Le conseguenze dell’errata durata di pubblicazione dei dati personali

lentepubblica.it

In questo approfondimento l’Avvocato Maurizio Lucca analizza una recente pronuncia giuridica che si occupa di fornire un quadro preciso sulle conseguenze dell’errata durata di pubblicazione dei dati personali.

La sez. giurisdizionale Emilia – Romagna della Corte dei Conti, con la sentenza n. 29 del 18 febbraio 2026, dichiara il giudizio erariale estinto a seguito di richiesta di rito abbreviato (offrendo il pagamento di una somma ridotta di oltre il sessanta per cento dell’importo dovuto), sulla responsabilità erariale per la pubblicazione di un dato personale (in violazione del principio di eccedenza) a seguito del pagamento di una sanzione amministrativa inflitta all’Amministrazione del Garante per la protezione dei dati personali: una responsabilità di danno indiretto [1].

Il trattamento e la pubblicazione dei dati personali

Il Garante privacy ha chiarito che il trattamento dei dati personali deve avvenire nel rispetto dei principi di limitazione della finalità ai sensi del quale i dati devono essere raccolti per finalità determinate, esplicite e legittime, nonché nel rispetto del principio di minimizzazione dei dati ovvero adeguati, pertinenti e limitati alle finalità del trattamento.

Fatte queste premesse di contesto, nello specifico delle pubblicazioni degli atti all’albo pretorio dell’Ente locale, la diffusione di dati personali deve avvenire nel rispetto del comma 1, dell’art. 124, Pubblicazione delle deliberazioni, del d.lgs. n. 267/2000 («Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge») [2], mantenendo i provvedimenti on line non oltre il termine di quindici giorni previsto per la pubblicazione e, quindi, in presenza di idonei presupposti normativi.

Invero, molti programmi informatici utilizzati per tali finalità di pubblicazione legale [3], proprio per evitare di incorrere in violazioni del disposto del d.lgs. n. 267/2000 e della disciplina sulla protezione dei dati personali ha da tempo previsto che le deliberazioni/determinazioni [4] vengano automaticamente rimossi al termine dei 15 giorni previsti dalla normativa, a prescindere da ogni intervento umano (a volte inserendo un c.d. flag per spuntare un termine di durata superiore, ovvero l’omissione della pubblicazione).

Inoltre, l’art. 23 Obblighi di pubblicazione concernenti i provvedimenti amministrativi, del d.lgs. n. 33/2013, prevede espressamente al comma 1, che le PA «pubblicano e aggiornano ogni sei mesi, in distinte partizioni della sezione «Amministrazione trasparente», gli elenchi dei provvedimenti adottati dagli organi di indirizzo politico e dai dirigenti, con particolare riferimento ai provvedimenti finali dei procedimenti di:

1. b) scelta del contraente per l’affidamento di lavori, forniture e servizi, anche con riferimento alla modalità di selezione prescelta ai sensi del codice dei contratti pubblici, relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50, fermo restando quanto previsto dall’articolo 9-bis;
2. d) accordi stipulati dall’amministrazione con soggetti privati o con altre amministrazioni pubbliche, ai sensi degli articoli 11 e 15 della legge 7 agosto 1990, n. 241», con l’inevitabile approdo che le disposizioni del cit. art. 23 del Decreto Trasparenza non costituisce idonea base giuridica, ai sensi dell’art. 2 ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) del Codice (d.lgs. n. 196/2003) per diffondere i dati personali, contenuti negli allegati alle delibere poiché non sussiste un obbligo di pubblicazione on line.

Ne consegue che i soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (ex art. 2 ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ex art. 5, par. 1, lett. c, del RGPD), rispettando la base giuridica per la durata della pubblicazione on line.

Sotto questo profilo, il Garante per la protezione dei dati personali ha fornito specifiche indicazioni alle Amministrazioni sulle cautele da adottare per la diffusione di dati personali on line con il provvedimento generale n. 243 del 15 maggio 2014, recante le Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», soffermandosi sia sulla pubblicazione che sulle modalità di redazione degli atti contenente i cit. dati personali.

Va aggiunto, che le deliberazioni non pubblicate non possono essere diffuse [5].

Fatto

La Procura attorea cita in giudizio un dipendente pubblico per sentirlo condannare, in favore dell’Amministrazione di appartenenza, al risarcimento del danno erariale indiretto per due sanzioni pagate da quest’ultima (a seguito di riconoscimento di debito fuori bilancio) al Garante privacy per la pubblicazione all’albo pretorio on line, nella sez. Amministrazione Trasparente:

• di una determina dirigenziale di mobilità esterna contenente (in chiaro sul web) dati personali di un/una concorrente e l’esito della procedura che aveva condotto ad una dichiarazione di non idoneità;
• una seconda determinazione nella quale erano visibili nuovamente i dati personali già oggetto della precedente contestazione.

Il danno erariale

Nello specifico, la Procura contestava la responsabilità amministrativa – colpa grave – del convenuto per non avere tenuto conto delle conseguenze della pubblicazione dei dati personali dei partecipanti alla procedura in violazione degli artt. 4, 19 e 162 del d.lgs. n. 196 del 2003, con il conseguente illecito trattamento dei dati, causa del pagamento da parte dell’Ente pubblico delle sanzioni applicate dal Garante, con conseguente danno indiretto.

Il giudizio veniva definito con rito abbreviato.

Indicazioni operative

Il pronunciamento consente di osservare che la pubblicazione di dati personali all’interno degli atti deve essere rispettosa della disciplina di riferimento della c.d. privacy, volendo sintetizzare nel fatto che in base al principio di minimizzazione devono essere riportati effettivamente quei dati considerati indispensabili senza alcuna eccedenza non giustificata, e allo stesso tempo la pubblicazione degli atti deve essere rispettosa del termine stabilito dalla legge, che per le deliberazioni/determinazioni comunali non può eccedere i quindici giorni (rendendo del tutto illecito il trattamento oltre tale soglia, ovvero rendere in chiaro il c.d. archivio storico quando siano presenti dati personali).

In altro contesto [6], l’errore di pubblicazione di un dato personale (contenuto in una ordinanza di sgombero), pur essendo stato oggetto di una sanzione del Garante non riscontrando la base giuridica per la pubblicazione, non è stato dimostrato l’elemento soggettivo della colpa grave, avendo il convenuto in giudizio dal Giudice erariale, provato di aver adottato tutte le misure per scongiurare la pubblicazione del dato personale (c.d. oscuramento) e la sua permanenza on line: il c.d. danno indiretto, derivante dall’irrogazione di sanzioni amministrative pecuniarie da parte del Garante della Privacy, non è stato ravvisato, avuto riferimento sia l’accertato grado di esigibilità della condotta normativamente prevista, che alla piena consapevolezza dell’obbligo all’attivazione della procedura di tutela della privacy, dando atto che l’unica mancata cancellazione del cognome era imputabile ad un errore scusabile, «una svista del tutto involontaria che non si presta ad essere qualificata come gravemente colposa» (peraltro, si annotava l’illiceità della sola pubblicazione oltre i termini di quindici giorni).

L’insieme porta a ritenere che una buona regola istruttoria esige, da una parte, nella redazione degli atti è doveroso curare e verificare l’essenzialità di riportare un dato personale (nei modi supra descritti), dall’altra parte, istruire dettagliatamente la persona deputata alle pubblicazioni, evitando di mantenere on line un atto oltre i termini di legge, facendo in modo che l’eventuale dato personale comporti un illecito trattamento dei dati, rendendo lo storico legittimo se epurato di dati personali (ovvero, mediante il diritto di accesso generalizzato) [7].

Note

[1] Il dies a quo della prescrizione deve essere individuato nella data di emissione del titolo di pagamento al terzo danneggiato, non essendo configurabile, prima di tale momento, alcun danno erariale, ma soltanto un comportamento posto in essere in violazione della disciplina in materia di dati personali, Corte conti, sez. riunite, 5 settembre 2011, n. 14.

[2] La pubblicazione di un atto amministrativo (caso di specie, regolamentare) ove prevista, attiene alla fase integrativa dell’efficacia e non costituisce un requisito di legittimità, TAR Lazio, Roma, sez. IV quater, 24 giugno 2025, n. 12527.

[3] La pubblicazione nell’albo pretorio, prescritta dall’art. 124 del d.lgs. n. 267 del 2000, comporta che la pubblicazione costituisce il mezzo di conoscenza legale da cui decorrono i termini per l’impugnativa, TAR Campania, Salerno, sez. III, 10 maggio 2024, n. 1030.

[4] La pubblicazione all’albo pretorio del Comune è prescritta dall’art. 124 TU n. 267/2000 per tutte le deliberazioni del comune e della provincia ed essa riguarda non solo le deliberazioni degli organi di governo (consiglio e giunta municipali) ma anche le determinazioni dirigenziali, esprimendo la parola “deliberazione” ab antiquo sia risoluzioni adottate da organi collegiali che da organi monocratici ed essendo l’intento quello di rendere pubblici tutti gli atti degli Enti locali di esercizio del potere deliberativo, indipendentemente dalla natura collegiale o meno dell’organo emanante, TAR Lombardia, Milano, sez. III, 27 giugno 2024, n. 2005.

[5] Ministero Interno, Territorio e autonomie locali, 12 Gennaio 2026, secondo il parere le deliberazioni diventano accessibili a tutti con la pubblicazione sull’albo pretorio on line; pertanto, le proposte di deliberazione che possono anche non essere approvate non possono essere diffuse.

[6] Corte conti, sez. giur. Veneto, 14 gennaio 2026, n. 10.

[7] Si rinvia, LUCCA, I termini di pubblicazione, il diritto all’oblio e i costi dell’accesso, ictsecuritymagazine.com, 17 giugno 2020.

The post Le conseguenze dell’errata durata di pubblicazione dei dati personali appeared first on lentepubblica.it.