TUTELA DEI DATI PERSONALI
Corte dei Conti: il funzionario privacy e non il sindaco risponde del danno erariale da sanzioni irrogate dal Garante privacy al Comune.
Oggetto della Sentenza n. 1/2024 della Sezione giurisdizionale della Corte dei conti di Bolzano è il ristoro dell’indebito pregiudizio patrimoniale subito dal Comune in conseguenza della sanzione irrogata dal Garante per plurime violazioni della disciplina in materia di dati personali. Il Collegio giudicante era stato chiamato ad accertare la sussistenza dei presupposti della responsabilità contabile nei confronti del sindaco quale legale rappresentante titolare del trattamento dei dati dell’ente e nei confronti del funzionario responsabile dei procedimenti amministrativi in materia di protezione dei dati personali.
Con riferimento al sindaco, il Collegio giudicante evidenzia che i compiti e le connesse responsabilità del titolare del trattamento dei dati sono individuate dal legislatore eurounitario e nazionale in modo ampio, a tutela del privato leso nei confronti del titolare-persona giuridica.
Però nel momento in cui la responsabilità deve riverberarsi sulla persona fisica legale rappresentante dell’ente non si può non tenere conto delle dimensioni dell’ente, della molteplicità dei compiti assegnati ad un sindaco di un capoluogo di provincia, della tecnicità della materia e soprattutto dell’avvenuta o meno predisposizione di un’organizzazione potenzialmente idonea. Valutati detti elementi il Collegio ritiene non sussistente il requisito della colpa grave, per aver il sindaco confidato nell’operato del responsabile e degli incaricati e non potendo effettivamente essere chiamato ad occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy.
A considerazioni diverse, invece, il Collegio avviene in relazione alla posizione del funzionario responsabile dei procedimenti amministrativi in materia di protezione dei dati personali. Infatti egli aveva il compito di approvare gli schemi di atti obbligatori e di linee guida e il documento programmatico della sicurezza, nonché predisporre le modifiche al regolamento per il trattamento dei dati sensibili e giudiziari.
A seguito del decreto n. 14/S/2018 del 24 maggio 2018 ha assunto, poi, il ruolo di Privacy Manager, cioè di coordinatore interno delle attività di adeguamento al GDPR.
Ne discende che può ritenersi sussistente a suo carico il contestato obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna al quadro normativo introdotto dal Dlgs 4 settembre 2015 n. 151, oltre che un generale obbligo di vigilanza. Il suo è dunque un comportamento omissivo ricollegabile al danno subito dal comune a seguito dell’avvenuta irrogazione di una sanzione.
Il Collegio giudicante ha ritenuto dunque che le omissioni contestate siano con evidenza ricollegabili al verificarsi dei comportamenti oggetto di sanzione, che avrebbero potuto essere evitati. Egualmente può ritenersi sussistente l’elemento psicologico della colpa grave dato che gli episodi presi in considerazione dal garante non sono singoli.
In conclusione, il Collegio giudicante ritiene meritevole di accoglimento la pretesa risarcitoria esercitata nei confronti del funzionario responsabile dei procedimenti amministrativi in materia di protezione dei dati personali, mentre reputa di escludere quella promossa nei confronti del sindaco.
Fonte: Il Sole 24 Ore - di Corrado Mancini
Con riferimento al sindaco, il Collegio giudicante evidenzia che i compiti e le connesse responsabilità del titolare del trattamento dei dati sono individuate dal legislatore eurounitario e nazionale in modo ampio, a tutela del privato leso nei confronti del titolare-persona giuridica.
Però nel momento in cui la responsabilità deve riverberarsi sulla persona fisica legale rappresentante dell’ente non si può non tenere conto delle dimensioni dell’ente, della molteplicità dei compiti assegnati ad un sindaco di un capoluogo di provincia, della tecnicità della materia e soprattutto dell’avvenuta o meno predisposizione di un’organizzazione potenzialmente idonea. Valutati detti elementi il Collegio ritiene non sussistente il requisito della colpa grave, per aver il sindaco confidato nell’operato del responsabile e degli incaricati e non potendo effettivamente essere chiamato ad occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy.
A considerazioni diverse, invece, il Collegio avviene in relazione alla posizione del funzionario responsabile dei procedimenti amministrativi in materia di protezione dei dati personali. Infatti egli aveva il compito di approvare gli schemi di atti obbligatori e di linee guida e il documento programmatico della sicurezza, nonché predisporre le modifiche al regolamento per il trattamento dei dati sensibili e giudiziari.
A seguito del decreto n. 14/S/2018 del 24 maggio 2018 ha assunto, poi, il ruolo di Privacy Manager, cioè di coordinatore interno delle attività di adeguamento al GDPR.
Ne discende che può ritenersi sussistente a suo carico il contestato obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna al quadro normativo introdotto dal Dlgs 4 settembre 2015 n. 151, oltre che un generale obbligo di vigilanza. Il suo è dunque un comportamento omissivo ricollegabile al danno subito dal comune a seguito dell’avvenuta irrogazione di una sanzione.
Il Collegio giudicante ha ritenuto dunque che le omissioni contestate siano con evidenza ricollegabili al verificarsi dei comportamenti oggetto di sanzione, che avrebbero potuto essere evitati. Egualmente può ritenersi sussistente l’elemento psicologico della colpa grave dato che gli episodi presi in considerazione dal garante non sono singoli.
In conclusione, il Collegio giudicante ritiene meritevole di accoglimento la pretesa risarcitoria esercitata nei confronti del funzionario responsabile dei procedimenti amministrativi in materia di protezione dei dati personali, mentre reputa di escludere quella promossa nei confronti del sindaco.
Fonte: Il Sole 24 Ore - di Corrado Mancini
