Comuni e privacy: senza regole interne la colpa non è mai di nessuno e prima o poi si presenta il conto
C’è un vizio tutto italiano nel trattare la protezione dei dati personali. Finché non arriva la sanzione, la privacy è un tema laterale. Quando arriva, diventa improvvisamente colpa di qualcuno. E quando si tenta di individuare quel qualcuno, la macchina amministrativa scopre che la responsabilità è liquida, dispersa, diluita nei passaggi, nelle firme, nelle prassi e nei “si è sempre fatto così”.

La sentenza n. 10 del 14 gennaio 2026 della Corte dei conti (Sez. Veneto) fissa un punto fermo, ma lascia anche una domanda scomoda sul tavolo. I Comuni sono davvero governati da un sistema di data governance oppure la privacy continua a essere un optional organizzativo? Perché se la risposta è la seconda, la verità è semplice. Si pagheranno altre sanzioni con soldi pubblici.
La dinamica più frequente: pubblicazione online e dati “di troppo” - Il caso è, purtroppo, ordinario. Un provvedimento amministrativo viene pubblicato sull’albo pretorio online senza cautele adeguate. L’Autorità Garante interviene, contesta la diffusione non autorizzata di dati personali e irroga una sanzione significativa. Il Comune paga. Poi per impulso politico o per legittime esigenze di copertura interna, si cerca di recuperare il denaro versato.
La Corte dei Conti ha escluso la colpa grave, ritenendo l’episodio frutto di una svista non connotata da quella macroscopica trascuratezza necessaria per fondare la responsabilità amministrativa personale. Ma sarebbe un errore clamoroso leggere questa decisione come un “liberi tutti”.
Il punto vero non è la svista: è l’assenza di sistema - Il problema non è l’errore materiale in sé. Il problema è la prevedibilità dell’errore quando l’ente non ha un impianto serio di regole, controlli, responsabilità e formazione. La privacy nella pubblica amministrazione non vive di prediche. Vive di processi, di modelli standard, di check-list, di workflow documentali, di audit, di presìdi organizzativi. In altre parole vive di data governance.
E qui sta la contraddizione che molti enti continuano a ignorare. La pubblicazione online è un’attività ad altissimo rischio, perché un singolo atto sbagliato può comportare:
- diffusione potenzialmente illimitata di dati (anche indicizzati dai motori di ricerca),
- danno reputazionale,
- contenzioso,
- sanzioni,
- e poi… danno erariale.
Se l’ente continua a trattare l’albo pretorio come un “deposito digitale” in cui si carica tutto senza filtri, non sta sbagliando una volta: sta scegliendo di esporsi sistematicamente al rischio.
(Nella foto: Stefano Manzelli, Direttore di sicurezzaurbanaintegrata.it)
Sindaco “titolare del trattamento”. Automatismi pericolosi - La sentenza richiama, come spesso accade, la figura del sindaco come titolare del trattamento. Ma qui serve un ragionamento critico, perché da anni si assiste a una sovrapposizione pigra tra:
- legale rappresentanza dell’ente, e
- determinazione effettiva di finalità e mezzi del trattamento, che nel GDPR è il cuore della titolarità.
Nei Comuni la “regia” dei trattamenti è spesso frammentata: dirigenti, responsabili di servizio, responsabili di procedimento, fornitori, software house, uffici comunicazione, segreterie.
Attribuire al sindaco una titolarità privacy rischia di diventare un artificio formale. Comodo per identificare un volto apicale, ma poco aderente ai processi. E soprattutto rischia di produrre un effetto paradossale. Tutti si sentono “coperti” perché tanto il titolare è il sindaco, mentre chi maneggia i dati ogni giorno continua ad agire senza presìdi.
Non a caso, anche sul fronte contabile, la linea non è sempre coerente. La responsabilità personale si afferma solo quando emergono omissioni macroscopiche e un disinteresse grave. Il che significa che, in assenza di prova robusta della colpa grave, la sanzione resta dove nasce. Sulle spalle dell’ente.
Il corto circuito finale. Il Comune paga due volte - C’è poi un aspetto che merita una denuncia netta. Molti enti, quando ricevono una contestazione del Garante, adottano una strategia suicida fatta di inerzia, risposte deboli e assenza di difesa strutturata. Non si istruisce il procedimento, non si documenta il percorso decisionale, non si dimostrano misure organizzative, non si valuta la definizione agevolata quando prevista, non si attiva un presidio tecnico-legale tempestivo.
Risultato? Il Comune paga due volte:
- paga la sanzione,
- paga il prezzo dell’improvvisazione, perché senza un impianto di compliance non riesce nemmeno a ricostruire correttamente responsabilità e catena decisionale.
E quando tenta la rivalsa, spesso scopre che il terreno è fragile. La colpa grave non è automatica, l’errore è qualificato come “svista”, l’organizzazione era “formalmente” dotata di qualche regola, e la vicenda si chiude con un’assoluzione. Nel frattempo, però, il danno economico resta pubblico.
La morale che nessuno vuole scrivere nei regolamenti - La verità è che la privacy negli enti locali continua a essere trattata come burocrazia, non come governance ovvero come riorganizzazione chiara dei processi. E quando manca governance, arriva l’arbitrarietà. Chi pubblica decide da solo, chi controlla non controlla, chi dovrebbe indirizzare non indirizza.
Se i Comuni non vogliono continuare a finanziare sanzioni con risorse sottratte ai servizi, devono smettere di “gestire” la privacy e iniziare a governarla. Regole chiare di pubblicazione, procedure standard di oscuramento, responsabilità operative tracciate, controlli a campione, formazione continua, e soprattutto una catena documentale che consenta di dimostrare, in ogni momento, che l’ente non si è affidato alla fortuna.
Perché la fortuna, con i dati personali, prima o poi presenta il conto.







