La sentenza n. 7/2026 della Corte dei conti di Bolzano conferma un principio che riguarda da vicino Comuni ed enti: la sanzione privacy pagata dall’ente può tradursi in responsabilità erariale del funzionario che, pur potendo, non ha adottato le misure. Ecco il caso, chi risponde e cosa fare.
C’è un equivoco diffuso negli enti pubblici: si pensa che, quando il Garante per la protezione dei dati personali commina una sanzione, la vicenda si chiuda con il pagamento da parte dell’amministrazione. Non è così. Una recente pronuncia – la sentenza n. 7/2026 della Corte dei conti, sezione giurisdizionale di Bolzano – conferma un principio destinato a incidere sul lavoro quotidiano di Comuni ed enti: quando la sanzione è pagata con denaro pubblico, quel costo può essere addebitato al funzionario che, pur avendone i poteri, non ha adottato le misure necessarie a evitarla. Non si tratta di un caso isolato: già nel 2025 la Corte dei conti della Valle d’Aosta aveva condannato un dirigente per la stessa ragione.
Il caso in sintesi
La vicenda nasce da una sanzione del Garante a un’azienda sanitaria per il modo in cui era gestito l’accesso al dossier sanitario elettronico. Ecco i passaggi essenziali:
| Passaggio | Contenuto |
| Provvedimento del Garante | n. 97 del 22 febbraio 2024 (doc. web n. 10001279): sanzione di 75.000 € (tre sanzioni da 25.000 €) all’Azienda sanitaria dell’Alto Adige per il trattamento dei dati tramite dossier sanitario elettronico. Violazione degli artt. 5, 9, 25 e 32 del GDPR: accessi di personale non coinvolto nel percorso di cura, abilitazioni fondate su autodichiarazioni, assenza di controlli automatici e di rilevazione degli accessi anomali. |
| Il passaggio contabile | La sanzione, pagata con risorse pubbliche, diventa un costo per la collettività: si apre il tema dell’imputazione interna del danno a chi avrebbe potuto evitarlo. |
| La sentenza | Corte dei conti, Sezione giurisdizionale per la Regione Trentino-Alto Adige/Südtirol, sede di Bolzano, n. 7/2026 (depositata il 31 marzo 2026). Danno contestato dalla Procura: 37.500 € (50% della sanzione). |
| L’esito | Esclusa la responsabilità della referente privacy e del tecnico privo di poteri decisionali; riconosciuta la colpa grave del Direttore della Ripartizione informatica, condannato a 5.625 € oltre rivalutazione e interessi (applicato il potere riduttivo). |
Fonti: Garante per la protezione dei dati personali, provv. n. 97 del 22 febbraio 2024 (doc. web n. 10001279); Corte dei conti, Sez. giur. Bolzano, n. 7/2026.
Il punto non è se il Garante abbia fatto bene a sanzionare l’ente: è che il pagamento della sanzione, una volta avvenuto con risorse pubbliche, pone alla giurisdizione contabile una domanda diversa, e cioè se quel danno sia stato causato da condotte gravemente colpose di chi, per ruolo e poteri effettivi, avrebbe dovuto impedirlo.
Chi risponde, e chi no: la responsabilità è personale
L’aspetto più istruttivo della sentenza è la distinzione tra i soggetti coinvolti. La Corte non ha accolto una responsabilità indistinta di tutti coloro che, a vario titolo, si occupavano di privacy o di informatica. Ha invece ribadito che la responsabilità amministrativa è personale e richiede un contributo causale specifico: non basta l’appartenenza a un ufficio o la vicinanza alla materia. Risponde chi dispone di poteri effettivi – organizzativi, direttivi, di coordinamento – tali da poter tradurre gli obblighi giuridici in misure tecniche e procedurali concrete.
| Figura | Valutazione della Corte |
| Referente privacy | Esclusa: funzione di supporto, priva dei poteri di implementazione tecnica. |
| Dirigente tecnico senza poteri effettivi | Esclusa: posizione subordinata, assenza di effettivi poteri decisionali. |
| Direttore della Ripartizione informatica | Colpa grave: poteri organizzativi e tecnici effettivi, rimasti inerti nonostante i solleciti del DPO e i precedenti provvedimenti del Garante. |
| Data Protection Officer (DPO) | Non si sostituisce ai dirigenti: segnala, consiglia, monitora e sollecita, ma l’attuazione tecnica spetta alla dirigenza responsabile. |
Fonte: Corte dei conti, Sez. giur. Bolzano, n. 7/2026; principio della responsabilità personale ex legge 14 gennaio 1994, n. 20.
