Con le sentenze nn. 1/2025 e n. 2/2025 la Corte dei Conti, Sezione giurisdizionale per la Regione Valle d’Aosta, ha delineato un’importante evoluzione giurisprudenziale in tema di responsabilità amministrativa dei funzionari apicali in materia di protezione dei dati personali. La Corte ha chiarito che, in caso di colpa grave, il dirigente pubblico può essere chiamato a rispondere per il danno indiretto subito dall’ente pubblico a seguito di sanzioni comminate dal Garante per la protezione dei dati personali, evidenziando come la responsabilità non si limiti al solo ente ma possa estendersi anche alle persone fisiche che ricoprono ruoli di vertice. Per approfondire il tema, abbiamo organizzato il corso Data Act – Guida alle nuove regole per l’accesso e l’uso dei dati
Indice
- 1. Il caso della regione Valle d’Aosta: fatti e decisione della Corte
- 2. Il principio di responsabilità amministrativa: un approccio coerente con la giurisprudenza consolidata
- 3. Implicazioni operative per le pubbliche amministrazioni
- 4. Conclusione: oltre la sanzione, la responsabilità personale
- Formazione in materia
- Vuoi ricevere aggiornamenti costanti?
1. Il caso della regione Valle d’Aosta: fatti e decisione della Corte
La vicenda trae origine dalla delibera n. 1016 del 7 giugno 2013, pubblicata sul sito web della Regione Valle d’Aosta, che riportava valutazioni sulla professionalità e sul comportamento di un dipendente, identificato con nome e cognome, disponendone il trasferimento per accertata incompatibilità ambientale. Tale pubblicazione ha comportato la diffusione illecita di dati personali, portando il Garante per la protezione dei dati personali ad emettere un primo provvedimento sanzionatorio il 26 marzo 2015.
Nonostante l’intervento dell’Autorità, l’ente non ha provveduto tempestivamente ad adeguarsi alle prescrizioni, determinando ulteriori sanzioni con le ordinanze n. 397 e n. 398 del 5 ottobre 2017, per un importo complessivo di 120.000 euro (20.000 euro per il primo provvedimento e 100.000 euro per il secondo). Le sanzioni non solo derivavano dalla pubblicazione illecita, ma anche dalla persistente inadempienza rispetto alle indicazioni del Garante.
La Corte dei Conti ha accertato che la condotta del funzionario apicale, caratterizzata da grave negligenza e mancata vigilanza, ha causato un danno erariale all’amministrazione regionale. In tale contesto, è stata riconosciuta la responsabilità amministrativa personale del dirigente per il risarcimento del danno indiretto subito dall’ente pubblico.
Potrebbero interessarti anche:
2. Il principio di responsabilità amministrativa: un approccio coerente con la giurisprudenza consolidata
Le sentenze della Valle d’Aosta si inseriscono in un quadro giurisprudenziale già delineato da precedenti pronunce della Corte dei Conti.
Tra queste, rilevante è la sentenza n. 1/2024 della Sezione giurisdizionale di Bolzano, che ha esaminato la responsabilità del Privacy Manager e del Sindaco di un Comune in relazione a una sanzione del Garante Privacy per violazioni del Regolamento UE 2016/679 (GDPR). Anche in quel caso, la Corte ha riconosciuto la responsabilità erariale dei funzionari per il mancato rispetto delle normative privacy, evidenziando l’importanza di un’adeguata gestione dei dati personali all’interno della Pubblica Amministrazione.
Un ulteriore precedente significativo è rappresentato dalla sentenza n. 10/2023 della Corte dei Conti della Valle d’Aosta, che aveva già affrontato il tema della responsabilità amministrativa per danno erariale derivante da decisioni amministrative scorrette. Sebbene il caso riguardasse principalmente la responsabilità dei consiglieri regionali, i principi espressi in quella pronuncia hanno fornito un solido fondamento giuridico per estendere la responsabilità anche ai dirigenti apicali in ambito privacy.
3. Implicazioni operative per le pubbliche amministrazioni
Le pronunce analizzate mettono in luce la necessità per le amministrazioni pubbliche di adottare un approccio rigoroso nella gestione dei dati personali, in conformità con il GDPR e con le disposizioni nazionali in materia di privacy. In particolare, risulta fondamentale che:
- I funzionari apicali garantiscano il rispetto delle misure organizzative e tecniche previste dal GDPR.
- L’ente pubblico si attenga tempestivamente alle prescrizioni del Garante per la protezione dei dati personali, evitando comportamenti omissivi che possano aggravare il danno.
- La formazione del personale sia costante, soprattutto per chi riveste ruoli di responsabilità, affinché siano pienamente consapevoli delle conseguenze giuridiche di eventuali inadempienze.
4. Conclusione: oltre la sanzione, la responsabilità personale
Le sentenze della Corte dei Conti della Valle d’Aosta del 2025 tracciano una linea netta in tema di responsabilità amministrativa dei funzionari pubblici. Non è sufficiente che l’ente paghi le sanzioni pecuniarie comminate dal Garante Privacy: in caso di colpa grave, il funzionario apicale può essere chiamato a rispondere personalmente per il danno indiretto causato all’amministrazione pubblica.
Questo orientamento giurisprudenziale impone una riflessione profonda alle pubbliche amministrazioni, chiamate non solo a implementare le normative privacy, ma anche a strutturare un sistema di responsabilità interna che prevenga situazioni di rischio per l’ente e per i suoi dirigenti. In tale contesto, il ruolo del Data Protection Officer (DPO) e la definizione di procedure chiare e documentabili diventano strumenti essenziali per garantire conformità e tutela legale.
Non si tratta, dunque, di un semplice adempimento burocratico, ma di una precisa strategia di governance che può fare la differenza tra una corretta gestione amministrativa e una potenziale esposizione a danni economici e reputazionali, sia per l’ente che per i suoi funzionari.
Formazione in materia
Data Act – Guida alle nuove regole per l’accesso e l’uso dei dati
Entro il 12 settembre 2025 tutti i fornitori di servizi di trattamento dati dovranno adeguare le loro condizioni contrattuali e i loro processi operativi alle norme dettate dal Regolamento (UE) 2023/2854 (cd. Data Act).
Il Data Act ha introdotto nuove regole sull’accesso ai dati per i prodotti connessi (internet of things) ed i servizi correlati, incluso l’accesso da parte di enti pubblici per finalità eccezionali. Il Regolamento prevede inoltre norme per la portabilità e lo switching nel caso di servizi di trattamento dati.
Entro la data di applicazione della nuova normativa, le aziende dovranno apportare modifiche alle proprie procedure operative, tenendo conto del loro ruolo di titolari o destinatari dei dati e, nel caso di servizi di trattamento dati e cloud computing, dovranno essere integrate le condizioni contrattuali.
>>>Per info ed iscrizioni<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento