Non ci sono più scuse: non adeguarsi alle prescrizioni dell’Autorità Garante per la protezione dei dati può costare caro alle tasche di un dirigente. Così ha deciso la Corte dei Conti, sezione giurisdizionale per la regione Valle d’Aosta, con la sentenza n. 36 del 12 agosto 2025.

Una sentenza che fa riflettere per quanto non si tratti di un caso isolato, esistendo già un precedente in tal senso.

Ma capiamo meglio di che si è trattato e il perché.

I principi di diritto

Costituisce danno erariale indiretto il caso in cui una Pubblica Amministrazione paga una sanzione per trattamento illecito dei dati personali irrogata dal Garante della Privacy – che nella fattispecie ammontava a oltre 100mila euro – a seguito della condotta gravemente colposa di un dirigente pubblico consistita nel non rispettare la prescrizione dell’Autorità medesima.

Questo il cuore della sentenza in parola. Ma andiamo con ordine, partendo dalle circostanze fattuali.

La sentenza in disamina pone l’attenzione anche su altri aspetti. Anzitutto sulla “centralità della funzione dirigenziale” dal momento che il facente funzioni dirigenziali vieppiù preposto alla pubblicazione degli atti, “non può limitarsi a rivendicare la legittimità delle prassi esistenti, ma ha il dovere di conformarsi attivamente alle prescrizioni dell’Autorità, adottando misure concrete di adeguamento”.

Poi, mette ordine sul rapporto tra le due materie privacy e trasparenza. In questo caso la privacy prevale sulla trasparenza, e più in generale ogniqualvolta “la pubblicazione online di provvedimenti riguardanti dipendenti (nel caso di specie: “trasferimenti per incompatibilità ambientale”) non rientra nella categoria degli atti di organizzazione da rendere disponibili integralmente per cinque anni ai sensi del d.lgs. 33/2013”.

Alla base di tutto risiede un bilanciamento di diritti/principi, e in particolare tra quello di necessità e proporzionalità della diffusione dei dati personali, con obbligo di limitare i tempi di pubblicazione, anonimizzando gli atti ove possibile, e la trasparenza che risponde ad altri criteri.

I fatti

I fatti di causa sono più articolati se leggiamo con attenzione la sentenza, perché vedono protagonisti nella vicenda tre attori: l’allora Presidente nonché legale rappresentante della Regione Valle d’Aosta, poi deceduto e due dirigenti di cui uno poi uscito di scena scegliendo il rito abbreviato.

Pertanto, ci concentriamo – così come ha fatto la Corte dei Conti – sul solo funzionario pubblico che all’epoca dei fatti “era preposto proprio alla gestione effettiva dei trattamenti concernenti le deliberazioni della Giunta regionale”.

Nel merito, come si legge testualmente in sentenza “a monte […], si colloca il provvedimento del Garante n. 182/2015 del 26 marzo 2015, contenente due prescrizioni: con la n. 1 si vietava alla Regione Valle d’Aosta di diffondere ulteriormente in Internet, tramite il sito web istituzionale, i dati personali contenuti nella deliberazione della Giunta regionale n. 1016 del 7 giugno 2013; con la n. 2 si prescriveva alla Regione Valle d’Aosta di conformare la pubblicazione di atti e documenti alle disposizioni del Codice della privacy, tenute presenti le indicazioni contenute nelle Linee guida in materia di trattamento dei dati personali”.

Di qui, l’illecito trattamento.

Ancora, sempre in sentenza si legge che “più precisamente, la scansione temporale dei fatti [ndr ha previsto che] in data 7 giugno 2013 veniva pubblicata – senza anonimizzazione dei dati personali e identificativi della persona oggetto del provvedimento – la deliberazione di Giunta regionale n. 1016, che disponeva il trasferimento “per esigenze organizzative per accertata incompatibilità ambientale” di un dipendente regionale; in data 18 settembre 2013 il Garante della privacy […] a seguito di segnalazione da parte dello stesso dipendente, richiedeva alla Regione chiarimenti in merito ai presupposti di legittimità relativi alla pubblicazione dei dati personali in questione ai sensi degli artt. 11, comma 1, lett. a), e 19, comma 3, del Codice della privacy, nonché, più in generale, in relazione all’osservanza dei principi di necessità (art. 3 del Codice), di pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione rispetto alla legittima finalità perseguita (artt. 3 e 11, comma 1, lett. d), del Codice)”

Nel marzo del 2015 il Garante della privacy dichiarava l’illiceità della diffusione dei dati personali.

Ma il dirigente non ottemperava alle prescrizioni dell’Autorità, persistendo nella pubblicazione di informazioni (ex) sensibili sul sito istituzionale dell’Ente.

La decisione della Corte dei Conti

La Corte dei Conti con ampie e interessanti argomentazioni arriva a sostenere che esista nel caso di specie il “nesso eziologico” fra la condotta omissiva del dirigente e quanto pagato successivamente dalla Regione.

Non a caso, infatti, se la Regione per il tramite del dirigente avesse posto rimedio nei termini richiesti dal Garante, dando adempimento integrale alle prescrizioni impartite, non ci sarebbe stata la sanzione pecuniaria poi regolarmente onerata dalla Regione, e quindi il danno erariale indiretto di cui si discute.

La condotta del dirigente è con tutta evidenza ascrivibile, come scrivono i giudici, alla colpa grave, in quanto perpetrata/ripetuta, sostanziandosi “ingiustificata e colpevole resistenza opposta alle prescrizioni e alle contestazioni formulate dal Garante medesimo allo scopo della riconduzione a liceità dei trattamenti dei dati personali contenuti nelle deliberazioni della Giunta regionale pubblicate sul sito web della Regione”, come leggiamo in sentenza.

Il quantum ridotto per via del “problema sistemico”

É interessante ancora annotare che la Corte dei Conti nel quantificare il danno erariale (indiretto) parte da un quanto di euro 25.000,00 che di fatto poi riduce del 30% in meno e quindi per un ammontare di euro 8.000,00.

Questo perché ha riscontrato “l’esistenza di un problema sistemico, presso la Regione Valle d’Aosta, sul tema della tutela dei dati personali in relazione ai provvedimenti amministrativi, in specie quelli adottati dalla Giunta regionale, almeno nel periodo temporale preso in considerazione”.

Un insegnamento per tutti

L’insegnamento per tutti risiede, allora e in generale, nell’evitare comportamenti omissivi/passivi peggio ancora contrastanti e irrispettosi dei provvedimenti dell’Autorità Garante, non essendo bene né conveniente prenderli sottogamba. Infatti, chi – l’Ente/dirigente – non ottempera alle prescrizioni del Garante privacy, ci rimette di tasca propria.