anno, decisioni dirigenziali nelle quali era indicato non solo il nome e il cognome della dipendente e l’esistenza di un contenzioso con l’amministrazione municipale, ma anche altre notizie.
Oltre all’informazione sulla querelle con la Pa, un dato utile a giustificare la nomina di un difensore e il conseguente impegno di spesa per il Comune, veniva indicato lo stato di famiglia dell’interessata, il fatto che viveva da sola e che aveva chiesto, senza ottenerla, una rateizzazione del dovuto. Informazioni che, ad avviso dei giudici di merito, pur riguardando l’assetto organizzativo degli uffici, non potevano rientrare nelle strette esigenze di trasparenza amministrativa.
In considerazione del loro contenuto dunque il Comune avrebbe dovuto procedere spedito verso l’archiviazione e l’oblio e rimuoverle dall’albo pretorio on line entro i 15 giorni indicati dall’articolo 124 del Testo unico degli enti locali.
Senza successo il ricorrente si appella alla legge sulla trasparenza, nelle more modificata dal Dlgs 33/2013, e al dovere di pubblicazione in ossequio del principio democratico. Ma non serve. Il Comune non è stato, infatti, sanzionato per aver messo sul sito le determinazioni della dirigenza, ma per avercele lasciate troppo a lungo.
Non passa neppure il tentativo di negare l’elemento psicologico della colpa previsto per l’illecito amministrativo. Per la difesa l’omessa rimozione dal web dei dati personali della dipendente, non era imputabile al Comune. L’ente locale infatti -come aveva chiesto inutilmente di provare con dei testi - non avendo all’interno le professionalità per farlo, si era rivolto ad un consulente esterno, incaricandolo di creare un sito internet in linea con la normativa vigente.
Un argomento smontato dai giudici di legittimità. La Suprema corte ricorda che, in base all’articolo 28 del Codice sui dati personali, il titolare del trattamento è la persona giuridica, non il legale rappresentante o l’amministratore. Una norma che deroga al principio della imputabilità personale della sanzione, configurando un’autonoma responsabilità della persona giuridica. Tale responsabilità «non può ritenersi oggettiva - si legge nella sentenza - ma, analogamente a quanto previsto dal Dlgs 231/2000, in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”».
È dunque responsabile il comune per non aver osservato l’obbligo di adottare le cautele, organizzative e gestionali necessarie ad evitare l’illecito. Giustamente è stata quindi esclusa la tesi, tesa ad ottenere un esimente, secondo la quale il ritardo nella rimozione dal web dei dati personali era dipesa da una disfunzione delle applicazioni informatiche gestite da un consulente esterno. Per i giudici la circostanza era «pienamente riconducibile alla sfera di signoria dell’Ente e del suo apparato».
(Il Sole 24 Ore del 4 settembre 2020)