La gestione della privacy nella pubblica amministrazione: GDPR, adempimenti, sicurezza dei dati e responsabilità

La protezione dei dati personali nella pubblica amministrazione non è più — da tempo — una questione esclusivamente «tecnica» da delegare al personale informatico. Dal 25 maggio 2018, data di piena applicazione del Regolamento (UE) 2016/679 (GDPR), la privacy è diventata un sistema integrato di obblighi sostanziali, organizzativi, procedurali e di responsabilità che coinvolge l'intera amministrazione, dal Sindaco al Segretario Comunale, dai dirigenti e responsabili di settore fino a ogni singolo dipendente «autorizzato» al trattamento. Le recenti pronunce — su tutte la sentenza della Corte dei conti, Sezione di Bolzano, n. 7/2026, che ha riconosciuto la responsabilità erariale del direttore della struttura informatica di un'azienda sanitaria per le sanzioni del Garante derivanti da carenze nel sistema di accesso al Dossier Sanitario Elettronico — confermano che le violazioni del GDPR, oltre alle sanzioni amministrative del Garante (fino a € 20 milioni o al 4% del fatturato globale), espongono i dirigenti e i funzionari pubblici a un ulteriore livello di responsabilità: il danno erariale, per gli importi pagati dall'ente a titolo di sanzione. In questo approfondimento ricostruiamo il sistema della privacy nella PA locale: quadro normativo, figure soggettive, adempimenti operativi, misure di sicurezza, profili di responsabilità.

📌 In sintesi.

Fonti: Regolamento (UE) 2016/679 (GDPR); D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy, profondamente novellato dal D.Lgs. 10 agosto 2018, n. 101); D.Lgs. 8 giugno 2001, n. 231 per i profili di responsabilità degli enti; Regolamento (UE) 2024/1689 (AI Act) e L. 23 settembre 2025, n. 132 per i profili di IA.
Principi cardine (art. 5 GDPR): liceità, correttezza, trasparenza; limitazione delle finalità; minimizzazione; esattezza; limitazione della conservazione; integrità e riservatezza; accountability (responsabilizzazione del titolare).
Figure soggettive: Titolare (l'ente, di norma rappresentato dal Sindaco), Responsabile esterno (fornitori che trattano per conto dell'ente), DPO/RPD (obbligatorio per le PA), autorizzati (dipendenti che effettuano materialmente i trattamenti), Designati (responsabili interni dei trattamenti).
Adempimenti operativi: registro dei trattamenti (art. 30), informative agli interessati (artt. 13-14), DPIA per i trattamenti ad alto rischio (art. 35), notifica e comunicazione del data breach (artt. 33-34), nomine e istruzioni operative.
Sicurezza: misure tecniche e organizzative adeguate (art. 32) — Misure Minime di Sicurezza ICT AgID, Linee guida AgID sulla cybersecurity, GDPR by design e by default (art. 25).
Responsabilità: amministrative (Garante — sino a € 20 mln o 4% fatturato); civile (art. 82 GDPR); penali (artt. 167-172 Codice Privacy); disciplinari; dirigenziali (art. 21 D.Lgs. 165/2001); amministrativo-contabili (danno erariale per le somme pagate dall'ente a titolo di sanzione — Corte conti Bolzano n. 7/2026).

1. Il quadro normativo

La disciplina della protezione dei dati personali nella PA si articola su quattro livelli normativi: il diritto dell'Unione europea, la legislazione nazionale, le fonti regolamentari e amministrative, gli atti di soft law (Linee guida del Garante e dell'EDPB).

Fonte	Contenuto
Carta dei Diritti Fondamentali UE — art. 8	Diritto alla protezione dei dati personali come diritto fondamentale (autonomo rispetto al diritto alla riservatezza ex art. 7)
Trattato sul Funzionamento UE — art. 16	Base giuridica per la disciplina europea sulla protezione dei dati
Regolamento (UE) 2016/679 (GDPR)	Norma cardine: 99 articoli, applicabile direttamente in tutti gli Stati membri dal 25/5/2018. Disciplina i principi, i diritti degli interessati, gli obblighi di titolare e responsabile, le misure di sicurezza, il regime sanzionatorio
Direttiva (UE) 2016/680	Disciplina i trattamenti per finalità di prevenzione, indagine e repressione dei reati e di esecuzione di sanzioni penali (recepita con D.Lgs. 51/2018)
D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy)	Codice nazionale di adeguamento al GDPR, profondamente novellato dal D.Lgs. 10 agosto 2018, n. 101. Disciplina aspetti residuali e «di chiusura»: regime sanzionatorio nazionale, profili penali, autorità nazionale, trattamenti di interesse pubblico
D.Lgs. 7 marzo 2005, n. 82 (CAD)	Codice dell'Amministrazione Digitale: artt. 12 (transizione digitale), 50-bis (continuità operativa), 51 (sicurezza dei dati), 64 (identità digitale)
D.Lgs. 14 marzo 2013, n. 33	Trasparenza amministrativa: bilanciamento con la protezione dati. Art. 7-bis c. 4: divieto di pubblicare dati non pertinenti
Regolamento (UE) 2024/1689 (AI Act)	Disciplina dei sistemi di intelligenza artificiale, con forte impatto sul trattamento dati (art. 22 GDPR sulle decisioni automatizzate)
L. 23 settembre 2025, n. 132	Disposizioni nazionali in materia di IA
Linee guida e provvedimenti del Garante	Provvedimenti generali (videosorveglianza 8/4/2010, dossier sanitario 4/6/2015, ecc.) e Linee guida tematiche
Linee Guida AgID	Misure Minime di Sicurezza ICT per le PA (Circolare AgID n. 2/2017); Linee guida sulla cybersecurity
Linee Guida EDPB	European Data Protection Board — interpretazione armonizzata del GDPR (oltre 30 Linee guida adottate)

2. I principi cardine del GDPR (art. 5)

L'art. 5 del GDPR enuncia sette principi cardine che governano ogni trattamento di dati personali. Sono il cuore sistemico del Regolamento: ogni successivo obbligo specifico (consenso, informativa, sicurezza, DPIA) è declinazione operativa di questi principi.

Principio	Contenuto
Liceità, correttezza, trasparenza	Il trattamento deve avere una base giuridica (art. 6) ed essere comunicato all'interessato con informativa chiara e accessibile
Limitazione delle finalità	I dati raccolti per una finalità non possono essere usati per finalità incompatibili (es. dati raccolti per la TARI non utilizzabili per finalità commerciali o sanzionatorie diverse)
Minimizzazione	Trattare solo i dati strettamente necessari alla finalità. Principio chiave nelle informatizzazioni: il software deve consentire l'accesso ai soli dati pertinenti per il ruolo dell'operatore
Esattezza	I dati devono essere esatti e aggiornati; cancellazione/rettifica tempestive in caso di inesattezza
Limitazione della conservazione	Conservare i dati solo per il tempo necessario; definire retention period nel registro dei trattamenti
Integrità e riservatezza	Adottare misure tecniche e organizzative adeguate (art. 32) per garantire sicurezza, integrità, riservatezza, disponibilità dei dati
Accountability (responsabilizzazione)	Il titolare deve essere in grado di dimostrare il rispetto dei principi. Implica documentazione, tracciabilità, governance proattiva (non basta «essere conformi», bisogna poterlo provare)

3. Le basi giuridiche del trattamento da parte della PA

L'art. 6 del GDPR enumera sei basi giuridiche del trattamento. Per la pubblica amministrazione locale, le basi giuridiche tipiche sono:

🔑 Le basi giuridiche tipiche della PA

Art. 6 c. 1 lett. c) — obbligo legale: trattamento necessario per adempiere un obbligo previsto dalla legge (es. tributi, anagrafe, stato civile);
Art. 6 c. 1 lett. e) — compito di interesse pubblico o esercizio di pubblici poteri: la base giuridica più frequente per la PA (procedimenti amministrativi, controlli, sanzioni);
Art. 6 c. 1 lett. b) — esecuzione di un contratto: contratti di lavoro, contratti con i cittadini-utenti;
Art. 6 c. 1 lett. f) — legittimo interesse: non applicabile ai trattamenti effettuati dalle PA nell'esecuzione dei loro compiti (esclusione espressa dall'art. 6 c. 1 ultimo periodo).

Il consenso (lett. a) ha invece un ruolo residuale nella PA: utile per trattamenti facoltativi (es. newsletter, partecipazione a iniziative non obbligatorie) ma non costituisce la base giuridica ordinaria dei procedimenti.

3.1 Dati «particolari» (ex sensibili) — art. 9 GDPR

I dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, i dati genetici, biometrici, sulla salute, sulla vita sessuale o sull'orientamento sessuale sono dati particolari. Il loro trattamento è in linea di principio vietato, salvo le eccezioni dell'art. 9 c. 2. Per la PA rilevano in particolare:

lett. b) — obblighi e diritti del titolare in materia di lavoro, sicurezza sociale e protezione sociale;
lett. g) — motivi di interesse pubblico rilevante, sulla base del diritto dell'Unione o dello Stato membro;
lett. h) — finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria;
lett. i) — motivi di interesse pubblico nel settore della sanità pubblica.

L'art. 2-sexies del Codice Privacy precisa che il trattamento di dati particolari per motivi di interesse pubblico rilevante è ammesso solo se previsto da legge o, nei casi indicati dalla legge, da regolamento. Spesso si applicano i regolamenti tipo approvati dal Garante (es. regolamento tipo per il trattamento dei dati sensibili negli enti locali — provv. 11/12/2014).

3.2 Dati relativi a condanne penali e reati — art. 10 GDPR

Trattamento ammesso solo sotto il controllo dell'autorità pubblica o se autorizzato dal diritto dell'Unione o dello Stato membro. Per i Comuni rilevano, ad esempio, le verifiche su requisiti morali in materia di SUAP/commercio (art. 11 TULPS), le verifiche antimafia (D.Lgs. 159/2011), gli adempimenti in materia di anticorruzione e trasparenza.

4. Le figure soggettive del sistema privacy

Il GDPR costruisce un sistema di responsabilità diffusa e articolata. Ogni figura ha competenze, obblighi e responsabilità specifiche.

4.1 Il Titolare del trattamento (art. 24 GDPR)

È il soggetto che determina finalità e mezzi del trattamento. Per gli enti locali, il Titolare è l'ente (Comune, Provincia, Città metropolitana, Unione di Comuni), rappresentato pro tempore dal Sindaco (o dal Presidente, a seconda dell'ente). Il Titolare:

adotta le misure tecniche e organizzative adeguate;
tiene il registro dei trattamenti;
nomina il DPO e i Responsabili esterni;
fornisce le istruzioni operative agli autorizzati;
risponde delle violazioni del GDPR davanti al Garante e in sede civile.

4.2 Il Responsabile del trattamento (art. 28 GDPR)

È il soggetto esterno che tratta dati personali per conto del Titolare (es. società di software, gestore della tesoreria, ditta di gestione dei rifiuti, società di sicurezza informatica, gestore esterno del sito web). La nomina è formalizzata da un contratto di responsabile esterno ex art. 28 c. 3 GDPR, che deve contenere clausole essenziali (finalità, durata, natura dei trattamenti, obblighi del responsabile, eventuali sub-responsabili, audit, restituzione/cancellazione dei dati al termine).

4.3 Il Responsabile della Protezione dei Dati (DPO/RPD) — artt. 37-39 GDPR

La nomina del DPO è obbligatoria per tutte le pubbliche amministrazioni. Il DPO:

è una figura indipendente: non riceve istruzioni circa lo svolgimento dei propri compiti, non può essere rimosso o penalizzato per l'esercizio delle sue funzioni;
è interno (dipendente dell'ente) o esterno (consulente o società); negli enti piccoli è frequentemente esterno o gestito in forma associata;
ha compiti consultivi e di vigilanza: informa e consiglia il titolare/responsabile e gli autorizzati; sorveglia il rispetto del GDPR e delle politiche interne; coopera col Garante e funge da punto di contatto;
i suoi dati di contatto vanno comunicati al Garante e pubblicati nel sito istituzionale.

⚠️ Indipendenza del DPO. La giurisprudenza e le decisioni del Garante hanno più volte censurato situazioni in cui il DPO era posto in condizione di subordinazione o di conflitto di interessi (es. responsabile dei sistemi informativi nominato anche DPO). Negli enti locali, il DPO va selezionato per competenza, indipendenza e assenza di conflitti, non per ragioni di mera economicità o di prossimità.

4.4 Gli autorizzati al trattamento (art. 2-quaterdecies Codice Privacy)

Sono i dipendenti — di ogni qualifica — che effettuano materialmente i trattamenti di dati personali. L'art. 2-quaterdecies del Codice Privacy (introdotto dal D.Lgs. 101/2018) prevede che il titolare/responsabile possa designare singolarmente o per gruppi le persone autorizzate, indicando le specifiche istruzioni operative. Le istruzioni sono imperative: l'autorizzato che le viola risponde personalmente in sede disciplinare, civile, penale e — nei casi gravi — erariale.

4.5 I Designati (figure interne intermedie)

La prassi della PA — pur non espressamente prevista dal GDPR — utilizza la figura del Designato (o Responsabile interno del trattamento): si tratta tipicamente dei responsabili di settore/servizio, ai quali il Titolare delega operativamente la gestione dei trattamenti di propria competenza. La figura è ammessa dal GDPR ai sensi dell'art. 4 n. 7 ult. periodo (rappresentanza dell'ente) e dall'art. 2-quaterdecies del Codice Privacy.

5. Gli adempimenti operativi

5.1 Il registro dei trattamenti (art. 30 GDPR)

Il registro dei trattamenti è il documento cardine dell'accountability. Ogni ente locale deve tenerlo per scritto (anche elettronicamente) e tenerlo aggiornato. Contenuto essenziale:

nome e dati di contatto del Titolare, del Designato, del DPO;
finalità del trattamento;
descrizione delle categorie di interessati e dei dati;
destinatari dei dati (incluse PA estere o organizzazioni internazionali);
tempi di conservazione;
descrizione generale delle misure di sicurezza tecniche e organizzative.

5.2 L'informativa agli interessati (artt. 13-14 GDPR)

L'art. 13 disciplina l'informativa quando i dati sono raccolti direttamente dall'interessato; l'art. 14, quando sono raccolti presso terzi. L'informativa deve essere concisa, trasparente, intelligibile, facilmente accessibile, redatta con un linguaggio semplice e chiaro. Per la PA, l'informativa è generalmente multilivello: una versione sintetica (icon e short notice) all'inizio del modulo o del procedimento, e una versione estesa nel sito istituzionale.

