Sanzioni pecuniarie irrogate agli enti pubblici dal Garante per la protezione dei dati personali: non possono essere pagate con risorse pubbliche
di Massimo Asaro – Specialista in Scienza delle autonomie costituzionali, funzionario universitario Responsabile affari legali e istituzionali
La sentenza tratta una questione delicata: l’addebitabilità all’ente pubblico delle sanzioni amministrative pecuniarie irrogate ai propri dipendenti/amministratori per fatti commessi nell’esercizio delle funzioni o del servizio.
La disciplina fondamentale in materia di sanzioni amministrative risiede nella L. n. 689 del 1981 che, nel modificare l’apparato sanzionatorio penale, ha stabilito i principi in materia di responsabilità per illecito non penale amministrativamente sanzionato. Secondo l’art. 12 della citata Legge: “Le disposizioni di questo Capo si osservano, in quanto applicabili e salvo che non sia diversamente stabilito, per tutte le violazioni per le quali è prevista la sanzione amministrativa del pagamento di una somma di denaro, anche quando questa sanzione non è prevista in sostituzione di una sanzione penale. Non si applicano alle violazioni disciplinari.”. Varie e numerose sono poi le legislazioni nazionali e locali che stabiliscono illeciti amministrativi e determinano le relative sanzioni (edilizia, attività economiche, circolazione stradale, igiene urbana, sicurezza nei luoghi di lavoro etc.), tra le quali anche la normativa in materia di tutela dei dati personali. La sanzione amministrativa è una punizione per la trasgressione di una disposizione di legge a presidio dell’interesse pubblico e può coesistere, come nel caso della disciplina della privacy, con il risarcimento del danno patrimoniale e non patrimoniale sofferto dall’interessato la cui privacy sia stata violata o compromessa [cfr. Agrifoglio, Risarcimento e quantificazione del danno da lesione della privacy: dal danno alla persona al danno alla personalità, su Europa e Diritto Privato, fasc. 4/2017].
La tematica è stata trattata l’anno scorso a commento della sentenza della Sezione giurisdizionale della Regione Sardegna n. 73 del 2018 [cfr. Asaro, Le sanzioni amministrative pecuniarie irrogate agli enti pubblici per violazione del Codice in materia di protezione dei dati personali, su questa Rivista] che, vista la recente sentenza della Sezione laziale, trova integrale conferma.
In questo caso il Garante ha irrogato una sanzione amministrativa di € 20.000,00 per la violazione dell’art. 22 comma 8, D.Lgs. n. 196 del 2003 (Codice) secondo cui “I dati idonei a rivelare lo stato di salute non possono essere diffusi.”. Secondo la Giurisprudenza, i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione (Cass. civ., Sez. Unite, sent. n. 30984 del 2017). Secondo le definizioni del nuovo Regolamento europeo per dati relativi alla salute si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4). L’art. 9 del Regolamento europeo stabilisce i divieti e le eccezioni inerenti i trattamenti di categorie particolari di dati personali tra cui quelli relativi alla salute fermo restando che, ai sensi del comma 4, “Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
La violazione della riservatezza oggetto di infrazione riguardava dati personali idonei a rivelare lo stato di salute degli studenti minori dell’Istituto scolastico affetti da disabilità avvenuta per la divulgazione nella rete internet di una circolare recante il calendario di riunioni dei consigli delle classi con presenza di alunni con Handicap. Il dirigente non aveva prescritto alcun divieto di pubblicazione, né in ultimo controllato che la circolare, a differenza di quelle adottate di consueto, non venisse pubblicata sul sito web dell’Istituto. La divulgazione del nominativo ha così leso la personalità dello studente disabile, che si è conseguentemente lamentato del trattamento illecito dei dati personali, dinanzi al Garante per la Protezione dei dati personali, che ha irrogato all’Istituto, rappresentato dal dirigente scolastico, la suddetta sanzione amministrativa.
Secondo il Garante, premesso che “i principi e la disciplina di protezione dei dati personali … devono essere rispettati anche nell’attività di pubblicazione di dati sul web …”, ai sensi del D.Lgs. n. 33 del 2013, è “invece, sempre vietata la diffusione di dati idonei a rivelare lo stato di salute …”, e che “in particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia, o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità, o handicap fisici e/o psichici” (V. Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, Registro dei provvedimenti n. 243 del 15 maggio 2014).
Secondo la Sezione della Corte dei conti del Lazio, tenendo conto della legislazione in materia di dirigenza pubblica in generale e di dirigenza scolastica in particolare, incombeva sul dirigente l’onere di rispettare direttamente la normativa a tutela della privacy dell’individuo disabile e poi l’onere di vigilare per evitare che il personale docente coinvolto non violasse la privacy del medesimo individuo (culpa in vigilando). Per tale ragione, l’onere di pagare la sanzione incombeva sul dirigente che ponendolo, invece, a carico del bilancio dell’ente ha commesso un atti antidoveroso per cui la Corte ha ravvisato responsabilità ancorché attenuata per l’applicazione del potere riduttivo di cui all’art. 83, R.D. n. 2440 del 1923 che al comma 1 così stabilisce: “I funzionari di cui ai precedenti artt. 81 e 82sono sottoposti alla giurisdizione della Corte dei conti la quale, valutate le singole responsabilità, può porre a carico dei responsabili tutto o parte del danno accertato o del valore perduto.”.
La responsabilità personale del dipendente pubblico per le sanzioni amministrative irrogate nell’attività di servizio è stata riconosciuta anche in materia di salute e sicurezza nei luoghi di lavoro (V. Sez. giurisdiz. Sicilia, sent. n. 1574 del 2010).
Si ricorda che, secondo altro orientamento giurisprudenziale, il pagamento di una sanzione amministrativa irrogata a un dipendente/amministratore pubblico con risorse dell’ente pubblico non costituirebbe illecito erariale (Sez. giurisdiz. Sardegna, sent. n. 5 del 2016; Sez. giurisdiz. Lombardia, sent. n. 234 del 2014), trattandosi di attribuzione patrimoniale ad altro ente pubblico.
