Chiamato a risarcire il danno erariale chi effettua pubblicazioni senza anonimizzazione.
Di Michele Mavino
La pronuncia della Corte dei Conti per l’Emilia Romagna nr 29/2026 tratta il delicato tema della gestione dei dati personali da parte delle pubbliche amministrazioni, un ambito ad elevato rischio di responsabilità erariale, soprattutto quando la violazione della normativa privacy si traduce in un esborso economico per l’ente.
Il caso trae origine dalla pubblicazione, da parte di un ente locale, di atti amministrativi contenenti dati personali in chiaro, relativi a una procedura di mobilità del personale, con indicazione anche dell’esito negativo (non idoneità) di un candidato. Tale condotta ha determinato l’intervento del Garante per la protezione dei dati personali, che ha irrogato due distinte sanzioni amministrative, ciascuna pari a 20.000 euro, a seguito della reiterazione della violazione .
Uno degli aspetti più significativi della decisione è la qualificazione del pregiudizio economico subito dall’ente come danno erariale indiretto. Il Comune, infatti, ha dovuto sostenere il pagamento delle sanzioni irrogate dal Garante e gli ulteriori oneri accessori (interessi e riscossione), per un importo complessivo superiore a 42.000 euro, successivamente riconosciuto come debito fuori bilancio ai sensi dell’art. 194 TUEL .
La Corte ribadisce implicitamente il principio fondamentale secondo cui quando l’amministrazione subisce una sanzione per effetto della condotta colposa di un proprio dipendente o dirigente, il relativo esborso può essere traslato sul responsabile sotto forma di responsabilità amministrativa.
Il cuore della contestazione riguarda la colpa grave del dirigente responsabile del servizio informatico. La condotta censurata non si limita a un errore formale, ma si configura come violazione delle norme del Codice privacy (d.lgs. 196/2003), mancata adozione delle cautele minime nella pubblicazione online e reiterazione dell’illecito, nonostante un primo intervento del Garante.
Questo ultimo elemento assume particolare rilievo in quanto la ripetizione della condotta illegittima rafforza il giudizio di gravità, evidenziando una carenza organizzativa e una sottovalutazione dei rischi connessi alla diffusione dei dati personali.
La vicenda evidenzia, in modo molto concreto, il delicato equilibrio tra obblighi di trasparenza e pubblicità amministrativa e limiti derivanti dalla protezione dei dati personali. La pubblicazione degli atti, pur legittima in linea generale (albo pretorio, amministrazione trasparente), deve avvenire nel rispetto del principio di minimizzazione dei dati, oscuramento delle informazioni non necessarie e proporzionalità tra finalità e contenuto pubblicato.
La sentenza conferma che la violazione di tali principi non è solo fonte di illecito amministrativo, ma può generare responsabilità contabile.