5.3 La DPIA — Valutazione d'impatto sulla protezione dati (art. 35 GDPR)

Obbligatoria quando il trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche», in particolare in caso di:

uso di nuove tecnologie;
valutazione sistematica e globale di aspetti personali basata su trattamento automatizzato (compresa la profilazione);
trattamento su larga scala di dati particolari o relativi a condanne penali;
monitoraggio sistematico di zone accessibili al pubblico (videosorveglianza estesa).

Il Garante ha pubblicato l'elenco delle tipologie di trattamenti soggetti a DPIA obbligatoria (provv. 11/10/2018) e l'elenco delle tipologie esonerate. Per la PA locale, situazioni tipiche di obbligo DPIA: videosorveglianza con riconoscimento targhe o facciale, sistemi di scoring algoritmico, integrazioni con sistemi di IA, big data sanitari, dossier elettronici.

5.4 La notifica del data breach (artt. 33-34 GDPR)

In caso di violazione dei dati personali, il Titolare deve:

Notificare al Garante entro 72 ore dal momento in cui ne ha conoscenza, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati (art. 33);
Comunicare agli interessati «senza ingiustificato ritardo», quando la violazione è suscettibile di presentare un rischio elevato (art. 34);
Documentare tutte le violazioni nel registro interno dei data breach, anche se non notificate.

⚠️ Data breach: tempistiche e responsabilità. Le 72 ore sono un termine sostanziale: una notifica tardiva, anche di poche ore, può essere autonomamente sanzionata dal Garante. È quindi essenziale che ogni ente abbia una procedura interna di gestione del data breach, con responsabili individuati, modulistica predisposta e formazione del personale per riconoscere e segnalare gli incidenti.

5.5 La nomina dei Responsabili esterni

Ogni contratto con fornitori che trattano dati personali per conto dell'ente (software house, cloud provider, ditte di pulizia con accesso agli uffici, archivi esterni, gestori di servizi al cittadino) deve essere accompagnato dalla nomina formale ex art. 28 GDPR, con clausole specifiche su finalità, durata, sub-responsabili, audit, restituzione/cancellazione finale.

6. Le misure di sicurezza (art. 32 GDPR)

L'art. 32 impone al titolare e al responsabile di attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio. Tra le misure indicate:

pseudonimizzazione e cifratura dei dati personali;
capacità di assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico;
procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative.

6.1 Le Misure Minime di Sicurezza ICT AgID

La Circolare AgID n. 2 del 18 aprile 2017 ha individuato le Misure Minime di Sicurezza ICT obbligatorie per tutte le PA, in tre livelli (Minimo, Standard, Avanzato). Le misure coprono 8 famiglie: inventario dispositivi autorizzati e non autorizzati; inventario del software; protezione delle configurazioni hardware e software; valutazione e correzione continua della vulnerabilità; uso appropriato dei privilegi amministrativi; difese contro i malware; copie di sicurezza; protezione dei dati. Il livello minimo è obbligatorio per tutte le amministrazioni.

6.2 Le Linee Guida ACN e la cybersecurity

L'Agenzia per la Cybersicurezza Nazionale (ACN), istituita con DL 82/2021, ha competenze sulla sicurezza informatica delle PA, soprattutto quelle classificate come operatori di servizi essenziali. Per gli enti locali, rilevano le Linee guida ACN, gli Schemi di riferimento e le indicazioni in materia di cloud first per la PA.

6.3 Il principio della privacy by design e by default (art. 25 GDPR)

Le misure di protezione dei dati devono essere incorporate nei sistemi sin dalla fase di progettazione (by design) e devono essere attivate per default (by default), senza richiedere all'interessato di adottare misure aggiuntive. Per gli enti locali questo significa che ogni nuovo software, ogni nuovo sito web, ogni nuovo procedimento informatizzato deve essere progettato — fin dall'analisi dei requisiti — con la protezione dei dati come elemento strutturale.

7. I diritti degli interessati (artt. 12-22 GDPR)

Il GDPR riconosce all'interessato un catalogo articolato di diritti, che la PA deve garantire e gestire con procedure interne. I principali:

Diritto	Contenuto essenziale
Accesso (art. 15)	Conferma del trattamento, copia dei dati, finalità, destinatari, tempi di conservazione
Rettifica (art. 16)	Rettifica di dati inesatti, integrazione di dati incompleti
Cancellazione / oblio (art. 17)	Cancellazione quando ricorrano specifiche condizioni (dati non più necessari, revoca del consenso, ecc.). Limiti per la PA: art. 17 c. 3 lett. b) — adempimento di un obbligo legale o esecuzione di un compito di interesse pubblico
Limitazione (art. 18)	Sospensione temporanea del trattamento in casi specifici
Portabilità (art. 20)	Ricevere i dati in formato strutturato e trasmetterli ad altro titolare (limitato ai trattamenti basati su consenso o contratto)
Opposizione (art. 21)	Opporsi al trattamento basato su interesse legittimo o compito di pubblico interesse; opposizione assoluta per marketing diretto
Decisione automatizzata (art. 22)	Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici o rilevanti sull'interessato

La risposta alle istanze deve essere fornita senza ingiustificato ritardo e comunque entro un mese dal ricevimento (prorogabile di due mesi in casi complessi). Va istituito un registro interno delle richieste e delle relative evasioni.

