Abbiamo già parlato in questa rubrica della responsabilità personale dei dirigenti delle pubbliche amministrazioni in caso di sanzioni irrogate dal Garante Privacy al Comune per violazioni nell’applicazione della normativa GDPR. Siccome, tuttavia, repetita iuvant, e siccome al momento le sentenze della Corte dei conti che profilano il temuto danno erariale a carico dei dirigenti costituiscono unica giurisprudenza in merito, senza alcuna sentenza finora contraria, non solo è bene approfondire il tema, ma altresì assicurarci di aver ben chiari gli adempimenti da mettere in pratica nel nostro Ente.
Il danno erariale a carico di un dirigente
Con la sentenza del 28 maggio 2019, n. 246, la Corte dei conti, Sezione Giurisdizionale del Lazio, ha condannato la dirigente scolastica di un Istituto Professionale di Stato con sede in Anzio (RM) a versare la somma di 7.500 euro a favore dello stesso Istituto. Questo caso ha avuto origine dalla circolare emessa dalla dirigente scolastica dell’Istituto, che riguardava la “Convocazione GHL (Gruppo di Lavoro per l’Handicap operativo)” e includeva un calendario delle riunioni dei consigli delle classi con un elenco dei nomi degli studenti minori disabili che avrebbero partecipato. Inizialmente, questa circolare doveva essere una comunicazione interna destinata esclusivamente alle famiglie degli studenti interessati, in considerazione della loro particolare situazione di salute.
Tuttavia, nonostante la necessità di mantenere segreti i dati che rivelavano lo stato di salute degli studenti minori disabili dell’Istituto, la dirigente scolastica non ha imposto alcun divieto di pubblicazione e non ha verificato che la circolare non fosse pubblicata sul sito web della scuola. Questo comportamento negligente ha permesso la divulgazione completa della circolare su Internet.
Di conseguenza, uno studente disabile (tramite il genitore esercente la potestà genitoriale) ha presentato un reclamo al Garante Privacy, lamentando la divulgazione dei dati relativi al suo stato di salute e dei diritti alla riservatezza, sia per sé, sia per la sua famiglia. L’Autorità ha quindi emesso un provvedimento, il n. 36127/97738 del 22 dicembre 2015, imponendo una sanzione pecuniaria di 20mila euro alla scuola per la violazione dell’art. 22, comma 8, del d.lgs. n. 196/2013, noto come il Codice Privacy, che stabilisce che “i dati idonei a rivelare lo stato di salute non possono essere diffusi.”
La Corte laziale ha quindi concluso che la dirigente scolastica ha gravemente trascurato i suoi obblighi normativi, compresi quelli derivanti da leggi sovranazionali che proteggono i diritti fondamentali della persona, in conformità alle normative comunitarie. Questo comportamento ha leso il diritto alla tutela della riservatezza del minore e ha portato all’applicazione della sanzione pecuniaria, causando un danno indiretto alle risorse dell’Istituto scolastico. Il pagamento di somme con denaro pubblico a causa della violazione di obblighi normativamente imposti ha rappresentato un onere finanziario aggiuntivo e ha limitato la capacità dell’Istituto di perseguire i suoi scopi istituzionali. La Preside ha pertanto pagato alla scuola la somma di euro 7.500, in risarcimento del danno erariale alla stessa causato con il suo comportamento negligente.
Il danno erariale a carico di un politico
La condanna al risarcimento dell’ex presidente della Regione Calabria è scaturita dal pagamento da parte della Regione stessa di una sanzione inflitta dal Garante per la protezione dei dati personali, come stabilito nel provvedimento del 2 aprile 2015, n. 199.
*L’intera questione ha avuto origine da una denuncia presentata da un dipendente, che lamentava una scarsa tutela dei suoi dati personali, in particolare quelli relativi al suo stato di salute. In risposta a una richiesta di informazioni da parte dell’Ufficio del Garante, come previsto dall’articolo 157 del Codice Privacy, la Regione Calabria non ha fornito risposte adeguate alle specifiche domande formulate.
Il Garante ha avviato un’indagine presso la Regione stessa, dalla quale è emerso che la Regione Calabria, in qualità di titolare del trattamento dei dati:
- Non ha designato gli incaricati del trattamento dei dati come richiesto dall’art. 30 del Codice Privacy.
- Non ha adeguatamente rispettato le misure minime di sicurezza, in particolare in relazione ai dati informatici e non informatici, come previsto nell’art. 33 del Codice Privacy.
