Perché (come era prevedibile) una eventuale sanzione del Garante si può trasformare in una richiesta di danno erariale in capo al funzionario che non ha rispettato – o fatto rispettare – la disciplina.
Due sentenze della Corte dei Conti – relative al “vecchio” Codice Privacy, ma i cui principi potranno trovare applicazione anche (e a maggior ragione) con il GDPR – permettono di sviluppare un ragionamento intorno a tale tema.
Analisi delle decisioni
1. Corte dei Conti, Lazio, 28/05/2019, n. 246
La sentenza prevede la condanna del Dirigente scolastico di un Istituto Professionale al pagamento della somma di euro 7.500,00 a favore dello stesso Istituto, condannato dal Garante al pagamento di sanzione in conseguenza dell’avvenuta pubblicazione sulla rete internet di una circolare scolastica contente dati idonei a rivelare lo stato di salute di studenti minori di età ed affetti da disabilità.
La responsabilità della dirigente viene valutata dalla Corte in ragione del fatto che la stessa non aveva prescritto alcun divieto di pubblicazione né aveva svolto nessun controllo affinché la circolare stessa non venisse pubblicata sul sito web della scuola, configurando questo con un “comportamento gravemente negligente”.
2. Corte dei Conti, Calabria, 31/10/2019, n. 429
La seconda sentenza riguarda il Presidente della Regione Calabria.
Il fatto trae origine dalla denuncia di una dipendente la quale lamentava all’Autorità Garante la scarsità di tutela dei propri dati personali; a fronte del silenzio della Regione Calabria alle richieste del Garante quest’ultimo decideva di svolgere una ispezione da cui risultava che
- non erano stati nominati gli incaricati (ai sensi dell’art. 30 del Codice)
- le regole di autenticazione informatica erano parzialmente attuate
- le postazioni di lavoro affidate al personale potevano essere utilizzate disapplicando le regole previste dal citato Allegato B) del Codice
- non erano rispettate le misure minime sulla conservazione dei dati
Ne scaturiva una sanzione di 80.000 euro (provvedimento n. 199 del 2 aprile 2015); a fronte della stessa veniva aperta una procedura per danno erariale in capo al presidente della regione che veniva condannato a pagare 66.000 euro.
Molto interessante l’argomentazione della Corte dei Conti che, in relazione alla difesa del Presidente circa il fatto che i profili privacy non potessero essere direttamente addebitabili a lui, precisa quanto segue.
“la titolarità dei dati non nasce da un’attribuzione volontaria, ma è determinata direttamente dalla legge nei confronti dell’entità collettiva […] tale responsabilità non discende dall’attribuzione della qualifica di “titolare”,
In sostanza è Titolare chi ha potere decisionale sui dati.
Che cosa fare
Oggi il quadro legislativo è mutato.
Senza dubbio un profilo di responsabilità diretta in capo a chi rappresenta l’ente che è Titolare del trattamento dei dati (ad es. il Direttore Generale di una ASL) è indiscutibile, anche alla luce del GDPR.
Ma è altrettanto vero che il principio dell’accountability (art. 5 del (GDPR stesso) chiama ad organizzare un sistema privacy per la corretta gestione del dato: da ciò deriva la possibilità gestire ed organizzare un sistema di deleghe di funzioni e poteri in materia di protezione dei dati all’interno di una struttura complessa che possono diminuire il profilo di “colpa grave” richiesto per configurare il danno erariale.
Resta cardine però un tema: non basta “organizzare”, occorre “controllare”.
In altre parole: la protezione dei dati del GDPR non è un insieme di procedure sulla carta, ma è un “modo” di gestire il dato; ne deriva che oltre a capire come si gestiscono i dati occorre porre in essere sistemi che consentono di controllare se, nella pratica, l’architettura costruita è stata concretamente attuata.