8. Il sistema delle responsabilità

La violazione del GDPR può generare responsabilità su cinque livelli distinti, spesso concorrenti:

8.1 Sanzioni amministrative del Garante (artt. 83-84 GDPR)

Il Garante può irrogare sanzioni amministrative pecuniarie fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale annuo (si applica l'importo più alto). Per la PA, l'art. 2-undecies del Codice Privacy precisa che le sanzioni amministrative sono comminate anche alle pubbliche amministrazioni, fatto salvo il regime delle sanzioni applicabili in caso di trattamenti per finalità di prevenzione e indagine dei reati. Le sanzioni gravano sull'ente (Titolare), non sulla persona fisica del Sindaco o del Segretario.

8.2 Responsabilità civile (art. 82 GDPR)

L'interessato che ha subito un danno materiale o immateriale dalla violazione del GDPR ha diritto al risarcimento. La giurisprudenza nazionale e CGUE ha riconosciuto il danno non patrimoniale anche per modeste violazioni (es. invio di una comunicazione a destinatario errato), purché vi sia un nesso causale con la violazione del Regolamento.

8.3 Responsabilità penale (artt. 167-172 Codice Privacy)

Il D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018, mantiene fattispecie penali rilevanti:

Art. 167 — Trattamento illecito di dati;
Art. 167-bis — Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
Art. 167-ter — Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
Art. 168 — Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dei poteri del Garante;
Art. 170 — Inosservanza di provvedimenti del Garante;
Art. 171 — Violazione delle disposizioni in materia di controlli a distanza e di indagini sulle opinioni dei lavoratori (rinvio agli artt. 4 e 8 dello Statuto).

8.4 Responsabilità disciplinare e dirigenziale

La violazione delle istruzioni operative o delle disposizioni interne in materia di privacy integra illecito disciplinare per il dipendente. Per il dirigente/responsabile, può configurare anche responsabilità dirigenziale ex art. 21 D.Lgs. 165/2001 per mancato raggiungimento degli obiettivi o per violazione di doveri d'ufficio.

8.5 Responsabilità amministrativo-contabile (danno erariale)

È il livello di responsabilità di cui ci occuperemo nel paragrafo successivo, alla luce della Corte conti Bolzano n. 7/2026. Anticipiamo qui che, secondo l'orientamento consolidato, le sanzioni del Garante pagate dall'ente costituiscono danno erariale in capo ai dirigenti e funzionari che, con dolo o colpa grave, hanno cagionato la violazione. La Corte dei conti può chiamarli a rispondere, esercitando azione di rivalsa.

9. La sentenza Corte conti Bolzano n. 7/2026: il caso paradigmatico

La Corte dei conti, Sezione di Bolzano, con sentenza n. 7 del 2026 (pubblicata in giugno 2026), si è pronunciata su un caso che costituisce vademecum della responsabilità erariale per violazioni del GDPR nella PA.

9.1 I fatti

L'Azienda Sanitaria dell'Alto Adige era stata sanzionata dal Garante per la Protezione dei Dati Personali per gravi irregolarità nel Dossier Sanitario Elettronico: il sistema consentiva l'accesso ai dati sanitari del paziente anche a operatori autorizzati ma non coinvolti nella cura dello stesso. Una violazione strutturale del principio di minimizzazione (art. 5 c. 1 lett. c GDPR) e delle misure di sicurezza adeguate (art. 32 GDPR), oltre che del provvedimento del Garante del 4 giugno 2015 sulla disciplina del Dossier Sanitario. Il Garante aveva, in più occasioni, segnalato la criticità all'Azienda. Anche il DPO interno aveva sollecitato la direzione informatica all'adeguamento del sistema. Nonostante le segnalazioni, l'adeguamento non era stato attuato.

9.2 La pronuncia

La Corte ha riconosciuto la responsabilità amministrativo-contabile del direttore della struttura informatica dell'Azienda Sanitaria per le somme pagate dall'ente a titolo di sanzione amministrativa al Garante. Il principio di diritto può essere così sintetizzato:

⚖️ Il principio di diritto

«Le violazioni della privacy nelle pubbliche amministrazioni generano responsabilità amministrativo-contabile per i dirigenti e i funzionari che — in presenza di un'effettiva disponibilità di poteri organizzativi, decisionali e tecnici — non adottino le misure necessarie per la protezione dei dati personali, malgrado precedenti segnalazioni, richiami del Garante e solleciti del DPO. La responsabilità si configura per colpa grave, in considerazione dell'inerzia tenuta a fronte di un quadro fattuale ampiamente conosciuto e di obblighi normativi puntuali.»

9.3 I principi rilevanti per la PA locale

Le sanzioni del Garante sono danno erariale: l'importo pagato dall'ente a titolo di sanzione costituisce — in linea di principio — una perdita patrimoniale ingiustificata, di cui rispondono coloro che, con dolo o colpa grave, hanno cagionato la violazione del GDPR.
La responsabilità non dipende dal ruolo formale, ma dall'effettiva disponibilità di poteri organizzativi, decisionali e tecnici. Significa che non solo il dirigente apicale, ma chiunque abbia la possibilità di intervenire sui sistemi (responsabile IT, RTD, DPO con compiti operativi, responsabile del servizio interessato) può essere chiamato a rispondere.
L'inerzia di fronte a segnalazioni e solleciti aggrava la colpa: i richiami del Garante e i solleciti del DPO non sono atti formali da archiviare, ma elementi che configurano la colpa grave se ignorati.
Il DPO, pur non rispondendo in proprio, ha un ruolo critico: i suoi solleciti documentati costituiscono prova della consapevolezza dell'obbligo da parte dell'organizzazione.
I provvedimenti del Garante (provvedimenti generali, decisioni individuali, indicazioni alle amministrazioni) non sono mere raccomandazioni: la loro inosservanza costituisce di per sé violazione del GDPR ai sensi dell'art. 5 c. 1 lett. a) (liceità).

⚠️ Implicazione operativa. Ogni ente locale dovrebbe disporre di un protocollo di gestione dei richiami del Garante, dei solleciti del DPO e delle segnalazioni interne: (i) ricezione formale e protocollazione; (ii) trasmissione al Sindaco, al Segretario Comunale, al RPCT e al responsabile del settore competente; (iii) piano d'azione con tempi e responsabili; (iv) monitoraggio e tracciabilità degli interventi. L'omessa tracciabilità è il primo elemento che la magistratura contabile valorizza in chiave probatoria della colpa grave.

10. Il rapporto con la trasparenza amministrativa

Uno dei terreni più delicati è il bilanciamento tra trasparenza e protezione dati. Il D.Lgs. 33/2013 impone alle PA un sistema vasto di pubblicazioni obbligatorie, che riguardano spesso dati personali (titolari di incarichi politici e dirigenziali, beneficiari di sovvenzioni, ecc.). L'art. 7-bis c. 4 stabilisce che «nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti».

Il Garante ha emanato le Linee guida del 15 maggio 2014 sul rapporto tra trasparenza e privacy, recentemente integrate. La regola operativa è: prima di ogni pubblicazione, verificare la pertinenza dei dati pubblicati rispetto alla finalità di trasparenza; oscurare (anonimizzare o pseudonimizzare) i dati eccedenti.

11. Privacy e intelligenza artificiale

L'intersezione tra privacy e IA è uno dei temi caldi del 2026. Sul piano normativo:

l'art. 22 GDPR vieta le decisioni basate unicamente sul trattamento automatizzato che producano effetti giuridici o rilevanti sull'interessato (salvo le eccezioni); il principio è oggi rafforzato dall'art. 14 AI Act sulla sorveglianza umana;
l'AI Act (Reg. UE 2024/1689) introduce ulteriori obblighi su sistemi ad alto rischio, sulla trasparenza, sulla qualità dei dataset di addestramento;
la L. 23 settembre 2025, n. 132 e i decreti attuativi in esame (cfr. approfondimento dedicato) ridefiniscono il quadro nazionale;
la prima disciplina contrattuale dell'IA nel rapporto di lavoro pubblico è introdotta dall'ipotesi CCNL Funzioni Centrali 2025-2027 firmata il 9/6/2026 (cfr. approfondimento).

Per gli enti locali, gli adempimenti chiave: DPIA obbligatoria per ogni sistema di IA che tratta dati personali; informazione preventiva alle RSU (in arrivo per via contrattuale); divieto di decisioni unicamente automatizzate con effetti rilevanti su dipendenti o utenti; formazione obbligatoria sull'IA.

12. Privacy e videosorveglianza

Un altro fronte tipico per gli enti locali è quello della videosorveglianza: telecamere comunali per la sicurezza urbana, controllo varchi ZTL, monitoraggio rifiuti, sicurezza degli edifici comunali. Il quadro normativo è dato dal GDPR, dalle Linee Guida EDPB 3/2019 sui trattamenti di dati tramite videosorveglianza e dal Provvedimento generale del Garante 8 aprile 2010. Gli adempimenti tipici:

base giuridica (interesse pubblico o obblighi legali);
cartellonistica visibile («informativa minima» con icona);
informativa completa nel sito istituzionale;
DPIA quando il trattamento coinvolge zone accessibili al pubblico su larga scala (centro storico, stazioni, aree commerciali);
tempi di conservazione delle immagini ridotti (di norma 24-72 ore, salvo necessità specifiche);
cautele sui sistemi di IA applicata (riconoscimento facciale, analisi comportamentale, emotion recognition): vietati alcuni usi dal GDPR e dall'AI Act (cfr. approfondimento sul divieto di rilevazione delle emozioni).

