Lo Stato può chiedere a dirigenti pubblici il risarcimento per violazioni della privacy. Non solo per le sanzioni ricevute dal Garante Privacy, ma anche per i danni richiesti dalle vittime. Si profila così per i dirigenti il tanto temuto danno erariale. E’ quanto sta emergendo con evidenza da recenti pronunciamenti della Corte dei Conti.
Il GDPR amplifica, rispetto alle vecchie norme privacy, le responsabilità del titolare del trattamento dati. E stringe il cerchio intorno a politici e dirigenti pubblici il cui comportamento negligente violi le norme.
GDPR, sentenze della Corte dei Conti
La conferma è in una recente sentenza della Corte dei Conti che condanna il (già) Presidente della Regione Calabria al pagamento di 66.000,00 euro in favore della sua Regione la quale ha in precedenza pagato una sanzione irrogata dal Garante Privacy.
Non solo: lo scorso maggio il Collegio contabile del Lazio ha condannato un Dirigente scolastico a risarcire la sua scuola a sua volta sanzionata per violazione delle disposizioni in materia di protezione dei dati personali.
I provvedimenti delle sezioni regionali della Corte dei Conti entrano prepotentemente nel quadro giurispudenziale da tenere in seria considerazione relativamente alla materia della protezione dei dati personali.
La prima sentenza, in ordine temporale, della Corte dei Conti del Lazio è relativa al risarcimento del danno indiretto cagionato alla Scuola a seguito del pagamento di una sanzione amministrativa irrogata dal Garante Privacy, in conseguenza dell’avvenuta pubblicazione sulla rete internet di una circolare scolastica contente dati idonei a rivelare lo stato di salute di studenti minori di età ed affetti da disabilità.
La seconda, della sezione Calabria, è relativa alla richiesta di risarcimento nei confronti del Presidente di Regione a seguito del pagamento da parte della Regione Calabria di 80.000 euro, sempre in forza dell’accertamento di violazioni da parte del Garante della protezione dei dati personali.
Ebbene, le sezioni giurisdizionali della Corte di Lazio e Calabria hanno affermato chiaramente che il rapporto di servizio e il danno, consistente nel depauperamento sofferto dall’Ente pubblico della somma corrisposta a titolo di sanzione, sono elementi costitutivi della responsabilità erariale. Di conseguenza, gli enti della Pubblica Amministrazione possono rivalersi nei confronti degli organismi politici-amministrativi ovvero dei dirigenti.
Dirigenti: il caso della preside
Con la sentenza n. 246 del 28 maggio 2019 la Corte dei Conti, Sezione Giurisdizionale del Lazio, condannava la Dirigente scolastica di un Istituto Professionale di Stato con sede in Anzio (RM) al pagamento della somma di euro 7.500,00 a favore dello stesso Istituto.
La vicenda nasceva dal fatto che la Dirigente scolastica dell’Istituto scolastico aveva adottato una circolare avente per oggetto la “Convocazione GHL (Gruppo di Lavoro per l’Handicap operativo)”, nella quale era contenuto un calendario di riunioni dei consigli delle classi con un elenco dei nomi degli studenti minori disabili che sarebbero stati presenti. Invero, detta circolare sarebbe dovuta essere una comunicazione ad uso interno e destinata – in forma riservata – esclusivamente alle famiglie degli studenti interessati in ragione della particolare situazione di salute degli stessi alunni.
Per l’appunto, nonostante la necessità di mantenere riservati i dati idonei a rivelare lo stato di salute degli studenti minori dell’Istituto affetti da disabilità, la Dirigente scolastica, non prescrivendo alcun divieto di pubblicazione né controllando fino all’ultimo che la circolare non venisse pubblicata sul sito web della scuola, con un “comportamento gravemente negligente” consentiva la divulgazione integrale della circolare in rete.
