La Procura Regionale conveniva la dott.ssa X per ivi sentirli condannare al pagamento, in favore del Comune, della somma rispettivamente di euro 6.300,00, oltre rivalutazione, interessi legali e spese del presente procedimento.
A sostegno della domanda, l’organo requirente faceva presente che il giudizio trae origine dall’avvenuto pagamento (seppur in misura ridotta) della sanzione irrogata dal Garante per la protezione dei dati personali al Comune con provvedimento n. 190 del 13 maggio 2021, avendo il Comune posto in essere trattamenti di dati personali dei dipendenti relativi alla navigazione in internet, in assenza dei presupposti e di idonea informativa, e adottato una modulistica per la fruizione del servizio di assistenza psicologica non conforme al quadro normativo in quanto prevedeva la conoscenza di dati personali sullo stato di salute dei dipendenti da parte dei soggetti delegati allo svolgimento delle funzioni datoriali.
Dai menzionati determina e decreto emerge, infatti, che la dott.ssa X, seppur funzionaria e non dirigente, era intestataria di pregnanti compiti in materia di privacy inerenti non il solo Ufficio di appartenenza, ma l’intera amministrazione comunale, dato che la struttura in cui la stessa era incardinata, Ufficio organizzazione e formazione, era stata individuata come quella preposta all’attuazione della normativa in materia di privacy.
In sede di costituzione in giudizio la difesa della dott.ssa X ha lamentato l’insussistenza del nesso di causalità tra la condotta contestata e il danno patito dall’ente e l’assenza della colpa grave, dato l’impegno profuso nel settore della privacy nonostante le molteplici attività alla stessa affidate.
Tali doglianze devono essere disattese.
Deve ritenersi, infatti, che le omissioni contestate siano con evidenza eziologicamente ricollegabili al verificarsi dei comportamenti oggetti di sanzione, che sarebbero potuti essere evitati attraverso un maggiore coordinamento, aggiornate direttive, analisi della normativa e delle novelle intervenute maggiormente attente.
Egualmente può ritenersi sussistente l’elemento psicologico della colpa grave dato che gli episodi presi in considerazione dal garante non sono singoli ma relativi a due tipologie di trattamento massivo dei dati che per l’ampiezza e la generalità dei destinatari (l’intero personale del Comune) non potevano non essere note.
Da ultimo, viene contestata la quantificazione del danno operata dalla Procura erariale, in quanto non si sarebbe tenuto conto dell’ampio arco temporale preso in considerazione dal Garante (2000-2020) a fronte di un periodo di servizio prestato nelle funzioni di responsabile dei procedimenti amministrativi in materia di tutela dei dati personali e Privacy Manager limitato, il lungo periodo di assenza per malattia, delle diverse concause e dei diversi attori incidenti nella determinazione del danno indiretto.
Tali ultime argomentazioni appaiono parzialmente fondate.
Infatti, se da un lato va evidenziato che in sede di quantificazione del danno la Procura erariale ha tenuto conto sia del periodo di espletamento dell’incarico, sia del lungo periodo di assenza della dott.ssa X dal servizio per motivi di salute, tanto da aver ridotto l’importo del danno ad euro 6.300,00, dall’altro il Collegio ritiene che effettivamente non risulta si sia tenuto nella dovuta considerazione l’apporto causale fornito dagli altri soggetti coinvolti.
Da quanto sopra discende la necessità di rideterminare nella misura complessiva di euro 4.200,00 la quota di danno da porre a carico della dott.ssa X, determinato tenendo conto dell’arco temporale nel quale era suo dovere adoperarsi, del lungo periodo di assenza per malattia, della contemporanea attribuzione di altre funzioni e dell’apporto degli altri soggetti coinvolti che hanno causalmente contribuito al trattamento dei dati ritenuto illecito e sanzionato.
In conclusione, il Collegio ritiene meritevole di accoglimento la pretesa risarcitoria esercitata nei confronti della dott.ssa X