Corte dei conti
Sezione giurisdizionale per la Valle d'Aosta
Sentenza 12 agosto 2025, n. 36
Presidente: Riolo - Estensore: Alesiani
FATTO
In seguito all'irrogazione da parte del Garante per la protezione dei dati personali di due sanzioni amministrative a carico della Regione autonoma Valle d'Aosta, si sono delineate due fattispecie di danno indiretto: in particolare, con riferimento all'ordinanza n. 398 del 5 ottobre 2017 recante l'ingiunzione al pagamento della somma di euro 100.000,00, la Procura regionale disponeva l'apertura del fascicolo istruttorio n. I00030/2022, confluito nel giudizio in discussione (n. 939) e, con riferimento all'ordinanza n. 397 del 5 ottobre 2017 recante l'ingiunzione al pagamento della somma di euro 20.000,00, la Procura regionale disponeva l'apertura del fascicolo istruttorio n. I00034/2018, confluito in altro diverso giudizio (n. 940), anch'esso in discussione nell'odierna pubblica udienza.
Occorre, preliminarmente, precisare, altresì, che, a monte delle due ordinanze in parola, si colloca il provvedimento del Garante n. 182/2015 del 26 marzo 2015, contenente due prescrizioni: con la n. 1 si vietava alla Regione Valle d'Aosta di diffondere ulteriormente in internet, tramite il sito web istituzionale, i dati personali contenuti nella deliberazione della Giunta regionale n. 1016 del 7 giugno 2013; con la n. 2 si prescriveva alla Regione Valle d'Aosta di conformare la pubblicazione di atti e documenti alle disposizioni del codice della privacy, tenute presenti le indicazioni contenute nelle linee guida in materia di trattamento dei dati personali.
Si riferisce a quest'ultima prescrizione l'ordinanza di ingiunzione n. 398 che ha dato luogo al presente giudizio, n. 939.
Ai soggetti convenuti, sig. Augusto R., sig. Livio S. e sig. Massimo B., veniva imputata pro quota una parte del danno indiretto complessivo di euro 101.802,94, posto a carico dei convenuti nelle seguenti quote: euro 51.802,94 a carico del sig. Augusto R.; euro 25.000,00 a carico del sig. Livio S. ed euro 25.000,00 a carico del sig. Massimo B., oltre interessi, rivalutazione monetaria e spese di giudizio.
La Procura, in particolare, contestava:
- in capo al convenuto sig. Augusto R., all'epoca dei fatti Presidente e legale rappresentante della Regione Valle d'Aosta, la responsabilità gravemente colposa con particolare riferimento al mancato adempimento delle prescrizioni fornite dal Garante per la protezione dei dati personali e, specificatamente, in relazione al non avere assicurato l'adeguamento delle modalità di pubblicazione degli atti e documenti alle disposizioni del codice della privacy (d.lgs. n. 196/2003, ratione temporis vigente), in considerazione del preminente ruolo nella vicenda rivestito di Presidente della Giunta regionale pro tempore, e quindi intestatario del potere di proposta, non esercitato, per l'attivazione dei compiti ex art. 29 del codice spettanti alla Giunta regionale, quale titolare in tema di trattamento dei dati personali contenuti negli atti regionali - ciò determinando, a parere della Procura, l'illecito trattamento dei dati personali -, nonché di fondamentale interlocutore, in qualità di rappresentante legale della Regione, nei riguardi delle prescrizioni del Garante non ottemperate; condotta, quindi, omissiva in relazione alle norme di riferimento che disegnano la figura del titolare del trattamento, delineando una posizione di garanzia e un correlativo obbligo di attivarsi in capo alla persona fisica incardinata nell'organo cui sono intestati i poteri di azione amministrativa e di impulso/verifica anche sotto il profilo della individuazione dei soggetti "responsabili" dei trattamenti dei dati personali nelle deliberazioni della Giunta e dei compiti loro assegnati in riferimento agli adempimenti prescritti dai commi da 1 a 5 dell'art. 29 del codice;
- in capo ai convenuti sig. Livio S., all'epoca dei fatti coordinatore della Presidenza della Regione, e sig. Massimo B., all'epoca dei fatti dirigente della struttura "Provvedimenti amministrativi" all'interno del dipartimento "Segreteria della Giunta regionale", la responsabilità gravemente colposa con particolare riferimento al mancato adempimento di cui in parola; secondo la Procura regionale, infatti, i medesimi corrispondevano direttamente con il Garante sull'assunto di essere legittimamente investiti di obblighi concernenti la materia della tutela dei dati personali.
Più precisamente, la scansione temporale dei fatti può così riassumersi.
In data 7 giugno 2013 veniva pubblicata - senza anonimizzazione dei dati personali e identificativi della persona oggetto del provvedimento - la deliberazione di Giunta regionale n. 1016, che disponeva il trasferimento "per esigenze organizzative per accertata incompatibilità ambientale" di un dipendente regionale; in data 18 settembre 2013 il Garante della privacy, con apposita nota prot. n. 0023099, a seguito di segnalazione da parte dello stesso dipendente, richiedeva alla Regione chiarimenti in merito ai presupposti di legittimità relativi alla pubblicazione dei dati personali in questione ai sensi degli artt. 11, comma 1, lett. a), e 19, comma 3, del codice della privacy, nonché, più in generale, in relazione all'osservanza dei principi di necessità (art. 3 del codice), di pertinenza e non eccedenza della tipologia delle informazioni oggetto di diffusione rispetto alla legittima finalità perseguita [artt. 3 e 11, comma 1, lett. d), del codice].
A riscontro di quanto richiesto dal Garante, in primo luogo, il coordinatore del Dipartimento del personale, sig. Ornella Ba., con nota prot. n. 20535 del 2 ottobre 2013, interloquiva direttamente con il Garante medesimo ("sentito il Coordinatore del Dipartimento Segreteria della Giunta per quanto di competenza") e sosteneva la legittimità della pubblicazione, evidenziando che il d.lgs. 22 aprile 1994, n. 320, recante "Norme di attuazione dello Statuto speciale della Regione Valle d'Aosta", stabilisce, all'art. 10, comma 1, che "gli atti deliberativi degli organi regionali sono pubblicati mediante affissione all'albo notiziario dell'amministrazione regionale, per quindici giorni consecutivi, salvo il più breve termine stabilito nell'atto stesso"; veniva, altresì, precisato che la d.G.r. n. 1016/2013, peraltro, non contiene né dati sensibili né dati giudiziari, così come definiti dal codice con particolare riferimento all'art. 4, comma 1, e, inoltre, in materia, sarebbero state rispettate anche le norme contenute nel d.lgs. 14 marzo 2013, n. 33, recante "Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni", con particolare riferimento all'art. 8 in tema di pubblicazione obbligatoria per un periodo di 5 anni (in particolare, l'ipotesi degli atti organizzativi), salvi i termini previsti dalla normativa in materia di privacy.
In data 26 marzo 2015, il Garante della privacy adottava apposito provvedimento (n. 182), con cui dichiarava l'illiceità della diffusione dei dati personali relativi al segnalante per quanto concerne la pubblicazione della d.G.r. n. 1016/2013, con conseguente divieto di diffondere ulteriormente in internet i dati oggetto di segnalazione (prescrizione n. 1); inoltre, prescriveva alla Regione (prescrizione n. 2) di conformare la pubblicazione di atti e documenti alle disposizioni del codice sulla privacy, tenute presenti le indicazioni contenute nelle linee guida in materia di trattamento dei dati personali.
Quindi, a far data dal 22 aprile 2015 e a seguito del provvedimento n. 182/2015, la Regione decideva di rimuovere la deliberazione n. 1016/2013 dal sito dell'ente.
Con nota prot. n. 420/SGT del 5 maggio 2015, il convenuto B., nella sua qualità di dirigente della Segreteria della Giunta regionale (e, specificatamente, della struttura organizzativa "Provvedimenti amministrativi" - v., infra, punto n. 3), pur comunicando al Garante di aver provveduto alla rimozione della pubblicazione censurata, insisteva ugualmente per la doverosità della pubblicazione integrale di tale deliberazione per un periodo di cinque anni sul sito istituzionale della Regione ("sussumendo", per quanto dallo stesso motivato, il trasferimento per incompatibilità ambientale, oggetto del provvedimento in parola, fra gli atti di "organizzazione", suscettibili di pubblicazione obbligatoria per cinque anni ex artt. 1 e 8 del d.lgs. n. 33/2013). Aggiungeva, inoltre, che il regolamento regionale n. 2 del 28 febbraio 2008 ("Nuova disciplina delle modalità di esercizio e dei casi di esclusione del diritto di accesso ai documenti amministrativi"), all'art. 13, comma 4, prevedeva la pubblicazione di tutte le deliberazioni della Giunta regionale, "fatti salvi i divieti di diffusione e di divulgazione di cui all'art. 65 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali)", e ciò "al fine di garantire la più ampia trasparenza dell'attività istituzionale dell'Amministrazione regionale"; tale disposizione, secondo la tesi del dirigente in parola, avrebbe costituito, all'epoca dei fatti per cui è causa, quella normativa vigente che, tanto ai sensi dell'art. 19, comma 3, del codice della privacy, tanto ai sensi dell'art. 8 del d.lgs. n. 33/2013, avrebbe autorizzato la pubblicazione dei dati personali, onde garantire la più ampia accessibilità alle informazioni concernenti le attività delle pubbliche amministrazioni.
Ai fini del presente giudizio, ossia con riferimento alla prescrizione n. 2 (per la prescrizione n. 1 si rinvia al giudizio n. 940), proprio in relazione alla suddetta nota del B., il Garante con nota del 27 aprile 2016 prot. n. U.00012179, nel prendere atto dell'avvenuta conformazione alla prescrizione di cui al punto n. 1, con riguardo al punto n. 2, invece, osservava che la stessa non era stata adempiuta aggiungendo che "tanto emerge dalle dichiarazioni rese nella nota sopraindicata, nonché da verifiche effettuate dall'Ufficio in tempi diversi [...]".
Successivamente, si è registrata una ulteriore fitta interlocuzione con il Garante della privacy da parte di altri dirigenti della Regione e dello stesso Presidente R.; i rappresentanti regionali hanno continuato a sostenere la legittimità delle modalità di pubblicazione sul sito, nonostante le indicazioni del Garante.
In particolare, in data 20 maggio 2016 con nota prot. n. 566/SGT, a riscontro della suddetta nota del Garante del 27 aprile 2016, il coordinatore della Presidenza della Regione, Livio S., lamentava la "indeterminatezza" della prescrizione n. 2, non avendo il Garante precisato a quali altre deliberazioni si riferisse, e, quindi, non consentendo così di identificare i provvedimenti che sarebbero stati in contrasto con i punti 3.2 e 5 del provvedimento n. 182/2015; si ribadivano le motivazioni già espresse nella nota n. 420/SGT del 5 maggio 2015 del convenuto B.
In data 24 giugno 2016, con nota prot. n. 18916/88651, il Garante contestava alla Regione la violazione dell'art. 154, comma 1, lett. d), del codice (stante l'inosservanza di un provvedimento della medesima Autorità, cui spetta "vietare anche d'Ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati"), precisando che il procedimento sanzionatorio si sarebbe potuto definire con il pagamento, nel termine perentorio di 60 giorni dalla data di notificazione del provvedimento, della somma stabilita in euro 60.000,00.
Con nota prot. n. 751/SGT, in data 22 luglio 2016, la Regione trasmetteva al Garante la memoria firmata dal Presidente Augusto R., con la quale si ribadiva quanto già evidenziato nella nota prot. n. 420/SGT del 5 maggio 2015, insistendo sulla genericità della contestazione riferita ad "alcune delibere", che sarebbero risultate ancor disponibili sul sito web.
A seguito di tale interlocuzione, con la quale la Regione ha continuato ad insistere sulla legittimità delle modalità di pubblicazione nel sito istituzionale dell'ente, per quel che rileva nel presente giudizio, con ordinanza-ingiunzione n. 398 del 5 ottobre 2017 il Garante irrogava la sanzione di euro 100.000,00 alla Regione per non avere assicurato di aver adeguato le modalità di pubblicazione degli atti alle disposizioni del codice della privacy; in sostanza, per il Garante, la Regione, pur non avendo impugnato il provvedimento n. 182/2015, non aveva dato completo adempimento alle prescrizioni impartite limitandosi solo a rimuovere dal sito la deliberazione n. 1016/2013, mentre, per il resto, non aveva eliminato dal sito i "numerosi atti" contenenti dati personali degli interessati pubblicati oltre il termine dei 15 giorni, nonché le delibere non sottoposte ad anonimizzazione.
Come già accennato, con la parallela ordinanza n. 397, sempre in data 5 ottobre 2017, il Garante procedeva all'ingiunzione al pagamento della somma di euro 20.000,00 (giudizio n. 940), per non aver anonimizzato i dati personali nell'ambito della pubblicazione della deliberazione n. 1016/2013 e per non aver limitato il periodo della pubblicazione a 15 giorni.
La Regione, poi, aveva impugnato entrambe le ordinanze-ingiunzioni n. 397 e 398, ma con le sentenze n. 126/2018 e n. 127/2018 del Tribunale di Aosta le impugnazioni venivano rigettate; allo stesso modo il successivo ricorso per cassazione di entrambe le sentenze non veniva accolto.
In particolare, nella sentenza n. 127/2018, che qui interessa, il Tribunale di Aosta ha ritenuto che la normativa richiamata dalla Regione non consentisse di legittimare la pubblicazione integrale oltre il termine di 15 giorni, ex art. 10, comma 1, del citato d.lgs. n. 320 del 1994, recante norme di attuazione dello Statuto regionale, senza la previa adozione di necessarie cautele "nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto di protezione dei dati personali", di cui all'art. 2 del codice, secondo le prescrizioni in effetti già dettate dal Garante con il provvedimento n. 182 del 26 marzo 2015, sub n. 2 del dispositivo.
La Regione, in data 26 ottobre 2018, procedeva, quindi, attraverso l'emissione del mandato n. 27638, con il pagamento di quanto oggetto di sanzione e, in particolare, per quel che concerne il presente giudizio, al pagamento dell'importo di euro 101.802,94 in relazione all'ordinanza-ingiunzione n. 398/2017 (somma corrispondente all'importo ingiunto di euro 100.000,00, a cui si aggiunge la metà dell'importo pagato per oneri di riscossione e diritti di notifica per entrambe le ordinanze-ingiunzioni n. 397 e 398 del 2017).
Occorre, inoltre, soggiungere, ai fini di una migliore comprensione dei fatti di causa anche in relazione all'organizzazione della Regione per quanto concerne la materia della privacy, che, secondo la ricostruzione documentale offerta dalla Procura contabile a seguito dell'interlocuzione con l'ente in fase istruttoria, nella deliberazione della Giunta regionale n. 887 del 28 marzo 2008, con cui veniva approvato l'aggiornamento per l'anno 2008 del Documento programmatico della sicurezza dell'Amministrazione regionale denominato "DPS-2008", si esplicitava che, con deliberazione n. 851 del 30 marzo 2007, la Giunta aveva approvato l'aggiornamento del D.P.S. per l'anno 2007, designando i responsabili dei trattamenti nei dirigenti e demandando ai coordinatori la designazione dei responsabili degli ulteriori trattamenti di nuova attivazione o di successiva individuazione, mentre, con deliberazione n. 1663 del 21 giugno 2007, la Giunta aveva individuato, ai sensi dell'art. 29, comma 4, i compiti affidati ai responsabili dei trattamenti dei dati di cui era titolare la Regione.
In particolare, anche a seguito della nota prot. n. 2250 del 30 maggio 2023, con la quale il Segretario generale della Regione forniva alla Procura alcune precisazioni, sempre dalla deliberazione sopra richiamata n. 887/2008 si evinceva che:
- "la Regione, in persona del Presidente - in qualità di rappresentante legale protempore, è il titolare dei trattamenti";
- "il Segretario generale della Regione, i Coordinatori e i Capi Servizio (e, quindi, tutti i soggetti incaricati, a vario livello, di funzioni dirigenziali) sono i responsabili dei trattamenti";
- "i responsabili dei trattamenti individuano gli incaricati dei trattamenti tra i dipendenti e i dirigenti collaboratori delle strutture, con facoltà di nominare anche soggetti che non sono incardinati nella struttura medesima";
- "Dall'allocazione di competenze sopra descritta emerge che i responsabili dei trattamenti, ciascuno con riferimento agli atti di rispettiva competenza, sono i soggetti che, di fatto, assicurano il rispetto delle disposizioni in materia di protezione dei dati personali";
- "Tale allocazione è rimasta sino all'approvazione della deliberazione della Giunta regionale n. 785 del 19 giugno 2018, con la quale è stato definito un nuovo assetto organizzativo privacy per assicurare il rispetto del citato Regolamento UE 2016/679. (...)".
A seguito, poi, di decreto istruttorio trasmesso dalla Procura contabile al Segretario generale della Regione (n. 79 del 25 settembre 2023), questi, con nota n. 2023/0007120 del 28 settembre 2023, rappresentava, altresì, che la Giunta aveva proceduto con gli aggiornamenti del D.P.S. per gli anni 2009 (deliberazione n. 837 del 27 marzo 2009), 2010 (deliberazione n. 825 del 26 marzo 2010) e 2011 (deliberazione n. 714 del 25 maggio 2011), mentre, successivamente, non aveva più fatto aggiornamenti, posto che tale documento veniva abrogato dall'art. 45 del d.l. n. 5 del 2012. Al riguardo il Segretario generale affermava: «Ne consegue che per gli anni a seguire (compresi quelli, dal 2013 al 2016 per cui è interesse) e fino al 2018 ... la disciplina del trattamento dei dati personali, avuto riguardo all'individuazione dei soggetti responsabili (in ragione dei ruoli rivestiti nell'organizzazione) e dei compiti loro assegnati, è rimasta "fotografata" nell'anno 2011, non essendo, come rammentato, più previsto dalla normativa di riferimento l'obbligo per i titolari di aggiornare periodicamente il DPS».
Inoltre, con successiva nota prot. n. 2023/0007386 del 6 ottobre 2023, il Segretario generale della Regione precisava ancora come, per gli anni di interesse, dal 2013 al 2016, risultava che la funzione concernente la pubblicazione e la conservazione delle deliberazioni della Giunta regionale, oltre alla gestione e all'implementazione delle relative banche dati informatiche, fosse assegnata alla struttura organizzativa dirigenziale denominata "Provvedimenti amministrativi" - di cui era dirigente il dott. Massimo B. -, incardinata, all'epoca, nel Dipartimento denominato "Segreteria della Giunta" - di cui era coordinatore il dott. Livio S. (in conformità alle deliberazioni n. 578 del 19 marzo 2012 e n. 708 del 15 maggio 2015; la successiva ridefinizione della struttura organizzativa dell'Amministrazione regionale veniva disposta, con la deliberazione n. 476 del 14 aprile 2017, a far data 1° maggio 2017, quindi successivamente ai fatti per cui è causa).
Con comparsa di costituzione e risposta in data 4 ottobre 2024, si costituiva il convenuto sig. R., richiedendo la reiezione di ogni domanda proposta dalla Procura in quanto prescritta e/o inammissibile ex art. 1227 c.c. e, comunque, infondata in fatto e in diritto, e, quindi, l'assoluzione da ogni responsabilità per i fatti di causa. In via subordinata, la difesa chiedeva la quantificazione della quota di danno imputabile al convenuto R. commisurandola alla marginale quota di incidenza della condotta del medesimo nella causazione dell'evento dannoso; con il favore delle spese o, in caso di condanna, quanto meno la compensazione.
Quanto poi al sig. S., il medesimo, con comparsa del 22 ottobre 2024, si costituiva contestando la propria responsabilità nella vicenda in giudizio ed, in particolare, la sussistenza della propria colpa grave nella causazione dell'evento di danno, ma richiedendo comunque, per motivi di economia processuale, acquisito il previo e concorde parere del PM, di accedere al rito abbreviato ai sensi dell'art. 130 c.g.c. per la definizione alternativa del giudizio mediante l'offerta di pagamento di euro 10.000,00 (diecimila/00), in unica soluzione.
Con comparsa in data 1° ottobre 2024, si costituiva il convenuto sig. Massimo B., nella qualità, all'epoca dei fatti, di dirigente della struttura "Provvedimenti amministrativi" all'interno del dipartimento "Segreteria della Giunta regionale", chiedendo, nel merito e in via principale, l'assoluzione da ogni domanda, siccome infondata in fatto e in diritto e comunque non provata; in via di subordine, di dichiarare l'intervenuta prescrizione della domanda ex art. 1, comma 2, l. n. 20/1994, con conseguente assoluzione per intervenuta prescrizione del danno indiretto.
Più precisamente, la difesa, nella comparsa di costituzione, ha eccepito la prescrizione quinquennale del presunto danno erariale, a norma dell'art. 1, comma 2, della l. n. 20/199[4], (come sostituito dall'art. 3 d.l. n. 543/1996, convertito in l. n. 639/1996), essendo trascorsi, alla data del 28 ottobre 2023, di perfezionamento della notifica, più di cinque anni sia dalla notificazione dell'ingiunzione di pagamento sia dal pagamento della cartella esattoriale. Nel merito, poi, la difesa del convenuto B. ha, in primo luogo, censurato la seconda prescrizione di cui al provvedimento del Garante della privacy n. 182/2015 [con riferimento all'obbligo di conformare "la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali tenendo presente le indicazioni contenute nelle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (cfr. parte II), rispettando, in particolare, il principio in base al quale la diffusione di dati personali è lecita quando prevista da una norma di legge o di regolamento (artt. 11, comma 1, lett. a) e 19, comma 3, del Codice)"], di laconicità e indeterminatezza, non avendo il Garante medesimo offerto alcuna chiara e precisa indicazione con riguardo alla presenza sul sito istituzionale della Regione di altre deliberazioni della Giunta regionale, che sarebbero state in violazione delle disposizioni del codice e delle linee guida; in tal senso, non vi sarebbe alcun addebito di antigiuridicità, e quindi di responsabilità, nei confronti del convenuto B.
Inoltre, la difesa del convenuto ha, altresì, messo in dubbio l'esistenza della colpa grave in capo al medesimo proprio in relazione al deficit di indeterminatezza ravvisato nella seconda prescrizione del Garante sopra ricordata.
L'udienza di discussione della causa, fissata per il 28 novembre 2024, a fronte della richiesta di rito abbreviato del S., veniva rinviata in data odierna.
Con nota depositata in data 3 gennaio 2025, la difesa del sig. R. produceva certificato di avvenuto decesso del medesimo in data 22 dicembre 2024.
Nei confronti del S. il giudizio è stato definito con rito abbreviato in data odierna nell'apposita camera di consiglio, che ha preceduto l'udienza pubblica.
Nell'udienza pubblica, il Pubblico Ministero ha sostenuto l'illegittimità dell'operato della Regione e ha confermato la domanda di condanna per colpa grave per il convenuto B., ribadendo le argomentazioni di cui all'atto di citazione. Il Pubblico Ministero ha, poi, chiesto, per sopravvenuto decesso, la declaratoria di estinzione del giudizio nei confronti di Augusto R., non ritenendo la Procura contabile di dover procedere nei confronti degli eredi.
In particolare, il Pubblico Ministero ha ulteriormente precisato che le imputazioni della Procura contabile di cui al giudizio in discussione non si basano sulle sentenze del Tribunale di Aosta, di rigetto dell'impugnazione delle ordinanze-ingiunzioni nn. 397 e 398 del 2017, ma sulla "insistenza", da parte della Regione, rispetto alla legittimità del proprio operato in materia di tutela della privacy; peraltro, a parere del Pubblico Ministero, il presente giudizio non può essere la sede per segnalare l'eventuale deficit di indeterminatezza delle ordinanze-ingiunzioni. In relazione all'affermata colpa grave in capo al convenuto B., il Pubblico Ministero ha evidenziato che la stessa sussisterebbe, in quanto anche il convenuto ha insistito sulla legittimità dell'operato della Regione in spregio alle indicazioni del Garante della privacy e della normativa.
Inoltre, il Pubblico Ministero si è espresso per l'infondatezza dell'eccezione di prescrizione.
L'Avv. Callà, per il convenuto B., ha esposto le argomentazioni di cui alla memoria difensiva e ha chiesto l'assoluzione dello stesso nel merito; in via subordinata, ha eccepito la prescrizione dell'azione di danno.
In particolare, l'Avv. Callà ha ribadito l'eccezione di prescrizione dell'azione contabile non ritenendo applicabile al caso di specie l'ipotesi di sospensione connessa all'emergenza da Covid-19; nel merito ha insistito sul deficit di indeterminatezza della seconda prescrizione del Garante e sulla circostanza che la decisione della Cassazione non fa stato nel presente giudizio e, peraltro, non ha trattato questo aspetto dell'indeterminatezza.
L'Avv. Micheletto, per il convenuto R., ha ribadito la richiesta di dichiarazione di estinzione del processo nei confronti del medesimo convenuto per avvenuto decesso.
All'esito della discussione il giudizio è stato trattenuto in decisione.
