800 561720
Il Tribunale di Brescia, Terza Sezione Civile, con sentenza n. R.G. 338/2024, ha annullato l’ordinanza-ingiunzione n. 577/2023 del Garante per la Protezione dei Dati Personali, che aveva irrogato al Comune di Lonato del Garda una sanzione di euro 20.000 per presunta violazione degli artt. 5, par. 1, lett. a) e b), e 6 del Regolamento UE 2016/679 (GDPR), nonché dell’art. 2-ter del D.Lgs. 196/2003.
Descrizione dei fatti
La sanzione trae origine da un procedimento disciplinare avviato dal Comune di Lonato del Garda nei confronti di un proprio dipendente. Il Garante aveva contestato al Comune di Lonato la presunta acquisizione e il trattamento illecito di dati personali, ritenendo che l’Ente avesse utilizzato una registrazione audio-video proveniente dal Comune di Castel Goffredo, installata presso il locale Comando di Polizia Locale, in modo non conforme ai principi di liceità, correttezza, trasparenza e limitazione della finalità previsti dal GDPR.
All’esito dell’istruttoria, è stato accertato che, in realtà, il Comune di Lonato non ha mai acquisito né utilizzato la suddetta registrazione audio-video. La pen drive contenente la registrazione era stata acquisita autonomamente dal Comandante della Polizia Locale di Castel Goffredo nell’ambito di una presunta indagine giudiziaria, attività sulla quale il Comune di Lonato non aveva né potere di sindacato né possibilità di interferire, trattandosi di atti coperti da segreto istruttorio. Il Tribunale ha appurato che, in ogni caso, il procedimento disciplinare del Comune di Lonato è stato avviato e concluso sulla base delle relazioni di servizio e delle dichiarazioni del dipendente, senza alcun utilizzo di dati provenienti dalla registrazione contestata.
Principi giuridici affermati
La sentenza affronta in modo puntuale la questione della base giuridica del trattamento dei dati personali nell’ambito del procedimento disciplinare. L’esercizio del potere disciplinare da parte del datore di lavoro pubblico è regolato dagli artt. 55 e seguenti del D.Lgs. n. 165/2001 (Testo Unico sul Pubblico Impiego – TUPI). I termini per l’avvio e la conclusione del procedimento disciplinare sono indicati in modo preciso dall’art. 55-bis, che stabilisce il dies a quo dal momento in cui l’Ufficio per i Procedimenti Disciplinari (UPD) acquisisce piena conoscenza dei fatti rilevanti sotto il profilo disciplinare.
Le norme sul procedimento disciplinare, in quanto disciplina speciale, regolano in maniera completa e dettagliata lo svolgimento dell’iter, garantendo il rispetto dei principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità” di cui all’art. 5 del GDPR. Tali norme costituiscono la base giuridica del trattamento dei dati quale “obbligo legale a cui è soggetto il titolare” ai sensi dell’art. 6, par. 1, lett. c) del GDPR. Il Tribunale ha inoltre escluso la sussistenza di colpa grave o dolo in capo al Comune di Lonato, evidenziando l’assenza di obblighi di verifica tecnica sulla legittima acquisizione delle informazioni trasmesse da un Comandante di Polizia Locale, soprattutto in assenza di elementi evidenti di illegittimità.
Conclusioni e indicazioni pratiche per la PA
La decisione del Tribunale di Brescia rappresenta un importante chiarimento in materia di responsabilità degli enti pubblici nel trattamento dei dati personali nell’ambito dei procedimenti disciplinari. In particolare, il Tribunale ha affermato che la responsabilità per l’acquisizione di informazioni ottenute in modo illecito da parte di un Comandante di Polizia Locale non si comunica automaticamente al Comune. L’ente pubblico non può essere chiamato a rispondere per condotte autonome di soggetti che operano nell’ambito di funzioni di polizia giudiziaria, soprattutto in assenza di elementi che dimostrino un effettivo utilizzo di dati illecitamente acquisiti nel procedimento disciplinare.
Inoltre, la sentenza offre un importante orientamento alle Pubbliche Amministrazioni in merito alla gestione delle informazioni provenienti da soggetti terzi. In presenza di tali dati, infatti, le PA dovranno attenersi scrupolosamente alle procedure interne e verificare, ove possibile, la liceità delle fonti, ma senza tuttavia gravarsi di obblighi di controllo tecnico su atti coperti da segreto istruttorio o provenienti da altre Autorità.
In sostanza, le amministrazioni sono chiamate a mantenere trasparenza e correttezza, adottando un approccio prudente nella valutazione delle informazioni ricevute, ma senza eccessivi oneri di verifica laddove non vi siano fondati sospetti di irregolarità.
Monica Lippa | Coordinatore Gruppo di lavoro Pubblica Amministrazione ASSO DPO | Avvocato, DPO, CIPP/E
