Con una interessante pronuncia la magistratura contabile (Corte dei Conti Sez. Giur. Valle d’Aosta Sentenza del 4 agosto 2025, n. 35) ha contribuito a ricostruire il corpus normativo in materia di tutela dei dati personali e pubblicazioni on line.
In particolare il giudizio in commento si instaura a seguito dell’irrogazione di sanzioni a carico di un Comune da parte del Garante della Privacy laddove si era accertato che le deliberazioni giuntali erano rimaste pubblicate oltre i termini di legge
Laddove, come nel caso di specie, tali delibere contengano dati identificativi della persona (nome e cognome) si configura un illecito trattamento dei dati personali.
Conseguentemente l’irrogazione delle sanzioni da parte del Garante muove dalla violazione delle disposizioni del Codice della privacy (d.lgs. 30 giugno 2003, n. 196, aggiornato dal d.lgs. 10 agosto 2018, n. 101, di recepimento del Regolamento europeo generale sulla protezione dei dati 679/2016, GDPR), anche alla luce delle indicazioni contenute nelle Linee guida in materia di trattamento dei dati personali.
Nello specifico in tale ipotesi si è registrata la violazione dei principi di necessità (ex art. 3 del Codice), di pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione rispetto alla finalità perseguita (ex artt. 3 e 11, comma 1, lett. d), del Codice).
A fronte del provvedimento sanzionatorio a carico del Comune la procura erariale valdaostana conveniva in giudizio due persone imputate pro quota per il recupero delle sanzioni irrogate all’Ente.
In particolate la contestazione in capo ai convenuti consiste nella responsabilità gravemente colposa da una parte, del Sindaco e rappresentante legale dell’Ente, per la protratta illegittima pubblicazione sul sito on line della deliberazione con la quale l’organo esecutivo aveva disposto il trasferimento “per esigenze organizzative per accertata incompatibilità ambientale” di un proprio dipendente senza oscurare i dati personali e identificativi (c.d. anonimizzazione), dall’altra parte, all’incaricato di funzioni dirigenziali per la protratta illegittima pubblicazione sul sito on line della deliberazione in qualità di responsabile del servizio.
Come anticipato in premessa il Collegio dapprima delinea il sistema normativo vigente in materia di trattamento dati e pubblicazioni on line.
In particolare vengono richiamate le regole generali per il trattamento dei dati (Titolo III) e regole ulteriori per i soggetti pubblici, di cui al Capo II, artt. 18 – 22, l’articolo 4), comma 1, lett. f), che individua il “Titolare” del trattamento dei dati, la successiva lett. f), del comma 1, dell’art. 4) che definisce il “Responsabile” del trattamento, nonché l“Incaricato” ovvero la persona fisica autorizzata a compiere operazioni di trattamento di dati personali, che coincide con il “Designato”.
Si procede poi a fornire la definizione di “dato personale”, all’enucleazione dei principi ai quali la PA deve attenersi per il trattamento dei dati, tra cui il principio di minimizzazione e di legalità affermando che la diffusione dei dati diversi da quelli sensibili e giudiziari (c.d. particolari) da parte di un soggetto pubblico era ammessa solo se prevista da una norma di legge o di regolamento (ex 19, comma 3) (c.d. “base giuridica”).
Infine si definiscono i termini di pubblicazione degli atti o documenti nei siti istituzionali individuati dalla legge, trascorsi i quali devono essere rimossi dal web o privati degli elementi identificativi degli interessati, atteso che risulta sproporzionato, rispetto alla finalità perseguita, consentirne l’indiscriminata reperibilità tramite i comuni motori di ricerca.
Dopo siffatta premessa il giudice erariale accerta la sussistenza dei presupposti della azionata responsabilità amministrativa nel mancato adeguamento (condotta omissiva) alla citata normativa “a monte”, aspetto che si ripercuote “a valle” nella modalità di trattamento dei dati conformemente alla legge.
Per di più l’amministrazione non si era adeguata alle indicazioni fornite in via preventiva dal Garante tanto da far registrare una significativa e prolungata inerzia dell’Amministrazione, con la conseguente applicazione della sanzione.
Secondo la Corte valdaostana la condotta in questione ha configurato un “danno indiretto” imputabile ai soggetti convenuti riscontrata l’esistenza del nesso eziologico fra la condotta e l’esborso sostenuto dall’Ente per il pagamento della sanzione da parte del Garante della privacy e dell’elemento soggettivo della colpa grave (grave negligenza) evincibile dalla protratta pubblicazione oltre i termini di legge ed in dispregio alle indicazioni fornite dal Garante, circostanza che configura, vieppiù, l’inescusabilità dell’errore circa la sussumibilità, ai fini dei tempi di pubblicazione, della deliberazione in questione tra gli atti di organizzazione per gli effetti degli artt. 1, 8 e 13 del d.lgs. n. 33/2013.
In conclusione si giunti alla condanna pro quota dei convenuti pure con applicazione del potere riduttivo sull’importo del danno alla stregua di una valutazione equitativa in ragione dell’entità dell’apporto causale della convenuta nell’intera vicenda.