La Corte dei conti Valle d’Aosta, con sentenza n. 36/2025, ha confermato che le sanzioni inflitte dal Garante Privacy ad una Pubblica Amministrazione possono tradursi in danno erariale indiretto a carico del dirigente responsabile, se derivano da condotte gravemente colpose. Il caso riguarda una condanna a carico di un dirigente regionale, responsabile della pubblicazione degli atti amministrativi, per non aver dato seguito alle prescrizioni del Garante in materia di protezione dei dati personali.

Il caso nasce da due sanzioni del Garante (2017) per la pubblicazione online di atti contenenti dati personali senza anonimizzazione, in violazione del Codice Privacy (d.lgs. 196/2003, versione ante GDPR) e delle Linee guida del 2011 sulla diffusione di dati personali da parte di enti pubblici. Tra gli atti, una delibera con indicazione del trasferimento di un dipendente per “incompatibilità ambientale”.

L’Amministrazione aveva sostenuto la legittimità della pubblicazione prolungata (5 anni), richiamando gli obblighi di trasparenza del d.lgs. 33/2013, ma la Corte ha chiarito che tali atti non rientrano tra quelli soggetti a obbligo quinquennale e che, comunque, vigeva il limite di pubblicazione previsto dalla normativa regionale (15 giorni), salvo anonimizzazione.

Il punto centrale è la colpa grave: nonostante un provvedimento prescrittivo del Garante della Privacy (2015), il dirigente regionale aveva continuato a difendere la (propria) prassi anziché adeguarsi. Tale inerzia ha causato l’esborso pubblico della Regione di oltre 100.000 euro, portando alla condanna personale a 8.000 euro.

La sentenza offre indicazioni rilevanti per la PA e, per estensione, per le scuole:

• il provvedimento del Garante va ottemperato immediatamente se non impugnato: la mancata conformazione costituisce colpa grave;
• la trasparenza (d.lgs. 33/2013) non consente mai la pubblicazione indiscriminata di dati personali: è necessario bilanciare sempre con i principi di necessità, proporzionalità e minimizzazione (artt. 5 e 6 GDPR);
• i dirigenti devono vigilare sull’esecuzione degli obblighi di protezione dei dati e collaborare con le autorità di controllo (Garante);
• la responsabilità privacy va tracciata e assegnata correttamente nell’organizzazione, come previsto dall’art. 2-quaterdecies del Codice Privacy.

Il caso ribadisce che la gestione dei dati personali è un preciso dovere istituzionale e che la noncuranza nell’adeguamento alle prescrizioni delle Autorità indipendenti può tradursi in responsabilità personale. Per le scuole, ciò richiama l’importanza di procedure aggiornate, formazione continua e presidio tecnico-organizzativo, per garantire tutela dei dati e corretto equilibrio tra trasparenza amministrativa e riservatezza.