LA CORTE DEI CONTI CONDANNA IL DIRIGENTE DELL’ENTE A RIMBORSARE PER INTERO L’IMPORTO DELLA SANZIONE ELEVATA ALL’ENTE PER LA PUBBLICAZIONE DI UNA DETERMINA DI MANCATO SUPERAMENTO DEL PERIODO DI PROVA

Abstract: La Corte dei Conti del Friuli Venezia Giulia, con la sentenza n.2 del 18/01/2022, ha condannato il dirigente generale dell’Azienda Sanitaria Locale che aveva pubblicato integralmente online la delibera di risoluzione del rapporto di lavoro per mancato superamento del periodo di prova di un dipendente, a rifondere per intero la sanzione amministrativa applicata all’ente dal garante per la protezione dei dati, pur avendo accertato che nonm vi era colpa grave, oltre al pagamento della somma liquidata dal tribunale per il danno subito dall’ex dipendente interessato.

Keywords: #cortedeiconti #sanzioniprivacy #GDPR #principiodiproporzionalità #dannoerariale #sanzionatodirigente #asl #garanteprotezionedati #garanteprivacy #datipersonali  #MassimilianoMancini #ethicasocietas #ethicasocietasupli

La vicenda

Nel 2011, un’Azienda sanitaria locale del Friuli Venezia Giulia aveva pubblicato sul proprio sito internet la deliberazione del direttore generale di recesso dal contratto di lavoro a tempo indeterminato per mancato superamento del periodo di prova di un infermiere.

L’atto è stato pubblicato con un’articolata motivazione sulla causa del recesso, determinata da una
valutazione negativa delle competenze professionali del dipendente e del suo rendimento lavorativo, con
grave lesione della sua dignità personale.

Nel 2013, il Garante per la protezione dei dati personali, con provvedimento n.382 del 01/08/2013 de in particolare della diffusione conclusoso con la diffusione degli stessi, come era avvenuto con la pubblicazione della deliberazione di revoca del contratto, e con successivo atto del 23/10/2013 contestava la violazione delle norme sul trattamento dei dati ai sensi del Codice della Privacy di cui al D.Lgs.196/2003.

Nel 2014, l’infermiere non confermato chiedeva al giudice civile la condanna della ASL al risarcimento del danno patrimoniale e non patrimoniale, per la “pubblicazione integrale della delibera di risoluzione del rapporto di lavoro durante il periodo di prova”.

L’ASL si difendeva sostenendo il dovere generico di trasparenza dell’azione amministrativa e dell’obbligo di pubblicità degli atti amministrativi, tuttavia attiviava la copertura assicurativa aprendo il sinistro 378/2014.

Nel 2016 il Tribunale di Gorizia ha condananto la ASL al risarcimento del danno liquidato in euro 5.593,33, rimborsato alla ASL nel 2018 dalla copertura assicurativa centralizzata per gli enti del Servizio sanitario regionale.

Nello stesso anno 2016, il Garante per la protezione dei dati personali, ravvisata l’infondatezza delle argomentazioni difensive dell’amministrazione,con l’ordinanza ingiunzione n.247/2016 adottata il primo giugno 2016, intimava all’azienda autrice dell’illecito di pagare la somma di euro 4.000 a titolo di sanzione
amministrativa.

Delle violazioni alla privacy ne rispondono i dipendenti dell’ente

Il 4 marzo 2021, la Procura generale presso la Corte dei Conti ha convenuto in giudizio il direttore generale della ASL che era in carica al tempo della pubblicazione della deliberazione della risoluzione del rapporto di lavoro che ha comportato la sanzione amministrativa a carico dell’Azienda sanitaria locale, per chiederne la condanna a rifondere l’amministrazione di appartenenza.

Nella camera di consiglio dell’11 novembre 2021, la Corte dei Conti del Friuli Venezia Giulia, considerato che il danno è stato peggiorato dal comportamento di altri dirigenti che hanno ritenuto di non rimuovere dal sito internet dell’ente la delibera ed i suoi riferimenti, aggravando così la lesione alla riservatezza del danneggiato, ha condannato il direttore generale a rifondere per un quarto la sanzione applicata alla ASL, ritenendo che i tre quarti del danno siano da attribuire al contributo concausale di altri dipendenti.

Pertanto, con la sentenza n.2 del 18 gennaio 2022, in parziale accoglimento delle domande della Procura regionale, il direttore generale è stato condannato al pagamento in favore dell’Azienda sanitaria della somma di complessivi euro 2.398,48, oltre la rivalutazione monetaria, da calcolarsi secondo l’indice dei prezzi ISTAT, dalla data del 24 agosto 2016 alla data di pubblicazione della sentenza, oltre interessi legali sull’importo rivalutato, decorrenti dalla data di pubblicazione della presente sentenza fino all’effettivo soddisfo e alle spese di giudizio.

[1] Reg. UE/2016/679 GDPR, art.83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) c.4 “In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore:

1. a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 11 da 25 a 39 42 e 43…omissis…”.

[2] Reg. UE/2016/679 GDPR, art.35 (Valutazione d’impatto sulla protezione dei dati) c.1 “…Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi…”.

[3] Reg. UE/2016/679 GDPR, art.35 c.1 “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, …”.

[4] Reg. UE/2016/679 GDPR, art.35 c.3 “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.”.

[5] Reg. UE/2016/679 GDPR, art.35 c.4 “L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.”.

[6] Reg. UE/2016/679 GDPR, art.35 c.6 “Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.”.

[7] Reg. UE/2016/679 GDPR, art.35 c.10 “Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.”.

[8] Reg. UE/2016/679 GDPR, art.35 c.5 “L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.”.

[9] EDPB-European Data Protection Board. Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2.3 Deroga relativa alle attività a carattere domestico “11. Ai sensi dell’articolo 2 paragrafo 2 lettera c) il trattamento di dati personali da parte di una persona fisica nel corso di un’attività a carattere esclusivamente personale o domestico che può anche includere attività online esula dall’ambito di applicazione del RGPD.”.

[10] EDPB-European Data Protection Board. Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2 Ambito di applicazione “7. La sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi per lo più a scopo di protezione della proprietà o per proteggere la vita e la salute delle persone è divenuta un fenomeno significativo dei nostri giorni. Questa attività comporta la raccolta e la conservazione di informazioni grafiche o audiovisive su tutte le persone che entrano nello spazio monitorato identificabili in base al loro aspetto o ad altri elementi specifici. L’identità di tali persone può essere stabilita sulla base delle informazioni così raccolte. Questo tipo di sorveglianza consente inoltre un ulteriore trattamento dei dati personali per quanto riguarda la presenza e il comportamento delle persone nello spazio considerato. Il rischio potenziale di un uso improprio di tali dati aumenta in rapporto alla dimensione dello spazio monitorato e al numero di persone che lo frequentano. Ciò si riflette nel RGPD all’articolo 35 paragrafo 3 lettera c) che impone l’esecuzione di una valutazione d’impatto sulla protezione dei dati in caso di sorveglianza sistematica su vasta scala di un’area accessibile al pubblico e all’articolo 37 paragrafo 1 lettera b) che impone ai responsabili del trattamento di designare un responsabile della protezione dei dati se la tipologia di trattamento per sua natura richiede il monitoraggio regolare e sistematico degli interessati.”.

[11] Reg. UE/2016/679 GDPR, art.25 (Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) c.1 “Tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura dell’ambito di applicazione del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate…omissis…”.