CORTE DEI CONTI, sezione giurisdizionale della Calabria, sentenza n. 429/2019
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Nel giudizio di responsabilità, iscritto al numero 21870 del registro di segreteria, promosso dal Procuratore regionale della Corte dei conti nei confronti di:
- convenuto n. 1, nato a XXX in data XXX, ivi residente alla via XXX, attualmente dimorante presso l’Istituto penitenziario Giuseppe Panzera in Reggio di Calabria. Rappresentato e difeso dagli avvocati XXX e XXX, con studio in Reggio di Calabria, alla via XXX, (indirizzi di posta elettronica certificata: XXX; XXX).
- convenuta n. 2, nata a XXX in data XXX, ivi residente alla via XXX. Rappresentata e difesa dall’avvocato XXX, con studio in Cosenza, alla via XXX (posta elettronica certificata: XXX).
Esaminati gli atti e i documenti della causa; Uditi, nella pubblica udienza del 14 maggio 2019 il relatore, primo referendario XXX, il pubblico ministero, nella persona del Sostituto procuratore generale XXX, e, per le parti, rispettivamente, gli avvocati XXX e XXX e l’avvocato XXX.
RITENUTO IN FATTO
Con atti di citazione ritualmente depositati e notificati, la Procura regionale della Corte dei conti ha convenuto in giudizio il convenuto n.1 e la convenuta n. 2, chiedendone la condanna al risarcimento dei danni, in favore della Regione Calabria, alla somma di euro 80.000, di cui complessivamente euro 66.000 ascritti al primo convenuto e 14.000 ascritti alla seconda, oltre agli accessori di legge.
La richiesta di risarcimento poggia sul pagamento, da parte della Regione Calabria, di complessivi euro 80.000, in forza dell’accertamento di violazioni da parte del Garante dei dati personali (di seguito indicato come “Garante”), intervenute in relazione al decreto legislativo 30 giugno 2003, n. 196 (codice in materia di dati personali, di seguito indicato come “codice”).
L’organo requirente ascrive dette violazioni proprio al comportamento dei due convenuti, il primo nella sua qualità di Presidente della Regione pro tempore, la seconda nella sua qualità di dirigente responsabile pro tempore del Dipartimento Organizzazione e personale - Settore Organizzazione, giuridico e personale della Regione Calabria.
La somma azionata con l’atto di citazione afferisce per l’appunto all’indebito esborso effettuato dalla Regione Calabria in dipendenza del comportamento dei soggetti indicati, che il pubblico ministero ritiene connotato dai caratteri dell’antigiuridicità e della colpa grave. Nel dettaglio, le sanzioni sopra descritte sono state irrogate con una ordinanza - ingiunzione, applicativa di una sanzione cumulativa per due distinte condotte. La prima condotta contestata, consistente nella mancata risposta a una richiesta del Garante, e la cui sanzione è quantificata in euro 20.000, sarebbe da porre a carico di entrambi i convenuti in ragione dell’importo di euro 6.000 a carico del convenuto n.1 e dell’importo di euro 14.000 a carico della convenuta n. 2, mentre la seconda, consistente nel mancato rispetto delle misure minime di tutela dei dati personali (pari a euro 60.000) sarebbe integralmente da porre a carico del convenuto n.1, in quanto soggetto tenuto, nella sua qualità di Presidente della Regione pro tempore, nonché di titolare del trattamento dei dati personali, ad assicurare il livello minimale di protezione dei dati personali imposto dalla legge.
Nello specifico, il pubblico ministero ha esposto che il provvedimento sanzionatorio del Garante più volte accennato (per l’esattezza, il provvedimento 2 aprile 2015, n. 199) ha sanzionato la Regione Calabria in considerazione delle inottemperanze alla disciplina di tutela dei dati personali apprestata dal codice, accertate a seguito di una complessa vicenda.
Essa ha tratto origine della denuncia di un’altra dipendente, a sua volta determinata da un contratto con due dirigenti cui ascriveva una serie di condotte vessatorie e produttive di pregiudizio psico-fisico, la quale, con denuncia indirizzata al Garante, aveva lamentato la scarsità di tutela dei propri dati personali.
Tale denuncia era stata sporta all’esito di un giudizio amministrativo con cui, da ultimo, ai due dirigenti, era stato assentito l’accesso a documenti, nella disponibilità della Regione, contenenti informazioni relative a dati afferenti allo stato di salute della dipendente, previo oscuramento della diagnosi specifica, in favore dei due dirigenti.
