La sez. giurisdizionale Valle D’Aosta della Corte dei conti, con la sentenza del 4 agosto 2025, n. 35, fornisce un quadro alquanto esaustivo in materia di tutela dei dati personali e pubblicazioni on line, dove le deliberazioni giuntali non possono rimanere pubblicate oltre i termini di legge[1]: la presenza di dati identificativi della persona (nome e cognome) costituiscono un illecito trattamento sanzionato dal Garante privacy, e in via di regresso a carico del dipendente responsabile delle pubblicazioni.

Fatto

Nella sua essenzialità, una PA viene condannata dal Garante per la protezione dei dati personali per la pubblicazione di delibere giuntali contenenti dati personali, nonché la mancata conformazione alle indicazioni fornite, finalizzate (un apposito provvedimento disponeva il divieto di diffondere ulteriormente i dati personali in internet, tramite il sito web istituzionale) al rispetto delle disposizioni del Codice della privacy (d.lgs. 30 giugno 2003, n. 196, aggiornato dal d.lgs. 10 agosto 2018, n. 101, di recepimento del Regolamento europeo generale sulla protezione dei dati 679/2016, GDPR), anche alla luce delle indicazioni contenute nelle Linee guida in materia di trattamento dei dati personali[2].

Veniva convenuto in giudizio due persone imputate pro quota dalla Procura contabile (una delle quali deceduta prima della sentenza): la fattispecie rientra nei casi di danno indiretto, dovuto al pagamento della somma a titolo di sanzione da parte della PA di appartenenza[3].

La contestazione in capo ai convenuti consisteva nella responsabilità gravemente colposa da una parte, del rappresentante legale dell’Ente, per la protratta illegittima pubblicazione sul sito on line della deliberazione con la quale l’organo esecutivo aveva disposto il trasferimento “per esigenze organizzative per accertata incompatibilità ambientale” di un proprio dipendente senza oscurare i dati personali e identificativi (c.d. anonimizzazione), dall’altra parte, all’incaricato di funzioni dirigenziali per la protratta illegittima pubblicazione sul sito on line della deliberazione in qualità di responsabile del servizio.

Più precisamente:

• al “titolare del trattamento”, che ricopre una posizione di garanzia, non aver impedito attivandosi, o quanto meno con apposito atto d’impulso, di identificare i soggetti responsabili al trattamento, fornendo tutte le indicazioni (misure indicate nel c.d. DPS, documento programmatico sulla sicurezza) per i corretti adempimenti;
• il responsabile di servizio (incaricato/responsabile del trattamento/designato) per essere venuto meno ai propri obblighi (togliendo il provvedimento dall’albo on line), anche dopo aver interloquito con il Garante per la protezione dei dati personali, a seguito dei rilievi dal medesimo in proposito formulati (in effetti, aveva giustificato l’obbligo di pubblicazione per anni cinque, trattandosi di un atto di organizzazione, con relativa legittimità della pubblicazione, secondo le norme regionali).

Siamo in presenza della violazione (sanzionata, con ordinanze ingiunzioni appellate ma rigettate, con ricorso in cassazione non accolto) dei principi di necessità (ex art. 3 del Codice), di pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione rispetto alla finalità perseguita (ex artt. 3 e 11, comma 1, lett. d), del Codice): illecita diffusione dei dati personali oltre i termini di legge.

La disciplina della privacy

Il Collegio prima di procedere delinea il sistema normativo del Codice vigente all’epoca dei fatti, dove erano presenti:

• regole generali per il trattamento dei dati (Titolo III) e regole ulteriori per i soggetti pubblici, di cui al Capo II, artt. 18 – 22. Siamo in presenza della c.d. privacy by design in fase di determinazione dei mezzi di trattamento che nel corso del trattamento e della c.d. privacy by default in fase di determinazione di misure tecniche/organizzative/procedurali che consentano il trattamento di dati personali necessari per ogni specifica finalità del trattamento, con un controllo puntuale su quanto possa o meno essere pubblicato sul sito web della PA (onere a carico del «Responsabile del procedimento di pubblicazione e aggiornamento del sito web»)[4];
• individuazione di soggetti coinvolti dal trattamento erano individuate:

1. in primo luogo, ex 4, comma 1, lett. f), il “Titolare” del trattamento dei dati («la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza»): ossia, il rappresentate legale, precisando che è la persona giuridica, non il legale rappresentante o l’amministratore, visto che il codice deroga al principio della imputabilità personale della sanzione, di cui alla legge n. 689/1981, configurando, nello specifico regime sanzionatorio ivi dettato, un’autonoma responsabilità della persona giuridica[5];
2. la successiva lett. f), del comma 1, dell’art. 4, definiva “Responsabile” del trattamento «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali»;
3. “Incaricato” la persona fisica autorizzata a compiere operazioni di trattamento di dati personali, che coincide con il “Designato”;

• definizione di “dato personale” qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, e come “dati identificativi” quei dati personali che permettono l’identificazione diretta dell’interessato, ex 4, comma 1, lett. b) e c);
• i principi ai quali la PA doveva (deve) attenersi per il trattamento dei dati, tra cui il principio di minimizzazione, riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, oltre al rispetto dei principi di liceità, correttezza, pertinenza e non eccedenza, ovvero in maniera strettamente attinente alle finalità per le quali i dati erano raccolti e trattati (ex 11);
• stabilendo che la diffusione dei dati diversi da quelli sensibili e giudiziari (c.d. particolari) da parte di un soggetto pubblico era ammessa solo se prevista da una norma di legge o di regolamento (ex 19, comma 3): la c.d. “base giuridica”;
• termini di pubblicazione degli atti o documenti nei siti istituzionali individuati dalla legge, trascorsi i quali devono essere rimossi dal web o privati degli elementi identificativi degli interessati, atteso che risulta sproporzionato, rispetto alla finalità perseguita, consentirne l’indiscriminata reperibilità tramite i comuni motori di ricerca, limitando l’indicizzazione dei documenti e il tempo di mantenimento della diffusione dei dati (garantendo il c.d. “diritto all’oblio”, anche in assenza di una specifica disciplina di settore l’esposizione dei dati i periodi devono essere congrui, procedendo, quindi, decorsi tali termini o a rimuovere gli atti o a privare gli stessi degli elementi identificativi degli interessati, secondo le indicazioni del Garante privacy)[6].

….. prosegue qui 

……
Sintesi

La sentenza si allinea ai precedenti, dove la permanenza nel web di dati personali contenuti nelle deliberazioni, oltre il termine di legge, ovvero la presenza di dati personali non anonimizzati, conduce a responsabilità sia di tipo sanzionatorio, da parte del Garante privacy, che di tipo erariale (senza escludere quella disciplinare): siamo in presenza di una violazione degli obblighi di pubblicazione laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione[8].

Nel suo complesso, si rafforza la tutela del singolo nel bilanciamento dei diritti collettivi alla “trasparenza”, quale misura di accesso alle informazioni, ai dati e documenti della PA (ex d.lgs. n. 33/2013), nonché in chiave di prevenzione della corruzione (del tutto avulsa dalla realtà): il primato della tutela del dato personale prevale quando si esorbitano i principi di necessità e pertinenza (solo per citarne alcuni) ad esso strumentali.