Carmela D.
Protezione dati personali, la Corte dei Conti con ordinanza di ingiunzione numero 1 del 2024, in un controverso caso che pone il focus sul principio di accountability, condanna il privacy manager assolvendo il titolare del trattamento, ovvero il Sindaco del comune di Bolzano il quale provvedeva al pagamento in misura ridotta della sanzione comminata dal Garante Privacy.
Il caso
Il giudizio trae origine dal pagamento in misura ridotta della sanzione inflitta al comune di Bolzano dal Garante per la protezione dei dati personali, per violazioni del Regolamento europeo sulla protezione dati personali e del codice della privacy.
La Procura contabile ritiene colposa l’inerzia dei responsabili, dividendo il danno tra di loro. Il dott. X. contesta il monitoraggio del traffico web dei dipendenti e sostiene di aver adottato misure conformi alle normative, mentre la dott.ssa K. nega responsabilità dirigenziali e sostiene di non avere poteri di vigilanza.
La Procura continua con il procedimento legale.
Protezione dati personali e violazione degli stessi, la difesa del sindaco
La difesa del dott. X. ha presentato una memoria di costituzione chiedendo il rigetto della domanda o, in via subordinata, una rideterminazione del danno considerando le responsabilità dei funzionari coinvolti e dell’ufficio organizzazione e formazione.
Contesta l’illegalità del trattamento dati da parte dell’amministrazione, sostenendo che la raccolta dei log era per la sicurezza dei dati, non per monitorare i dipendenti. Sottolinea che il Sindaco non è tenuto a gestire direttamente la privacy, ma a delegare tali compiti. Contesta la quantificazione del danno e la presunta colpa grave, poiché il Garante ha riconosciuto la liceità dei trattamenti.
Protezione dati personali e loro violazione, la difesa della privacy manager
La dott.ssa K., con atto di costituzione in giudizio, ha chiesto il rigetto della domanda del Procuratore regionale, affermando di essere estranea alle condotte omissive contestate. Ha sottolineato di essere stata solo un funzionario dell’Ufficio organizzazione e formazione, senza poteri decisionali sui trattamenti dati.
Ha contestato il nesso causale tra la sua condotta e il danno all’ente, e ha evidenziato il suo impegno nel settore della privacy. Contestata anche la quantificazione del danno, sottolineando il lungo periodo di assenza per malattia e altri fattori. L’udienza ha confermato le posizioni delle parti, e il caso è stato posto in decisione.
Leggi anche —> Sequestro preventivo: l’assenza di motivazione del periculum in mora costituisce annullamento decreto cautelare
Protezione dati personali e pregiudizio economico subito dal comune di Bolzano
Oggetto del caso in questione è il risarcimento del danno patrimoniale subito dal Comune di Bolzano a seguito della sanzione inflitta dal Garante per violazioni della disciplina sulla protezione dei dati personali. Gli atti del Garante, sebbene non equiparabili a sentenze definitive, hanno un valore presuntivo riguardo alla violazione, supportato dalla documentazione presentata dal PM contabile.
Le difese dei convenuti sono considerate poco convincenti, in quanto l’informazione fornita ai dipendenti sulla raccolta dei log è considerata insufficiente e la non attendibilità dei dati raccolti non esclude la lesione della riservatezza.
Nel merito, si valuta la responsabilità contabile dei convenuti. Per quanto riguarda il dott. X., come rappresentante legale del comune, si ritiene che avesse l’obbligo di garantire la conformità alle normative sulla protezione dei dati. Tuttavia, considerando la complessità delle mansioni e la mancanza di predisposizione di un’organizzazione adeguata, non si ravvisa la colpa grave, soprattutto perché il Garante ha riconosciuto che il titolare del trattamento ha confidato nella liceità dei trattamenti.
Invece, per la dott.ssa K., che ha ricoperto incarichi importanti in materia di privacy, si ritiene che avesse l’obbligo di vigilare sul rispetto delle normative e che la sua condotta omissiva abbia contribuito al danno subito dall’ente.
Nonostante la sua difesa affermi la sua estraneità rispetto alle responsabilità contestate, i suoi compiti indicano il contrario. Le argomentazioni sulla mancanza di nesso causale e colpa grave non sono accettate, poiché le omissioni sono chiaramente collegate alle violazioni e sono rilevanti data la natura massiva dei trattamenti dati. Infine, le obiezioni sulla quantificazione del danno sono in parte valide, poiché non si è tenuto sufficientemente conto delle varie cause che hanno contribuito al danno.
Le conclusioni della Corte
La sentenza della Corte dei Conti presenta un’interpretazione singolare della responsabilità per il trattamento dei dati, esonerando il Sindaco pro tempore da ogni responsabilità per aver delegato la gestione della privacy a un funzionario comunale.
Questo contrasta con l’orientamento del Garante privacy, che promuove una gestione consapevole dei dati e della protezione dati personali. La sentenza solleva preoccupazioni riguardo alla delega di responsabilità in materia di privacy.
Infine, La sentenza rigetta la richiesta contro il dott. X., assegnando le spese legali a suo favore, mentre parzialmente accoglie la richiesta contro la dott.ssa K., condannandola a pagare €4.200,00 oltre agli interessi legali al comune di Bolzano. La dott.ssa K. è anche condannata a pagare le spese legali, quantificate in €260,96.