Gli stessi dirigenti erano stati, in precedenza, in sede giudiziaria, accusati dalla dipendente di condotte vessatorie e produttive di una serie di pregiudizi non patrimoniali. In particolare, con la segnalazione in commento la dipendente, tramite un proprio legale, aveva lamentato l’ostensibilità dei propri dati personali in misura palesemente superiore a quella assentita dagli organi di giustizia amministrativa, esponendo in particolare che:
i) la documentazione sanitaria della dipendente era conservata in un comune faldone, privo di misure di sicurezza;
ii) i dirigenti che avevano proposto istanza di accesso avevano, in precedenza, acceduto direttamente alla documentazione sanitaria, in modo da individuare i documenti verso cui proporre istanza di accesso ai fini della propria tutela;
iii) in via generale, i dirigenti del proprio Dipartimento Organizzazione e personale (cui apparteneva anche il settore diretto dalla convenuta n.2) avevano libero accesso ai documenti dei dipendenti, anche ove contenenti dati attinenti allo stato di salute.
Con note in data 25 ottobre 2010 (rimasta inevasa) e 10 gennaio 2011, il Garante aveva richiesto chiarimenti sulle circostanze esposte, precisando con la seconda nota, che, nell’ipotesi di ulteriore inottemperanza, avrebbe avviato un procedimento sanzionatorio fondato sul mancato riscontro alle comunicazioni.
A tale seconda comunicazione aveva dato risposta proprio la convenuta n.2 con comunicazioni in data 20 gennaio 2011 e 8 giugno 2011 con cui, in particolare, aveva evidenziato:
i) la mancata nomina del responsabile del trattamento dei dati personali da parte della Regione Calabria e, conseguentemente, l’attribuzione della relativa responsabilità al dirigente competente;
ii) il dettaglio delle circostanze in cui avveniva la consultazione dell’archivio non informatico contenente i dati personali detenuti dal Dipartimento;
iii) l’ascrivibilità della mancata nomina del responsabile all’inerzia della Giunta regionale (cui, ratione materiae, competeva detta funzione).
Quanto alle circostanze in cui avveniva la consultazione dell’archivio, era nello specifico evidenziato che la convenuta n.2 rispettava pienamente le cautele, a tutela della riservatezza, comminate dal dato normativo. Tale consultazione, infatti, aveva luogo “sotto la vigilanza del personale addetto” e previa annotazione dell’intervenuta consultazione, unitamente ai dati relativi al dipendente che effettuava la medesima.
Tra l’altro, a seguito di ulteriori note di contestazione, mosse dal Garante con note in data 28 luglio 2011 e 28 febbraio 2012, anche a seguito di ispezione in loco, il nuovo dirigente pro tempore XXX, su impulso del convenuto, intervenuto nella sua qualità di Presidente della Regione, aveva fornito deduzioni che avrebbero dovuto scongiurare l’irrogazione della sanzione. In particolare, era stato ribadito che, pur in mancanza dell’adozione, da parte della Giunta regionale, di atti di indirizzo specifici per la gestione dei dati personali, il trattamento dei relativi dati avveniva in piena conformità alle prescrizioni del regolamento regionale, approvato con deliberazione della Giunta regionale in data 11 ottobre 2006, n. 93.
Nell’impossibilità di accoglimento di dette considerazioni difensive, con il provvedimento sanzionatorio descritto il Garante ha, tuttavia, previa contestazione in data 11 aprile 2013, irrogato la sanzione descritta per violazione, in primo luogo, dell’articolo 157 del codice sul trattamento dei dati personali, relativo al tardivo riscontro alla richiesta di informazioni; e, in secondo luogo, dell’articolo 30, in relazione al mancato rispetto delle misure minime in materia di conservazione dei dati personali. Tali elementi erano ravvisati nella mancata designazione degli incaricati del trattamento dei dati personali, nonché nel mancato rispetto delle misure di sicurezza, individuate sia in relazione ai dati informatici che per i dati non informatici.
Le relative violazioni erano individuate, per l’appunto, nell’inosservanza di elementari cautele idonee a tutelare la riservatezza degli interessati nell’ambito del trattamento dei dati personali. In particolare, nell’atto applicativo della sanzione è riportato che “(…) la Regione Calabria, in qualità di titolare del trattamento, non ha fornito alcun riscontro alla richiesta di informazioni formulata dal Garante ai sensi dell´art. 157 del Codice e non ha provveduto, con particolare riferimento al Settore Organizzazione e giuridico del Dipartimento Organizzazione e personale, a designare gli incaricati del trattamento ai sensi dell´art. 30 del Codice; 2) nel "Disciplinare per l´utilizzo delle risorse informatiche, di rete e software della Regione Calabria" viene data parziale attuazione solamente ad alcune delle regole sull´autenticazione informatica previste dal disciplinare tecnico in materia di misure minime di sicurezza - Allegato B) al Codice; 3) le postazioni di lavoro affidate al personale possono essere utilizzate a fronte di una generale disapplicazione delle regole previste dal citato Allegato B) al Codice, omettendo, quindi, di adottare le misure minime di sicurezza di cui all´art. 33 del Codice”.
Il pagamento della sanzione, somma che la Procura assume appunto quale oggetto del danno erariale, è avvenuto con decreto dirigenziale in data 9 maggio 2017, n. 4698, previo relativo impegno sul bilancio regionale.
Tanto rappresentato in ordine alla narrazione storico- giuridica della vicenda in questione, sono di seguito esposti gli elementi su cui la Procura erariale poggia l’azione di responsabilità.
L’organo inquirente ha, infatti, contestato, al Presidente della Regione l’inosservanza, in quanto capo della Giunta, delle previsioni dell’articolo 34 del codice, nonché del punto 19 dell’allegato B al codice medesimo. La relativa responsabilità discenderebbe, ai sensi dell’articolo 28 del codice, proprio in capo al rappresentante legale dell’ente. Oltre che dall’incardinamento del Presidente al vertice dell’amministrazione regionale, la sussistenza dei relativi obblighi deriverebbe anche dalla deliberazione della giunta regionale in data 19 giugno 2001, n. 553, con la quale proprio il Presidente della Regione era stato espressamente nominato “titolare” dei dati personali proprio ai sensi della vigente normativa sul trattamento.
L’organo inquirente ha, invece, contestato alla dirigente convenuta n.2 l’inottemperanza alle richieste istruttorie provenienti dal Garante, nella sua veste di dirigente responsabile del Dipartimento Organizzazione e personale - Settore Organizzazione, giuridico e personale della Regione Calabria. Di tale secondo comportamento negligente risponderebbe anche il convenuto n.1, in quanto l’inerzia nel riscontro alle informazioni richieste dal Garante discenderebbe anche dalla oggettiva inesistenza, come detto ascrivibile al capo dell’Amministrazione regionale, delle misure di sicurezza la cui configurazione era stata più volte richiesta dal Garante.
Nell’atto di citazione è più volte evidenziata l’antigiuridicità della condotta tenuta dai convenuti in quanto violativa degli obblighi di servizio, la sussistenza di un nesso di causalità tra detta condotta e il danno subito dalla Regione Calabria, nonché l’ascrivibilità di tali violazioni quantomeno alla colpa grave. I convenuti hanno esercitato le facoltà preprocessuali riconosciute dall’ordinamento e si sono costituiti con memorie redatte dai difensori indicati in epigrafe, svolgendo plurime difese in diritto e in fatto.
Il convenuto n.1 ha eccepito, in via preliminare, la prescrizione dell’azione erariale, in quanto i fatti contestati risalirebbero all’anno 2010, in epoca antecedente, quindi, al quinquennio computato a ritroso. Sempre in via preliminare, il convenuto ha eccepito il difetto di legittimazione passiva, in quanto soggetto non destinatario, seppure rappresentante legale, degli obblighi imposti dalla disciplina in materia di protezione dei dati personali che anzi, ai sensi dell’articolo 28 del codice (oggi abrogato dal decreto legislativo 10 agosto 2018, n. 101) ricadrebbero esclusivamente sulla “entità nel suo complesso” ovvero “unità od organismo periferico” che eserciti un autonomo potere decisionale sulle finalità e sulle modalità del trattamento. L’esclusione della legittimazione passiva discenderebbe, altresì, dalla circostanza che, in forza del dettato normativo, e in particolare dell’articolo 121 della Costituzione, il Presidente della Regione avrebbe generali funzioni di indirizzo politico-amministrativo e non di concreta gestione dell’attività amministrativa. Sempre a dire del convenuto n.1, la propria responsabilità non potrebbe nemmeno essere incardinata sulla espressa attribuzione, in capo al medesimo nella veste di Presidente della Regione, della titolarità del trattamento, in quanto tale circostanza non sarebbe stata contestata in sede di invito a dedurre e, dunque, la sua esplicitazione nell’ambito dell’atto di citazione risulterebbe essere una mutatio libelli, non consentita in quanto pregiudizievole rispetto al diritto di difesa. Inoltre, tale esclusione sarebbe corroborata anche dalla scansione temporale dei fatti che vengono espressamente ascritti al convenuto, rispetto a cui la difesa trae una serie di considerazioni che dovrebbero far escludere l’imputabilità del danno arrecato dal pagamento della sanzione al solo convenuto. Tale considerazione è basata sulla natura della contestazione (non avere adottato le misure prescritte dalla vigente normativa in materia di dati personali), dal momento che quanto azionato da parte della Procura erariale si risolverebbe essenzialmente, in un inadempimento prolungato, complessivamente ascrivibile all’ente regionale nell’arco 2004/2015.
Pertanto, dalla circostanza che, a ben vedere, il comportamento ascritto al Presidente della Regione pro tempore non sarebbe difforme, nella sua inerzia, da quello dei presidenti succedutisi a far data dall’entrata in vigore del codice dei dati personali, fino al momento della sanzione, discenderebbe la responsabilità di tutti i vertici politici. Il convenuto ha, inoltre, censurato la scelta, operata dal successivo Presidente della Regione pro tempore, di non procedere all’impugnazione della sanzione irrogata, opzione che sarebbe essa stessa produttiva di danno.
Sempre in via pregiudiziale, con riferimento alla presupposta vicenda relativa all’irrogazione della sanzione, il difensore del convenuto n.1 ha eccepito la violazione del diritto di difesa, in relazione al mancato coinvolgimento nel procedimento amministrativo di carattere paragiurisdizionale che ha portato all’irrogazione della sanzione. Da tale omissione sarebbe derivata un’insanabile violazione del diritto di difesa, preclusiva rispetto al ristoro del danno erariale.
Nel merito, il difensore del convenuto n.1 ha, comunque, argomentato dell’inesistenza di qualsiasi profilo di negligenza in ordine al comportamento del convenuto. Sempre nel merito, lo stesso difensore ha, comunque, ribadito la mancanza di rimproverabilità nella condotta del proprio assistito, in quanto, come comprovato dall’esistenza di uno specifico regolamento regionale, e da una serie di atti organizzativi e di provvedimenti amministrativi, del pari prodotti dal difensore del convenuto in sede di comparsa di risposta, l’organizzazione regionale avrebbe rispettato quanto prescritto dal codice. In particolare, la Regione avrebbe approvato lo specifico regolamento in materia di trattamento dei dati personali con deliberazione del 12 giugno 2006, n. 412, ed esso sarebbe stato integralmente satisfattivo degli obblighi di legge. Inoltre, il convenuto n.1 ha prodotto una serie di deliberazioni della Giunta regionale che, in attuazione della normativa primaria e secondaria, avrebbero pienamente ottemperato quanto prescritto dalla normativa di settore. In particolare, con decreto dirigenziale in data 11 settembre 2007, n. 13013, “il rispetto delle norme in materia di riservatezza dei dati e di conservazione degli archivi informatici” era stato attribuito al dirigente pro tempore responsabile del Settore II del Servizio Sicurezza sul lavoro e privacy, con relativa assegnazione di provvista finanziaria e di personale. Detto servizio era stato successivamente abolito con deliberazione della Giunta regionale del 12 luglio 2012, n. 521, e incorporato nel Dipartimento Bilancio e patrimonio. Successivamente, con deliberazione della giunta regionale del 12 luglio 2011, n. 308, la funzione di “tutela della privacy” era stata affidata al Servizio II di tale dipartimento, unitamente alla funzione di vigilanza sulla sicurezza sui luoghi di lavoro.
In base all’articolo 30, comma 2, del codice, la preposizione effettuata e il complesso degli atti organizzativi citati risulterebbe, in ogni caso, sufficiente a escludere la responsabilità del convenuto.
Anche la convenuta n.2 si è costituita, con un’articolata difesa avente ad oggetto principalmente la non configurabilità di un’oggettiva negligenza.
In particolare, la convenuta ha prodotto una serie di provvedimenti organizzativi, attinenti al periodo interessato dalla sanzione (deliberazione della Giunta regionale in data 8 ottobre 2007, n. 662; decreto del dirigente generale, 11 settembre 2007, n. 13013; deliberazione della Giunta regionale, 12 luglio 2010, n. 521; deliberazione della Giunta regionale, 12 luglio 2011, n. 308), in parte già evidenziati dalla difesa del convenuto Scopelliti, che attribuivano ad altri settori la responsabilità in materia di dati personali. La convenuta ha altresì, osservato, che non poteva essere investita di specifici obblighi in materia di riscontro alle richieste del Garante, anche in considerazione della circostanza che le relative richieste erano state inoltrate alla Regione Calabria. Tale elemento, peraltro, sarebbe stato tempestivamente portato a conoscenza del Garante nella nota di riscontro alla prima delle comunicazioni.
