Condannato dalla Corte dei Conti un dirigente pubblico a seguito di una sanzione da parte del Garante.
La sentenza della Corte dei conti, Sezione giurisdizionale per la Valle d’Aosta n. 36/2025, rappresenta un passaggio significativo in tema di responsabilità amministrativa connessa alla violazione della normativa sulla protezione dei dati personali.
La vicenda prende le mosse dalle sanzioni irrogate dal Garante Privacy alla Regione Valle d’Aosta per la diffusione online, senza anonimizzazione, di dati personali contenuti in deliberazioni di Giunta, nonostante fosse già intervenuto il provvedimento correttivo n. 182/2015 dell’Autorità. In particolare, nonostante la rimozione tardiva dell’atto più eclatante (delibera n. 1016/2013), la Regione non aveva adeguato le modalità complessive di pubblicazione degli atti, mantenendo sul sito istituzionale numerosi provvedimenti riportanti dati identificativi di dipendenti oltre i termini di legge.
L’elemento qualificante della decisione risiede nella ricostruzione delle responsabilità individuali in capo al Presidente della Regione, titolare del trattamento, incombeva un obbligo di impulso e di vigilanza sulle modalità di pubblicazione; inoltre, in capo ai dirigenti competenti tra cui il Dirigente della Struttura “Provvedimenti amministrativi” – gravava la responsabilità operativa di assicurare la conformità delle prassi regionali alle prescrizioni del Garante e al Codice Privacy.
La Corte ha ritenuto che la condotta del dirigente Balestra fosse connotata da colpa grave, poiché egli, pur avendo interlocuzione diretta con il Garante, ha continuato a sostenere la legittimità della pubblicazione integrale degli atti senza procedere all’adeguamento richiesto. La difesa, che aveva eccepito la prescrizione e la presunta indeterminatezza delle prescrizioni del Garante, non è stata accolta: i giudici hanno chiarito che i termini erano sospesi ex lege durante l’emergenza Covid-19 e che le indicazioni dell’Autorità erano sufficientemente chiare e vincolanti.
Dal punto di vista operativo, la sentenza sottolinea alcuni principi cardine:
- Illecito trattamento e danno erariale – quando una pubblica amministrazione non si conforma ai provvedimenti del Garante, le sanzioni pecuniarie subite costituiscono danno erariale, di cui rispondono personalmente i funzionari e dirigenti che hanno contribuito, con condotta gravemente colposa, all’inadempimento.
- Centralità della funzione dirigenziale – il dirigente responsabile della struttura preposta alla pubblicazione degli atti non può limitarsi a rivendicare la legittimità delle prassi esistenti, ma ha il dovere di conformarsi attivamente alle prescrizioni dell’Autorità, adottando misure concrete di adeguamento.
- Rapporto tra trasparenza e privacy – la pubblicazione online di provvedimenti riguardanti dipendenti (es. trasferimenti per incompatibilità ambientale) non rientra nella categoria degli atti di “organizzazione” da rendere disponibili integralmente per cinque anni ai sensi del d.lgs. 33/2013. In tali casi prevale il principio di necessità e proporzionalità della diffusione dei dati personali, con obbligo di limitare i tempi di pubblicazione e, se necessario, anonimizzare gli atti.
- Gerarchia delle fonti – regolamenti regionali o prassi interne non possono derogare ai limiti fissati dalla legge statale (d.lgs. 320/1994) e dalla normativa nazionale ed europea in materia di protezione dei dati.
In conclusione, la sentenza evidenzia la piena rilevanza contabile delle violazioni privacy: non si tratta di meri adempimenti formali, ma di obblighi giuridici la cui inosservanza espone l’ente a sanzioni e i funzionari responsabili a giudizi per danno erariale. Per gli operatori degli enti locali, ciò si traduce nella necessità di integrare stabilmente i principi di protezione dei dati personali nei processi di pubblicazione e trasparenza, evitando di opporre la trasparenza alla privacy ma cercando un bilanciamento normativamente corretto.
