Danno erariale: cosa succede quando le sanzioni privacy colpiscono i vertici della PA

In merito all’adempimento degli obblighi previsti dalla normativa privacy, richiamiamo l’attenzione su quanto stabilito dalla sentenza della Corte dei Conti (n.429/2019), sul tema della responsabilità per danno erariale subito dall’Ente pubblico a causa della condotta negligente ascrivibile al proprio rappresentante legale.

Privacy e responsabilità

Secondo i giudici della Corte dei conti- Sezione giurisdizionale della Calabria l’Ente pubblico può rivalersi sul funzionario che abbia omesso di adempiere agli obblighi previsti dalla disciplina in materia di dati personali, determinando in capo all’Ente un danno (cd. danno erariale) consistente nel depauperamento patrimoniale dovuto al pagamento della sanzione amministrativa.

La sentenza, in particolare, riconosce la responsabilità del Presidente della Regione Calabria, condannato al pagamento di 66 mila euro in favore della Regione, già colpita da una sanzione amministrativa pari a 80 mila euro, in forza dell’accertamento di violazioni da parte del Garante per la protezione dei dati personali.

La denuncia di una dipendente

La vicenda trae origine dalla denuncia indirizzata all’Autorità Garante da una dipendente regionale, che imputava a due dirigenti (di cui uno era il Presidente della Regione) una serie di condotte vessatorie e produttive di pregiudizio psico-fisico, attuate a seguito dell’accesso da parte di questi ultimi a documenti contenenti informazioni afferenti allo stato di salute della donna.

Quest’ultima, in particolare, lamentava la scarsità di tutela dei propri dati personali e l’ostensibilità degli stessi in misura palesemente superiore a quella consentita, affermando che:

la documentazione sanitaria era conservata in un comune faldone, privo di misure di sicurezza;
i dirigenti che avevano proposto istanza di accesso avevano, in precedenza, avuto accesso libero e diretto alla documentazione sanitaria;
in via generale, i dirigenti del Dipartimento Organizzazione e personale avevano libero accesso ai documenti dei dipendenti, anche ove contenenti dati attinenti allo stato di salute.

Il dirigente pubblico è tenuto a risarcire l’Ente

La condotta negligente dei dirigenti ha causato l’irrogazione di una sanzione da parte del Garante (di 80 mila euro) per violazione, in primo luogo, dell’art. 157 del Codice relativo al tardivo riscontro alla richiesta di informazioni dell’Autorità e, in secondo luogo, dell’art. 30 (poi abrogato), in relazione alla mancata designazione degli incaricati del trattamento dei dati personali e al mancato rispetto delle misure di sicurezza, individuate sia in relazione ai dati informatici che per i dati non informatici.
Come rilevato dal collegio giudicante, le violazioni erano individuate, per l’appunto, nell’inosservanza di elementari cautele idonee a tutelare la riservatezza degli interessati nell’ambito del trattamento dei dati personali.

La posizione del Presidente della Regione

Alla luce di quanto esposto il Procuratore regionale della Corte dei Conti ha promosso nei confronti dell’allora Presidente della Regione il giudizio di responsabilità risarcitoria erariale che il Collegio contabile – con la sentenza n. 429/2019– ha ritenuto meritevole di accoglimento, condannando il convenuto al pagamento, in favore della Regione Calabria, della somma di euro 66.000,00, oltre alle spese.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Danno erariale: cosa succede quando le sanzioni privacy colpiscono i vertici della PA

Privacy e responsabilità

La denuncia di una dipendente

Il dirigente pubblico è tenuto a risarcire l’Ente

La posizione del Presidente della Regione

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Privacy Symposium 2026

AI e Commercialisti. Responsabilità, Etica e Futuro

Lo ho-BIT – Andata e Ritorno

Di

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco