Approfondimento di Vincenzo Giannotti

Approfondimento di Vincenzo Giannotti                                                                                             

La sanzione per la violazione del codice della Privacy non ha natura personale ma va riferita alla persona giuridica.

Vincenzo Giannotti

Il Garante della Privacy ha comminato la sanzione pecuniaria di 4.000 euro ad un Comune, reo di aver diffuso dati personali di una dipendente comunale per un periodo superiore ai quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell'albo pretorio ai sensi dell'art. 124 del d.lgs. 267 del 2000 del TUEL. Tra i motivi di difesa dell’ente locale è stato evidenziato, tra l’altro, l’assenza dell’elemento psicologico dell’illecito amministrativo. Di contrario avviso la Cassazione (sentenza n.18292/2020) secondo cui, ai sensi dell'art. 28 del codice in materia di protezione dei dati personali, il titolare del trattamento è la persona giuridica, non il legale rappresentante o l'amministratore, e che, detto codice deroga al principio della imputabilità personale della sanzione di cui alla legge n. 689/1981, configurando, nello specifico regime sanzionatorio ivi dettato un'autonoma responsabilità della persona giuridica.

La vicenda

Un Comune ha proposto ricorso in Cassazione avverso la sentenza del Tribunale che ha rigettato l'opposizione dal medesimo proposta contro l'ordinanza ingiunzione del Garante per la protezione dei dati personali. Con detta ordinanza il Garante aveva irrogato al Comune la sanzione di 4.000 euro ai sensi dell'art. 162, comma 2 bis, del d.lgs.196 del 2003 (c.d. codice della privacy) per la violazione dell'art. 19, comma 3, dello stesso decreto, commessa dal Comune diffondendo dati personali di una dipendente comunale per un periodo superiore ai quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell'albo pretorio dall'art. 124 del d.lgs. 267 del 2000. Nel motivo di rigetto dell’opposizione, il Tribunale ha rilevato come il Comune avesse mantenuto visibili per oltre un anno sul proprio albo pretorio on-line determinazioni dirigenziali dalle quali risultavano non soltanto il nome e il cognome della dipendente e l'esistenza di un contenzioso tra la stessa e l'Amministrazione municipale (dati funzionali a giustificare la nomina di un difensore e il conseguente impegno di spesa per il Comune) ma anche lo stato di famiglia dell'interessata e le circostanze che la medesima viveva da sola, che aveva avanzato una domanda di rateizzazione del dovuto e che tale domanda non era stata accolta. Si trattava, si legge nell'impugnata sentenza, di informazioni che, non afferendo all'assetto organizzativo degli uffici, non potevano ricondursi alle strette esigenze di trasparenza amministrativa, cosicché il loro contenuto avrebbe imposto al Comune di avviarle celermente verso l'archiviazione e l'oblio, dopo la scadenza del termine di cui all'art. 124 TUEL.

Tra i motivi di impugnazione, il Comune ha rilevato come la nullità della sentenza che non ha tenuto conto del difetto dell’elemento psicologico dell'illecito amministrativo rappresentato dalla colpa. L'omessa rimozione dall' albo pretorio on-line dei dati personali della dipendente, secondo il Comune, non sarebbe al medesimo imputabile, poiché esso - come lo stesso Comune lamenta di aver inutilmente chiesto di provare per testi - si era avvalso, non disponendo di personale dotato delle specifiche professionalità richieste, dell'opera di un consulente esterno, al quale era stato dato l'incarico di configurare il sito internet del Comune in conformità alla normativa vigente.

La decisione della Cassazione

I giudici di piazza Cavour dopo aver evidenziato che l'articolo 19 del d.lgs. 196/03 rientra tra le disposizioni la cui violazione, per effetto del richiamo dell' art. 162 all'art. 167 dello stesso decreto costituisce illecito amministrativo quando, difettando il dolo specifico, non costituisse reato, confutano anche la tesi del Comune della mancanza dell’elemento psicologico. Infatti, ai sensi dell'art. 28 del codice in materia di protezione dei dati personali, il titolare del trattamento è la persona giuridica, non il legale rappresentante o l'amministratore, e che detto codice deroga al principio della imputabilità personale della sanzione di cui alla legge n. 689/1981, configurando, nello specifico regime sanzionatorio ivi dettato, un'autonoma responsabilità della persona giuridica. Tale responsabilità non può ritenersi oggettiva ma, analogamente a quanto previsto dal d.lgs. 231/2000 in tema di responsabilità da reato degli enti, va configurata come "colpa di organizzazione", da intendersi, in senso normativo, come rimprovero derivante dall'inottemperanza da parte dell'ente dell'obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti. La sentenza del Tribunale, pertanto, ha correttamente negato efficacia esimente alla circostanza che il ritardo nella rimozione dal sito web dei dati personali della dipendente sia dipesa da una disfunzione degli applicativi informatici gestiti da un consulente esterno, rilevando che tale circostanza era «pienamente riconducibile alla sfera di signoria dell'Ente e de/suo apparato».

8 settembre 2010