Maurizio Lucca

«Libero Pensatore» (sempre)
Articolo Pubblicato il 7 Agosto, 2025

Danno erariale per la pubblicazione di dati personali oltre i termini

Danno erariale per la pubblicazione di dati personali oltre i termini

La sez. giurisdizionale Valle D’Aosta della Corte dei conti, con la sentenza del 4 agosto 2025, n. 35, fornisce un quadro alquanto esaustivo in materia di tutela dei dati personali e pubblicazioni on line, dove le deliberazioni giuntali non possono rimanere pubblicate oltre i termini di legge[1]: la presenza di dati identificativi della persona (nome e cognome) costituiscono un illecito trattamento sanzionato dal Garante privacy, e in via di regresso a carico del dipendente responsabile delle pubblicazioni.

Fatto

Nella sua essenzialità, una PA viene condannata dal Garante per la protezione dei dati personali per la pubblicazione di delibere giuntali contenenti dati personali, nonché la mancata conformazione alle indicazioni fornite, finalizzate (un apposito provvedimento disponeva il divieto di diffondere ulteriormente i dati personali in internet, tramite il sito web istituzionale) al rispetto delle disposizioni del Codice della privacy (d.lgs. 30 giugno 2003, n. 196, aggiornato dal d.lgs. 10 agosto 2018, n. 101, di recepimento del Regolamento europeo generale sulla protezione dei dati 679/2016, GDPR), anche alla luce delle indicazioni contenute nelle Linee guida in materia di trattamento dei dati personali[2].

Veniva convenuto in giudizio due persone imputate pro quota dalla Procura contabile (una delle quali deceduta prima della sentenza): la fattispecie rientra nei casi di danno indiretto, dovuto al pagamento della somma a titolo di sanzione da parte della PA di appartenenza[3].

La contestazione in capo ai convenuti consisteva nella responsabilità gravemente colposa da una parte, del rappresentante legale dell’Ente, per la protratta illegittima pubblicazione sul sito on line della deliberazione con la quale l’organo esecutivo aveva disposto il trasferimento “per esigenze organizzative per accertata incompatibilità ambientale” di un proprio dipendente senza oscurare i dati personali e identificativi (c.d. anonimizzazione), dall’altra parte, all’incaricato di funzioni dirigenziali per la protratta illegittima pubblicazione sul sito on line della deliberazione in qualità di responsabile del servizio.

Più precisamente:

  • al “titolare del trattamento”, che ricopre una posizione di garanzia, non aver impedito attivandosi, o quanto meno con apposito atto d’impulso, di identificare i soggetti responsabili al trattamento, fornendo tutte le indicazioni (misure indicate nel c.d. DPS, documento programmatico sulla sicurezza) per i corretti adempimenti;
  • il responsabile di servizio (incaricato/responsabile del trattamento/designato) per essere venuto meno ai propri obblighi (togliendo il provvedimento dall’albo on line), anche dopo aver interloquito con il Garante per la protezione dei dati personali, a seguito dei rilievi dal medesimo in proposito formulati (in effetti, aveva giustificato l’obbligo di pubblicazione per anni cinque, trattandosi di un atto di organizzazione, con relativa legittimità della pubblicazione, secondo le norme regionali).

Siamo in presenza della violazione (sanzionata, con ordinanze ingiunzioni appellate ma rigettate, con ricorso in cassazione non accolto) dei principi di necessità (ex art. 3 del Codice), di pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione rispetto alla finalità perseguita (ex artt. 3 e 11, comma 1, lett. d), del Codice): illecita diffusione dei dati personali oltre i termini di legge.