Ebbene, della divulgazione dei dati relativi allo stato di salute di alunni minori e disabili, con la lesione del loro diritto alla riservatezza nonché delle famiglie, si è lamentato uno studente disabile che (per il tramite del genitore esercente la potestà genitoriale) si è rivolto al Garante Privacy. L’Autorità, pertanto, con provvedimento n. 36127/97738 del 22 dicembre 2015 ha irrogato alla Scuola la sanzione pecuniaria amministrativa di euro 20.000,00, per l’inosservanza della disposizione contenuta nell’art. 22, c. 8, D.lgs. n. 196/2013 (c.d. Codice Privacy) a mente del quale “I dati idonei a rivelare lo stato di salute non possono essere diffusi” (come spiegato qui). Tale sanzione veniva pagata dall’Istituto scolastico.
A questo punto, nei confronti dei docenti della scuola che avevano avuto un ruolo nella vicenda, la Procura erariale regionale avanzava una pretesa risarcitoria per asserito danno indiretto cagionato all’ente di appartenenza.
Per quanto qui di interesse, dunque, la Corte laziale stabiliva che “gli obblighi normativi […] (in uno alle normative sovranazionali poste a tutela dei diritti fondamentali della persona, in diretta attuazione disposizioni comunitarie) sono stati dunque disattesi dalla Dirigente scolastica, che con la sua condotta gravemente sprezzante degli stessi ha leso il diritto alla tutela della riservatezza del minore, causando per sua esclusiva colpa (personale ed in vigilando) l’irrogazione della sanzione, così da creare un danno, indiretto, alle casse dell’Istituto scolastico, in quanto il pagamento di somme con denaro pubblico a causa dell’inosservanza di obblighi imposti normativamente costituisce un aggravio di spesa e sottrae le relative somme all’attuazione degli scopi istituzionali”.
Politici: il caso presidente Regione
La condanna al risarcimento del già Presidente della Regione Calabria nasce a seguito del pagamento da parte della sua Regione della sanzione irrogata dal Garante per la protezione dei dati personali con il provvedimento n. 199 del 2 aprile 2015.
La vicenda ha tratto origine dalla denuncia di una dipendente la quale lamentava all’Autorità Garante la scarsità di tutela dei propri dati personali, in particolare afferenti al suo stato di salute, anche in ragione di precedenti giudizi relativi a condotte vessatorie e pregiudizievoli nei suoi confronti.
In realtà, a fronte della richiesta di informazioni formulata dall’Ufficio del Garante ai sensi dell’art. 157 del Codice Privacy, la Regione Calabria non forniva alcun elemento idoneo a riscontrare le specifiche richieste formulate. A causa del mancato riscontro alla richiesta di informazioni, l’Autorità svolgeva accertamenti presso la Regione stessa, dai cui verbali è risultato che la Regione Calabria, in qualità di titolare del trattamento:
- non ha provveduto, con particolare riferimento al Settore Organizzazione e giuridico del Dipartimento Organizzazione e personale, a designare gli incaricati del trattamento ai sensi dell´art. 30 del Codice;
- nel “Disciplinare per l’utilizzo delle risorse informatiche, di rete e software della Regione Calabria” viene data parziale attuazione solamente ad alcune delle regole sull’autenticazione informatica previste dal disciplinare tecnico in materia di misure minime di sicurezza – Allegato B) al Codice;
- le postazioni di lavoro affidate al personale possono essere utilizzate a fronte di una generale disapplicazione delle regole previste dal citato Allegato B) al Codice, in violazione degli artt. 33 e 34 del Codice”.
Dunque, previa contestazione, il Garante irrogava la sanzione ex art. 157 del Codice relativo al tardivo riscontro alla richiesta di informazioni (all’epoca prevista dall’art. 164 Codice privacy) e, in secondo luogo, dell’art. 30, in relazione al mancato rispetto delle misure minime in materia di conservazione dei dati personali (in base all’art. 162, c. 2-bis, del Codice che nella sua versione previgente al D.lgs. n. 101/2018, sanzionava il trattamento di dati personali effettuato in violazione delle misure indicate nell’art. 33, vale a dire delle misure “volte ad assicurare un livello minimo di protezione dei dati personali”).