12-bis. 🆕 I nuovi limiti per l'uso della biometrica nelle attività di polizia e per le PA (CdM n. 177 del 10/6/2026)

Il decreto attuativo della L. 132/2025 approvato in esame preliminare dal CdM il 10 giugno 2026 — dedicato specificamente ad attività di polizia, responsabilità civile e profili penali — fissa per la prima volta nell'ordinamento italiano un perimetro stringente per l'uso di tecnologie biometriche da parte delle forze di polizia. Le regole sono di immediato interesse anche per gli enti locali quando affidano servizi di sicurezza urbana ai propri Comandi di Polizia Locale o stipulano patti di sicurezza con la Prefettura (cfr. approfondimento sui decreti attuativi della L. 132/2025):

Identificazione biometrica in tempo reale: ammessa solo per prevenire minacce gravi e specifiche e per la ricerca di persone scomparse o vittime di reato; con autorizzazione giudiziaria; per una durata massima di 15 giorni; limitata geograficamente e a persone specifiche;
Riconoscimento facciale a posteriori: ammesso solo dopo che il reato è stato commesso, su base di elementi oggettivi; vietate le decisioni pregiudizievoli fondate esclusivamente sull'output del sistema;
Banche dati biometriche da web scraping: vietate;
Sorveglianza massiva o indiscriminata: vietata.

Per il Comune che gestisce sistemi di videosorveglianza urbana o che intende dotarsi di sistemi con riconoscimento facciale, queste regole vanno tradotte nei regolamenti comunali sulla videosorveglianza, nei capitolati di gara per la fornitura dei sistemi e nelle DPIA. Il Garante Privacy — con il provvedimento del 12 giugno 2026 che ha avvertito una start-up sul divieto di IA per la rilevazione delle emozioni dei dipendenti — ha confermato che la vigilanza dell'Autorità coprirà in modo rafforzato l'intera area dell'IA biometrica e comportamentale.

12-ter. 🆕 Profili penali: il nuovo art. 437-bis c.p. (CdM n. 177 del 10/6/2026)

⚖️ Una novità di portata sistemica per chi gestisce sistemi di IA. Il decreto introduce nel codice penale il nuovo art. 437-bis c.p., che sanziona:

l'omessa adozione delle misure di sicurezza,
oppure l'alterazione di sistemi di IA ad alto rischio,
quando ne derivi pericolo per la vita, l'incolumità pubblica o la sicurezza dello Stato.

La responsabilità è estesa anche all'ente ex D.Lgs. 231/2001 (il reato è inserito nel catalogo dei reati-presupposto); la punibilità è ancorata al pericolo concreto e alla colpa grave. Per gli enti pubblici economici e per le società partecipate è quindi necessario aggiornare il Modello organizzativo 231 per includere il nuovo reato e le relative procedure di prevenzione (sicurezza dei sistemi IA, controlli, audit interni). Per gli enti locali in senso stretto (Comuni, Province, Città metropolitane) — non destinatari diretti del D.Lgs. 231/2001 — il nuovo art. 437-bis c.p. rappresenta comunque un riferimento fondamentale per la valutazione della colpa grave in sede di responsabilità erariale: la magistratura contabile valorizzerà, in caso di danno, l'esistenza di obblighi penali di adozione di misure di sicurezza come elemento sintomatico della violazione del dovere di vigilanza.

13. Decalogo operativo

✅ Decalogo per Sindaco, Segretario, dirigenti e responsabili

Nominare e tenere aggiornati il DPO (con dati di contatto pubblicati e comunicati al Garante), i Designati interni, i Responsabili esterni ex art. 28 GDPR e gli autorizzati al trattamento.
Tenere il registro dei trattamenti ex art. 30 GDPR e aggiornarlo a ogni nuovo procedimento o trattamento; collegarlo al PIAO.
Adottare il regolamento interno sul trattamento dei dati e le specifiche istruzioni operative agli autorizzati; aggiornarli almeno ogni biennio.
Realizzare le informative ex artt. 13-14 GDPR per ogni procedimento, in formato multilivello (sintetico al cittadino + esteso sul sito).
Effettuare DPIA ogni qualvolta richiesta dalla legge o dall'elenco del Garante (videosorveglianza estesa, IA, scoring algoritmico, dossier elettronici, ecc.).
Adottare le Misure Minime di Sicurezza ICT AgID (almeno livello Minimo per tutti, Standard ove possibile) e documentarle nell'Implementation Statement.
Istituire una procedura formalizzata di data breach con responsabili, modulistica, tempistiche di notifica al Garante (72 ore) e di comunicazione agli interessati; effettuare simulazioni periodiche.
Formare il personale con corsi annuali sulla privacy, sulla cybersecurity e sui rischi specifici (phishing, social engineering, gestione dei dispositivi mobili). Tracciabilità della formazione.
Bilanciare trasparenza e privacy nelle pubblicazioni in «Amministrazione Trasparente», oscurando i dati non pertinenti ex art. 7-bis c. 4 D.Lgs. 33/2013.
Tracciare ogni richiamo, sollecito, segnalazione del Garante e del DPO; predisporre un piano di azione formalizzato con tempi, responsabili e monitoraggio. È il presidio fondamentale contro la responsabilità erariale per inerzia (cfr. Corte conti Bolzano n. 7/2026).