Per contro, lungi dal comprovare la propria negligenza nell’accaduto, l’aver fornito risposta alle note del Garante consentirebbe al contrario di dimostrarne la diligenza, in quanto la stessa si sarebbe fatta carico di compiti e oneri alla stessa non attribuiti.
In conclusione, la convenuta ha eccepito che il tempestivo riscontro alle richieste del Garante non rientrava nelle proprie competenze, e che, quindi, un diverso comportamento non avrebbe esonerato l’ente di appartenenza dalla irrogazione della sanzione.
In via subordinata, la convenuta n.2 ha, comunque, chiesto una diversa e maggiormente favorevole ripartizione della responsabilità.
All’udienza del 14 maggio 2019 le parti, come sopra rappresentate, hanno rispettivamente insistito per l’accoglimento integrale del ricorso (previo rigetto anche delle eccezioni preliminari) e per la conseguente esclusione della responsabilità dei convenuti.
Dopo un’ulteriore replica, la causa è stata trattenuta in decisione.
RITENUTO IN DIRITTO
Preliminarmente, il Collegio deve valutare l’eccezione di prescrizione, proposta dal convenuto n.1, che ritiene estinta l’azione erariale, in quanto proposta in relazione ad eventi dannosi di verificazione anteriore al quinquennio, calcolato a ritroso rispetto all’invito a dedurre. Tale affermazione non può essere accolta, in quanto contrastante con i principi generali di determinazione del momento di produzione dell’evento lesivo. In proposito, occorre tenere conto di quanto affermato in materia di danno indiretto dalle Sezioni riunite della Corte dei conti (sentenza 5 settembre 2011, n. 14), in ordine di determinazione del dies a quo della prescrizione dell’azione di responsabilità per il risarcimento del danno c.d. indiretto. Esso, secondo la riferita pronuncia, peraltro recepita dalla giurisprudenza ormai consolidata, deve essere individuato nella data di emissione del titolo di pagamento al terzo danneggiato, perché solo in detto momento si invera, per l’ente pubblico, il nocumento al proprio patrimonio. Nel caso di specie, mutatis mutandis, detto dies a quo non può che essere fatto coincidere con la data del mandato di pagamento (disposto, come detto, con il decreto dirigenziale in data 9 maggio 2017) che ha determinato il danno per la pubblica amministrazione di appartenenza del convenuto. Prima di tale momento, infatti, non era con tutta evidenza configurabile alcun danno erariale, ma solo un comportamento oggettivamente violativo della disciplina in materia di dati personali, non ancora determinante un danno finanziario per l’Amministrazione.
Ne consegue il rigetto della eccezione preliminare proposta dal convenuto n.1 afferente alla prescrizione.
Passando al merito della complessa vicenda, il Collegio preliminarmente precisa che oggetto dell’odierno giudizio è il ristoro dell’indebito pregiudizio patrimoniale subito dalla Regione Calabria in conseguenza della sanzione irrogata dal Garante per la complessiva violazione della disciplina in materia di dati personali, secondo il tradizionale meccanismo del ristoro del danno erariale. Deve essere, quindi, precisato, che il thema decidendum affrontato dal Collegio è circoscritto all’individuazione della persona fisica che, con il proprio comportamento negligente, abbia determinato in capo alla Regione la perdita patrimoniale consistente nel pagamento della sanzione, considerata hic et nunc quale fatto storico produttivo del danno, già conclusosi. Esula, invece, in quanto estraneo alla valutazione del giudice contabile, qualsiasi profilo di trasposizione automatica della sanzione (irrogata, in base alla disciplina di settore, all’ente regionale calabrese) a una o più persone fisiche. Per tale motivo, devono essere rigettate, in quanto non conferenti, le argomentazioni difensive del convenuto Scopelliti, dirette a censurare la propria mancata partecipazione al procedimento sanzionatorio, ovvero a estendere la corresponsabilità ai precedenti vertici dell’amministrazione regionale, ovvero, ancora, a dolersi della mancata impugnazione del provvedimento sanzionatorio nei confronti degli organi regionali al medesimo succeduti. Nel merito, il Collegio reputa che la richiesta formulata nell’atto di citazione sia meritevole di parziale accoglimento per le ragioni che risultano, per tabulas, dalla documentazione allegata all’atto di citazione. Sotto il profilo fattuale, questo giudicante rileva che l’azione risarcitoria poggia, in via prevalente, sui dati emergenti dalla segnalazione di danno della Guardia di Finanza e sulla documentazione ad essa allegata, ivi compresi gli atti sanzionatori del Garante e che, secondo precedenti giurisprudenziali conformi, gli stessi sono ascrivibili agli atti fidefacienti ai sensi dell’articolo 2700 codice civile (cfr., sul punto, Sezione giurisdizionale per la Regione Calabria, sentenza 10 maggio 2018, n. 87). Ciò, in particolare, vale in relazione agli atti emanati dal Garante i quali, pur non potendo essere equiparati a sentenza passate in giudicato, proprio per la particolare competenza specifica del soggetto emanante, assumono un valore presuntivo circa l’oggettiva sussistenza della violazione, relativa alla disciplina di settore. Resta chiaramente ferma, come premesso, l’attività del Collegio di ascrizione della valutazione dei canonici elementi del danno erariale. Dagli atti prodotti emerge, comunque, in modo evidente, la sussistenza degli elementi oggettivi e soggettivi di tale responsabilità, nei termini che saranno elencati.
