Protezione dei dati personali: perché l’accountability non salva dalla responsabilità erariale
Assolto il Sindaco e condannato il privacy manager per il pregiudizio patrimoniale subito dal Comune in conseguenza della sanzione irrogata dal Garante Privacy
La Corte dei conti assolve il Sindaco del Comune e condanna il privacy manager per il pregiudizio patrimoniale subito dal Comune in conseguenza della sanzione irrogata dal Garante per plurime violazioni della disciplina in materia di dati personali (Sezione giurisdizionale di Bolzano, sent. n. 1/2024).
L’imposizione di una sanzione da parte del Garante privacy, per violazione delle norme sulla protezione dei dati personali, non segna soltanto l’epilogo dell’istruttoria dell’autority ma da avvio a una nuova fase di accertamenti, volti a valutare le implicazioni che la sanzione, e per essa la violazione, comporta per i funzionari pubblici soggetti alla giurisdizione contabile. E così l’accertamento all’interno dell’organizzazione del titolare del trattamento della sussistenza di presupposti, oggettivi e soggettivi, della responsabilità contabile può sfuggire al principio di accountability.
Prima di analizzare l’articolato motivazionale che ha portato la Corte alla declaratoria di responsabilità nei confronti del funzionario preposto, occorre delineare brevemente i contorni della fattispecie.
In punta di fatto, il procedimento giudiziario ha origine dal pagamento, anche se parzialmente ridotto, della sanzione inflitta al Comune di Bolzano dal Garante per la protezione dei dati personali (provv. n. 190 del 13 maggio 2021).
Tale sanzione è stata comminata per la violazione del Regolamento europeo n. 2016/679 (“GDPR”) e del codice della privacy , in relazione a trattamenti di dati personali dei dipendenti relativi alla navigazione in internet.
L’istruttoria del Garante è stata avviata sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato.
L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.
Il Comune, secondo il Garante, utilizzava un sistema di controllo e filtraggio della navigazione internet dei dipendenti da diversi anni.
Tale sistema prevedeva la conservazione dei dati per un mese e la generazione di report per garantire la sicurezza della rete.
Nonostante l’accordo con le organizzazioni sindacali, il sistema implementato dal Comune, senza adeguata informazione ai dipendenti, effettuava trattamenti non necessari e sproporzionati rispetto alla finalità di sicurezza della rete, raccogliendo in modo preventivo e generalizzato dati sulle connessioni web dei dipendenti, inclusi quelli estranei all’attività professionale e riconducibili alla loro vita privata.
Durante l’istruttoria, sono emerse violazioni anche nel trattamento dei dati relativi alle richieste di accertamento medico da parte dei dipendenti attraverso un modulo fornito dall’amministrazione. Tale modulo prevedeva l’obbligatoria visione da parte del dirigente dell’unità organizzativa, implicando un trattamento illecito dei dati sulla salute.
Si apre così la fase dell’accertamento della responsabilità erariale, in cui la valutazione dei ruoli, compiti e connesse responsabilità del titolare-persona giuridica non avviene più sotto la prospettiva della tutela del privato leso (interessato al trattamento) bensì sotto la prospettiva del pregiudizio patrimoniale subito dalla persona giuridica stessa, andando quindi a ricercare all’interno dell’organizzazione pubblica i presupposti per la declaratoria di responsabilità in capo alle persone fisiche coinvolte. E in esito a tale accertamento il collegio giunge a differenziare la posizione del sindaco da quella del privacy manager.
In effetti, con riferimento al legale rappresentate del Comune, sul quale ricadeva ogni decisione in merito alle modalità del trattamento dei dati personali e agli strumenti da utilizzare, il collegio evidenzia la necessità che una responsabilità erariale può affermarsi non senza tener conto «delle dimensioni dell’ente, della molteplicità dei compiti assegnati ad un sindaco di un capoluogo di provincia, della tecnicità della materia e soprattutto dell’avvenuta o meno predisposizione di un’organizzazione potenzialmente idonea».
Alla luce di tali elementi, il Collegio ha ritenuto non sussistente il requisito della colpa grave, per aver il sindaco « confidato nell’operato del responsabile e degli incaricati e non potendo effettivamente essere chiamato ad occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy».
A conclusioni inverse, invece, addiviene in relazione alla posizione del privacy manager, intestatario di pregnanti compiti in materia di protezione dati personali inerenti non il solo Ufficio di appartenenza, ma l’intera amministrazione comunale, posto che la struttura in cui lo stesso era incardinato era stata individuata come quella preposta all’attuazione della normativa in materia di privacy.
Per questi, il collegio ritiene sussistente il contestato obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna al quadro normativo in materia di privacy, oltre che un generale obbligo di vigilanza sul rispetto della predetta normativa. Pertanto, è configurabile un comportamento omissivo ricollegabile al danno subito dal comune a seguito dell’avvenuta irrogazione di una sanzione.
La decisione in rassegna si impone all’attenzione del lettore non tanto per lo specifico e peculiare problema affrontato e risolto, che pure è di assoluta novità e di notevole importanza pratico-applicativa, ma soprattutto per le possibili implicazioni che essa potrebbe avere sul dibattito riguardo all’applicazione giurisprudenziale – in senso ampio - del principio di accountability.
Non si intende affermare o negare, sia detto a evitare equivoci, che la sentenza presentilacune in termini di accertamento della responsabilità contabile, ma che quest’ultima si inserisce nell’ampia formulazione del principio dell’accountability, dandogli forma e consistenza, e riconducendo la gestione della privacy da parte delle organizzazioni pubbliche all’interno del quadro disciplinare della responsabilità contabile.
E così pur avendo il Garante individuato un momento di attuazione del principio di accountability, poiché «Ai fini della commisurazione della complessiva sanzione è stato considerato altresì che il titolare del trattamento avesse confidato nella liceità dei trattamenti posti in essere avendo assolto agli obblighi previsti dalla disciplina di settore, stipulando, fin dal 2000 un accordo con le organizzazioni sindacali », tanto non è stato sufficiente per scongiurare una responsabilità erariale in capo al privacy manager, mentre è fatta salva la posizione del sindaco.
E’ da chiedersi, allora, quali potrebbero essere le conseguenze di questa pronuncia sul modo di interpretare e applicare il principio di accountability all’interno delle pubbliche amministrazioni, tenuto conto che una diversità di ricadute a seconda dei ruoli esercitati deve esser armonizzata in considerazione della complessità della materia e della sua non facile applicazione, sia per la moltitudine di fonti normativi che la disciplinano (regolamenti, codici, linee guida, opinion, pareri ecc), sia per la rapidità con cui avanzano le tecnologie digitali ponendo nuove sfide nella gestione dei dati personali, sia per la continua tensione tra la necessità di proteggere la privacy individuale e l’utilità sociale e economica derivante dalla circolazione dei dati.
_____
*A cura dell’Avv. Gianluca Fasano - CNR - Istituto di Scienze e Tecnologie della Cognizione (CNR-ISTC)
