Privacy, tutti i rischi dei presidi

IL REGOLAMENTO EUROPEO PREVEDE NOTEVOLI ADEMPIMENTI: IMPOSSIBILE ESSERE IN REGOLA CON TUTTI
di Antonio Ciccia Messina
I dirigenti scolastici rischiano di scottarsi con la privacy e con un sistema sanzionatorio draconiano. La morsa della tagliola della responsabilità erariale è lì pronta a scattare. Come è avvenuto in tempi recentissimi: stanno a testimoniarlo alcune sentenze della Corte dei conti. E come potrebbe accadere nel futuro prossimo, se, passato il ciclone delle richieste di accesso di MonitoraPA, emergeranno sotto gli occhi delle autorità a guardia della privacy inadempienze meritevoli di una punizione amministrativa.

Lo strascico inevitabile delle ingiunzioni del garante della privacy, irrogate a pubbliche amministrazioni, in effetti, è la ricerca delle colpe, quelle gravi, che sono la base per ribaltare, in tutto o in parte, sui patrimoni dei singoli le somme pagate dalla scuola alle casse dello Stato per le violazioni della privacy.

Sullo sfondo e in primissimo piano, allo stesso tempo, si staglia il Gdpr, il regolamento Ue sulla privacy. Su di esso l’unica cosa su cui sono tutti concordi è che è quasi impossibile essere in regola e che il massimo che si può fare è dimostrare di avercela messa tutta. Questo vale soprattutto quando si parla della tutela dei dati dagli attacchi dei leviatani cibernetici, onnipresenti, inafferrabili, sempre in agguato dentro un computer e dall’altro capo del pianeta, e sempre avanti ai poliziotti del mondo virtuale. Altre facce del Gdpr sono la griglia dei precetti e quella delle punizioni, tanto sfibrata e scontornata la prima, quanto massiccia e pesante la seconda.

L’articolo 5 del Gdpr ti toglie il sonno, perché sei punito se violi il più atipico dei precetti, basta una violazione della correttezza, senza un catalogo delle scorrettezze da consultare prima, a far passare dalla speranza ingenua della clemenza alla rassegnazione fatalista della punizione. Ma poi c’è anche quell’articolo 83, sempre del Gdpr, in cui la forbice ha lame che partono da zero e si allargano fino a 20 milioni di euro: tanto è ampio l’arco tanta è evidente che la sanzione e a ritroso il precetto sfumano nell’imprevedibilità. In prima battuta a declamare le difese è chiamata la scuola.

Il perché ce l’ha insegnato la Corte di cassazione. E se, a posteriori, si ricostruisce quella responsabilità, allora scatta l’ingiunzione, che quando prende di mira un ente pubblico – scava, scava – non è altro che una partita di giro dei soldi del contribuente, da un bilancio di una P.A. al bilancio di un’altra amministrazione. Ma nel settore pubblico l’ingiunzione di una sanzione amministrazione non è una storia che finisce solo quando il tesoriere dell’ente pubblico pagatore salda il conto con l’ente pubblico creditore.

In quel momento cominciano i titoli di testa dei film della colpa erariale, che conta al suo attivo la pellicola della sentenza della sezione della Corte dei conti per il Lazio, uscita il 28 maggio 2019 con il numero 246: qui abbiamo quattro personaggi, una dirigente scolastica e tre professori. Sono chiamati a ripagare all’istituto professionale in cui lavorano il danno provocato a seguito del pagamento di una sanzione irrogata dal Garante della privacy (20 mila euro), in conseguenza della pubblicazione sulla rete internet di una circolare d’Istituto contenente dati idonei a rivelare lo stato di salute di scolari minori di età ed affetti da disabilità.

La dirigente ha firmato la circolare, la prima professoressa l’ha scritta, il terzo professore l’ha mandata al quarto (responsabile del sito), che l’ha pubblicata senza controllare nulla. Il fotogramma prima del “fine” vede, da un lato, il sorriso rifiatato dei tre professori mandati assolti per il loro ruolo marginale e di meri esecutori delle istruzioni diramate dalla dirigente scolastica e, dall’altro lato, si sente, ancor prima di vederlo, il rimbombo del martelletto della Corte sul capo della dirigente scolastica, in quanto onerata della responsabilità della organizzazione e gestione scolastica, condannata seppure con uno sconto (7500 euro la cifra ridotta sul suo conto).

Gli altri episodi, che riportiamo qui di seguito, riguardano altri enti pubblici, ma la normativa sulla responsabilità erariale (legge 20/1994) è unica per tutti i pubblici dipendenti : i principi applicati, quindi, sono direttamente applicabili anche al comparto scolastico.

Proseguendo l’excursus, meglio è andata al protagonista dell’episodio della sentenza della sezione della Corte dei conti per il Lazio, uscita il 14 settembre 2021 con il numero 672: al centro dello schermo il direttore delle risorse umane di una metropoli italiana, assolto per mancanza di colpa grave a fronte della pubblicazione sul sito istituzionale, giusto tre giorni prima di ritirarsi dal servizio, di una graduatoria dei dati sensibili dei partecipanti a una selezione pubblica: la trama della superfetazione delle norme sulla trasparenza, capace di confondere anche super-giuristi, ha salvato il direttore.

Il sequel, con un esito nuovamente infausto, è la sentenza della sezione della Corte dei conti per il Friuli Venezia Giulia, uscita il 18 gennaio 2022 con il numero 2: qui si vede (prima scena) un’azienda sanitaria condannata a una sanzione di 4 mila euro per la pubblicazione sul sito internet, per più di 15 giorni, di una delibera, in cui si indicavano fatti negativi sul conto di un infermiere, perciò non confermato nel periodo di prova lavorativa; e, poi, (scena finale) è proiettata l’immagine del direttore generale, condannato a pagarne mille oltre altri 2 mila e qualche centinaia quale rimborso parziale delle somme sborsate dall’azienda sanitaria per risarcire il danno all’infermiere in una causa civile, originata dal medesimo fatto.

In questo scenario, può essere utile studiare i percorsi del Gdpr per fare piccoli passi lungo il percorso della minimizzazione dei rischi della responsabilità.
Fonte: