Risponde di danno erariale il legale rappresentante di un ente, chiamato a pagare una somma per una sanzione irrogata dal Garante della privacy, per violazione della disciplina in materia di protezione dei dati personali.
Questo quanto deciso dalla Corte Conti – sezione giurisdizionale per la Calabria, con la sentenza n. 429 del 31 ottobre 2019, con la quale ha condannato il presidente di una regione a rifondere una somma al proprio ente, sanzionato dall’Autorità garante per la privacy per violazione delle norme sulla protezione dei dati.
In particolare, la vicenda aveva tratto origine della denuncia di una dipendente, determinata da un contratto con due dirigenti cui ascriveva una serie di condotte vessatorie e produttive di pregiudizio psico-fisico, la quale, con denuncia indirizzata al Garante, aveva lamentato la scarsità di tutela dei propri dati personali.
Tale denuncia era stata sporta all’esito di un giudizio amministrativo con cui, da ultimo, ai due dirigenti, era stato assentito l’accesso a documenti, nella disponibilità dell’ente, contenenti informazioni relative a dati afferenti allo stato di salute della dipendente, previo oscuramento della diagnosi specifica.
Gli stessi dirigenti erano stati, in precedenza, in sede giudiziaria, accusati dalla dipendente di condotte vessatorie e produttive di una serie di pregiudizi non patrimoniali.
Nel dettaglio, con la segnalazione in commento la dipendente, tramite un proprio legale, aveva lamentato l’ostensibilità dei propri dati personali in misura palesemente superiore a quella assentita dagli organi di giustizia amministrativa, esponendo in particolare che:
– la documentazione sanitaria della dipendente era conservata in un comune faldone, privo di misure di sicurezza;
– i dirigenti che avevano proposto istanza di accesso avevano, in precedenza, acceduto direttamente alla documentazione sanitaria, in modo da individuare i documenti verso cui proporre istanza di accesso ai fini della propria tutela;
– in via generale, i dirigenti del proprio dipartimento (cui apparteneva anche il settore personale) avevano libero accesso ai documenti dei dipendenti, anche ove contenenti dati attinenti allo stato di salute.
Dunque, all’esito della complessa istruttoria condotta dal Garante, lo stesso sanzionava l’ente sia per aver tardato nel fornire indicazioni in merito al caso all’attenzione, sia per non aver rispettato le misure minime in materia di conservazione dei dati personali.
Tali elementi erano ravvisati nella mancata designazione degli incaricati del trattamento dei dati personali,
nonché nel mancato rispetto delle misure di sicurezza, individuate sia in relazione ai dati informatici che per i dati non informatici.
In ogni caso, la somma corrisposta dalla PA configurava danno erariale, ascrivibile al legale rappresentante, in qualità di titolare del trattamento dei dati.
Del resto, secondo i Giudici contabili, lo stesso aveva inopinatamente omesso di adempiere agli obblighi basilari previsti dalla allora vigente disciplina in materia di dati personali.