La disciplina della privacy

Il Collegio prima di procedere delinea il sistema normativo del Codice vigente all’epoca dei fatti, dove erano presenti:

  • regole generali per il trattamento dei dati (Titolo III) e regole ulteriori per i soggetti pubblici, di cui al Capo II, artt. 18 – 22. Siamo in presenza della c.d. privacy by design in fase di determinazione dei mezzi di trattamento che nel corso del trattamento e della c.d. privacy by default in fase di determinazione di misure tecniche/organizzative/procedurali che consentano il trattamento di dati personali necessari per ogni specifica finalità del trattamento, con un controllo puntuale su quanto possa o meno essere pubblicato sul sito web della PA (onere a carico del «Responsabile del procedimento di pubblicazione e aggiornamento del sito web»)[4];
  • individuazione di soggetti coinvolti dal trattamento erano individuate:
  1. in primo luogo, ex 4, comma 1, lett. f), il “Titolare” del trattamento dei dati («la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza»): ossia, il rappresentate legale, precisando che è la persona giuridica, non il legale rappresentante o l’amministratore, visto che il codice deroga al principio della imputabilità personale della sanzione, di cui alla legge n. 689/1981, configurando, nello specifico regime sanzionatorio ivi dettato, un’autonoma responsabilità della persona giuridica[5];
  2. la successiva lett. f), del comma 1, dell’art. 4, definiva “Responsabile” del trattamento «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali»;
  3. Incaricato” la persona fisica autorizzata a compiere operazioni di trattamento di dati personali, che coincide con il “Designato”;
  • definizione di “dato personale” qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, e come “dati identificativi” quei dati personali che permettono l’identificazione diretta dell’interessato, ex 4, comma 1, lett. b) e c);
  • i principi ai quali la PA doveva (deve) attenersi per il trattamento dei dati, tra cui il principio di minimizzazione, riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, oltre al rispetto dei principi di liceità, correttezza, pertinenza e non eccedenza, ovvero in maniera strettamente attinente alle finalità per le quali i dati erano raccolti e trattati (ex 11);
  • stabilendo che la diffusione dei dati diversi da quelli sensibili e giudiziari (c.d. particolari) da parte di un soggetto pubblico era ammessa solo se prevista da una norma di legge o di regolamento (ex 19, comma 3): la c.d. “base giuridica”;
  • termini di pubblicazione degli atti o documenti nei siti istituzionali individuati dalla legge, trascorsi i quali devono essere rimossi dal web o privati degli elementi identificativi degli interessati, atteso che risulta sproporzionato, rispetto alla finalità perseguita, consentirne l’indiscriminata reperibilità tramite i comuni motori di ricerca, limitando l’indicizzazione dei documenti e il tempo di mantenimento della diffusione dei dati (garantendo il c.d. “diritto all’oblio”, anche in assenza di una specifica disciplina di settore l’esposizione dei dati i periodi devono essere congrui, procedendo, quindi, decorsi tali termini o a rimuovere gli atti o a privare gli stessi degli elementi identificativi degli interessati, secondo le indicazioni del Garante privacy)[6].

Le prove

Fatte queste premesse, viene appurato:

  • un mancato adeguamento (condotta omissiva) alla cit. normativa “a monte”, aspetto che si ripercuote nella modalità di trattamento dei dati conformemente a legge “a valle”, comportando una responsabilità del “Titolare del trattamento” (l’Amministrazione);
  • anche a seguito delle interlocuzioni con il Garante (procedimento avviato su segnalazione di un dipendente destinatario del provvedimento), la parte convenuta non si era decisa a seguire le indicazioni fornite, ossia, le modalità di pubblicazione on line di dati personali da parte dei soggetti pubblici, da effettuarsi anzitutto nel rispetto dei principi di liceità (ex11, comma 1, lett. a) del Codice), di necessità, proporzionalità e pertinenza dei dati (ex artt. 3 e 11, comma 1, lett. d), del Codice);
  • registrata una significativa e prolungata inerzia dell’Amministrazione, con la conseguente applicazione della sanzione (e solo allora è stato poi finalmente rimosso l’atto pubblicato), configurando così tale comportamento una violazione «connotata dal disvalore reputazionale dell’illecito trattamento commesso e dal lungo periodo di diffusione dei dati del segnalante».

