Sanzioni privacy alla PA: la Corte dei Conti condanna il funzionario per danno erariale

La recente sentenza n. 36/2025 della Corte dei conti, Sezione giurisdizionale per la Valle d'Aosta, offre un monito imprescindibile per tutti i dirigenti e i funzionari della Pubblica Amministrazione. Questo giudizio, infatti, delinea con chiarezza i confini della responsabilità personale (c.d. danno erariale indiretto) che può scaturire dalla gravemente colposa inottemperanza alle prescrizioni impartite dal Garante per la protezione dei dati personali.

Il contesto: le sanzioni privacy che hanno generato il danno erariale

Il caso trae origine da due sanzioni amministrative irrogate dal Garante alla Regione Valle d'Aosta per violazioni del Codice Privacy (D.Lgs. n. 196/2003 ante riforma, allora vigente) e delle Linee guida in materia di diffusione di dati personali sul web da parte di soggetti pubblici (Provv. n. 088 del 2 marzo 2011 doc.web n.1793203. Tali sanzioni (ordinanze-ingiunzioni n. 397 e 398 del 5 ottobre 2017) sono state inflitte in quanto la Regione non aveva adeguato le modalità di pubblicazione degli atti sul proprio sito istituzionale.

Il danno contestato in sede contabile, definito "indiretto", ammontava a oltre 100.000 euro, ovvero la somma pagata dall'ente a seguito delle sanzioni.

In particolare, il Garante aveva sanzionato la pubblicazione illecita dei dati personali contenuti in una specifica deliberazione della Giunta regionale (la n. 1016/2013) e in altri "numerosi atti".

Più nello specifico, la deliberazione 1016/2013, riguardante il trasferimento di un dipendente per "accertata incompatibilità ambientale", era stata pubblicata integralmente, senza anonimizzazione, in violazione dei principi di necessità, pertinenza e non eccedenza nel trattamento dei dati.

La normativa regionale (D.Lgs. n. 320/1994) prevedeva che gli atti deliberativi fossero pubblicati mediante affissione per soli quindici giorni consecutivi. Tuttavia, i rappresentanti regionali, nel dialogo con il Garante, hanno erroneamente insistito sulla legittimità della pubblicazione prolungata (fino a cinque anni), sostenendo che l'atto rientrasse tra gli "atti di organizzazione" soggetti a pubblicazione obbligatoria ai sensi del D.Lgs. n. 33/2013 (normativa sulla trasparenza).

La Corte dei conti ha categoricamente respinto questa tesi, stabilendo:

• che un provvedimento di trasferimento per incompatibilità ambientale non rientra nell'ambito degli atti di organizzazione soggetti a pubblicazione obbligatoria quinquennale;
• e che, se anche fosse stata necessaria la pubblicazione, essa non avrebbe potuto eccedere i quindici giorni, salvo procedere alla rimozione o all'anonimizzazione dei dati personali.

La responsabilità per colpa grave del dirigente

Ma il punto focale della condanna da parte della Corte dei conti non è stata, a ben vedere, la sanzione iniziale in sé (imputabile all'ente), ma la colpa grave dei dirigenti nel non aver posto rimedio alle violazioni dopo che il Garante aveva formalmente impartito le prescrizioni (Prescrizione n. 2 del Provvedimento n. 182/2015).

In particolare, il dirigente della struttura "Provvedimenti amministrativi" (il convenuto B.), competente per la pubblicazione delle deliberazioni, si è ingiustificatamente opposto alle indicazioni del Garante, continuando a ribadire la liceità del modus operandi dell'ente. Questa condotta, definita "ingiustificata e colpevole resistenza", ha configurato la colpa grave, dimostrando superficialità nel non allineare le modalità di pubblicazione alla normativa vigente e alle citate Linee guida.

Il ruolo ricoperto dal dirigente (incaricato di funzioni dirigenziali e responsabile della struttura di pubblicazione) delineava una posizione di garanzia, e la sua insistenza ha determinato il nesso eziologico tra la condotta omissiva e il successivo esborso sanzionatorio da parte della Regione.

Ad ogni modo, nonostante la Procura avesse richiesto una condanna di € 25.000, la Corte ha applicato il potere riduttivo dell'addebito, riconoscendo l'esistenza di un "problema sistemico" nell'organizzazione dell'ente causato “dal frazionamento delle competenze e dalla molteplicità dei soggetti che, per le funzioni svolte, potevano avere un ruolo nella vicenda”. Il dirigente è stato, di conseguenza, condannato al pagamento di € 8.000 in favore della Regione.

Le indicazioni per dirigenti e funzionari pubblici

La sentenza n. 36/2025 offre spunti pratici rilevanti per chi opera nella Pubblica Amministrazione:

1. La mancata impugnazione del provvedimento di un'autorità indipendente (come il Garante Privacy) che contiene prescrizioni, implica l'obbligo di eseguirlo. La PA deve, quindi, immediatamente attivarsi per l'adempimento integrale: continuare a sostenere la legittimità del proprio operato in spregio alle indicazioni del Garante costituisce colpa grave.
2. Se è vero che il Titolare del trattamento è l'ente nel suo complesso (la Regione, nel caso di specie), la responsabilità operativa ricade sul personale dirigenziale designato o preposto al trattamento dei dati personali. Sotto questo profilo, nell’ambito del Sistema di Gestione Privacy devono essere assegnati chiaramente compiti e competenze in materia di data protection ai sensi dell’art. 2-quatedecies del Codice Privacy.
3. Trasparenza non significa diffusione indiscriminata: la PA deve sempre bilanciare gli obblighi di trasparenza (D.Lgs. 33/2013) con la tutela della riservatezza (GDPR/Codice Privacy). In caso di provvedimenti non di interesse generale (come quelli specifici di gestione del personale), la pubblicazione deve essere limitata nel tempo e, se prolungata, richiede l'anonimizzazione dei dati identificativi.
4. Di fronte a contestazioni del Garante, i dirigenti devono avviare un "virtuoso rapporto collaborativo" per individuare le modalità di conformazione, piuttosto che resistere "ostinatamente, e quindi con superficialità".