|
ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
La Corte dei Conti, Sezione giurisdizionale di Bolzano, con una recente sentenza (nr. 1/24) che non mancherà di riaccendere il dibattito sull’applicazione giurisprudenziale del principio di accountability, assolve il Sindaco del Comune di Bolzano che ha pagato in misura ridotta la sanzione comminata dal Garante privacy e condanna invece il funzionario, investito del ruolo di privacy manager, a risarcire quota parte della sanzione.
Fatto
Il giudizio trae origine dall’avvenuto pagamento (seppur in misura ridotta) della sanzione irrogata dal Garante per la protezione dei dati personali al comune di Bolzano con provvedimento n. 190 del 13 maggio 2021, per la violazione dell’art. 5, par. 1, lett. a) e c), 8, 9, 35, 13 e 88 del Regolamento europeo n. 2016/679 (“gdpr”), nonché degli artt. 113 e 114 del codice della privacy, avendo il Comune posto in essere trattamenti di dati personali dei dipendenti relativi alla navigazione in internet, in assenza dei presupposti e di idonea informativa, e adottato una modulistica per la fruizione del servizio di assistenza psicologica non conforme al quadro normativo in quanto prevedeva la conoscenza di dati personali sullo stato di salute dei dipendenti da parte dei soggetti delegati allo svolgimento delle funzioni datoriali.
In particolare, segnalava che i due presunti responsabili nella loro qualità, rispettivamente, di titolare del trattamento dei dati e di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali e, dal 25 maggio 2018, Privacy Manager, non si sarebbero attivati per verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 14 settembre 2015, n. 151, neanche a seguito della pronuncia del Garante del 13 luglio 2016 (Trattamento dei dati dei dipendenti mediante posta elettronica e altri strumenti di lavoro), e non sarebbero intervenuti per eliminare le forme di trattamento dei dati personali illeciti neppure in sede di adozione delle “Linee guida per le procedure di adeguamento del GDPR 2016/679”.
La descritta inerzia, a giudizio della Procura contabile, sarebbe gravemente colposa in quanto non riguarderebbe singoli episodi, ma una costante, perdurante violazione della normativa della privacy
relativamente a due tipologie di trattamenti massivi di dati, noti necessariamente agli odierni convenuti in considerazione della generalità dei destinatari.
Controdeduzioni del Sindaco
Il Sindaco, a seguito di invito a dedurre, rilevava che il trattamento del traffico di rete non consentiva alcun monitoraggio sulle navigazioni web dei dipendenti, essendo risultati i dati raccolti non attendibili. Osservava, poi, che alla figura del titolare del trattamento dei dati erano state affiancate, già dal 2004, quelle del responsabile e dell’incaricato e che, dal 2018, a seguito dell’entrata in vigore del GDPR, erano state emesse le necessarie informative, adottato il nuovo registro dei trattamenti e nominati il responsabile della protezione dei dati e il Privacy Manager.
La difesa del Sindaco si basava sulle asserite responsabilità dei funzionari responsabili del trattamento negli ambiti oggetto di sanzione e dell’ufficio organizzazione e formazione.
Pur avendo il Comune provveduto al pagamento della sanzione (in misura pari alla metà della sanzione comminata ai sensi dell’art. 166, comma 8, del Codice), il Sindaco ha preliminarmente contestato l’asserita illiceità e antigiuridicità del trattamento dei dati da parte dell’Amministrazione, non potendosi attribuire alla sanzione inflitta dal Garante, contrariamente a quanto argomentato dalla Procura, alcun valore di statuizione.