La condotta

I fatti sono significativi di una condotta, che seppur sollecitata a rimediare all’errore, persiste, acclarando all’evidenza di perseguire nell’illecito trattamento dei dati personali; significativa l’affermazione della parte convenuta in qualità di Coordinatore: «a giudizio dello scrivente, non sussistono ipotesi di trattamento illecito di dati personali con riferimento alla questione in argomento», non potendo accogliere la tesi che un atto di trasferimento per incompatibilità ambientale rientra tra quelli di “organizzazione” (di cui al Decreto Trasparenza), quest’ultimi sono dati e documenti di interesse generale non provvedimenti specifici di gestione del personale[7].

In definitiva, l’atto contenente dati personali non poteva rimanere pubblicato oltre i termini di legge (rectius quindici giorni, dopodiché semmai la deliberazione in parola al massimo avrebbe potuto essere ripubblicata con l’oscuramento del dato personale (tutti profili suggeriti sin da principio dallo stesso Garante della privacy).

Il danno erariale indiretto

Dalle alate osservazioni, si giunge senza esitare a censurare il comportamento della parte convenuta per la protrazione della pubblicazione sul sito on line della deliberazione, anche a seguito dell’invito a rivedere la propria posizione rispetto a tale pubblicazione effettuata senza oscuramento dei dati personali: piena prova di una chiara volontà di non dare corso ad alcuna misura conseguente proprio in forza della asserita legittimità dell’operato, escludendo (conseguenza logica) un obbligo dell’Amministrazione di conformarsi (ovvero, lasciare la situazione invariata), dimostrando la illiceità del comportamento (poi trovando definitivo riscontro dalle sentenze in sede civile di opposizione alla sanzione), definito dalla corte «negligente resistenza opposta alle prescrizioni formulate dal Garante».

Il quadro porta a riscontrare:

  • l’esistenza del nesso eziologico fra la condotta e l’esborso sostenuto dall’Ente per il pagamento della sanzione da parte del Garante della privacy, attesa la posizione assunta a sostegno della legittimità della pubblicazione illecita, protratta nel tempo, di dati personali non divulgabili;
  • l’elemento soggettivo della colpa grave (grave negligenza) evincibile già da tutti gli elementi sopra evidenziati: le interlocuzioni con il Garante, aggiungendosi l’inescusabilità dell’errore circa la sussumibilità, ai fini dei tempi di pubblicazione, della deliberazione in questione tra gli atti di organizzazione per gli effetti degli artt. 1, 8 e 13 del d.lgs. n. 33/2013, ove si consideri le specifiche competenze nella sua qualità di Dirigente della Struttura che occupava della materia del personale.

La Corte opera il potere riduttivo sull’importo del danno da ricondurre alla condotta gravemente colposa, operando una valutazione equitativa in ragione dell’entità dell’apporto causale della convenuta nell’intera vicenda.

Sintesi

La sentenza si allinea ai precedenti, dove la permanenza nel web di dati personali contenuti nelle deliberazioni, oltre il termine di legge, ovvero la presenza di dati personali non anonimizzati, conduce a responsabilità sia di tipo sanzionatorio, da parte del Garante privacy, che di tipo erariale (senza escludere quella disciplinare): siamo in presenza di una violazione degli obblighi di pubblicazione laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione[8].

Nel suo complesso, si rafforza la tutela del singolo nel bilanciamento dei diritti collettivi alla “trasparenza”, quale misura di accesso alle informazioni, ai dati e documenti della PA (ex d.lgs. n. 33/2013), nonché in chiave di prevenzione della corruzione (del tutto avulsa dalla realtà): il primato della tutela del dato personale prevale quando si esorbitano i principi di necessità e pertinenza (solo per citarne alcuni) ad esso strumentali.

[1] Disciplina similare quella del primo comma, dell’art. 124, Pubblicazione delle deliberazioni, de d.lgs. n. 267/2000, stabilendo che «gli atti deliberativi degli organi… sono pubblicati mediante affissione all’albo notiziario dell’amministrazione…, per quindici giorni consecutivi, salvo il più breve termine stabilito nell’atto stesso». Sugli atti da pubblicare vedi, TAR Lombardia Milano, sez. III, 27 giugno 2024, n. 2005, dove si postula che sono da pubblicare non solo le deliberazioni degli organi di governo (consiglio e giunta municipali) ma anche le determinazioni dirigenziali, esprimendo la parola “deliberazioneab antiquo sia risoluzioni adottate da organi collegiali che da organi monocratici ed essendo l’intento quello di rendere pubblici tutti gli atti degli Enti locali di esercizio del potere deliberativo, indipendentemente dalla natura collegiale o meno dell’organo emanante.