Di conseguenza, il Garante ha comminato una sanzione ai sensi dell’art. 157 del Codice per il ritardo nella risposta alla richiesta di informazioni e, in secondo luogo, ai sensi dell’articolo 30 del Codice per la mancata conformità alle misure minime di sicurezza per la conservazione dei dati personali.
L’importo della sanzione è stato fissato a 60mila euro per la violazione dell’art. 162, comma 2-bis, del Codice e a 20mila euro per la violazione dell’art. 164 del Codice, con un totale di 80mila euro. La Regione ha proceduto al pagamento di questa sanzione nel maggio 2017, utilizzando fondi pubblici, e ciò ha portato il Procuratore regionale della Corte dei conti a intentare un’azione legale per responsabilità risarcitoria erariale contro l’ex Presidente della Regione.
Il Collegio contabile ha poi emesso una sentenza, la n. 429 datata 31 ottobre 2019, in cui ha ritenuto meritevole di accoglimento la richiesta di risarcimento avanzata dalla Regione Calabria, per cui l’ex Presidente è stato condannato a versare la somma di 66mila euro in favore della Regione, oltre alle spese legali.
Il principio sancito
Dalle due vicende brevemente riassunte si evince il principio di diritto sancito, che afferma che il cosiddetto “danno erariale”, ossia il danno che si genera da un depauperamento sofferto dall’Ente pubblico in conseguenza di una sanzione ricevuta per inadempimento di un suo dirigente, è applicabile anche ai casi di violazione delle norme relative alla protezione dei dati.
Se non altro per questo motivo, è più che mai essenziale che ogni ente provveda non solo a regolamentare la propria compliance privacy e cybersecurity, ma anche a mantenerla aggiornata nel tempo, con costanti assessment migliorativi.
GDPR: gli adempimenti essenziali
I casi sopra analizzati ci obbligano a farci una sorta di esame di coscienza, altrimenti detto self-assessment, per valutare quali e quanti di questi adempimenti essenziali sono stati attuati all’interno del nostro ente locale. Sempre tenendo a mente che il rischio zero non esiste e che essere accountable non significa essere al di sopra di ogni probabilità di sanzione, vediamo insieme (riprendendo argomenti già trattati in questa rubrica) una sorta di vademecum “minimo sindacale” per ottenere un sufficiente livello di compliance.
- Il Registro dei trattamenti: è il documento in cui vengono mappati tutti i trattamenti dell’ente, con tutte le informazioni utili per capire i ruoli, le responsabilità, le informative da redigere e le misure di sicurezza da adottare, nonché in generale il primo documento di cui viene chiesto conto nel corso di un’ispezione. e.
- Le informative: sono tante quanti sono i trattamenti e le finalità dei medesimi, tutelano gli interessati nei loro diritti e libertà fondamentali, e dimostrano, unitamente al Registro, che il Titolare comprende il meccanismo del trattamento in ogni sua parte e che il dato, dalla sua raccolta alla sua distruzione è sempre ben protetto e ben trattato.
- Le nomine: i dipendenti dell’Ente devono essere nominati autorizzati al trattamento dei dati personali in nome e per conto dell’Ente stesso, il quale deve peraltro fornire debite istruzioni su come trattare i dati, sugli adempimenti privacy da realizzare, sulle modalità consentite di trattamento.
- Le nomine per i responsabili esterni: tutti i soggetti esterni all’organizzazione stabile del Titolare che, sulla base di un contratto, trattino dati del Titolare, devono essere nominati responsabili esterni del trattamento. Questi soggetti, infatti, non trattano dati di cui sono essi stessi Titolari, poiché non sono loro che decidono le finalità del trattamento, ma lo fanno su incarico del Titolare, che dovrà nominarli e fornire loro tutte le istruzioni operative adeguate (come previsto dall’art. 28 GDPR).
- La formazione: è onere del Titolare formare i propri dipendenti sia in tema di trattamento di dati, sia in tema di cybersecurity, prima in modalità generale e successivamente in modo mirato, meglio se almeno una volta l’anno.
- La nomina del DPO: obbligatoria per tutte le PA, il DPO può essere sia interno sia esterno, ma è essenziale che sia preparato, competente e soprattutto convolto in ogni decisione che riguardi il trattamento di dati personali, nonché in caso di data breach.
La procedura di data breach: nel caso in cui si verifichi una violazione di dati, avere una procedura preventivamente scritta, in cui viene già indicato che cosa fare, come farlo, quando farlo e soprattutto chi coinvolgere è non solo una strategia vincente per ridurre al minimo le conseguenze, ma anche un modo per evitare le sanzioni del Garante (che, qualora arrivino, vanno ad aggiungere danno a danno). Essenziale coinvolgere sempre il DPO.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento