La responsabilità pecuniaria personale di dirigenti e amministratori per le sanzioni del Garante in ambito privacy e cybersecurity
di LUISA DI GIACOMO*
Gli adempimenti posti a carico delle pubbliche amministrazioni da parte del Regolamento Europeo 679/2016, il General Data Protection Regulation, sono ormai più o meno noti a tutti. Dopo oltre quattro anni di piena entrata in vigore e dopo quasi venti di vigenza del d.lgs. 196/2003, la “normativa sulla privacy”, come spesso viene superficialmente liquidata, non dovrebbe più essere un’incognita per nessuno. Il condizionale, tuttavia, è d’obbligo, visto che i dati parlano chiaro: cresce il fenomeno delle violazioni dei dati personali ed il Garante della privacy è molto attento verso l’osservanza della privacy nel settore pubblico.
Come in questa rubrica ripetiamo spesso, protezione dei dati personali e cybersecurity vanno a braccetto: non si possono proteggere i dati, nel terzo millennio, senza implementare la sicurezza delle reti informatiche e non si può effettuare una sana e robusta analisi dei rischi con approntamento delle conseguenti misure di sicurezza che ne garantiscano la resilienza (art. 33 GDPR) senza aver ben chiari i principi fondamentali sul trattamento dei dati personali.
Yin e Yang, due facce della stessa medaglia. E quindi, spazio ai DPO, quelli veri, realmente formati e preparati nel loro ambito, spazio alle valutazioni di impatto, alla redazione di documentazione di accountability, alle procedure, alla formazione ed all’attenzione alle misure di sicurezza cyber.
Non solo perché si tratta di un dovere dettato da una legge dello stato, ma anche per evitare di trovarsi a pagare di tasca propria: infatti, è principio ormai assodato che dirigenti ed amministratori della cosa pubblica possono essere chiamati a pagare con il proprio portafoglio personale il contro delle sanzioni privacy irrogate dal Garante all’ente di appartenenza. Si chiama responsabilità per danno erariale, ovvero la responsabilità del dirigente che, con il proprio comportamento, ha causato un danno all’ente pubblico: nel qual caso egli o ella viene chiamato a risarcirlo di tasca propria. Un episodio che si è già verificato in almeno tre casi, ma che non tarderà a succedere ancora.
Il Presidente della Regione Calabria (Corte dei conti, sezione giurisdizionale della Calabria, sentenza n. 429/2019), un dirigente scolastico del Lazio (Corte dei conti, sezione giurisdizionale del Lazio, sentenza n. 246/2019) ed un Commissario di Aziende Sanitarie Locali della Toscana (Corte dei conti, sezione giurisdizionale della Toscana, sentenza n. 445/2019) hanno dovuto risarcire personalmente il danno erariale causato a seguito di inosservanze della normativa prevista dal Regolamento.
In Calabria, la sanzione è partita dalla carenza di risposta a una richiesta del Garante per il mancato adeguamento alle misure di sicurezza previste dalla normativa a tutela della protezione dei dati: la sanzione applicata alla Regione è stata di 88.000,00 euro, di cui il Presidente ha dovuto rimborsarne di tasca sua ben 66.000,00, come da condanna della Corte dei Conti, che ha analizzato i presupposti soggettivi della responsabilità e la mancata attuazione degli obblighi incardinati a carico del Titolare del trattamento. Né è valsa a difendere il Presidente la considerazione del suo ruolo politico e non direzionale, poiché egli comunque rappresenta l’ente durante la durata del suo mandato.
Nel caso della scuola, il Garante ha condannato la scuola a pagare una sanzione di 20.000,00 euro per la pubblicazione online di una circolare contenente dati di studenti minori e disabili: di questi, 7.500,00 sono stati posti a carico del dirigente, considerando la Corte come il direttore di un istituto scolastico abbia l’obbligo e il dovere di assicurare la gestione dell’istituzione, ne hanno la legale rappresentanza, e sono responsabili della gestione delle risorse finanziarie e strumentali e dei risultati dei servizi.
Infine, nel caso della ASL della Toscana, la sanzione di 16.000,00 euro è stata irrogata per la mancata nomina del gestore del protocollo informatizzato degli atti aziendali quale responsabile esterno del trattamento e per la pubblicazione di dati online non autorizzata: di questi, la Corte dei Conti ha condannato il commissario straordinario a rifonderne alla ASL 4.000,00.
I casi sopra citati, al di là delle cifre, che possono essere considerate alte o modeste a seconda della personale sensibilità di ciascuno, ci dicono che non è più possibile, se mai lo fosse stato in precedenza, ignorare la compliance alla normativa in materia di protezione dei dati personali e cybersecurity.
Adeguamento alla documentazione di accountability, valutazione dei rischi e misure di sicurezza informatica, procedure e formazione del personale sono i pilastri di una buona strategia di compliance per gli Enti locali, che serviranno non solo per evitare di incorrere in sgradevoli alleggerimenti del proprio personale portafoglio, ma anche per aiutare a sviluppare il processo di efficienza delle pubbliche amministrazioni verso il futuro che ormai è sempre e più che mai digitale e cibernetico.
>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
© RIPRODUZIONE RISERVATA
