Giova premettere che gli atti deliberativi (o le determinazioni) vanno pubblicate all’albo pretorio on line, con lo scopo da una parte, di rendere legalmente conoscibile il contenuto di atti e provvedimenti autoritativi, dall’altra parte, di darne esecutività/efficacia.
Infatti, la fase di “pubblicazione” della deliberazione/determinazioni è un istituto di partecipazione popolare (di antichissima origine) che, insieme alla necessità di apprestare un meccanismo legale di presunzione di conoscenza nei confronti dei terzi, è rivolto anche a rendere possibile la presentazione di osservazioni, oppure opposizioni da parte di chiunque vi abbia interesse per consentire all’organo emanante di provvedere su di esse e che potrebbero condurre anche ad una modifica della deliberazione stessa prima della sua entrata in vigore[1].Chiarito sommariamente la ratio della pubblicazione e dei suoi effetti, l’“esecutività” costituisce un attributo del provvedimento che acquista efficacia, e può essere portata ad esecuzione, dal decimo giorno dall’inizio della pubblicazione, oppure data di adozione nel caso di delibere dichiarate immediatamente eseguibili, ex art. 134 del d.lgs. n. 267/2000 (c.d. TUEL).
Va aggiunto, con riferimento ai quindici giorni della pubblicazione, ex art. 10 preleggi, decorrano:
- dal compimento integrale della pubblicazione della delibera all’albo pretorio (ex 124 del d.lgs. n. 267/2000, ovvero, dopo i 15 di pubblicazione + 15 di vacatio legis) che implica la decorrenza dei termini di impugnazione[2];
- oppure, come sembrerebbe più corretto, dal giorno di esecutività della stessa (dieci giorni dall’inizio della pubblicazione, ex 134 del TUEL).
Si deve aggiungere che se la pubblicazione all’albo pretorio è correlata alla “pubblicità legale”, la pubblicazione al sito istituzionale, sez. “Amministrazione Trasparente”, ha una diversa funzione di “pubblicità conoscitiva”, ex d.lgs. n. 33/2013 (c.d. Decreto Trasparenza, di cui al riferimento Freedom of Information Act, FOIA).
Ciò posto, le Linee Guida n. 15/2014 del Garante privacy al punto «3.a. Albo pretorio online degli enti locali» tiene a precisare la distinzione tra la pubblicazione per “ragioni di trasparenza” da quella per ragioni di “efficacia legale”, con lo scopo di evidenziare i distinti piani della pubblicazione degli atti, dove l’eventuale presenza di dati personali, non può durare oltre ai termini legali di pubblicazione (la c.d. base giuridica, di cui al Regolamento UE 679/2016), rispetto ai termini più estesi previsti per le pubblicazioni in “Amministrazione Trasparente”.
Le pubblicazioni delle deliberazioni di giunta o consiglio comunale, volendo anche assimilare le determinazioni (che seguirebbero l’art. 23 del D.lgs. n. 33/2013 in elenco), trovano la propria fonte nel TUEL, ex art. 124 «Pubblicazione delle deliberazioni», con una pubblicazione limitata «per quindici giorni consecutivi», sicché il perdurare della loro pubblicazione on line non corrisponde ad alcun precetto normativo ed è fonte di responsabilità: trascorso il periodo temporale previsto dalle singole discipline per la pubblicazione degli atti e documenti nell’albo pretorio, «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi»[3].
Dunque, la permanenza nel web di dati personali contenuti nelle deliberazioni degli Enti locali, oltre il termine di quindici giorni, previsto dall’art. 124 del citato d.lgs. n. 267/2000, configura una violazione degli obblighi di pubblicazione laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione.
La sez. II Cassazione Civ., con l’ordinanza n. 18292 del 3 settembre 2020, conferma tale orientamento, sanzionando un’Amministrazione locale per l’illecita diffusione dei dati personali oltre i termini previsti dal TUEL: il Garante aveva irrogato al Comune la sanzione di 4.000 euro, ai sensi dell’art. 162, comma 2 bis, del d.lgs. 196 del 2003 (c.d. codice della privacy), per la violazione dell’art. 19, comma 3, dello stesso decreto, commessa diffondendo dati personali di un dipendente comunale per un periodo superiore ai quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell’albo pretorio, ai sensi dell’art. 124 del d.lgs. 267 del 2000.
Veniva accertato che l’Amministrazione civica aveva «mantenuto visibili per oltre un anno sul proprio albo pretorio on line determinazioni dirigenziali dalle quali risultavano non soltanto il nome e il cognome della dipendente e l’esistenza di un contenzioso tra la stessa e l’Amministrazione municipale (dati funzionali a giustificare la nomina di un difensore e il conseguente impegno di spesa per il Comune) ma anche lo stato di famiglia dell’interessata e le circostanze che la medesima viveva da sola, che aveva avanzato una domanda di rateizzazione del dovuto e che tale domanda non era stata accolta».