[2] GPDP, Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web, n. 088 del 2 marzo 2021, doc. web n. 1793203, dove alla sez. B. Pubblicità degli atti amministrativi e albo pretorio on line, si indicavano determinati accorgimenti per impedire l’illecita diffusione dei dati con l’uso dei più comuni motori di ricerca. Vedi, in relazione alla normativa a tutela della privacy, Corte conti, sez. giur. Friuli Venezia Giulia,18 gennaio 2022, n. 2; sez. giur. Puglia, 27 febbraio 2024, n. 40.

[3] Cfr. Corte conti, sez. giur. Lazio, 28 maggio 2019, n. 246.

[4] Cfr. F.P. Direttiva n. 8/2009 relativa alla razionalizzazione e riduzione dei siti web delle PA, per il miglioramento della qualità dei servizi e delle informazioni on line al cittadino, figura diversa dal Responsabile della Protezione dei Dati (Data Protection Officer), ex art. 37 del RGPD, con compiti principalmente di garanzia e di cura dei rapporti con gli interessati e l’interlocuzione con l’Autorità di controllo.

[5] L’art. 28 del Codice, «quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza», consentendo di imputare all’Ente nel suo complesso la sanzione amministrativa per la violazione delle norme a tutela dei dati personali: una responsabilità che non può ritenersi oggettiva ma, analogamente a quanto previsto dal d.lgs. n. 231/2000 in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”, da intendersi, in senso normativo, come rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti (cfr. SS.UU. Penali, n. 38343/14), Cass. civ., sez. II, ordinanza 3 settembre 2020, n. 18292.

[6] Il diritto all’oblio, rientrante nell’ambito della più vasta categoria del diritto alla riservatezza, ha fatto la sua comparsa “ufficiale”, se così può dirsi, nella sentenza 9 aprile 1998, n. 3679, dove la Corte, richiamando la propria precedente elaborazione sul diritto di cronaca e, in particolare, sottolineando l’importanza rivestita dalla «attualità della notizia» – ebbe ad evidenziare l’emergere di un «nuovo profilo del diritto alla riservatezza, recentemente definito anche come diritto all’oblio, inteso come giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata», Cass. civ., SS.UU., 22 luglio 2019, n. 19681. Nell’ambito di un giudizio volto ad ottenere la deindicizzazione da un motore di ricerca di notizie afferenti a una pregressa vicenda giudiziaria, si osservò che il diritto all’oblio rappresenta un’ulteriore frontiera di tutela dei “tradizionali” diritti della personalità (riservatezza, identità personale, onore, reputazione), attivabile quando il disvalore connesso alla divulgazione di un’informazione risieda nello iato temporale che la separa dal momento dell’originaria diffusione. Un presidio, dunque, a tutela della “identità dinamica” del soggetto, per come venutasi a conformare nel corso del tempo, Cass. civ., sez. I, 30, maggio 2025, n. 14488.

[7] Il trasferimento per incompatibilità ambientale, regolato da norme specifiche del Codice civile e contrattuali, attiene alla gestione del rapporto di lavoro, trovando la sua ragione nelle esigenze tecniche, organizzative e produttive di cui all’art. 2103 c.c. ed è subordinato ad una valutazione discrezionale dei fatti che possono fare ritenere nociva, per il prestigio ed il buon andamento dell’ufficio, l’ulteriore permanenza dell’impiegato in una determinata sede, senza alcun carattere disciplinare o sanzionatorio, Cass. civ., sez. lavoro, 11 maggio 2017, n. 11568.

[8] Si rinvia, LUCCA, I termini di pubblicazione, il diritto all’oblio e i costi dell’accesso, ictsecuritymagazine.com, 17 giugno 2020.