DIRITTO
1. In via preliminare, occorre, in primo luogo, procedere alla dichiarazione di estinzione del presente giudizio nei confronti del convenuto Augusto R., deceduto in data 22 dicembre 2024 (come da certificato depositato dal difensore del convenuto).
La Procura, infatti, in udienza, ritenendo non sussistenti i presupposti per procedere nei confronti degli eredi, ai sensi dell'art. 108, comma 6, c.g.c., ha chiesto la declaratoria di estinzione del giudizio nei confronti di R.
2. Occorre, inoltre, dare atto che, quanto al convenuto Livio S., la sua posizione con riguardo al presente giudizio è stata definita in sede di rito abbreviato.
3. Il giudizio, pertanto, prosegue con il rito ordinario soltanto nei confronti del convenuto Massimo B., in qualità di "incaricato di funzioni dirigenziali", e, all'epoca dei fatti, di dirigente della struttura "Provvedimenti amministrativi" all'interno del "Dipartimento Segreteria della Giunta", per la mancata ottemperanza alle prescrizioni del Garante della privacy con particolare riguardo alla prescrizione n. 2 di cui al provvedimento n. 182/2015.
Il giudizio in discussione riguarda un'ipotesi di danno erariale indiretto subito dalla Regione autonoma Valle d'Aosta, a seguito del pagamento della sanzione inflitta all'Amministrazione dal Garante della privacy per la violazione delle norme dell'allora vigente codice della privacy (d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali"), nonché delle "Linee guida in materia di trattamento di dati personali contenuti in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (provv. 2 marzo 2011). Il Pubblico Ministero ha ritenuto che la sanzione irrogata alla Regione abbia avuto causa, oltre che nella condotta degli altri convenuti, secondo quanto indicato in fatto, anche nella condotta del convenuto B. che, nella propria qualità di "incaricato di funzioni dirigenziali", non ha adempiuto alle prescrizioni del Garante e, anzi, ha interloquito con il Garante stesso a seguito dei rilievi dal medesimo in proposito formulati, insistendo nell'affermazione della legittimità dell'operato della Regione in materia di tutela dei dati personali.
3.1. In particolare, il Garante della privacy irrogava la sanzione di euro 100.000,00 attraverso l'ordinanza-ingiunzione n. 398/2017, ex art. 162, comma 2-ter, del codice, rilevando che la Regione, pur avendo rimosso la deliberazione n. 1016/2013 (prescrizione n. 1 di cui al provvedimento n. 182/2015), non aveva assicurato (prescrizione n. 2) di aver adeguato le modalità di pubblicazione degli atti e documenti alle disposizioni del codice (e, precisamente, "per non aver dato adempimento alle prescrizioni impartite dal Garante con il provvedimento n. 182 del 26 marzo 2015" - pagina 5 dell'ordinanza).
Più specificatamente, il Garante rilevava che la Regione, pur non avendo impugnato nei termini di legge il proprio provvedimento n. 182/2015, non aveva neanche dato completo adempimento alle prescrizioni contenute nel medesimo (limitandosi, appunto, solo a rimuovere la deliberazione n. 1016/2013); più chiaramente la Regione non aveva eliminato dalla sezione "deliberazioni" del sito istituzionale i "numerosi atti" contenenti dati personali degli interessati, pubblicati oltre il termine di quindici giorni previsto dalle norme di legge, nonché delibere non sottoposte ad anonimizzazione, insistendo sulla legittimità delle modalità di pubblicazione adottate, nonostante fossero difformi dalle indicazioni del Garante ["(ad esempio, delibere di assegnazione temporanea o di revoca del comando di dipendenti), anche risalenti all'anno 2015, nei quali sono riportati in chiaro i dati personali degli interessati"].
4. Sulla ricostruzione materiale dei fatti e sulla sussistenza del danno non vi è contestazione. Risulta, infatti, al fascicolo di causa che la Regione non ha ottemperato alla seconda prescrizione di cui al provvedimento del Garante della privacy n. 182/2015; e da tale inadempimento è scaturita l'ordinanza-ingiunzione n. 398/2017 del 5 ottobre 2017.
Allo stesso modo risulta acclarato il danno patito dalla Regione per il pagamento della somma di euro 101.802,94 (avvenuto in data 26 ottobre 2018) in esecuzione della predetta ordinanza-ingiunzione n. 398/2017, a seguito di esito negativo dell'impugnazione della stessa, da parte della Regione Valle d'Aosta, avanti al Tribunale di Aosta (sentenza n. 127 del 3 maggio 2018). Successivamente la Corte di cassazione ha respinto anche il ricorso della Regione avverso la sentenza del Tribunale di Aosta (ordinanza n. 29323/2021 dell'11 giugno 2021).
5. In via preliminare, la difesa del convenuto B. ha eccepito l'intervenuta prescrizione dell'azione erariale, sulla base della considerazione che sarebbero trascorsi, alla data del 28 ottobre 2023, di perfezionamento della notifica dell'invito a dedurre ai sensi dell'art. 140 c.p.c. per decorso del termine di dieci giorni della raccomandata informativa (Corte cost. n. 3 del 2010), più di cinque anni sia dalla notificazione dell'ingiunzione di pagamento sia dal pagamento della cartella esattoriale. Secondo la prospettazione difensiva, a volere intendere il termine di prescrizione della dedotta responsabilità dalla data del 21 novembre 2017, di notifica dell'ordinanza ingiunzione n. 398 del 5 ottobre 2017, alla data del 28 ottobre 2023, di notifica dell'invito a dedurre al sig. B., l'azione contabile si era già prescritta. A parere della difesa, anche a voler ritenere che, nelle fattispecie di danno indiretto, il dies a quo della prescrizione non possa essere individuato con riguardo al momento in cui è insorto l'obbligo di pagare, ma debba guardarsi a quando la diminuzione del patrimonio dell'ente, che si assume danneggiato, rivesta i caratteri della concretezza ed attualità, e cioè al tempo dell'effettivo pagamento, l'azione erariale sarebbe comunque prescritta, posto che la notifica dell'invito al convenuto B. è del 28 ottobre 2023, mentre il pagamento dell'ingiunzione è avvenuto oltre cinque anni prima, con il mandato n. 27638 del 26 ottobre 2018. E, in tal senso, secondo il difensore, non vale obiettare che occorrerebbe comunque tenere conto del periodo di sospensione straordinaria per l'emergenza COVID-19, stabilito dall'art. 85, comma 4, del d.l. n. 18/2020, come modificato dall'art. 5, comma 1, lett. a) e a-bis), del d.l. 30 aprile 2020, n. 28, convertito con modificazioni dalla l. 25 giugno 2020, n. 70, in quanto nel caso di specie il termine sostanziale di prescrizione non ricadeva nel termine di sospensione ex lege.
L'eccezione di prescrizione è infondata avuto riguardo all'ormai consolidato e costante orientamento della giurisprudenza di questa Corte, che il Collegio condivide e da cui non vede motivo di discostarsi, secondo cui, in primo luogo, le citate disposizioni emergenziali non si limitano "a disciplinare una sospensione ex lege solo dei termini processuali e procedimentali, ma anche dei termini di natura sostanziale come quelli previsti per la prescrizione ex art. 1, comma 2, della l. 20/1994" (v., in questi termini, Sez. giur. Campania, n. 512/2023; cfr., altresì, di recente Sez. giur. Veneto, n. 22/2024; Sez. giur. Lombardia, sent. 158/2024; Sez. giur. Aosta, n. 4/2025 e giurisprudenza in essa richiamata).
Ai sensi dell'art. 85, comma 4, del d.l. n. 18/2020, "in caso di rinvio, con riferimento a tutte le attività giurisdizionali, inquirenti, consultive e di controllo intestate alla Corte dei conti, i termini in corso alla data dell'8 marzo 2020 e che scadono entro il 31 agosto 2020, sono sospesi e riprendono a decorrere dal 1° settembre 2020. A decorrere dall'8 marzo 2020 si intendono sospesi anche i termini connessi alle attività istruttorie preprocessuali, alle prescrizioni in corso ed alle attività istruttorie e di verifica relative al controllo".
Orbene, secondo il prevalente orientamento giurisprudenziale contabile richiamato, "mentre il primo periodo dell'art. 85, comma 4, si riferisce all'ipotesi in cui il vertice istituzionale dell'ufficio territoriale, come misura di contrasto all'emergenza epidemiologica, ha provveduto al rinvio d'ufficio delle udienze, la seconda parte assume un contenuto di carattere generale finalizzato a determinare la sospensione di tutta una serie di termini tra cui quelli di prescrizione (Sez. giur. Campania, sent. 9 marzo 2022, n. 212)" (cfr. sentenza Sez. giur. Campania, 512/2023 cit.); viene, altresì, precisato che «la congiunzione "anche" ha la funzione lessicale di estendere al secondo periodo il regime temporale indicato nella prima parte e non di far riferimento alle ipotesi in cui l'effetto sospensivo si attiva qualora i termini debbano necessariamente cadere tra l'8 marzo 2020 e il 31 agosto 2020. Ciò è confermato dal fatto che non si assiste a nessuna distinzione tra termini processuali e di natura sostanziale e nel silenzio della norma e in applicazione del principio ermeneutico in claris non fit interpretatio, non può ammettersi una preclusione normativa non espressamente prevista» (cfr. sentenza Sez. giur. Campania, 512/2023 cit.).
In sostanza, nel caso di specie, l'individuazione della soglia temporale oltre la quale la pretesa risarcitoria è prescritta è influenzata dalle speciali previsioni recate dalla citata normativa emanata per fronteggiare l'emergenza epidemiologica da Covid-19.
La giurisprudenza ha chiarito, infatti, che (v., anche, nello stesso senso, App. Sez. II, sent. 19/2024 e 275/2023; App. Sez. I, sent. 470/2023) inequivoci elementi testuali presenti nell'art. 85, comma 4, del d.l. n. 18/2020 (in particolare la formula "A decorrere dall'8 marzo 2020 si intendono sospesi anche...") inducono a ravvisare una stretta omogeneità tra l'effetto sospensivo riconducibile al primo periodo della disposizione (8 marzo-31 agosto del 2020) e quello di cui al secondo periodo della medesima disposizione; la mancata replicazione, nel secondo periodo, del termine finale della sospensione, in assenza di qualsiasi elemento testuale o logico in grado di orientare verso una differenziazione di regimi è, perciò, non conducente: nell'ambito dello stesso plesso giudiziario, a fronte di medesime esigenze sostanziali e processuali, in assenza di elementi per opinare diversamente e anzi in presenza di elementi che propendono verso l'uniformità, l'omogeneità di regime è scontata conseguenza, con l'effetto che non può che confermarsi il predetto orientamento giurisprudenziale, il quale individua il periodo di sospensione della prescrizione nel segmento temporale compreso tra l'8 marzo 2020 e il 31 agosto 2020, ossia per 176 giorni (v., in tal senso, App. Sez. II, sent. 57/2024; nello stesso cfr., altresì, App. Sez. I, sent. 142/2024).
Altrettanto pacifica è l'individuazione del dies a quo del termine prescrizionale nella data dell'effettivo esborso economico (v. Sez. riun., n. 14/QM del 5 settembre 2011, n. 5/QM del 19 luglio 2007, n. 2/QM del 26 febbraio 2001, n. 62/A del 25 ottobre 1996; Sez. II app., sent. 446/2022, Sez. giur. Veneto, sent. 15/2024), e, quindi, nel caso in esame, nella data del pagamento della sanzione irrogata con ordinanza-ingiunzione del Garante della privacy n. 398/2017, corrispondente alla data del mandato di pagamento n. 27638 del 26 ottobre 2018. Ne deriva che la sospensione ope legis di oltre 5 mesi dei termini prescrizionali (176 giorni) ha reso tempestivo l'esercizio dell'azione erariale da parte della Procura regionale in virtù del primo atto interruttivo della prescrizione, cioè l'invito a dedurre notificato al convenuto in data del 28 ottobre 2023.
Al riguardo, giova ricordare che proprio la pronuncia delle Sezioni riunite n. 14/QM/2011, sopra richiamata, ha risolto la questione dell'individuazione del termine iniziale di decorrenza della prescrizione in ipotesi di responsabilità amministrativa per danno indiretto, affermando il principio di diritto secondo cui "(...) il dies a quo della prescrizione dell'azione di responsabilità per il risarcimento del danno c.d. indiretto va individuato nella data di emissione del titolo di pagamento del terzo danneggiato (...)" (v., altresì, di recente, in questi termini, Sez. giur. per la Regione Puglia, n. 40/2024 del 27 febbraio 2024).
Per tutte le argomentazioni svolte il Collegio ritiene, quindi, di dover respingere l'eccezione di prescrizione formulata dal convenuto stante la tempestività dell'azione erariale.
6. Nel merito, prima di procedere alla valutazione della posizione del convenuto, giova delineare la normativa in materia di protezione dei dati personali vigente al momento in cui si sono svolti gli accadimenti oggetto di contestazione, sia in generale per quanto concerne la normativa nazionale, sia più specificatamente in relazione alla normativa regionale in materia.
Al riguardo, va premesso che, nel sistema normativo del codice vigente all'epoca dei fatti, c.d. codice della privacy, di cui al d.lgs. n. 196/2013 sopra citato (successivamente innovato dal d.lgs. 10 agosto 2018, n. 101, di recepimento del regolamento europeo generale sulla protezione dei dati, GDPR), erano presenti "regole generali per il trattamento dei dati" (titolo III) e "regole ulteriori per i soggetti pubblici", di cui al capo II, artt. 18-22.
Le qualifiche dei soggetti coinvolti dal trattamento erano individuate, in primo luogo, ex art. 4, comma 1, lett. f), nel "titolare" del trattamento dei dati, cioè "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza".
Ai sensi, poi, dell'art. 28 del codice, "quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza"; disposizione che consente di imputare all'ente nel suo complesso la sanzione amministrativa per la violazione delle norme a tutela dei dati personali, come chiarito dalla giurisprudenza della Corte di cassazione (v. Cass. civ., n. 18292/2020).
La successiva lett. f) del comma 1 dell'art. 4 del codice definiva, inoltre, "responsabile" del trattamento "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali" e "incaricato" la persona fisica autorizzata a compiere operazioni di trattamento di dati personali.
Il codice della privacy qualificava come "dato personale" qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, e come "dati identificativi" quei dati personali che permettono l'identificazione diretta dell'interessato [art. 4, comma 1, lett. b) e c)].
Il codice individuava, ancora, i principi ai quali occorreva attenersi per il trattamento dei dati introducendo regole valide per tutti i trattamenti e regole dirette, in particolare, ai soggetti pubblici. I principi ivi enucleati costituivano una derivazione del più generale principio di necessità nel trattamento dei dati di cui all'art. 3 del codice che così si esprimeva: "I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità".
Il trattamento dei dati personali doveva essere realizzato nel rispetto dei principi di liceità, correttezza, pertinenza e non eccedenza ovvero in maniera strettamente attinente alle finalità per le quali i dati erano raccolti e trattati (art. 11); la diffusione dei dati diversi da quelli sensibili e giudiziari da parte di un soggetto pubblico era ammessa solo se prevista da una norma di legge o di regolamento (art. 19, comma 3).
Occorre, inoltre, ricordare che il Garante della privacy, nel corso degli anni, aveva diramato diverse linee guida con la finalità di delineare un quadro unitario di misure ed accorgimenti utili nella gestione dei dati personali derivanti dalle pronunce rese dall'autorità su determinate operazioni di trattamento effettuate nell'ambito di specifici settori o contesti.
In particolare, per le tematiche coinvolte nel presente giudizio, rilevano le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" del 2 marzo 2011.
Il richiamato documento recava anche specifiche indicazioni sulla modalità di pubblicazione delle informazioni personali riguardanti i dipendenti sui siti internet delle amministrazioni, proponendo l'adozione di determinati accorgimenti per impedire l'illecita diffusione dei dati con l'uso dei più comuni motori di ricerca (v., in relazione alla normativa a tutela della privacy, Sez. giur. per la Regione Friuli-Venezia Giulia n. 2/2022 del 18 gennaio 2022; cfr., pure, Sez. giur. per la Regione Puglia, 40/2024 del 27 febbraio 2024).
In particolare, le suddette linee guida si soffermano in maniera puntuale e chiara, da un lato sulle esigenze di trasparenza, pubblicità e consultabilità degli atti e dall'altro sul c.d. "diritto all'oblio" da parte degli interessati, evidenziando che i soggetti pubblici sono tenuti ad assicurare il rispetto dei limiti temporali eventualmente previsti dalle specifiche disposizioni di settore per la pubblicazione di atti e provvedimenti amministrativi o, in assenza di una specifica disciplina di settore, a limitare l'esposizione dei dati per "congrui periodi", procedendo, quindi, decorsi tali termini o a rimuovere gli atti o a privare gli stessi degli elementi identificativi degli interessati.
Quanto alla specifica normativa della Regione autonoma della Valle d'Aosta, occorre, in primo luogo, richiamare il già ricordato d.lgs. n. 320/1994, recante "Norme di attuazione dello Statuto speciale della Regione Valle d'Aosta", il quale, all'art. 10, comma 1, stabilisce i termini di pubblicazione disponendo che "gli atti deliberativi degli organi regionali sono pubblicati mediante affissione all'albo notiziario dell'amministrazione regionale, per quindici giorni consecutivi, salvo il più breve termine stabilito nell'atto stesso".
Inoltre, occorre fare riferimento al regolamento regionale 28 febbraio 2008, n. 2, recante "Nuova disciplina delle modalità di esercizio dei casi di esclusione del diritto di accesso ai documenti amministrativi" (abrogato, poi, dalla l.r. n. 12 del 2018), il quale, tuttavia, per quel che rileva nel presente giudizio, non ha introdotto alcuna modifica in ordine al termine di pubblicazione di quindici giorni previsto dal predetto art. 10 del d.lgs. n. 320/1994 (né poteva farlo stante il principio della gerarchia delle fonti e la sua stessa natura regolamentare).
6.1. Ciò premesso dal punto di vista della normativa in materia di privacy, dalla ricostruzione documentale effettuata dalla Procura è emerso, altresì, come si evidenzino alcune carenze nella regolamentazione "a monte" della modalità di trattamento dei dati conformemente a legge, che poi si ripercuotono anche nel mancato adeguamento "a valle" (dopo il 2012) dell'assetto ordinamentale, comportando questo una responsabilità del titolare del trattamento (cioè, della Regione Valle d'Aosta). Si pensi, tra l'altro, all'inesistenza, per il periodo di riferimento, di deliberazioni della Giunta regionale aventi ad oggetto i fondamentali adempimenti prescritti dai commi da 1 a 5 dell'art. 29 del codice.
Anche le modalità di trattamento dei dati personali nell'ambito in esame, per gli anni dal 2008 al 2011, si limitavano ad indicare, senza ulteriore specificazione alcuna: "Comunicazione. Diffusione al pubblico affissione all'albo pretorio e sul sito internet dell'Amministrazione. Secondo prescrizioni di legge".
Peraltro, le deliberazioni e i dd.pp.ss. (documenti programmatici della sicurezza dell'Amministrazione regionale) prevedevano il "trattamento" unicamente per i dati "sensibili" e "giudiziari", non attuando i contenuti delle linee guida del 2011 del Garante nonché dell'art. 4, comma 3, del d.lgs. n. 33/2013 sull'anonimizzazione dei dati personali eventualmente presenti negli atti e documenti della Pubblica amministrazione.
Ora, all'esito della sopravvenuta estinzione del giudizio nei confronti del R., e dovendosi considerare, ai fini del presente giudizio, soltanto la specifica condotta contestata al dott. B., il Collegio non scende nell'esame e nella valutazione delle contestazioni effettuate dalla Procura nell'atto di citazione (pagine 27, 30, 32, 37) a carico del Presidente della Regione, al quale il P.M., come titolare del trattamento e in relazione ai poteri di azione amministrativa e di impulso/verifica, ascriveva a monte una condotta omissiva (circa gli adempimenti prescritti dai commi da 1 a 5 dell'art. 29 del codice) con rilevanza causale nella vicenda in esame.
7. Tanto detto e dovendo focalizzare la fase della vicenda in cui vi è il coinvolgimento del B., come più volte sopra ricordato il provvedimento del Garante n. 182 del 10 aprile 2015 conteneva due prescrizioni; con riferimento alla prima prescrizione (oggetto del giudizio n. 940), alla quale la seconda, oggetto del presente giudizio, è strettamente connessa, il Garante (sin dalla nota 18 settembre 2013) aveva richiamato l'attenzione della Regione sulla corretta applicazione della disciplina dei dati personali con esplicita richiesta di comunicare, oltre ad ogni utile elemento informativo, "eventuali misure nelle more adottate o che si intende adottare in merito alla vicenda segnalata". Il Garante, inoltre, coglieva l'occasione per ricordare all'Amministrazione regionale le proprie linee guida emanate "in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (provvedimento del 2 marzo 2011), offrendo così precise indicazioni circa le modalità di pubblicazione on line di dati personali da parte dei soggetti pubblici, da effettuarsi anzitutto nel rispetto dei principi di liceità [art. 11, comma 1, lett. a), del codice], di necessità, proporzionalità e pertinenza dei dati [artt. 3 e 11, comma 1, lett. d), del codice].
Nonostante ciò, occorre dare atto che si è registrata una significativa e prolungata inerzia della Regione Valle d'Aosta nell'adempimento delle indicazioni del Garante, tanto che lo stesso, con il già ricordato provvedimento n. 182/2015 - che si colloca "a monte" delle ordinanze-ingiunzioni nn. 397 e 398 del 2017 -, ha formalmente accertato, da un lato, che la Regione medesima, con la pubblicazione della deliberazione n. 1016/2013, aveva dato luogo a un'illecita diffusione dei dati personali e, dall'altro, ossia con riferimento alla seconda prescrizione, che erano presenti nel sito istituzionale dell'ente altre deliberazioni pubblicate senza tenere conto della tutela dei dati personali, dalla cui pubblicazione derivava, altresì, un'illecita diffusione degli stessi. Giova qui evidenziare che soltanto dopo il suddetto provvedimento del Garante n. 182/2015 la deliberazione n. 1016/2013 veniva finalmente rimossa, senza, tuttavia, adempiere anche alla seconda prescrizione del Garante in materia di modalità di pubblicazione delle altre deliberazioni di Giunta regionale.
Né, tantomeno, può attribuirsi pregio giuridico alla considerazione, ribadita anche dal dott. B. nella sua interlocuzione con il Garante (nota del 5 maggio 2015), con la quale, il dirigente, pur comunicando l'avvenuta rimozione dal sito web della deliberazione n. 1016/2013, ha insistito sulla legittimità delle modalità della pubblicazione dell'ente della stessa deliberazione n. 1016/2013, in quanto questa avrebbe configurato un'ipotesi di "atto di organizzazione", la cui pubblicazione per il periodo di cinque anni risultava stabilita dal combinato disposto degli artt. 1 e 8 del d.lgs. n. 33/2013; in sostanza, secondo tale tesi, il trasferimento per incompatibilità ambientale del dipendente regionale sarebbe stato ascrivibile al più ampio genus del trasferimento per esigenze organizzative, il che, peraltro, sempre secondo tale prospettazione, troverebbe conferma nell'adozione dell'atto da parte della Giunta regionale ex art. 3, comma 3, lett. d), della l.r. n. 22 del 2010, che attribuisce agli organi di direzione politico-amministrativa le competenze inerenti alla ripartizione delle risorse umane da assegnare a ciascuna organizzazione dirigenziale.
Orbene, sul punto, occorre, in primo luogo, evidenziare come la deliberazione n. 1016/2013, che dispone il trasferimento per incompatibilità ambientale di un dipendente regionale, non può certo ricondursi nel novero degli atti di organizzazione che devono essere oggetto di pubblicazione obbligatoria per cinque anni ai sensi del combinato disposto degli artt. 1 e 8 e dell'art. 13 del d.lgs. n. 33/2013; quest'ultima disposizione, infatti, riguarda la pubblicazione di atti e documenti relativi all'organizzazione e all'attività delle pubbliche amministrazioni, mentre il trasferimento per incompatibilità ambientale, regolato da norme specifiche del codice civile e contrattuali, attiene alla gestione del rapporto di lavoro (v., in argomento, Corte di cassazione n. 11568 dell'11 maggio 2017, per la quale il trasferimento per incompatibilità ambientale trova la sua ragione nelle esigenze tecniche, organizzative e produttive di cui all'art. 2103 c.c. ed è subordinato ad una valutazione discrezionale dei fatti che possono fare ritenere nociva, per il prestigio ed il buon andamento dell'ufficio, l'ulteriore permanenza dell'impiegato in una determinata sede, senza alcun carattere disciplinare o sanzionatorio): esso, quindi, si verifica quando la presenza del dipendente in una determinata sede genera tensioni o contrasti tali da compromettere il buon andamento dell'ufficio e non rientra nell'ambito di applicazione del d.lgs. n. 33/2013, che, viceversa, si incentra sulla trasparenza e la pubblicazione degli atti relativi alla organizzazione e all'attività delle pubbliche amministrazioni, riguardando, pertanto, dati e documenti di interesse generale per la pubblica amministrazione non provvedimenti specifici di gestione del personale. Ciò, peraltro, risulta comprovato anche dalla circostanza che l'allegato A al d.lgs. n. 33/2013, che contiene l'indicazione dei dati da pubblicare sul sito istituzionale dell'ente, in materia di organizzazione fa espresso riferimento alle voci "Organi di indirizzo politico-amministrativo", "Articolazione degli uffici", "Telefono e posta elettronica", secondo quanto previsto dallo stesso art. 13.
D'altra parte, neanche il richiamo al regolamento regionale n. 2 del 28 febbraio 2008, vigente all'epoca dei fatti di causa, incide sulla vicenda oggetto di causa, né può riguardare il termine di pubblicazione delle deliberazioni sul sito web della Regione, che, come si è visto, è stabilito dal d.lgs. n. 320/1994, quale fonte legislativa primaria, in quindici giorni consecutivi; infatti, la considerazione che l'art. 13, comma 4, di tale regolamento prevedeva la pubblicazione di tutte le deliberazioni della Giunta regionale "al fine di garantire la più ampia trasparenza dell'attività istituzionale dell'Amministrazione regionale" non poteva certo esimere la Regione dalle necessarie valutazioni circa la proporzionalità, l'indispensabilità e la pertinenza della pubblicazione del dato personale, posto, appunto, che lo stesso d.lgs. n. 320/1994 fa riferimento al termine di pubblicazione di quindici giorni consecutivi. In sostanza, se anche si fosse ritenuto necessario pubblicare integralmente la deliberazione in questione, senza anonimizzazione, la stessa avrebbe dovuto permanere pubblicata con queste modalità per non più di quindici giorni consecutivi secondo quanto prescritto dallo stesso ordinamento regionale; dopodiché la deliberazione in parola al massimo avrebbe potuto essere ripubblicata con l'oscuramento del dato personale.
Indicazione, del resto, che è stata suggerita alla Regione dallo stesso Garante della privacy proprio con la prima comunicazione del settembre 2013, nella quale, peraltro, non si fa alcun cenno alla presunta obbligatorietà della pubblicazione della deliberazione n. 1016/2013 ai sensi dell'art. 8 del d.lgs. n. 33/2013 quale atto di organizzazione (art. 13 del medesimo decreto), ma, anzi, al contrario, si richiamano le stesse linee guida del Garante del 2011 sulla tutela dei dati personali nell'ambito della diffusione nel sito web dell'ente (punto n. 5.2 delle linee guida); a tale indicazione, tuttavia, come si è già avuto modo di rappresentare, i soggetti che hanno interloquito con il Garante non hanno dato alcun seguito insistendo, al contrario, per la legittimità della pubblicazione in questione.
E sul tema, in relazione alla prima prescrizione del Garante con riguardo alla illecita pubblicazione della deliberazione n. 1016/2015, si rinvia a quanto deciso da questo Collegio nel giudizio n. 940.
Stesso ragionamento doveva essere applicato con riguardo alla seconda prescrizione, stanti le chiare indicazioni del Garante di cui al provvedimento n. 182/2015, e il cui inadempimento è stato sanzionato dalla ordinanza-ingiunzione n. 398/2017.
L'inadempimento in questione si è, quindi, sostanziato, in primo luogo, in una condotta omissiva; nonostante la cogenza dell'obbligo di conformarsi alle prescrizioni del Garante della privacy, nessuna misura correttiva - con riguardo a questa seconda prescrizione di cui al provvedimento n. 182/2015 - veniva adottata, nemmeno dopo il rilievo formulato dal Garante con successiva nota n. 18916/88651 del 24 giugno 2016.
D'altra parte, con le reiterate repliche regionali formulate nei confronti delle contestazioni e delle prescrizioni del Garante, in date successive alla notificazione del provvedimento n. 182 del 2015, i soggetti che hanno interloquito con il Garante hanno erroneamente insistito sulla legittimità del proprio operato senza adottare le misure correttive necessarie al fine della cessazione dei trattamenti illeciti di dati personali contenuti nelle deliberazioni della Giunta regionale pubblicate sul sito web istituzionale; in sostanza la Regione ha continuato a ribadire la ritenuta liceità del proprio modus operandi (pubblicazione sul sito web istituzionale per la durata di anni 5 senza anonimizzazione), anche per le deliberazioni nelle quali, invece, si sarebbero dovuti, quanto meno, anonimizzare i dati personali o mantenere i provvedimenti per non più di 15 giorni in pubblicazione; e ciò, peraltro, in forza della disciplina dettata - per gli atti della Giunta regionale - dallo stesso art. 10, comma 1, del d.lgs. n. 320 del 1994, recante norme di attuazione dello Statuto speciale della Regione.
D'altro canto, l'illiceità dei fatti, del tutto evidente in prospettiva ex ante, ha trovato definitivo accertamento con l'ordinanza n. 29323/2021 della Corte di cassazione, che ha respinto il ricorso proposto dalla Regione avverso la sentenza n. 127/2018 del Tribunale di Aosta, che pure aveva respinto l'impugnazione della medesima ordinanza.
8. Ed è proprio in tale contesto che si inserisce la condotta del convenuto B., il quale, come si è già visto, all'epoca dei fatti era preposto proprio alla gestione effettiva dei trattamenti concernenti le deliberazioni della Giunta regionale, essendo dirigente della struttura "Provvedimenti amministrativi" incardinata all'interno del "Dipartimento Segreteria della Giunta"; questi, come già sopra esposto, nello svolgimento delle proprie funzioni dirigenziali, interloquendo direttamente con il Garante della privacy attraverso la nota prot. n. 420/SGT del 5 maggio 2015, ha insistito per la legittimità della diffusione dei dati personali nel sito web istituzionale con riferimento alla pubblicazione delle deliberazioni della Giunta regionale.
Ed è proprio anche a questo comportamento del convenuto B. che si deve la protratta pubblicazione sul sito on line delle deliberazioni di Giunta regionale oggetto di contestazione da parte del Garante della privacy; il B., infatti, sebbene comunicasse l'avvenuta rimozione dal sito della deliberazione n. 1016 (e, d'altra parte, per l'inosservanza di provvedimenti del Garante l'art. 170 del codice della privacy prevedeva la responsabilità penale), ingiustificatamente si contrapponeva al Garante in ordine alla seconda prescrizione, perpetrando il sistema di pubblicazione contestato dal Garante stesso.
Pertanto, si deve ritenere l'esistenza del nesso eziologico fra la condotta del convenuto B. e l'esborso successivamente sostenuto dall'ente; infatti, se la Regione avesse posto rimedio nei termini richiesti dal Garante, dando adempimento integrale alle prescrizioni impartite, il Garante medesimo non avrebbe potuto legittimamente sanzionarla. Non può non evidenziarsi, inoltre, che, in ogni caso, non avendo la Regione impugnato il provvedimento del Garante n. 182/2015, avrebbe dovuto eseguirlo per non incorrere nella sanzione.
E, in tal senso, il ruolo di dirigente della struttura "Provvedimenti amministrativi", incardinata all'interno del "Dipartimento Segreteria della Giunta", ricoperto dal convenuto B. all'epoca dei fatti lo pone, insieme al coordinatore del "Dipartimento Segreteria della Giunta", nel novero dei soggetti, con funzioni dirigenziali, che avrebbero avuto la competenza ad attuare le prescrizioni del Garante con riguardo alle modalità di pubblicazione delle deliberazioni di Giunta regionale.
In particolare, infatti, ogni decisione sulla pubblicazione delle deliberazioni della Giunta regionale (e sulle relative modalità) era di competenza del "Dipartimento Segreteria della Giunta" e della struttura "Provvedimenti amministrativi"; in tal senso si richiama la d.G.r. 19 marzo 2012, n. 578, in cui si legge che il "Dipartimento Segreteria della Giunta" "sovrintende al controllo formale preventivo delle proposte di deliberazione della Giunta regionale e dei provvedimenti dirigenziali e alla tenuta delle banche dati informatiche di tali atti" e che la struttura organizzativa "Provvedimenti amministrativi" "procede alla registrazione per l'esecutività, alla pubblicazione e alla conservazione dei provvedimenti dirigenziali, alla pubblicazione ed alla conservazione delle deliberazioni della Giunta regionale ed alla gestione ed implementazione delle relative banche dati informatiche".
