Speciale Pubblicato il 19/01/2024

Tempo di lettura: 9 minuti

Privacy tra riservatezza e trasparenza: dati dei premi sulle performance

di Modesti dott. Giovanni

La pubblicazione dei dati dei premi sulle performance comprendenti anche i dati personali identificativi (nomi e cognomi): il bilanciamento tra riservatezza e trasparenza



Con la presente si richiama un Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali (di seguito, “Garante”) riguardante una segnalazione pervenuta da un dipendente di una Amministrazione Comunale che aveva pubblicato sul proprio sito istituzionale una serie di determine (Determina liquidazione fondo incentivante) contenenti “l’elenco dei dipendenti [… nome, cognome, categoria di appartenenza e somma erogata] in proporzione alla performance individuale”. 

Nel sanzionare l’accaduto il Garante ha ribadito l’esistenza di una serie di regole a carico delle amministrazioni soggette all’applicazione del d.lgs. n. 33/2013 e s.m.i. (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.)

Pertanto, in questa sede si ribadisce che la disciplina di protezione dei dati personali prevede che 

Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

L'articolo continua dopo la pubblicità

Privacy tra riservatezza e trasparenza: il trattamento dei dati personali

Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

 

Articolo 5

Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza
e trasparenza»);
(omissis)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»);
(omissis)


In aggiunta a quanto sopra, il quadro normativo in materia di protezione dei dati personali richiede per qualsiasi operazione di trattamento, (art.4, punto 2 del Regolamento) compresa la diffusione (art. 2-ter comma 4 lett. b) del Codice), la necessità di disporre di un’idonea base giuridica. (art. 6 Regolamento)

 

Articolo 6

Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:(C40)

  1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)
  2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; (C46)
  5. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. (C47-C50)


Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

Privacy tra riservatezza e trasparenza: vietato diffondere informazioni personali singoli lavoratori

Si rammenta, altresì, che non è lecito diffondere informazioni personali riferite a singoli lavoratori, riguardanti, ad esempio, contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, attraverso la loro pubblicazione, anche online (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809; v. anche provv. del 15 maggio 2014 n. 243 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” doc. web n. 3134436).

Anche la presenza di uno specifico regime di pubblicità che riguarda talune categorie di atti, ci si riferisce agli obblighi di pubblicazione da assolvere ai sensi del cd Decreto Trasparenza, non può comportare alcun automatismo rispetto alla diffusione online di dati personali in essi contenuti né una deroga ai principi in materia di protezione dei dati personali potendo essere diffusi i soli dati necessari, pertinenti e non eccedenti rispetto alle specifiche finalità perseguite dalla norma di settore.

Di conseguenza, anche alle pubblicazioni sull’Albo Pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti, prima ancora che alla eventuale minimizzazione degli stessi.

Anche per quanto riguarda la pubblicazione nella sezione “Amministrazione trasparente” del sito istituzionale la PA deve sempre verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare in applicazione della normativa di settore che regola modi, tempi e forme di pubblicità, non essendo automaticamente applicabile il disposto dell’art. 8, comma 3, del d.lgs. n. 33/2013 (la fattispecie ivi richiamata fa riferimento ai “dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente (omissis)”).

Al riguardo si osserva che il d.lgs. 14 marzo 2013, n. 33 prevede la pubblicazione obbligatoria da parte delle pubbliche amministrazioni dell´“ammontare complessivo dei premi collegati alla performance stanziati e l’ammontare dei premi effettivamente distribuiti” nonché “l’entità del premio mediamente conseguibile dal personale […], i dati relativi alla distribuzione del trattamento accessorio, in forma aggregata” (art. 20, commi 1 e 2, d.lgs. n. 33/2013). 

La finalità di trasparenza perseguita mediante tale previsione, al fine di dare evidenza dei livelli di selettività e premialità “nella distribuzione dei premi e degli incentivi” al personale, trova effettività, per espressa scelta del legislatore, attraverso la pubblicazione dei menzionati valori “in forma aggregata” e non nominativa.

Stante quindi la mancata previsione dell’obbligo di pubblicazione di tale tipologia di dati personali tra le ipotesi puntualmente elencate dal legislatore nel capo II del citato decreto legislativo o in altra specifica norma in materia di trasparenza, non trova applicazione al caso di specie il regime di conoscibilità stabilito dalla normativa sulla trasparenza, ivi compresa la specifica previsione concernente l’arco temporale quinquennale di permanenza sul web (di cui all´art. 8, comma 3, del d.lgs. 33/2013).

Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

Privacy tra riservatezza e trasparenza: il titolare del trattamento

Il Garante ha, inoltre, ribadito che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). 

 

Articolo 24

Responsabilità del titolare del trattamento (C74-C78)
 1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del
 trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate
per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al
 presente regolamento
. Dette misure sono riesaminate e aggiornate qualora necessario.
 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1
includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare
 del trattamento
.

3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui
 all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del
 titolare del trattamento.

 

Articolo 25

Protezione dei dati fin dalla progettazione e protezione dei dati per
 impostazione predefinita
(C75-C78)

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di
 applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità
 e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al
 momento di determinare i mezzi del trattamento
sia all'atto del trattamento stesso il titolare del
 trattamento mette in atto misure tecniche e organizzative adeguate
, quali la pseudonimizzazione,
 volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a
 integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente
 regolamento e tutelare i diritti degli interessati

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire
che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica
 finalità del trattamento
. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del
 trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono
 che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di
 persone fisiche senza l'intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come
elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.


Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com



TAG: Privacy 2024