Nel merito ha poi precisato che esisteva una generale informazione sulla raccolta dei log e che detta raccolta era effettuata al solo fine di garantire la sicurezza dei dati da attacchi esterni e che la stessa comunque non consentiva di fatto alcun monitoraggio sulle navigazioni web dei dipendenti, essendo risultati i dati raccolti non attendibili. Ha segnalato, inoltre, che la conoscenza di alcuni dati sanitari da parte dei dirigenti era correlata all’obbligo in capo a loro di porre in essere ogni misura per prevenire i rischi per la salute dei lavoratori. Nel merito, poi, ha fatto presente che il Sindaco, titolare per legge del trattamento dei dati, è tenuto, come ha fatto, a dotarsi di un’idonea organizzazione e ad individuare i responsabili dei trattamenti e non deve né può occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy, compito questo che compete, invece, a specifiche professionali individuate, fino al 2018, nell’Ufficio organizzazione e formazione e nei direttori di ripartizione e di ufficio con riferimento alle competenze agli stessi assegnate e successivamente nel DPO e nel Privacy Manager.
Ha contestato, poi, la quantificazione del danno, non parametrata al periodo di espletamento della carica (4 anni dei 20 presi in esame dal Garante) e la sussistenza della dedotta colpa grave, avendo il titolare del trattamento confidato, come riconosciuto dallo stesso Garante, “nella liceità dei trattamenti posti in essere, avendo assolto agli obblighi previsti dalla disciplina di settore, stipulando, fin dal 2020, un accordo con le organizzazioni sindacali” aventi ad oggetto i trattamenti risultati non conformi a legge.
Controdeduzioni della Funzionaria Privacy Manager
In sede di deduzioni, la Funzionaria contestava la ricostruzione dei fatti operata dalla Procura, evidenziando in particolare che, non essendo inquadrata come dirigente, non le competeva alcun potere di adozione di atti e di provvedimenti amministrativi.
Precisava, poi, di non disporre di alcun potere di vigilanza rispetto all’attività svolta presso i singoli
uffici organizzativi, presidiati da parte dei dirigenti incaricati. Segnalava, in ultimo, di aver svolto le funzioni di Privacy Manager solo a partire da ottobre 2019, essendo stata assente per un lungo periodo per ragioni di salute e, in ogni caso, di aver svolto in quella veste un mero ruolo di coordinamento delle attività in materia di privacy, senza disporre di autonomi poteri di intervento.
Più in generale, ha affermato l’assoluta totale estraneità rispetto alle condotte omissive contestatele rivestendo, all’epoca dei fatti, il ruolo di semplice funzionario dell’Ufficio organizzazione e formazione, privo del potere di adozione di qualsiasi atto di organizzazione e di poteri verifica relativamente ai trattamenti dei dati posti in essere dai diversi uffici dell’ente. Infatti, sia prima che dopo l’entrata in vigore del GDPR, responsabili del trattamento dei dati erano e hanno continuato ad essere i dirigenti delle singole strutture interessate. Ha, inoltre, segnalato il ruolo marginale svolto sia come responsabile dei procedimenti amministrativi in materia di dati personali, riguardando l’incarico i soli atti di competenza dell’ufficio di appartenenza, sia di Privacy Manager, non avendo autonomi poteri di intervento diretto, ma mere funzioni di coordinamento fra le diverse figure del sistema. Ha evidenziato, poi, l’insussistenza del nesso di causalità tra la condotta contestata e il danno patito dall’ente e l’assenza della colpa grave (circostanza questa riconosciuta dallo stesso Garante), anche considerato l’impegno profuso nel settore della privacy (caricamento sulla intranet di modelli informativi e di schemi di atti e organizzazione della formazione in materia), nonostante le molteplici attività affidate e il ruolo marginale ricoperto nel settore della privacy. Ha contestato, in ultimo, la quantificazione del danno operata dalla Procura non essendosi tenuto conto dell’ampio arco temporale preso in considerazione dal Garante (dal 2000 al 2020) a fronte di un periodo di servizio prestato nelle funzioni di responsabile dei procedimenti amministrativi in materia di tutela dei dati personali e Privacy Manager limitato (giugno 2015-maggio 2018), l’avvenuta contestazione delle modalità di monitoraggio e conservazione dei dati e non dei singoli accessi, il lungo periodo di assenza per malattia, delle diverse concause e dei diversi attori incidenti nella determinazione del danno indiretto.