Si comprende che già la stesura dell’atto conteneva dei dati che non dovevano essere pubblicati, in relazione alla c.d. privacy by design, con l’ulteriore eccedenza e pertinenza non funzionale alle ragioni di necessità, non potendo ricondurre – tali informazioni e dati -alle esigenze di natura organizzativa attinenti alle strette necessità di “trasparenza amministrativa”, cosicché il loro contenuto avrebbe imposto al Comune di avviarle celermente verso l’archiviazione e l’oblio, dopo la scadenza del termine di cui all’art. 124 del TUEL.
I motivi di difesa del Comune (accessibilità alle notizie di chi svolge una funzione pubblica, trasparenza informativa, prevalenza dell’accesso sulla privacy) non hanno trovato fondamento: il Comune è stato sanzionato non per aver pubblicato sul proprio sito le determinazioni dirigenziali, ma per aver mantenuto la pubblicazione oltre il termine di quindici giorni previsto dall’articolo 124 del TUEL.
La pubblicazione ai sensi dell’art. 124 del TUEL era lecita ma non poteva ritenersi «consentita per un tempo eccedente i quindici giorni imposti da quest’ultima disposizione, in quanto riguardava notizie relative alla vita privata dell’impiegata (il suo stato di famiglia, il fatto di vivere sola, la proposizione di domanda di rateizzazione, il mancato accoglimento della stessa), le quali non afferivano all’assetto organizzativo degli uffici e pertanto non potevano ricondursi alle esigenze di trasparenza amministrativa».
Neppure può ritenersi legittima, ai sensi dell’art. 11, primo comma del d.lgs. n. 150/2009 (come sostenuto dal Comune), le menzionate notizie relative alla vita privata del dipendente poiché non riguardavano:
- alcun «aspetto dell’organizzazione»;
- né costituivano «indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse»;
- né rappresentano «risultati dell’attività di misurazione e valutazione svolta dagli organi competenti».
La Corte precisa, altresì, che l’omessa rimozione dall’albo pretorio on line dei dati personali del dipendente, non può essere giustificata dall’assenza di professionalità interne, né all’inerzia del tecnico esterno incaricato di configurare il sito internet del Comune in conformità alla normativa vigente, atteso che il titolare del trattamento è la persona giuridica, non il legale rappresentante o l’amministratore, visto che la disciplina deroga al principio della imputabilità personale della sanzione, di cui alla legge n. 689/1981, configurando, nello specifico regime sanzionatorio ivi dettato, un’autonoma responsabilità della persona giuridica.
Sul punto, viene chiarito che la responsabilità non può ritenersi oggettiva ma, analogamente a quanto previsto dal d.lgs. n. 231/2000 in tema di responsabilità da reato degli enti, va configurata come “colpa di organizzazione”, da intendersi, in senso normativo, come rimprovero derivante dall’inottemperanza da parte dell’Amministrazione dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti, peraltro attinente alle misure specifiche di sicurezza (ovvero, di prevenzione della corruzione) per evitare tale genere di rischio.
Neppure, può essere invocata efficacia esimente alla circostanza che il ritardo nella rimozione dal sito web dei dati personali del dipendente sia dipesa da una disfunzione degli applicativi informatici gestiti da un consulente esterno, rilevando che tale circostanza era «pienamente riconducibile alla sfera di signoria dell’Ente e de/suo apparato».
La sentenza della Cassazione nella sua essenzialità conferma un orientamento che impone la scadenza degli atti di pubblicazione e la loro rimozione (compresa l’indicizzazione) quando è presente un dato personale e vige una disciplina specifica sulla visibilità on line, differenziando le funzioni della trasparenza del d.lgs. n. 33/2013 rispetto agli altri provvedimenti oggetto di pubblicazione obbligatoria, secondo le regole del TUEL, la violazione oltre a ricevere una sanzione del Garante, segue quella erariale (che non esclude le altre)[4].
[1] Per un’applicazione del principio, si rinvia a T.A.R. Calabria, Reggio Calabria, 5 aprile 2012, n. 269.
[2] T.A.R. Basilicata, Potenza, sez. I, 10 luglio 2014, n. 452; T.A.R. Puglia, Lecce, sez. I, 29 aprile 2014, n. 1128.
[3] Garante per la protezione dei dati personali, «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», Registro dei provvedimenti n. 243 del 15 maggio 2014.
[4] Si rinvia a un personale approfondimento, Diffusione di dati sensibili e responsabilità risarcitoria, dirittodeiservizipubblici.it, 20 settembre 2019.