La Cassazione, con sentenza n. 29049 del 6 ottobre 2022, conferma la correttezza della sanzione inflitta dal Garante della privacy alla Regione Abruzzo, per aver pubblicato sul suo sito i nomi e i cognomi degli ammessi e degli esclusi in un concorso riservato ai disabili.
In particolare, la pubblicazione degli ammessi riportava l’indicazione dei nomi e l’espresso riferimento alla legge 68/1999 riguardante le “Norme per il diritto al lavoro dei disabili”, ossia un dato sensibile relativo alla salute dei candidati.
La decisione del Garante della Privacy e del Tribunale dell’Aquila
Il Garante, accertata l’illiceità del trattamento dei dati personali da parte della Regione Abruzzo vietava alla Regione l’ulteriore diffusione in internet di dati sensibili.
Inoltre, il Garante prescriveva misure idonee a garantire il rispetto di tale divieto, riservandosi di verificare, con autonomo procedimento, la sussistenza “dei presupposti della violazione dell’art. 162 comma 2 bis del Codice privacy (ad oggi abrogato, ma in vigore quando il trattamento illecito avveniva) che si concludeva con l’emanazione dell’ordinanza ingiunzione di importo pari ad € 20.000,00 a titolo di sanzione amministrativa.
L’art. 162 comma 2 bis del Codice della Privacy, oggi abrogato, stabiliva che: “In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all’articolo 33 è escluso il pagamento in misura ridotta.”
La Regione Abruzzo proponeva opposizione avverso l’ordinanza ingiunzione e il Tribunale dell’Aquila, con sentenza n. 355/2018, rigettava l’opposizione e per l’effetto confermava l’ingiunzione.
Il Tribunale dell’Aquila, infatti, rilevava che il trattamento dei dati personali poteva essere fatto in forma anonima o comunque con una modalità tale da evitare la diffusione di informazioni sullo stato di salute dei partecipanti alla selezione pubblica, così da contemperare le esigenze di pubblicità della procedura concorsuale con le esigenze di riservatezza dei candidati.
Il Tribunale, nel respingere la doglianza relativa alla scusabilità dell’errore in cui era incorsa la Regione, accertava che nella specie era rintracciabile quantomeno l’elemento soggettivo della colpa in capo all’opponente, essendo quest’ultima ben consapevole della necessità di trattare con riservo i dati sensibili e dell’esigenza di dover operare mediante l’adozione di cautele idonee ad impedire l’evento, anche in considerazione del fatto che la Regione, prima dell’emissione dell’ordinanza ingiunzione, con provvedimento n. 313/2014, era stata informata della necessità di oscurare i dati sensibili. Infine, in riferimento all’entità della sanzione, il Tribunale dell’Aquila, accertava la legittimità dell’importo oggetto della sanzione pari al doppio del minimo edittale, coinvolgendo il trattamento illecito di dati personali più soggetti interessati.
Il ricorso per Cassazione
La Regione Abruzzo proponeva ricorso per Cassazione, denunciando che il Tribunale avrebbe omesso di considerare che l’esimente della buona fede rileverebbe come causa di esclusione della responsabilità amministrativa in presenza di elementi positivi idonei ad ingenerare nell’autore della violazione il convincimento della liceità della sua condotta, nella specie costituiti da un quadro normativo che la avrebbe indotta a ritenere che l’obbligo di trasparenza imposto dal D.Lgs. n. 33 del 2013 dovesse trovare piena applicazione nella procedura concorsuale in questione.
Osserva il Collegio che in tema di illecito amministrativo, l’error iuris, quale causa di esclusione della responsabilità (in analogia a quanto previsto dall’art. 5 c.p.) viene in rilievo soltanto a fronte della inevitabilità dell’ignoranza del precetto violato, il cui apprezzamento a effettuato alla luce della conoscenza e dell’obbligo di conoscenza delle leggi che grava sull’agente in relazione anche alla qualità professionale posseduta e al suo dovere di informazione sulle norme, e sull’interpretazione che di esse è data., che specificamente disciplinano l’attività che egli svolge (Cass. n. 18471 del 2014).
Il Tribunale, accertava la sussistenza dell’elemento soggettivo della colpa in capo all’amministrazione opponente, stante la consapevolezza di quest’ultima della necessità di trattare con riservo i dati sensibili e delle cautele idonei ad impedire l’evento e ciò era corroborato dal fatto che la Regione, prima dell’emissione dell’ordinanza ingiunzione, con provvedimento n. 313/2014, era stata informata di siffatta necessità di oscurare i dati sensibili.
La decisione della Corte di Cassazione
La Cassazione respinge il ricorso della Regione contro la sanzione amministrativa di 20 mila euro, emanata dal Garante per la violazione del Codice privacy. Non passa la tesi della ricorrente sulla buona fede dell’ente e sull’errore scusabile per “ignoranza”.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.