Il 71% delle sanzioni per violazioni della Privacy è attribuito alla Pubblica Amministrazione.

Analizzando i dati pubblicati negli ultimi anni sul sito del Garante della Privacy, è emerso in maniera incontrovertibile che, dal 25 maggio 2018, data in cui il GDPR è divenuto operativo, la maggior parte delle sanzioni irrogate per violazioni relative alla trattazione dei dati personali ha riguardato la Pubblica Amministrazione.

Questo, nonostante la normativa vigente in tema di Privacy attribuisca alla P.A. un più ampio margine di manovra per il trattamento dei dati personali che può essere eseguito anche basandosi sulla genericità degli atti amministrativi da compiere ovvero sulla necessità “per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti”. 

Allo stesso tempo, la normativa impone alla P.A. di dotarsi di un Responsabile per la protezione dei dati (DPO) è ciò dovrebbe essere garanzia di un minor rischio e quindi ridurre notevolmente l’eventualità che si verifichino “incidenti di percorso”, ovvero data breach o near miss.

Così purtroppo non è: basti pensare, ad esempio, che dal 2020 al primo quadrimestre del 2021, la percentuale delle sanzioni per violazioni della Privacy irrogate agli Enti Pubblici è pari al 71% a fronte del 28,8% elevate a soggetti privati.

Ma cosa accade quando viene sanzionata una Pubblica Amministrazione?

Innanzitutto, deve essere presa in considerazione la possibilità per l’Ente di poter trasferire gli effetti sanzionatori ai responsabili delle decisioni erronee qualora fossero chiamati in causa per danno erariale. 

Se infatti a causa della loro negligenza, il Garante commina una sanzione pecuniaria alla P.A., scatta la responsabilità erariale e quindi la condanna del responsabile da parte della Corte dei Conti a rimborsare l’ente pubblico. Si tratta di una possibilità non del tutto remota tanto che è già capitato a un presidente di Regione (Corte dei Conti, sezione giurisdizionale della Calabria, sentenza n. 429/2019), a un dirigente scolastico (Corte dei Conti, sezione giurisdizionale del Lazio, sentenza n. 246/2019) e a un Commissario di due Aziende Sanitarie Locali (Corte dei Conti, sezione giurisdizionale della Toscana, sentenza n. 445/2019). 

Da un altro lato, occorre comunque tenere sempre in considerazione che le attuali disposizioni sul danno erariale determinano che “la prova del dolo richiede la dimostrazione della volontà dell’evento dannoso” e conseguentemente che dal 17 luglio 2020 (data di entrata in vigore del decreto semplificazioni) e sino al 30 giugno 2023, potranno essere sanzionati solo i fatti derivanti dalla condotta del soggetto “dolosamente voluta”.