Conclusioni

La protezione dei dati personali è una componente strutturale della governance del Comune, non un adempimento formale. La sentenza della Corte conti Bolzano n. 7/2026 segna un punto di svolta: le sanzioni del Garante non restano confinate nel bilancio dell'ente, ma possono trasformarsi in danno erariale in capo a dirigenti, responsabili IT, funzionari che — pur avendo poteri organizzativi, decisionali e tecnici — sono rimasti inerti di fronte a segnalazioni, richiami e solleciti. Per il Segretario Comunale ciò significa presidiare con rigore la governance privacy: nomine, registro, DPIA, data breach, misure di sicurezza, tracciabilità degli interventi. L'accountability non è uno slogan: è un'obbligazione documentale che, se ben gestita, protegge l'ente dall'esposizione sanzionatoria del Garante e i singoli dirigenti e funzionari dall'esposizione contabile davanti alla Corte dei conti.

Fonti normative

Regolamento (UE) 2016/679 (GDPR) — Protezione dei dati personali
Direttiva (UE) 2016/680 — Protezione dati per finalità penali (recepita con D.Lgs. 51/2018)
D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy), come novellato dal D.Lgs. 10 agosto 2018, n. 101
Carta dei Diritti Fondamentali UE — art. 8
D.Lgs. 7 marzo 2005, n. 82 (CAD) — artt. 12, 50-bis, 51, 64
D.Lgs. 14 marzo 2013, n. 33 — Trasparenza, in particolare art. 7-bis c. 4
D.Lgs. 18 agosto 2000, n. 267 (TUEL) — artt. 50, 107, 109
D.Lgs. 30 marzo 2001, n. 165 — art. 21 (responsabilità dirigenziale)
L. 6 novembre 2012, n. 190 (Anticorruzione)
Regolamento (UE) 2024/1689 (AI Act) — artt. 5, 14, 22, 26-27
L. 23 settembre 2025, n. 132 — Disposizioni in materia di IA
Decreti legislativi attuativi della L. 132/2025 — esame preliminare CdM 10/6/2026 (Comunicato n. 177 — governo.it): governance (AgID/ACN/Garante), formazione PA coordinata con SNA, tutela lavoratori, biometrica per polizia, responsabilità civile aggravata
Art. 437-bis c.p. (introdotto dal decreto attuativo L. 132/2025) — omessa adozione misure di sicurezza o alterazione di sistemi IA ad alto rischio con pericolo per vita, incolumità pubblica o sicurezza dello Stato; responsabilità dell'ente ex D.Lgs. 231/2001
D.L. 14 giugno 2021, n. 82, conv. L. 109/2021 — Agenzia per la Cybersicurezza Nazionale
Linee guida AgID — Circolare AgID n. 2 del 18 aprile 2017 (Misure Minime di Sicurezza ICT)
Provvedimenti del Garante: 8 aprile 2010 (videosorveglianza); 4 giugno 2015 (Dossier Sanitario); 11/10/2018 (elenco DPIA obbligatoria); Linee guida del 15 maggio 2014 (trasparenza/privacy)
Linee Guida EDPB: n. 3/2019 (videosorveglianza); n. 4/2019 (art. 25 - data protection by design); n. 9/2022 (notifica data breach); n. 1/2024 (consenso); e successive
Codice civile: artt. 1218 (responsabilità contrattuale), 2043 (responsabilità extracontrattuale), 2050 (attività pericolosa), 2059 (danno non patrimoniale)
L. 14 gennaio 1994, n. 20 e L. 20 dicembre 1996, n. 639 — responsabilità amministrativa

Giurisprudenza rilevante

Corte dei conti, Sez. Bolzano, sent. n. 7/2026 — Responsabilità amministrativo-contabile per sanzioni del Garante; rilevanza dell'inerzia di fronte a segnalazioni del Garante e a solleciti del DPO; competenza del responsabile della struttura informatica
Cass. civ. (anche SS.UU.) — Danno non patrimoniale da trattamento illecito; nesso causale; quantificazione
CGUE: sentenze sulla retention, sui trasferimenti internazionali (Schrems I e II), sull'art. 22 GDPR (Schufa)
Consiglio di Stato: sentenze sulla trasparenza algoritmica e sull'algoritmo come atto amministrativo (nn. 8472/2019, 30/2020, 7891/2021)
Provvedimenti del Garante: decisioni sui Comuni in materia di videosorveglianza, dossier elettronici, pubblicazione in trasparenza, gestione del personale

Approfondimenti correlati su questo sito

→ L'AI Act e la pubblica amministrazione locale

→ I decreti attuativi della L. 132/2025 sull'intelligenza artificiale

→ Il divieto AI Act di rilevazione delle emozioni sul luogo di lavoro

→ Verso il CCNL Funzioni Locali 2025-2027 — la prima disciplina contrattuale dell'IA

→ Il whistleblowing nel D.Lgs. 24/2023: il ruolo del Segretario e del RPCT

→ Rassegna normativa 12 giugno 2026 — Corte conti Bolzano sulla privacy

La gestione della privacy nella pubblica amministrazione: GDPR, adempimenti, sicurezza dei dati e responsabilità del Comune