Del resto, come già richiamato nella parte in fatto, anche il Segretario generale della Regione, in fase istruttoria del presente giudizio, ha affermato espressamente che dal 2013 al 2015 la competenza alla pubblicazione e alla conservazione delle deliberazioni di Giunta regionale era assegnata alla struttura organizzativa dirigenziale denominata "Provvedimenti amministrativi", al tempo incardinata nel dipartimento denominato "Segreteria della Giunta" (v. nota del 6 ottobre 2023, prot. n. 7386).
Ne deriva che in capo al convenuto B., proprio in relazione allo specifico ruolo dirigenziale ricoperto, era rinvenibile, all'epoca dei fatti, la responsabilità circa la pubblicazione delle deliberazioni della Giunta regionale sul sito web istituzionale e che, proprio in virtù di tale responsabilità, il medesimo avrebbe dovuto attivarsi per adempiere integralmente alle prescrizioni del Garante; invece, come si è rappresentato, non solo non si è attivato in tal senso ma, al contrario, si è attivato, con la nota del maggio 2015, nel senso di insistere sulla legittimità della diffusione dei dati personali nel sito con riguardo alle deliberazioni di Giunta regionale, opponendosi, in tal modo, alle stesse prescrizioni del Garante.
Quanto all'asserito vizio di indeterminatezza della seconda prescrizione del Garante della privacy di cui al provvedimento n. 182/2015, a cui fanno riferimento le interlocuzioni dei rappresentanti della Regione con il Garante medesimo, nonché la stessa difesa del B., occorre evidenziare che, proprio in queste interlocuzioni con il Garante, tali soggetti, fra cui lo stesso B., più che rappresentare una reale difficoltà nel dar corso alla seconda prescrizione dell'Autorità, ribadivano la legittimità del proprio operato e ribaltando sul Garante quello che sarebbe stato un preciso dovere dell'ente e, per quanto di competenza - visto il ruolo dirigenziale ricoperto -, del convenuto B. in qualità di responsabile della pubblicazione della deliberazioni di Giunta regionale.
In realtà, la Regione, e specificatamente i vari rappresentanti regionali che hanno interloquito con il Garante, fra cui il B., a fronte dell'asserita difficoltà nell'individuare le varie deliberazioni che, secondo le prescrizioni dettate dal Garante, dovevano essere rimosse dal sito web istituzionale, o, quantomeno, dovevano essere ripubblicate con l'anonimizzazione dei dati personali, avrebbero dovuto diligentemente interloquire con il Garante proprio al fine di superare tale difficoltà in spirito di leale collaborazione fra i due soggetti pubblici, Regione e Garante, e non certo continuare a sostenere, ostinatamente, e quindi con superficialità, la legittimità della diffusione dei dati su internet. E, del resto, vi sarebbe stato tutto il tempo per avviare tale virtuoso rapporto collaborativo, visto che la prima nota del Garante con le prime indicazione era del settembre 2013 e le ordinanze-ingiunzioni n. 397 e 398, con cui si irrogano le sanzioni, sono dell'ottobre 2017. Peraltro, lo stesso Garante, con le diverse note inviate alla Regione in questo significativo lasso di tempo, ha cercato di stimolare la Regione medesima proprio ad un proficuo confronto al fine di addivenire alla legittimità del trattamento dei dati personali, e solo alla fine, mantenendo la Regione un atteggiamento di poca disponibilità e accortezza, quale extrema ratio e come conseguenza estrema del procedimento avviato, ha proceduto alla fase sanzionatoria, con particolare riferimento alla sanzione di cui all'ordinanza-ingiunzione n. 398/2017.
Quanto all'elemento soggettivo, si ritiene ravvisabile, in relazione alla condotta del convenuto B., la colpa grave; infatti, il suo inserimento all'interno della scansione procedimentale, attraverso l'interlocuzione diretta con il Garante, si è sostanziato in una ingiustificata e colpevole resistenza opposta alle prescrizioni e alle contestazioni formulate dal Garante medesimo allo scopo della riconduzione a liceità dei trattamenti dei dati personali contenuti nelle deliberazioni della Giunta regionale pubblicate sul sito web della Regione.
Peraltro, occorre, altresì, evidenziare che l'elemento soggettivo della colpa grave in capo al convenuto B. si evince anche dalla circostanza che questi interloquisce con il Garante nel maggio 2015, quando, cioè, era già stata presa in considerazione dal Garante medesimo la "possibilità" dell'irrogazione della sanzione alla Regione (formalizzata con il provvedimento 182 del 10 aprile 2015), ossia quando ancora la Regione ben poteva evitare la sanzione per la seconda prescrizione di cui è causa.
Del resto, il B., in qualità di dirigente della struttura competente rispetto alla pubblicazione delle deliberazioni della Giunta regionale, ben avrebbe dovuto avvedersi della necessità di allineare le modalità di pubblicazione di tali provvedimenti alla normativa nazionale e regionale vigente in tema di tutela dei dati personali, nonché alle linee guida del Garante del 2011 in tema di diffusione degli stessi sul sito web degli enti, secondo quanto specificatamente prescritto dal Garante della privacy; al contrario, invece, con un atteggiamento gravemente colposo, il convenuto non solo non si è attivato in tal senso, come la propria competenza avrebbe richiesto, ma nella nota del maggio 2015 ha insistito a sostenere la legittimità delle modalità di pubblicazione delle deliberazioni di Giunta regionale senza anonimizzazione e per più di quindici giorni consecutivi, lamentando il deficit di indeterminatezza della prescrizione piuttosto che interloquire più proficuamente con il Garante al fine di individuare le modalità per addivenire all'adempimento integrale delle prescrizioni.
Quanto alla quantificazione dell'importo del danno da ricondurre alla condotta gravemente colposa del convenuto B., la Procura contabile ha chiesto la condanna ad euro 25.000,00.
Sul punto, il Collegio ritiene che, ferma restando la colpa grave e la responsabilità del convenuto nella causazione del danno, sussistano i presupposti ai fini dell'esercizio del potere riduttivo dell'addebito.
In particolare, da una coordinata disamina dei fatti di causa è emerso, infatti, come, complessivamente, si possa fare riferimento all'esistenza di un problema "sistemico", presso la Regione Valle d'Aosta, sul tema della tutela dei dati personali in relazione ai provvedimenti amministrativi, in specie quelli adottati dalla Giunta regionale, almeno nel periodo temporale preso in considerazione; un problema sistemico causato, a partire dalla stessa organizzazione dell'ente, come si è avuto modo di rappresentare, dal frazionamento delle competenze e dalla molteplicità dei soggetti che, per le funzioni svolte, potevano avere un ruolo nella vicenda e che, poi, concretamente, lo hanno avuto: elementi, questi, che, certamente, non hanno facilitato l'unitaria visione della materia (si pensi alla molteplicità dei dipartimenti e delle strutture organizzative coinvolte).
Pertanto, per tali ragioni, il Collegio ritiene di avvalersi del potere di riduzione dell'addebito riducendo il quantum della condanna nei confronti del convenuto B. ad un importo pari a circa il trenta per cento di quello contestato.
9. Conclusivamente, in parziale accoglimento della domanda della Procura regionale, il convenuto Massimo B. va condannato al pagamento, in favore in favore della Regione autonoma Valle d'Aosta, della somma di euro 8.000,00, comprensiva di rivalutazione monetaria, oltre interessi legali dalla data di deposito della presente sentenza sino al soddisfo.
10. Le spese di giudizio vanno poste a carico del convenuto nella misura indicata in dispositivo (art. 31, comma 1, c.g.c.).
P.Q.M.
la Corte dei conti, Sezione giurisdizionale per la Regione Valle d'Aosta, definitivamente pronunciando:
- dichiara estinto il giudizio n. 939 nei confronti del convenuto sig. Augusto R.;
- condanna il convenuto sig. Massimo B. al pagamento, in favore della Regione autonoma Valle d'Aosta, della somma di euro 8.000,00 (ottomila//00), comprensiva di rivalutazione monetaria, oltre interessi legali dalla data di deposito della presente sentenza sino al soddisfo;
- condanna, altresì, il convenuto sig. Massimo B. al pagamento delle spese di giudizio, liquidate in euro 668,82 (diconsi seicentosessantotto//82).
Nulla a provvedere in ordine alla posizione del sig. Livio S. definita in sede di rito abbreviato.
Manda alla Segreteria per gli ulteriori adempimenti di rito.
Note
V. anche Corte dei conti, sezione giurisdizionale per la Valle d'Aosta, sentenza 4 agosto 2025, n. 35.