In quanto legale rappresentante dell’ente – titolare del trattamento, sul Presidente della Regione ricade l’attuazione degli obblighi incardinati nei confronti del titolare.
Corte dei conti, sezione giurisdizionale per la Calabria, sentenza 31 ottobre 2019, n. 429, Presidente Loreto, Estensore Luberti
A margine
La procura della Corte dei conti chiede la condanna del Presidente della Regione e del dirigente preposto al dipartimento risorse umane al pagamento, rispettivamente, di euro 66.000 e 14.000, a favore dell’amministrazione, quale risarcimento per le sanzioni pagate dalla Regione per riscontro tardivo a una richiesta di informazione del Garante della privacy in ordine alle modalità di trattamento dati adottate dalla Regione (da imputare ad entrambi i convenuti) e per l’accertamento del mancato rispetto delle misure minime di tutela ai sensi degli art. 157 e 30 del d.lgs. 196/2003 nel testo ante riforma (da imputare al solo Presidente).
In particolare la vicenda riguarda l’accesso ai dati concernenti lo stato di salute di una dipendente da parte di due dirigenti, afferenti al dipartimento cui faceva capo l’imputato, accusati dalla medesima dipendente di condotte vessatorie.
Il tutto, in assenza di atti di indirizzo specifici per la gestione dei dati personali alle strutture regionali nonché della nomina del responsabile del trattamento dei dati personali e degli incaricati al trattamento da parte della giunta regionale.
La difesa del Presidente invoca l’articolo 28 del codice della privacy, che incardinerebbe la titolarità del trattamento dei dati personali in capo alla complessiva entità rappresentata dall’ente regionale per cui l’ascrizione delle relative conseguenze al Presidente, nella sua veste di legale rappresentante dell’ente, determinerebbe una responsabilità di carattere esclusivamente formale.
Il dirigente produce in giudizio una serie di atti organizzativi relativi al periodo della sanzione che attribuivano ad altri settori la responsabilità in materia di dati personali evidenziando che le richieste di informazione del Garante erano state indirizzate all’ente e che pertanto non poteva essere investito di specifici obblighi di riscontro alle stesse.
La sentenza
Quanto all’imputazione della responsabilità per la mancata adozione delle misure minime di tutela nel trattamento dati, la Corte non condivide la prospettazione del Presidente.
In particolare, il Collegio ritiene che la responsabilità dello stesso possa essere argomentata in considerazione del dato che, in quanto legale rappresentante dell’ente titolare del trattamento, sul medesimo Presidente ricadeva l’attuazione degli obblighi incardinati nei confronti del titolare, confermati, tra l’altro, dalla delibera di nomina a tale incarico.
Peraltro, la titolarità dei dati non nasce da un’attribuzione volontaria, ma è determinata direttamente dalla legge nei confronti dell’entità collettiva.
Nel caso di specie, difetta l’esistenza di un atto scritto indirizzato al “responsabile al trattamento”, così come la puntuale individuazione delle competenze specifiche dello stesso e la corretta delimitazione dei suoi poteri, nonché quell’esercizio costante di poteri di vigilanza e di istruzione previsto dalla conferente normativa.
Pertanto, non sussiste dubbio alcuno circa la responsabilità del Presidente, che ha inopinatamente omesso di adempiere agli obblighi basilari previsti dalla allora vigente disciplina in materia di dati personali.
Tali omissioni hanno spiegato un rilievo causale anche in relazione alla seconda violazione sanzionata dal Garante, consistente nella tempestiva informazione delle misure adottate in ordine alla protezione dei dati personali, oltre a essere comunque ascrivibile al Presidente della Regione nella sua qualità di rappresentante legale dell’ente.
Si sottolinea che le omissioni rilevate sarebbero state in ogni caso imputabili al convenuto anche in caso di efficace nomina del responsabile del trattamento, atteso l’esistenza di un nucleo di funzioni non delegabili.
A considerazioni diverse si addiviene in relazione alla posizione del dirigente del dipartimento risorse umane sul quale non emerge la titolarità di alcuna funzione che potesse incardinare, in capo allo stesso, l’obbligo di fornire riscontro alle richieste del Garante o la responsabilità del loro ritardo.
Infatti, tale obbligo non discendeva né dalla titolarità di uffici muniti della relativa funzione, né dall’incarico attribuito dal titolare.
Peraltro, dall’esame delle note del Garante che hanno successivamente portato all’irrogazione della sanzione per il mancato riscontro si evidenzia che le stesse sono espressamente e specificamente indirizzate alla Regione con la conseguenza che nessun onere di tempestivo riscontro poteva essere addossato al dirigente.
Piuttosto, tali compiti erano incardinati, sotto il profilo esterno, al legale rappresentante dell’ente e, come ausilio interno, ad altri specifici uffici, sicchè nessun rilievo poteva assumere la semplice circostanza che le vicende che avevano dato origine alla denuncia al Garante fossero, in senso lato, riferibili al dipartimento diretto dal convenuto.
In conclusione, il Collegio accoglie la pretesa risarcitoria erariale in relazione alle richieste presentate nei confronti del Presidente della Regione, mentre esclude quella promosse nei confronti del dirigente.
di Simonetta Fabris