Il Garante della Privacy aveva emesso il provvedimento contro un Comune
La Suprema Corte di Cassazione, con sentenza 18292, ha respinto il ricorso di un Comune sanzionato dal Garante della privacy per aver lasciato sul web, per oltre un anno, decisioni dirigenziali nelle quali era indicato non solo il nome e il cognome di una dipendente e l’esistenza di un contenzioso con l’amministrazione municipale, ma anche altre notizie quali lo stato di famiglia dell’interessata e il fatto che viveva da sola e che aveva chiesto, senza ottenerla, una rateizzazione del dovuto.
Il Comune in questione era stato quindi sanzionato per aver diffuso i predetti dati personali di una dipendente, mostrandoli per oltre un anno nell’albo pretorio on line, sforando dunque il tempo massimo indicato dal Testo unico degli enti locali per la pubblicazione delle delibere comunali.
Ad avviso dei giudici di merito dette informazioni pur riguardando l’assetto organizzativo degli uffici, non rientravano nelle strette esigenze di trasparenza amministrativa.
Il ricorrente si è appellato senza successo alla legge sulla trasparenza e al dovere di pubblicazione dell’atto. Tali motivi sono stati ritenuti infondati in quanto il Comune non è stato sanzionato per aver pubblicato sul sito le determinazioni della dirigenza, ma per averle lasciate on line troppo a lungo.
Il Ricorrente ha anche tentato di negare l’elemento psicologico della colpa previsto per l’illecito amministrativo sostenendo che l’omessa rimozione dal web dei dati personali della dipendente, non era imputabile al Comune ma ad un consulente esterno a cui era stato conferito l’incarico di creare un sito internet in linea con la normativa vigente.
La Suprema corte tuttavia ha ricordato che, in base all’articolo 28 del Codice sui dati personali, il titolare del trattamento è la persona giuridica, non il legale rappresentante o l’amministratore. Una norma che deroga al principio della imputabilità personale della sanzione, configurando un’autonoma responsabilità della persona giuridica. In particolare afferma la Corte che tale responsabilità «non può ritenersi oggettiva ma, analogamente a quanto previsto dal Dlgs 231/2000, in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”».
È dunque responsabile il Comune per non aver osservato l’obbligo di adottare le cautele organizzative e gestionali necessarie ad evitare l’illecito. E’ stata quindi esclusa la tesi secondo la quale il ritardo nella rimozione dal web dei dati personali era dipesa da una disfunzione delle applicazioni informatiche gestite da un consulente esterno. Per i giudici la circostanza era «pienamente riconducibile alla sfera di signoria dell’Ente e del suo apparato».