La condanna ha colpito quindi il Direttore della Ripartizione informatica non perché fosse “l’informatico”, ma perché titolare della funzione dirigenziale chiamata a trasformare in architettura tecnica le prescrizioni del Garante e i solleciti interni. La sua inerzia – la mancata adozione di misure correttive nonostante segnali chiari – è stata qualificata come colpa grave, cioè come violazione manifesta e inescusabile dei doveri funzionali.
La riforma della responsabilità erariale non azzera il rischio
Un elemento di particolare attualità: la Corte applica il nuovo parametro introdotto dalla legge 7 gennaio 2026, n. 1, che ha riformato la responsabilità amministrativa e ridefinito la colpa grave (come violazione manifesta delle norme di diritto applicabili, da valutare anche in base alla chiarezza delle norme violate e all’inescusabilità dell’inosservanza). La lezione è netta: la riforma non sterilizza la responsabilità del funzionario. Non ogni errore o ritardo diventa danno erariale, ma quando l’amministrazione dispone di obblighi chiari, solleciti reiterati e competenze interne idonee, l’omissione prolungata supera la soglia della mera disfunzione e diventa illecito contabile.
Il nodo del DPO: segnalare non basta, serve chi attua
Per chi svolge funzioni di Data Protection Officer la sentenza offre un chiarimento importante e, per certi versi, liberatorio. La presenza di un DPO o di un ufficio privacy non esonera le strutture operative e informatiche dall’adottare le misure di loro competenza: il DPO segnala, consiglia, monitora e sollecita, ma non può sostituirsi ai dirigenti responsabili dell’implementazione tecnica. Detto altrimenti, la protezione dei dati non è il compito di un ufficio separato, ma una funzione distribuita in cui il presidio giuridico individua il quadro di conformità, la dirigenza informatica realizza le misure, la direzione assegna risorse e indirizzi, e gli operatori rispettano le regole di accesso. Quando questa catena si spezza – un sollecito non seguito da attuazione, un regolamento non tradotto in configurazione tecnica, un sistema di alert mai implementato – nascono violazioni, sanzioni e responsabilità.
Non solo sanità: una lezione per tutti i Comuni e gli enti
La portata della pronuncia supera il settore sanitario. Ogni amministrazione che tratta dati personali, a maggior ragione categorie particolari come i dati sulla salute (art. 9 GDPR), dati giudiziari o informazioni su soggetti vulnerabili, deve prendere atto che la responsabilità privacy è ormai parte della responsabilità amministrativa complessiva. Non è più sostenibile affidare le misure di protezione a circolari interne o ad autodichiarazioni dell’utente, senza barriere tecniche, profilazione degli accessi, tracciamento e controlli successivi. I precedenti lo confermano:
| Decisione della Corte dei conti | Somma a carico del funzionario |
| Sez. giur. Valle d’Aosta, n. 36/2025 (pubblicazione di atti in contrasto con le indicazioni del Garante) | 8.000 € |
| Sez. giur. Bolzano, n. 7/2026 (accessi al dossier sanitario) | 5.625 € |
Fonti: Corte dei conti, Sez. giur. Valle d’Aosta n 36/2025 e Sez. giur. Bolzano n. 7/2026.
Cosa fare adesso
Dalla sentenza si ricavano alcune indicazioni operative concrete. Primo: progettare i sistemi informativi sul principio della necessità dell’accesso (need-to-know), non della massima disponibilità del dato. Secondo: profilare, tracciare e controllare effettivamente gli accessi, prevedendo alert sugli accessi anomali. Terzo: prendere in carico i solleciti del DPO e le indicazioni del Garante con decisioni formali, dotate di tempi, responsabili e verifiche – perché è proprio la mancata attuazione documentata a fondare la colpa grave. Quarto: chiedere alla dirigenza informatica un ruolo attivo nella traduzione tecnica degli obblighi giuridici, non la sola manutenzione dei sistemi. Quinto: ricordare che il pagamento della sanzione non chiude la partita, ma può aprire quella della responsabilità erariale interna.
Il messaggio per le amministrazioni è chiaro: la privacy non vive nei documenti, ma nei sistemi; non si esaurisce nelle informative, ma si misura negli accessi; non coincide con la nomina del DPO, ma richiede un’organizzazione capace di trasformare i principi in misure tecniche verificabili. È un investimento in buona amministrazione, prima ancora che una difesa dalle sanzioni.
Enrico Capirone – Presidente iSimply srl, DPO