Il Comune paga la sanzione privacy, ma il danno erariale? Cosa dice la Corte dei conti
2024-1-20 01:1:48 Author: www.cybersecurity360.it(查看原文) 阅读量:16 收藏

LA SENTENZA

La Corte dei conti di Bolzano ripartisce le responsabilità per danno erariale tra Privacy Manager e Sindaco. La questione oggetto del giudizio ha riguardato il risarcimento per indebito pregiudizio patrimoniale subito dal Comune a causa di un provvedimento del Garante Privacy emesso in seguito a violazioni GDPR. Vediamo meglio

Pubblicato il 19 Gen 2024

P

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata

Anche la Corte dei conti, con la prima sentenza dell’anno 2024 (n. 1/24), scende in campo per dire giustamente la sua, avendone competenza. La vicenda nasce da una citazione a giudizio da parte della Procura contabile al fine di accertare la sussistenza dei presupposti oggettivi e soggettivi in ordine alla responsabilità erariale nei riguardi del Sindaco del Comune di Bolzano nonché della funzionaria quale Privacy Manager.

Le circostanze di fatto

La vicenda trae origine dal provvedimento n. 190/ 2021 di natura sanzionatoria, che il nostro Garante Privacy ha irrogato al Comune di Bolzano, avendo ravvisato plurime violazioni in materia di dati personali.

Punta su una gestione dei dati evoluta per aumentare l’engagement dei clienti

Nella fattispecie, un dipendente pubblico aveva presentato un reclamo per aver scoperto, durante un procedimento disciplinare azionato nei suoi confronti, di essere stato controllato in maniera costante.

Dal canto suo, l’Amministrazione (datore di lavoro), la quale inizialmente gli aveva contestato la consultazione di Facebook e YouTube durante l’orario di lavoro, aveva poi archiviato il procedimento per “inattendibilità dei dati di navigazione raccolti”.

Insomma, tanto rumore per nulla, ma costato caro al Comune di Bolzano sanzionato con una multa di 84.000 euro per l’illecito trattamento dei dati del personale per la violazione degli artt. 5, par. 1, lett. a) e c), 8, 9, 35, 13 e 88 del GDPR nonché degli artt. 113 e 114 dell’attuale Codice privacy.

Il Comune di Bolzano ha pagato la sanzione, seppure in misura ridotta della metà (42.000,00 euro).

Successivamente, la Procura Regionale ha chiamato in giudizio avanti alla Corte dei conti, funzionario e sindaco per sentirli condannare al ristoro dei danni, in favore del Comune, avanzando una pretesa risarcitoria della somma rispettivamente di euro 12.600,00 e 6.300,00, oltre interessi e spese legali.

A sostegno di ciò, l’Organo requirente in particolare evidenziava testualmente che “i due presunti responsabili nella loro qualità di titolare del trattamento dei dati e di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali […] non si sarebbero attivati per verificare la conformità della disciplina regolamentare interna […] e non sarebbero intervenuti per eliminare le forme di trattamento dei dati personali illeciti”.

Tale inerzia, a giudizio della Procura contabile, “sarebbe gravemente colposa in quanto non riguarderebbe singoli episodi, ma una costante, perdurante violazione della normativa della privacy relativamente a due tipologie di trattamenti massivi di dati”.

In pratica, la tesi accusatoria ha inteso punire le condotte, reiterate nel tempo, non affatto conformi al GDPR, e la non conformità ha determinato l’illiceità del trattamento, fatto penalmente rilevante.

Sulla quantificazione del danno e alla raccolta dei log

Stando sempre alle circostanze fattuali, con riferimento alla quantificazione del danno, la Procura ha fatto presente che i convenuti avevano specifici compiti in materia di tutela della riservatezza con un connesso potere/dovere di attivarsi. Per questi motivi, i requirenti sostengono una ripartizione dei danni pro quota nella misura del 50%.

Sulla raccolta log invece è stato precisato che esisteva una generale informazione su la stessa e che veniva effettuata “al solo fine di garantire la sicurezza dei dati da attacchi esterni e che la stessa comunque non consentiva di fatto alcun monitoraggio sulle navigazioni web dei dipendenti, essendo risultati i dati raccolti non attendibili” come si legge in sentenza.

Poi, mette in conto evidenziare ancora che i rischi, poi palesatisi, di usi impropri della navigazione in Internet, erano prevedibili e trattabili se non prima, dopo a maggior ragione che già il citato provvedimento del Garante, rimarcava questo tipo di esigenza.

Di qui, la sanzione dovuta a un’evidente carenza di misure tecniche e organizzative volte a:

  1. anonimizzare il dato relativo alla postazione di lavoro dei dipendenti;
  2. cancellare i dati personali presenti nei log di navigazione web registrati;
  3. aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Sulle posizioni giuridiche di Sindaco e Funzionaria, in termini di protezione dati

Nel merito, è stato fatto presente come sia il Sindaco a dover essere qualificato per legge titolare del trattamento dei dati, e in quanto tale tenuto (come ha fatto) a dotarsi di un’idonea struttura organizzativa volta a individuare i responsabili dei trattamenti e annessi autorizzati/designati, non dovendosi né potendosi occupare in prima persona degli aspetti tecnici legati alla tutela della privacy.

Anzi, esattamente come aveva riconosciuto lo stesso Garante, il Sindaco aveva riposto un legittimo affidamento “nella liceità dei trattamenti posti in essere, avendo assolto agli obblighi previsti dalla disciplina di settore, stipulando fin dal 2020 un accordo con le organizzazioni sindacali”. Non era tenuto a fare di più.