Occorre, al riguardo, precisare che la sanzione amministrativa che ha determinato l’indebita perdita pecuniaria da parte della Regione Calabria è stata irrogata, in primis, in base all’articolo 162, comma 2-bis, del codice che, nella sua versione previgente al decreto legislativo 10 agosto 2018, n. 101, sanzionava il trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33, vale a dire delle misure “volte ad assicurare un livello minimo di protezione dei dati personali”. Inoltre, la sanzione è stata determinata dall’inottemperanza all’articolo 157 del codice disciplinante il generale potere del Garante di richiedere informazioni, potere assistito dalle sanzioni all’epoca previste dall’articolo 164 del codice quale presidio alle funzioni dell’autorità.
Occorre al riguardo premettere che, nel sistema normativo del codice, vigente all’epoca dei fatti, e ora profondamente innovato dal decreto legislativo 10 agosto 2018, n. 101, di recepimento del regolamento europeo generale sulla protezione dei dati (GDPR), le qualifiche soggettive dei soggetti coinvolti dal trattamento erano modulate come di seguito. Ai sensi dell’articolo 4, comma 1, lettera f) del codice la figura del “titolare” è qualificata come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (e tale nozione riprendeva quella, analoga, della legge 31 dicembre 1996, n. 675). Al titolare era attribuita l’astratta relazione giuridica con i dati personali detenuti, nonché una serie di obblighi ritenuti non delegabili dallo stesso legislatore, tra cui proprio l’interlocuzione con l’autorità di vigilanza. La concreta responsabilità del trattamento, invece, poteva essere delegata a un “responsabile”.
Infatti, in base all’articolo 19 del codice all’epoca vigente “Il responsabile è designato dal titolare facoltativamente. 2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni”.
Ancora diversa era la figura dell’”incaricato” o “incaricati”, prevista al solo fine di restringere il numero degli addetti (all’interno di una struttura organizzativa) abilitati alle operazioni di trattamento, evitando che queste ultime possano essere svolte da un numero indeterminato di soggetti. Infatti, ai sensi dell’articolo 30 del codice, vigente all’epoca dell’omissione contestata “1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima”.
Nel caso di specie, in base al provvedimento assunto dal Garante, le violazioni che hanno determinato l’insorgenza dell’obbligo risarcitorio si ricollegano a una serie di comportamenti omissivi, tra cui mostra particolare gravità la mancata individuazione degli “incaricati” al trattamento. Sempre ai sensi della disciplina specifica in materia di dati personali, come si avrà modo di precisare, nel caso in questione è stata addirittura omessa la designazione di eventuali responsabili, che in concreto avrebbe potuto elidere la responsabilità del convenuto. Sul punto, quanto all’individuazione del soggetto chiamato a rispondere della violazione, la difesa del convenuto Scopelliti ha invocato l’articolo 28 del codice, che incardinerebbe la titolarità del trattamento dei dati personali in capo alla complessiva entità rappresentata dall’ente regionale.
Pertanto, a suo avviso, l’ascrizione delle relative conseguenze al Presidente della Regione, nella sua veste di legale rappresentante dell’ente, determinerebbe a suo carico una responsabilità di carattere esclusivamente formale. L’argomentazione non merita, tuttavia, accoglimento. Pare evidente che l’articolo 28 citato assuma rilievo esclusivo con riguardo alla disciplina di settore in materia di dati personali, in relazione ai rapporti esterni con i terzi (ivi compresa il Garante, che infatti ha irrogato la sanzione nei confronti della Regione). Ratio della disposizione infatti è quella di evitare di gravare i terzi (anche se dipendenti), interessati alla corretta tenuta dei dati, dall’onere di individuare la persona fisica specificamente preposta alla struttura titolare per azionare i propri diritti. Nei profili interni, relativi alla ripartizione dei compiti all’interno del plesso amministrativo, l’individuazione del soggetto tenuto all’ottemperanza dei relativi obblighi non può che basarsi su una disamina delle caratteristiche organizzative dell’ente, in questo caso, pubblico.
