Di seguito si illustreranno le possibili conseguenze, in tema di danno erariale, derivanti dalle sanzioni del Garante per la protezione dei dati personali (di seguito solo “Garante”) comminate a enti pubblici.
Vi è subito da premettere che le sanzioni del Garante sono solamente una dei fattori causativi di danno erariale; altri danni, cioè altri casi di “deminutio patrimonii” dell’ente pubblico in caso di perdita o diffusione illecita di dati personali, potrebbero essere:
- il danno da disservizio, cioè quella perdita patrimoniale tangibile nelle casse dell’ente, in termini di somme inutilmente spese per perseguire gli obiettivi (p.esempio, acquisto di nuovi servizi, nuovi impianti, nuovo software, consulenze esterne) e continuare a erogare il servizio o a rimediare ai danni prodotti:
- il danno da risarcimento erogato a favore di coloro che sono stati danneggiati dalla perdita o diffusione di dati personali.
Di seguito ci occuperemo solo delle sentenze in tema di sanzioni comminate a enti pubblici da parte del Garante.
La prima pronuncia è della sezione giurisdizionale per il Lazio (Corte dei Conti Lazio, sentenza n 679/2021), la cui Procura aveva convenuto un dirigente pubblico per rispondere della sanzione irrogata al Comune dal Garante, a causa della pubblicazione sul sito web istituzionale di dati sensibili nell’ambito di una procedura selettiva riservata a soggetti disabili.
Nello specifico caso il Collegio giudicante ha rigettato la prospettazione della Procura erariale per assenza di colpa grave, ritenendo che non fosse stata data dimostrazione di una condotta gravemente colposa imputabile al convenuto, tenuto conto della complessità derivante dalla necessità di dover procedere ad un complesso bilanciamento in concreto di due valori costituzionalmente tutelati, la riservatezza dei dati sensibili dei candidati partecipanti alla procedura selettiva e la pubblicità di quest’ultima, quale addentellato necessitato del principio di accesso per concorso al servizio presso una Pubblica amministrazione.
Di tono ed esito diametralmente opposti è stata la pronuncia della sezione giurisdizionale per la Calabria (sentenza n. 429/2019 ). In quel caso il Garante aveva comminato una sanzione per un pluralità di fatti, in particolare:
- tardivo riscontro alla richiesta di informazioni;
- mancata designazione degli incaricati del trattamento dei dati personali;
- mancato rispetto delle delle misure di sicurezza individuate sia in relazione ai dati informatici che per i dati non informatici.
Il Collegio ha condannato il Presidente della Regione perché la condotta, oltre che presentare i caratteri dell’antigiuridicità e della rilevanza in ordine al nesso causale, era indubbiamente connotata anche dalla imputabilità soggettiva a titolo di negligenza inescusabile, e pertanto di colpa grave.
Un’altra sentenza della Corte dei Conti del Lazio (sentenza n. 246/2019) ha riguardato pagamento di una sanzione amministrativa irrogata dal Garante in conseguenza della pubblicazione sulla rete internet di una circolare d’Istituto, contenente dati idonei a rivelare lo stato di salute di scolari minori di età ed affetti da disabilità.
Il Collegio ha condannato la Dirigente scolastica, che con la sua condotta gravemente sprezzante degli stessi ha leso il diritto alla tutela della riservatezza del minore, causando per sua esclusiva colpa (personale ed in vigilando) l’irrogazione della sanzione, così da creare un danno, indiretto, alle casse dell’Istituto scolastico, in quanto il pagamento di somme con denaro pubblico a causa dell’inosservanza di obblighi imposti normativamente costituisce un aggravio di spesa e sottrae le relative somme all’attuazione degli scopi istituzionali.
In un’altra sentenza, più recente (Corte dei Conti, FVG, gennaio 2022) la Procura aveva convenuto in giudizio il direttore generale dell’Azienda per i servizi sanitari, per sentirlo condannare alla rifusione della somma di euro 4.000,00, a seguito del pagamento della sanzione amministrativa pecuniaria di pari importo irrogata dal Garante. Nel merito, un infermiere aveva denunciato l’azienda sanitaria datrice di lavoro per avere pubblicato per quindici giorni, in maniera integrale, sul proprio sito internet la deliberazione avente ad oggetto il recesso dal contratto di lavoro nel corso del periodo di prova, a seguito di una valutazione negativa della prestazione lavorativa.
Nel caso specifico il Collegio ha stabilito che i tre quarti del danno andassero riferiti al contributo concausale di altri dipendenti rimanendo a carico del dirigente la somma di 1.398,48, pari ad un quarto della richiesta formulata dalla Procura attrice.
In Toscana (Corte dei Conti Toscana, sentenza n. 445/0219 ) la convenuta è stata ritenuta responsabile della omissione relativa alla mancata nomina della X s.p.a. di Trieste come responsabile del trattamento dei dati aziendali.
Il limitato protrarsi nel tempo della condotta illegittima, unitamente alla circostanza data dal fatto che nel periodo di che trattasi la neonata Azienda sanitaria stesse vivendo un periodo di riorganizzazione su vastissima scala, con conseguente coinvolgimento, per la sola Area Nord Ovest, al cui vertice l’odierna convenuta era preposta, hanno indotto il Collegio ad applicare il potere riduttivo nella sua massima misura, così da ridurre la somme dovuta alla metà.
In Emilia Romagna, per quella che è la pronuncia più recente (sentenza n. 144 di settembre 2022), la generazione e pubblicazione di un provvedimento amministrativo aveva recato con sè pure la pubblicazione dei relativi allegati, contenenti dati sensibili.
Mentre la dirigente accettava di pagare l’80% dell’addebito, pari a 2.000,00 euro, con cancellazione della causa dal ruolo, il funzionario ha rappresentato che vi era un farraginoso e lacunoso funzionamento del programma delle delibere.
Il Collegio ha ritenuto le carenze organizzative come assorbenti, e ha quindi ritenuto escludersi che l’elemento soggettivo che ha caratterizzato la condotta del funzionario, seppur colposa, possa essere qualificato in termini di colpa grave.