Diritto
Ha osservato la Corte dei Conti che l’informazione fornita ai dipendenti sulla raccolta dei log, in considerazione della sua genericità, non può considerarsi adeguata, che non rilevano le finalità per le quali la stessa è effettuata, così come l’asserita non attendibilità dei dati raccolti, anche considerato che la conservazione di informazioni, ancorché parziali e imprecise, sui siti internet visitati dai dipendenti appare comunque lesiva del diritto alla loro riservatezza, così come la trasmissione di dati personali sullo stato di salute del lavoratore ai soggetti delegati allo svolgimento delle funzioni datoriali.
Con specifico riguardo alla posizione del Sindaco, ha osservato che in quanto legale rappresentante del Comune di Bolzano, Titolare del trattamento dei dati, su di lui ricadeva l’attuazione degli obblighi previsti per tale figura, tra i quali rientra ogni decisione in merito alle modalità del trattamento dei dati personali e agli strumenti da utilizzare.
L’ampiezza dei compiti affidati porta a ritenere effettivamente sussistente un obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna a seguito dell’avvenuto mutamento del quadro normativo operato dal d.lgs. 14 settembre 2015, n. 151 e, quindi, astrattamente configurabile una condotta omissiva eziologicamente ricollegabile al danno derivato al comune dall’avvenuta irrogazione di una sanzione.
Cionostante, tenuto conto delle dimensioni dell’ente, della molteplicità dei compiti assegnati ad un sindaco di un capoluogo di provincia, della tecnicità della materia e soprattutto dell’avvenuta o meno predisposizione di un’organizzazione potenzialmente idonea, il Collegio ha ritenuto non sussistente il requisito della colpa grave, “per avere quest’ultimo confidato nell’operato del responsabile e degli incaricati e non potendo effettivamente essere chiamato ad occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy”.
Per giungere a tali conclusioni, la Corte dei Conti fa proprio uno degli elementi elencati dal Garante privacy ai sensi dall’art. 83, par. 2, GDPR (rubricato “Condizioni generali per infliggere sanzioni”), ossia l’aver “confidato nella liceità dei trattamenti posti in essere avendo assolto agli obblighi previsti dalla normativa di settore”, allo scopo di assolvere il primo cittadino da ogni responsabilità.
Ben avrebbe potuto la Corte argomentare con gli altri elementi indicati al punto 6. del provvedimento n. 190 del 13.05.2021 ossia: “il Comune ha manifestato una particolarmente collaborazione nel corso dell’istruttoria”, riconoscendo al trasgressore “un particolare impegno nell’attenuare gli effetti negativi del trattamento nei confronti dei dipendenti”, nessuno dei quali, tuttavia, ha impedito al Garante privacy di comminare al Comune di Bolzano una severa sanzione.
Tutt’altro metro di giudizio, invece, è stato adottato nei confronti della Funzionaria, la quale nel periodo 2015-2019 ha rivestito gli incarichi di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali e, dal 25 maggio 2018, di Privacy Manager, compiti questi che presuppongono specifiche competenze con connesse responsabilità. In particolare, la Funzionaria, nella qualità di responsabile dei procedimenti amministrativi in materia di protezione dei dati personali, aveva tra gli altri il compito di approvare gli schemi di atti obbligatori e di linee guida e il documento programmatico della sicurezza, nonché predisporre le modifiche al regolamento per il trattamento dei dati sensibili e giudiziari. A seguito del decreto n. 14/S/2018 del 24 maggio 2018 ha assunto, poi, il ruolo di Privacy Manager, cioè di coordinatore interno delle attività di adeguamento al GDPR.
Ne discende che può ritenersi sussistente a suo carico il contestato obbligo di attivarsi per verificare la conformità della disciplina regolamentare interna al quadro normativo introdotto dal d.lgs. 14 settembre 2015, n. 151, oltre che un generale obbligo di vigilanza sul rispetto della predetta normativa, ed è, quindi, configurabile, anche in questo caso, un comportamento omissivo ricollegabile al danno subito dal Comune a seguito dell’avvenuta irrogazione di una sanzione.