Nel caso di specie, quindi, il Collegio ritiene che la responsabilità del convenuto n.1 possa essere argomentata in considerazione del dato che, in quanto legale rappresentante dell’ente (la Regione Calabria) titolare del trattamento, sul medesimo ricadeva l’attuazione degli obblighi incardinati nei confronti del titolare.
Al riguardo, deve essere aggiunto che è stata prodotta agli atti la deliberazione della Giunta regionale 553/2001. Con tale atto, la spettanza dei doveri sul trattamento dei dati personali era stata individuata, conferendo la qualifica di “titolare”, con conseguente devoluzione della titolarità del trattamento e assunzione dei relativi obblighi, proprio al Presidente della Regione. Tale “designazione”, tuttavia, pare di difficile compatibilità con il dato normativo, in quanto, se può essere delegata la concreta responsabilità del trattamento (e la posizione di “responsabile”), la titolarità dei dati non nasce da un’attribuzione volontaria, ma è determinata direttamente dalla legge nei confronti dell’entità collettiva (anche se proprio l’articolo 4, comma 1, lettera f) citato contempla espressamente la possibilità che un titolare sia competente “unitamente ad altro titolare”). Nessun pregio possono, quindi, assumere le considerazioni spiegate dal convenuto n.1 in ordine alla esclusione di concrete responsabilità di gestione del trattamento dei dati personali da parte del Presidente della Regione, a cui sarebbero invece, ascritte, funzioni di esclusivo carattere politico. Analoga irrilevanza va affermata in relazione all’illazione secondo cui la contestazione relativa alla qualifica di titolare assunto dal Presidente della Regione, espressa nell’atto di citazione, sarebbe inammissibile in quanto comporterebbe una mutatio libelli. In base alla prevalente giurisprudenza contabile, infatti, deve essere qualificata infatti come mera emendatio libelli l’esplicitazione dalla condotta illegittima che non muti il “nesso eziologico dell'imputazione lesiva” (Corte dei conti, sezione I Appello, 15 luglio 2008, n. 324) che, nel caso di specie, era stato indiscutibilmente fondato sulla violazione della normativa in materia di dati personali. Ma, come sopra evidenziato, tale responsabilità non discende dall’attribuzione della qualifica di “titolare”, ma proprio dalla necessità che gli obblighi (imposti, nel caso di specie, a un ente immateriale) fossero attuati dalla persona fisica rappresentante legale, attraverso cui può agire in concreto l’ente.
In concreto, l’antigiuridicità della condotta (o, meglio, dell’inerzia) tenuta dal convenuto n.1, nella sua qualità di Presidente della Regione, nonché di titolare del trattamento dei dati personali, risulta meridiana. Non assume pertanto rilievo l’esistenza di una serie di atti organizzativi, comunque di rilevanza meramente interorganica e non intersoggettiva, con i quali la generica funzione di “tutela della privacy” era stata attribuita, peraltro in modo promiscuo con altre funzioni (comprensive addirittura della sicurezza sul lavoro). Nel caso di specie, difetta infatti l’esistenza di un atto scritto indirizzato al responsabile nominato, così come la puntuale individuazione delle competenze specifiche dell’interessato e la corretta delimitazione dei suoi poteri, nonché quell’esercizio costante di poteri di vigilanza e di istruzione previsto dalla conferente normativa. Pertanto, non sussiste dubbio alcuno circa la responsabilità del convenuto, che ha inopinatamente omesso di adempiere agli obblighi basilari previsti dalla allora vigente disciplina in materia di dati personali. Tali omissioni hanno indubbiamente spiegato un rilievo causale anche in relazione alla seconda violazione sanzionata dal Garante, consistente nella tempestiva informazione delle misure adottate in ordine alla protezione dei dati personali, oltre a essere comunque ascrivibile al Presidente della Regione nella sua qualità di rappresentante legale dell’ente.