Per contro, la funzionaria nominata Privacy manager, costituitasi in giudizio, chiedeva il rigetto della domanda azionata dal Procuratore regionale in quanto a parere del Collega che l’ha difesa, non sarebbero risultati “integrati gli elementi della responsabilità amministrativa e del danno alla finanza pubblica”.

A sostegno di ciò, oltre a sostenere di non avere alcun potere di verifica circa i trattamenti dei dati posti in essere dai vari uffici, segnalava in particolare un suo ruolo assolutamente marginale come Privacy Manager (“coordinatore interno delle attività di adeguamento al GDPR”), non avendo alcun potere di intervento diretto.

Pertanto, sosteneva la tesi della “insussistenza del nesso di causalità tra la condotta contestata e il danno patito dall’ente e l’assenza della colpa grave” circostanza invece riconosciuta dal Garante.

Sulla marginalità del ruolo, merita un breve approfondimento. È noto che ogni Organizzazione specie se strutturata, è bene che, per ragioni di accountability, definisca un modello organizzativo posto a presidio di questi temi.

Tuttavia, il vero problema risiede ancora nel vedere in atto una gestione della privacy in modo ancora troppo formale piuttosto che sostanziale. Qui sta la criticità reale.

Tornando al caso di specie, parlare del tanto “impegno profuso…” di fatto in concreto consistente nel “caricamento sulla intranet di modelli informativi e di schemi di atti e organizzazione della formazione in materia” denota ancora una volta un approccio da “passacarte” anziché compliance cioè acquiescente come dovrebbe invece essere.

Le considerazioni in diritto

Le motivazioni in diritto sono molteplici e ben argomentate, ragione per la quale meritano di essere trattate separatamente.

Il ristoro dell’indebito pregiudizio patrimoniale

Il risarcimento dei danni subiti dal Comune di Bolzano in conseguenza della sanzione privacy rappresenta il cuore del giudizio. Soffermiamoci, dunque. Ripercorrendo le motivazioni della sentenza, la Corte dei conti dopo aver messo in luce il carattere presuntivo del provvedimento del Garante (pur non assurgendo a sentenza passata in giudicato) ritiene la linea difensiva del tutto destituita di fondamento.

Quindi, in buona sostanza, rileva che:

  1. un’informazione sulla raccolta log inadeguata, in considerazione della sua genericità;
  2. delle finalità irrilevanti;
  3. una conservazione di informazioni, ancorché parziali e imprecise, sui siti internet visitati dai dipendenti lesiva del diritto alla loro riservatezza.

Insomma, buchi di adeguamento al GDPR importanti, e non a caso pesantemente sanzionati (per essere una PA) dal Garante Privacy.

Le posizioni del Sindaco e della funzionaria, con rispettive responsabilità

Nel merito, il Collegio giudicante è stato chiamato ad accertare “la sussistenza dei presupposti, oggettivi e soggettivi, della responsabilità contabile nei confronti del sindaco quale legale rappresentante titolare del trattamento dei dati dell’ente e nei confronti del funzionario responsabile dei procedimenti amministrativi in materia di protezione dei dati personali”.

Con riferimento al sindaco, in quanto legale rappresentante dell’ente – Comune di Bolzano, va correttamente qualificato come titolare del trattamento dei dati ex art. 24 GDPR. In quanto tale, non poteva altro che stabilire finalità e mezzi, come ha fatto. Nel caso di specie, l’ampiezza dei compiti al medesimo affidati evidentemente non poteva ritenere sussistente un ulteriore “obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 4 settembre 2015, n. 151” (sulle pari opportunità nel mondo del lavoro).

In pratica, sul sindaco/titolare a tutto concedere, può ricadere astrattamente un obbligo giuridico ovvero una posizione di garanzia e quindi “una condotta omissiva eziologicamente ricollegabile al danno derivato al comune dall’avvenuta irrogazione di una sanzione”. Ma questo in linea solo teorica.

In concreto, invece, vengono in luce altri fattori, tra cui la dimensione e la complessità dell’Ente pubblico. Quindi vale sempre il principio del “caso per caso”.

Per tali motivi, il Collegio ritiene “non sussistente il requisito della colpa gravesul Sindaco.

Diversa, invece, si è palesata la posizione della funzionaria quale responsabile dei procedimenti amministrativi in materia di protezione dei dati personali, poi Privacy Manager.

I giudici contabili infatti, nei suoi riguardi, ravvisano una colpa grave omissiva per non essersi attività, stante la nomina che le imponeva di verificare la conformità normativa; di talché è stato ritenuto provato e sussistente l’elemento psicologico della “colpa grave” a fortiori che gli episodi contestati peraltro già dal provvedimento del Garante, non sono stati né sporadici né irrilevanti in termini di protezione dati. Infatti, erano relativi a tipologie di trattamento dati massivo le quali, per ampiezza e generalità dei destinatari (vale a dire l’intero personale del Comune), non potevano non essere conosciute.

Un insegnamento per tutti

In conclusione, il Collegio giudicante ritiene meritevole di accoglimento soltanto la pretesa risarcitoria esercitata nei confronti della funzionaria/privacy manager assolvendo appieno il Sindaco, da ogni responsabilità di tipo erariale.

L’insegnamento per tutti risiede, allora, in un approccio diverso: comanda il contesto e, per conseguenza, la complessità dello stesso, senza mai dimenticare che, in virtù del principio di accountability, ognuno avrà sempre la sua parte da dover “rendicontare”.

Scopri quali applicazioni ti servono per un Customer Service eccellente

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/il-comune-paga-la-sanzione-privacy-ma-il-danno-erariale-cosa-dice-la-corte-dei-conti/
如有侵权请联系:admin#unsafe.sh