Più in particolare, senza voler entrare nel merito delle violazioni che hanno determinato l’insorgenza dell’obbligo risarcitorio, mostrava particolare gravità la mancata designazione degli incaricati (ovvero di eventuali responsabili) del trattamento dei dati personali, nonché il mancato rispetto delle misure di sicurezza sia in relazione ai dati informatici che per i dati non informatici.
Pertanto, ai sensi dell’art. 11 della L. n. 689/1981 il Garante Privacy determinava “l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 162, comma 2-bis, del Codice, nella misura di euro 60.000,00 (sessantamila) in ragione del fatto che l’ampia disapplicazione delle misure minime di sicurezza da parte di un ente pubblico di tale livello deve essere considerata oggettivamente grave, mentre, l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 164 del Codice, nella misura di euro 20.000,00 (ventimila), poiché la mancata risposta alla richiesta di informazioni ha reso necessario un aggravio della fase istruttoria consistente anche in un accertamento ispettivo in loco, per un importo complessivo delle due sanzioni pari a euro 80.000,00 (ottantamila)”.
Il pagamento della sanzione – somma che la Procura assume quale oggetto del danno erariale – previo impegno sul bilancio da parte della Regione, avveniva nel maggio 2017.
Tanto ha indotto il Procuratore regionale della Corte dei Conti a promuovere nei confronti dell’allora Presidente di Regione il giudizio di responsabilità risarcitoria erariale che il Collegio contabile – con la sentenza n. 429 del 31/10/2019 – ha ritenuto meritevole di accoglimento, condannando il convenuto al pagamento, in favore della Regione Calabria, della somma di euro 66.000,00, oltre alle spese.
GDPR: il titolare del trattamento
Le sentenze sopracitate ci obbligano – per la rilevanza che ha l’individuazione del legittimato passivo alla richiesta di risarcimento del danno erariale – ad approfondire la qualità di titolare del trattamento dei dati personali.
Prima delle modifiche introdotte con il D.lgs. 101/2018, il Codice privacy stabiliva all’art. 4, c. 1, lett. f) – oggi abrogato – che la figura del “titolare” era qualificata come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
In palese continuità con il Codice, il Regolamento (UE) 2016/679 all’art. 4, n. 7), definisce il «titolare del trattamento» come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; […]”
Tale confronto si rende necessario al fine di affermare con chiarezza che le due definizioni sono equivalenti e che quanto è stato detto nelle sentenze sopracitate – sotto la vigenza del Codice previgente – potrà essere condivisibile anche con l’applicazione del GDPR.
Responsabilità dirigente scolastico
E’ utile a questo punto evidenziare che nella sentenza in tema di responsabilità dei Dirigenti scolastici, il Collegio contabile ha stabilito che “i capi degli istituti scolastici vedono disciplinati poteri e limiti principalmente nel d.lgs. 30 marzo 2001, n. 165, che attribuisce loro la responsabilità della organizzazione e gestione scolastica”.
In dettaglio ne sono previsti i compiti, per cui il “dirigente scolastico assicura la gestione unitaria dell’istituzione, ne ha la legale rappresentanza, è responsabile della gestione delle risorse finanziarie e strumentali e dei risultati dei servizi… con autonomi poteri di direzione, di coordinamento e di valorizzazione delle risorse umane. In particolare, il dirigente scolastico organizza l’attività scolastica secondo criteri di efficienza e di efficacia formative…” (art. 25, primo comma).
Nell’ambito “delle funzioni attribuite alle istituzioni scolastiche, spetta al dirigente l’adozione dei provvedimenti di gestione delle risorse e del personale” (art. 25, quarto comma)”.