E’ appena il caso di sottolineare che le omissioni rilevate sarebbero state però comunque imputabili al convenuto n.1 anche in caso di efficace nomina del responsabile, atteso l’esistenza di un nucleo di funzioni non delegabili. Nel caso di specie, neppure può assumere alcun giuridico pregio l’argomentazione, proposta dal difensore del convenuto n.1, secondo cui, a fronte di una violazione protrattasi per un lasso consistente di tempo (nello specifico, in particolare, l’arco temporale 2004/2015) i danni conseguenti dovrebbero essere ascritti anche ai precedenti vertici dell’amministrazione regionale, così come a quelli responsabili dell’omessa impugnazione del provvedimento sanzionatorio. Oggetto del presente giudizio è, infatti, una condotta quale cristallizzata dal provvedimento sanzionatorio del Garante, senza che possano trovare spazio considerazioni basate su elementi di causalità alternativa (peraltro di non provata incidenza, come la mancata proposizione di ricorso avverso la sanzione). Oltre che presentare i caratteri dell’antigiuridicità e della rilevanza in ordine al nesso causale, l’omissione in commento è indubbiamente connotata anche dalla imputabilità soggettiva a titolo di negligenza inescusabile, e pertanto di colpa grave. Sussistono anche gli ulteriori elementi costitutivi della responsabilità erariale, che, nel caso di specie, devono essere identificati nel rapporto di servizio, che può essere individuato nella qualifica di Presidente della Regione, e nel danno, consistente nel depauperamento sofferto dalla Regione Calabria della somma corrisposta a titolo di sanzione.
A considerazioni diverse deve, invece, addivenirsi in relazione alla posizione della convenuta n.2. Infatti, in relazione a quest’ultima, non emerge la titolarità di alcuna funzione che potesse incardinare, in capo alla medesima, l’obbligo di fornire riscontro alle richieste del Garante o la responsabilità del loro ritardo. Tale obbligo non discendeva né dalla titolarità di uffici (in base alla lunga serie di atti esposti) muniti della relativa funzione, né dall’incarico attribuito dal titolare in forza di quei requisiti formali e sostanziali che sono stati esaminati. Tali considerazioni, peraltro, sono corroborate dall’esame delle note del Garante che hanno successivamente portato all’irrogazione della sanzione per il mancato riscontro. Dette note sono espressamente e specificamente indirizzate alla Regione Calabria e presso la sede istituzionale di tale ente, con la conseguenza che nessun onere di tempestivo riscontro poteva essere addossato alla convenuta. Tali compiti erano, invece, incardinati sotto il profilo esterno al legale rappresentante dell’ente e, come ausilio interno, ad altri specifici uffici, sicchè nessun rilievo poteva assumere la semplice circostanza che le vicende che avevano dato origine alla denuncia al Garante fossero, in senso lato, riferibili al settore diretto dalla convenuta. All’opposto, non può che esprimersi apprezzamento in relazione al dato che, pur non essendovi tenuta (circostanza, per vero, anche esplicitata nel proprio riscontro) la convenuta abbia fornito al Garante una, sia pure incompleta, serie di informazioni, incompletezza peraltro ascrivibile alle carenze dei livelli di vertice dell’amministrazione regionale.
In conclusione, il Collegio ritiene meritevole di accoglimento la pretesa risarcitoria erariale solo in relazione alle richieste presentate nei confronti del convenuto n.1, mentre reputa di escludere quella promosse nei confronti della convenuta n.2.
L’integrale proscioglimento determina l’onere di refusione delle spese di difesa, quantificate equitativamente in euro 2.000,00 a carico dell’Amministrazione regionale.
Le spese seguono la soccombenza e sono liquidate come da dispositivo.
PER QUESTI MOTIVI
La Corte dei conti - Sezione giurisdizionale per la Regione Calabria, definitivamente pronunciando, in parziale accoglimento delle richieste della Procura regionale:
Condanna il convenuto n.1 al pagamento, in favore della Regione Calabria, della somma di euro 66.000,00.
Le spese seguono la soccombenza e sono liquidate nella misura di euro * 688,04**seicentoottantotto/04* Tale importo dovrà, inoltre, essere incrementato della maggior somma tra la rivalutazione monetaria su base annua secondo indici ISTAT e gli interessi legali dalla data del fatto illecito sino a quella della pubblicazione della presente sentenza, e ancora degli interessi legali da quest'ultima data sino all’effettivo soddisfacimento del credito.
Rigetta la domanda proposta nei confronti della convenuta n.2.
Pone a carico dell’Amministrazione regionale le spese in favore della convenuta nella misura, equitativamente determinata, di euro 2.000,00, da distrarsi in favore del difensore antistatario, giusta dichiarazione nell’atto introduttivo del giudizio. A tale somma deve essere aggiunto il contributo previsto per la Cassa nazionale di previdenza e assistenza forense, nonché l’importo per l’Imposta sul valore aggiunto.