Amministratori

Le sanzioni pecuniarie del Garante Privacy costituiscono danno erariale

di Katia Sirizzotti

Deve rifondere 66 mila euro a titolo di danno erariale il Presidente della Regione che ha pagato una sanzione irrogata dal Garante della privacy per la violazione della disciplina in materia di protezione dei dati personali. Cosi ha affermato la Corte Conti, sezione Giurisdizionale Calabria, con la sentenza n. 429/2019.
La pronuncia aderisce all’univoco orientamento della giurisprudenza contabile, registrato nel 2019,  che ritiene sussistere la responsabilità amministrativa in capo ai dirigenti - ed ora anche ai rappresentanti politici – in tali ipotesi.
Secondo la Corte, le violazioni che hanno determinato l’insorgenza dell’obbligo risarcitorio si ricollegano ad una serie di comportamenti omissivi, violativi degli obblighi di servizio e connotati quantomeno dalla colpa grave, tutti riconducibili al fatto del Presidente della Regione.
Nel caso di specie è stata contestata la mancata adozione di atti specifici di indirizzo per la gestione dei dati personali da parte della Giunta, la mancata designazione degli incaricati del trattamento, il mancato rispetto delle misure di sicurezza minime di cui all’Allegato B) al Codice sia per i dati fisici che per gli informatici, il mancato riscontro alle richieste di informazioni del Garante.  In buona sostanza, la mancanza delle “elementari” cautele idonee a tutelare la riservatezza degli interessati.
Irrilevante la circostanza che con atto di Giunta il Presidente sia stato individuato quale “titolare” del trattamento. “Può essere delegata la concreta responsabilità del trattamento (e la posizione di “responsabile”)” non la titolarità del trattamento che nasce ed è incardinata dalla legge nell’ente.
La responsabilità del Presidente della Regione discende allora “… proprio dalla necessità che gli obblighi (imposti, nel caso di specie, a un ente immateriale) fossero attuati dalla persona fisica rappresentante legale, attraverso cui può agire in concreto l’ente.”
Non consente una diversa conclusione nemmeno la circostanza che la generica funzione di “tutela della privacy” sia stata attribuita ad altro soggetto, peraltro in modo promiscuo con altre funzioni. Gli atti organizzativi di tal segno debbono essere scritti, indirizzati al responsabile nominato e contenere la puntuale individuazione delle competenze specifiche e la corretta delimitazione dei suoi poteri.
Le omissioni rilevate sarebbero state comunque imputabili al Presidente della Regione anche in caso di efficace nomina del responsabile, attesa l’esistenza di un nucleo di funzioni non delegabili” che risiedono nei poteri di vigilanza e di istruzione che debbono essere esercitati costantemente.
Dacchè il rigetto della tesi difensiva secondo cui non sarebbero individuabili concrete responsabilità di gestione del trattamento dei dati personali in capo al Presidente della Regione, a cui sarebbero invece, ascritte, funzioni di esclusivo carattere politico.

Per saperne di piùRiproduzione riservata ©