IN POCHE PAROLE …
Della violazione delle regole in materia di privacy risponde ilfunzionario responsabile dei procedimenti in materia di protezione dei dati personali e non il Sindaco
Le decisioni del Garante, pur non non potendo essere equiparati a senenzasentenza, hanno valore presuntivo circa l’oggettiva sussistenza della violazione contestata, data la competenza specifica del soggetto emanante.
Della violazione delle regole in materia di privacy risponde il funzionario responsabile dei procedimenti in materia di protezione dei dati personali e non il Sindaco, rappresentante legale del titolare del trattamento dei dati
I compiti e le connesse responsabilità del titolare dei dati personali sono individuati dal legislatore eurounitario e nazionale in modo ampio a tutela del privato leso nei confronti del titolare-persona giuridica.
Nel momento in cui la responsabilità deve riverberarsi sulla persona fisica/legale rappresentante dell’Ente, non può non tenersi conto delle dimensioni dell’Amministrazione, della molteplicità dei compiti assegnati al Sindaco di un grosso Comune, della tecnicità della materia e soprattutto dell’avvenuta predisposizione o meno di un’organizzazione potenzialmente idonea.
A margine
Il caso – La Corte chiama in giudizio il Sindaco di un grosso Comune in qualità di “titolare” e il funzionario “responsabile” del trattamento dei dati personali, per condannarli al pagamento a favore dello stesso, del danno erariale corrispondente alla sanzione irrogata dal Garante per la privacy, per avere:
- trattato i dati personali dei dipendenti, relativi alla navigazione in internet, in assenza dei presupposti e di idonea informativa;
- adottato una modulistica per la fruizione del servizio di assistenza psicologica non conforme al quadro normativo, perché comportante la conoscenza di dati sullo stato di salute dei dipendenti da parte dei soggetti delegati allo svolgimento delle funzioni datoriali.
I due presunti responsabili non si sarebbero infatti attivati per:
- verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 4 settembre 2015, n. 151;
- eliminare le forme di trattamento di dati personali illecite.
Secondo la Procura, la condotta dei due soggetti sarebbe connotata da colpa grave per via di una costante e perdurante violazione della normativa in materia di privacy relativamente a talune tipologie di trattamenti massivi a loro necessariamente note.
Il titolare del trattamento, ovvero il Sindaco, rappresenta, a propria difesa, che, alla sua figura erano state affiancate quelle del responsabile e dell’incaricato, e che, a seguito dell’entrata in vigore del GDPR 2016/679, l’Ente aveva diramato le necessarie informative, adottato il nuovo registro dei trattamenti, nonché nominato il responsabile della protezione dei dati e il Privacy Manager.
Il responsabile evidenzia invece, che, non essendo stato inquadrato come dirigente, non gli competeva alcun potere di adozione di atti e provvedimenti. Rimarca l’assenza di alcun potere di vigilanza rispetto all’attività svolta dai singoli uffici, presidiati dai rispettivi dirigenti incaricati. Segnala, in ultimo, di aver svolto le funzioni di Privacy Manager, tradottosi in un ruolo di mero coordinamento, solo dopo un prolungato periodo di assenza, senza disporre di autonomi poteri di intervento.
La sentenza
La Corte fa presente che gli atti emanati dal Garante, pur non potendo essere equiparati ad una sentenza passata in giudicato, assumono un valore presuntivo circa l’oggettiva sussistenza della violazione, data la competenza specifica del soggetto emanante.
Rileva inoltre che sul legale rappresentante dell’ente, ovvero sul Sindaco, in qualità di titolare del trattamento dei dati, ricade l’attuazione degli obblighi previsti per tale figura, tra i quali rientra ogni decisione in merito alle modalità del trattamento dei dati personali e agli strumenti da utilizzare.
Il titolare, pertanto, avrebbe dovuto attivarsi per verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 4 settembre 2015, n. 151.
Nel caso specifico, tuttavia, per la valutazione delle conseguenti responsabilità, non può non tenersi conto delle dimensioni dell’ente, della molteplicità dei compiti assegnati al Sindaco di un grosso Comune, della tecnicità della materia e soprattutto dell’avvenuta predisposizione di un’organizzazione potenzialmente idonea.
Diversa è, invece, la posizione del funzionario responsabile dei procedimenti in materia di protezione dei dati personali, in seguito nominato “Privacy Manager”, col compito di approvare gli schemi di atti obbligatori e di linee guida, e il documento programmatico della sicurezza, nonché di predisporre le modifiche al regolamento per il trattamento dei dati sensibili e giudiziari.
Conclusioni
La Corte sottolinea che il responsabile del trattamento, seppur funzionario e non dirigente, era intestatario di pregnanti compiti in materia di privacy, inerenti non solo l’ufficio di appartenenza, ma l’intera amministrazione comunale, dato che la struttura in cui lo stesso era incardinato, era stata individuata come quella preposta all’attuazione della normativa in materia di privacy.
I comportamenti oggetti di sanzione si sarebbero potuti evitare attraverso un maggiore coordinamento, l’aggiornamento delle direttive, l’analisi della normativa e delle novelle intervenute.
La condotta del responsabile è connotata da colpa grave, posto che gli episodi presi in considerazione dal garante non sono singoli, ma relativi a due tipologie di trattamento massivo dei dati che, per l’ampiezza e la generalità dei destinatari (l’intero personale del Comune), non potevano non essere note.
Ma vi è di più. La Sezione evidenzia come non sia stato adeguatamente considerato l’apporto causale degli altri soggetti coinvolti, ovvero l’apporto dei dirigenti dei settori che hanno effettuato i trattamenti massivi dei dati.
Alla luce di ciò, la Corte proscioglie il Sindaco/legale rappresentante e titolare del trattamento, mentre riduce la misura del danno a carico del funzionario, tenuto conto, tra l’altro, dell’operato degli altri soggetti che hanno causalmente contribuito al trattamento dei dati ritenuto illecito e sanzionato.
Stefania Fabris