Dall’istruttoria è emerso, infatti, che la Funzionaria, seppur non dirigente, era intestataria di pregnanti compiti in materia di privacy inerenti non il solo Ufficio di appartenenza, ma l’intera amministrazione comunale, dato che la struttura in cui la stessa era incardinata, Ufficio organizzazione e formazione, era stata individuata come quella preposta all’attuazione della normativa in materia di privacy.
Le omissioni contestate sono “con evidenza eziologicamente ricollegabili al verificarsi dei comportamenti oggetti di sanzione, che sarebbero potuti essere evitati attraverso un maggiore coordinamento, aggiornate direttive, analisi della normativa e delle novelle intervenute maggiormente attente”.
Egualmente può ritenersi sussistente l’elemento psicologico della colpa grave dato che gli episodi presi in considerazione dal garante non sono singoli ma relativi a due tipologie di trattamento massivo dei dati che per l’ampiezza e la generalità dei destinatari (l’intero personale del Comune) non potevano non essere note.
In parziale accoglimento della contestata quantificazione del danno, quest’ultimo veniva ridotto a complessivi € 4.200,00 quale quota di danno da porre a carico della Funzionaria, determinato tenendo conto dell’arco temporale nel quale era suo dovere adoperarsi, del lungo periodo di assenza per malattia, della contemporanea attribuzione di altre funzioni e dell’apporto degli altri soggetti coinvolti che hanno causalmente contribuito al trattamento dei dati ritenuto illecito e sanzionato.
Conclusioni
La Corte dei Conti, nella pronuncia in commento, fornisce una singolare interpretazione dei principi generali in tema di responsabilità per il trattamento dei dati. In altre parole, pur riconoscendo che il Titolare del trattamento è responsabile nel senso che “risponde” delle scelte effettuate, assolve da ogni responsabilità il Sindaco pro tempore per aver fatto affidamento e di fatto delegato la gestione della “privacy” ad una Funzionaria dell’amministrazione comunale, che viene ritenuta l’unica responsabile del danno erariale subito dal Comune di Bolzano.
Il solo fatto di avere nominato un responsabile protezione dati (ai sensi degli artt. 37-39 GDPR) e una Privacy manager, è stato sufficiente per riconoscere il Sindaco come estraneo ad ogni responsabilità erariale sulla scorta della non condivisibile motivazione secondo cui “non poteva effettivamente essere chiamato ad occuparsi in prima persona degli aspetti tecnici legati alla tutela della privacy”. Questo è l’aspetto dirompente della sentenza nr. 1/2024, che va in contrasto con l’orientamento contrario dello stesso Garante privacy, da sempre impegnato nello sforzo di sensibilizzare ad una gestione dei dati personali il più possibile consapevole e responsabile.
Come è noto, infatti, ai sensi dell’art. 24 GDPR “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.
La responsabilità generale del Titolare del trattamento (e per esso, nel caso che ci occupa, del Sindaco p.t.) è prevista dal considerando 74 il quale definisce la responsabilità del titolare del trattamento come “generale” “per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto”.
Sinora infatti, l’istituto della delega, pure previsto dall’articolo 2-quaterdecies del decreto legislativo 10 agosto 2018, n. 101, ai sensi del quale “il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” non aveva mai esentato del tutto il Titolare del trattamento dalle responsabilità conseguenti al ruolo di decisore delle finalità e dei mezzi dei trattamenti.
L’ampio ricorso che viene fatto a questo istituto, ha la finalità di una efficacia a più livelli del principio di accountability ma non ha mai avuto, prima d’ora, la conseguenza di una esenzione completa di responsabilità da parte del Titolare che ne facesse ricorso.
È facile immaginare, quale conseguenza di tale pronuncia, un (ulteriore e condivisibile) motivo di ritrosia dei soggetti incardinati all’intero di una organizzazione a ricoprire i ruoli privacy secondo l’istituto della delega di funzioni da ultimo normato dall’art. 2 quaterdecies D.Lgs. 101/2018 cit.