Pubblicazione dei dati personali oltre i termini di legge: è danno erariale – Istruzioni operative per la corretta pubblicazione

Con una recentissima sentenza del 4 agosto u.s., la Corte dei Conti ha ribadito che la pubblicazione online di atti contenenti dati personali oltre i termini consentiti dalla normativa costituisce illecito, con responsabilità sia di natura erariale che disciplinare a carico dei funzionari responsabili.

Contesto di riferimento

Il tema della pubblicazione online degli atti amministrativi è da anni al centro di un delicato equilibrio tra trasparenza amministrativa e tutela della privacy. La normativa (Codice della privacy, GDPR, Linee Guida del Garante, D.lgs. n. 33/2013, D.lgs. n. 267/2000) prevede limiti stringenti, imponendo la rimozione o l’anonimizzazione dei dati personali una volta decorso il termine di pubblicazione.
La recente pronuncia della Corte dei Conti – Sezione giurisdizionale della Valle d’Aosta del 4 agosto 2025, n. 35  offre un chiarimento importante sotto il profilo della responsabilità dei soggetti chiamati alla pubblicazione sui siti web: la violazione degli obblighi sul trattamento dei dati personali, in particolare -in questo caso- il rispetto dei termini di pubblicazione nell’albo on line, comporta non solo sanzioni del Garante Privacy, ma anche responsabilità erariale a carico degli amministratori e dirigenti responsabili della pubblicazione.

Fattispecie

Nel caso esaminato dalla Corte dei conti, un ente pubblico aveva mantenuto pubblicate online deliberazioni contenenti dati identificativi (nome e cognome) di un dipendente, relative al suo trasferimento per “incompatibilità ambientale”. Nonostante i richiami e le indicazioni del Garante per la protezione dei dati personali, l’ente non ha oscurato né eliminato i dati e pertanto è stato sanzionato con un’ordinanza-ingiunzione pecuniaria.
La Procura contabile, a fronte della sanzione pecuniaria comminata, ha convenuto in giudizio il legale rappresentante dell’ente e il dirigente responsabile della pubblicazione.
Le contestazioni, derivanti dal pagamento della sanzione da parte della PA avvenuto con fondi pubblici, hanno riguardato:

• il titolare del trattamento (rappresentante legale), accusato di non aver vigilato e impartito le necessarie direttive;
• il responsabile del servizio (dirigente preposto alla pubblicazione), che ha omesso di rimuovere l’atto o oscurare i dati anche dopo le osservazioni del Garante.

La magistratura contabile ha, pertanto, ritenuto che le persone responsabili (il rappresentante legale e il dirigente preposto alla pubblicazione) abbiano causato un danno indiretto alle casse dell’ente, per colpa grave nella gestione dei dati personali.
Tale conclusione ha comportato il richiamo della Corte ai principi di necessità, pertinenza e non eccedenza di cui all’art. 5 del GDPR, stabilendo -in via definitiva e chiarissima- che la permanenza sul web dei dati personali oltre i termini di legge configura illecito trattamento, con danno erariale indiretto per le sanzioni pagate dall’ente.

Conclusioni

La sentenza riafferma un principio essenziale: la trasparenza non può prevalere sulla protezione dei dati personali e le amministrazioni devono bilanciare attentamente l’accesso alle informazioni con il rispetto della privacy, ricordando che la responsabilità ricade direttamente sui funzionari che gestiscono la pubblicazione online.
Si tratta di un orientamento ormai consolidato, che -pur nel rispetto degli obblighi di trasparenza amministrativa imposti a vari livelli in capo agli enti ed amministrazioni -rafforza il diritto all’oblio e limita la reperibilità indiscriminata dei dati personali sui motori di ricerca.
È importante, pertanto, che i soggetti deputati alla pubblicazione degli atti amministrativi dell’ente si assicurino preliminarmente circa la sussistenza della base giuridica, e successivamente visionino la documentazione di modo da espungere dati personali non necessari, eccedenti e non pertinenti.
A tal proposito una guida alla corretta pubblicazione dei dati può rinvenirsi nelle Linee Guida del Garante, oltre che nel TUEL e negli artt. 7bis e 8 del D.Lgs. 33/2013.

Istruzioni operative per i soggetti tenuti alle pubblicazioni obbligatorie

Al fine di gestire correttamente la pubblicazione sul proprio sito istituzionale, in particolare nella sezione Amministrazione Trasparente e/o sugli albi on line, e al fine di prevenire rischi di sanzioni e di responsabilità erariali oltre che danni reputazionali, i soggetti obbligati a pubblicare dati, documenti e informazioni sono tenuti al rispetto di regole chiare e procedimentalizzate.
Si sintetizzano, di seguito, indicazioni operative il cui rispetto consente di svolgere pubblicazioni appropriate e rispettose dei limiti legalmente imposti.
I soggetti responsabili della pubblicazione di documenti, dati e informazioni, pertanto, devono:

1. Verificare la sussistenza della base giuridica prima di procedere ad ogni pubblicazione contenente dati personali;
2. Verificare costantemente i termini di pubblicazione degli atti sul proprio sito istituzionale, sia che si tratti di pubblicazione su albi on line sia che si tratti di pubblicazione nella sezione Amministrazione trasparente;
3. Rimuovere o anonimizzare i dati personali i cui termini di pubblicazione legalmente stabiliti risultino scaduti;
4. Definire chiaramente ruoli e responsabilità sia in relazione alla privacy governance (titolare, responsabile e incaricati del trattamento) sia in relazione agli obblighi di pubblicazione (governance della trasparenza);
5. Applicare i principi di privacy by design e by default, valutando ex ante quali dati siano effettivamente necessari alla pubblicazione;
6. Aggiornare le procedure interne e i manuali operativi sul trattamento dei dati personali;
7. Aggiornare la sezione trasparenza del PTPCT/PIAO con le indicazioni della delibera 495 del 25 settembre 2024 di ANAC, dando evidenza della fase di validazione precedente alla pubblicazione;
8. Erogare costantemente formazione al personale coinvolto nella gestione delle pubblicazioni online.