Di conseguenza, da quanto è emerso dal giudizio l’unica responsabile della complessiva organizzazione e gestione dell’Istituto scolastico era la Dirigente scolastica in quanto sulla stessa incombevano gli obblighi di verificare la correttezza e la legittimità della circolare sottoscritta nonché di monitorarne le sorti anche nei successivi passaggi, al fine di impedirne la pubblicazione.
Responsabilità presidente Regione
Con riferimento alla responsabilità del Presidente di Regione, quest’ultimo ha eccepito in giudizio il difetto di legittimazione passiva adducendo diverse circostanze dalle quali sarebbe discesa la sua esclusione.
Il Collegio giudicante, al contrario, ha ritenuto che “in quanto legale rappresentante dell’ente (la Regione Calabria) titolare del trattamento, sul medesimo ricadeva l’attuazione degli obblighi incardinati nei confronti del titolare.” Inoltre, prescindendo dalla deliberazione regionale prodotta agli atti con la quale era stata conferita la qualifica di “titolare” proprio al Presidente della Regione, il Collegio giudicante – opportunamente – ha puntualizzato che “la titolarità dei dati non nasce da un’attribuzione volontaria, ma è determinata direttamente dalla legge nei confronti dell’entità collettiva […] tale responsabilità non discende dall’attribuzione della qualifica di “titolare”, ma proprio dalla necessità che gli obblighi (imposti, nel caso di specie, a un ente immateriale) fossero attuati dalla persona fisica rappresentante legale, attraverso cui può agire in concreto l’ente”.
Non assume pertanto rilievo l’esistenza di una serie di atti organizzativi – di rilevanza meramente interorganica – con i quali era stata attribuita la generica funzione di “tutela della privacy”, peraltro in modo promiscuo con altre funzioni (comprensive addirittura della sicurezza sul lavoro).
Tanto sta a significare, ieri con il Codice privacy previgente, oggi con l’applicazione del GDPR, che la qualità del titolare del trattamento non può essere determinata liberamente ma discende direttamente dai poteri decisionali che si esercitano sui dati.
Dirigenti e politici, che può succedere
La materia della protezione dei dati personali, rispetto al sistema normativo vigente all’epoca dei fatti oggetto delle due sentenze contabili sopracitate, è ora profondamente innovata dall’entrata in vigore (e piena applicazione) del Regolamento (UE) 2016/679 nonché del D.lgs. n. 101/2018 (che ha modificato il Codice Privacy precedente).
Non è cambiata invece – piuttosto è stata amplificata con il Regolamento – la necessità che il titolare del trattamento adotti tutta una serie di misure di sicurezza tecniche e organizzative per assicurare, ed essere in grado di com-provare (c.d. accoutability), il rispetto dei principi applicabili al trattamento dei dati personali (art. 5 GDPR).
Concludendo, i fatti rappresentati si riferiscono esclusivamente alla richiesta di risarcimento degli enti nei confronti di politici e dirigenti a seguito di sanzioni pecuniarie amministrative irrogate dal Garante Privacy. Di conseguenza, c’è da aspettarsi che ogni qualvolta il Garante avrà irrogato/irrogherà una sanzione pecuniaria amministrativa per le violazioni della disciplina in materia di dati personali, le Procure erariali promuovano dei giudizi di responsabilità innanzi ai Collegi regionali della Corte dei Conti per individuare la persona fisica che, con il proprio comportamento negligente, abbia determinato in capo all’ente la perdita patrimoniale derivante dalla sanzione.
In conclusione, c’è da porsi un’altra questione. Sappiamo che l’art 82 GDPR consente al cittadino che ritenga di aver subito un danno materiale o immateriale causato da una violazione del Regolamento, di ottenere dall’autorità giudiziaria ordinaria le proprie pretese risarcitorie nei confronti del titolare del trattamento. E’ allora legittimo chiedersi: cosa accadrà quando l’ente pubblico si troverà perfino a dover risarcire il danno cagionato ai singoli cittadini? L’ente potrà rivalersi anche in questi casi nei confronti del politico o del dirigente?
