Privacy tra riservatezza e trasparenza: dati dei premi sulle performance

Con la presente si richiama un Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali (di seguito, “Garante”) riguardante una segnalazione pervenuta da un dipendente di una Amministrazione Comunale che aveva pubblicato sul proprio sito istituzionale una serie di determine (Determina liquidazione fondo incentivante) contenenti “l’elenco dei dipendenti [… nome, cognome, categoria di appartenenza e somma erogata] in proporzione alla performance individuale”. 

Nel sanzionare l’accaduto il Garante ha ribadito l’esistenza di una serie di regole a carico delle amministrazioni soggette all’applicazione del d.lgs. n. 33/2013 e s.m.i. (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.)

Pertanto, in questa sede si ribadisce che la disciplina di protezione dei dati personali prevede che 

• i soggetti pubblici, nell’ambito del contesto lavorativo, 
• possono trattare i dati personali degli interessati, anche relativi a categorie particolari, 
• se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento UE 679/2016, del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, (di seguito “Regolamento”). 

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

1) Privacy tra riservatezza e trasparenza: il trattamento dei dati personali

Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

 

Articolo 5 Principi applicabili al trattamento di dati personali 1. I dati personali sono: (C39) a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); (omissis) c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); (omissis)

In aggiunta a quanto sopra, il quadro normativo in materia di protezione dei dati personali richiede per qualsiasi operazione di trattamento, (art.4, punto 2 del Regolamento) compresa la diffusione (art. 2-ter comma 4 lett. b) del Codice), la necessità di disporre di un’idonea base giuridica. (art. 6 Regolamento)

 

Articolo 6 Liceità del trattamento 1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:(C40) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; (C46) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. (C47-C50)

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

2) Privacy tra riservatezza e trasparenza: vietato diffondere informazioni personali singoli lavoratori

Si rammenta, altresì, che non è lecito diffondere informazioni personali riferite a singoli lavoratori, riguardanti, ad esempio, contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, attraverso la loro pubblicazione, anche online (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809; v. anche provv. del 15 maggio 2014 n. 243 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” doc. web n. 3134436).

Anche la presenza di uno specifico regime di pubblicità che riguarda talune categorie di atti, ci si riferisce agli obblighi di pubblicazione da assolvere ai sensi del cd Decreto Trasparenza, non può comportare alcun automatismo rispetto alla diffusione online di dati personali in essi contenuti né una deroga ai principi in materia di protezione dei dati personali potendo essere diffusi i soli dati necessari, pertinenti e non eccedenti rispetto alle specifiche finalità perseguite dalla norma di settore.

Di conseguenza, anche alle pubblicazioni sull’Albo Pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti, prima ancora che alla eventuale minimizzazione degli stessi.

Anche per quanto riguarda la pubblicazione nella sezione “Amministrazione trasparente” del sito istituzionale la PA deve sempre verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare in applicazione della normativa di settore che regola modi, tempi e forme di pubblicità, non essendo automaticamente applicabile il disposto dell’art. 8, comma 3, del d.lgs. n. 33/2013 (la fattispecie ivi richiamata fa riferimento ai “dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente (omissis)”).

Al riguardo si osserva che il d.lgs. 14 marzo 2013, n. 33 prevede la pubblicazione obbligatoria da parte delle pubbliche amministrazioni dell´“ammontare complessivo dei premi collegati alla performance stanziati e l’ammontare dei premi effettivamente distribuiti” nonché “l’entità del premio mediamente conseguibile dal personale […], i dati relativi alla distribuzione del trattamento accessorio, in forma aggregata” (art. 20, commi 1 e 2, d.lgs. n. 33/2013). 

La finalità di trasparenza perseguita mediante tale previsione, al fine di dare evidenza dei livelli di selettività e premialità “nella distribuzione dei premi e degli incentivi” al personale, trova effettività, per espressa scelta del legislatore, attraverso la pubblicazione dei menzionati valori “in forma aggregata” e non nominativa.

Stante quindi la mancata previsione dell’obbligo di pubblicazione di tale tipologia di dati personali tra le ipotesi puntualmente elencate dal legislatore nel capo II del citato decreto legislativo o in altra specifica norma in materia di trasparenza, non trova applicazione al caso di specie il regime di conoscibilità stabilito dalla normativa sulla trasparenza, ivi compresa la specifica previsione concernente l’arco temporale quinquennale di permanenza sul web (di cui all´art. 8, comma 3, del d.lgs. 33/2013).

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

3) Privacy tra riservatezza e trasparenza: il titolare del trattamento

Il Garante ha, inoltre, ribadito che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). 

 

Articolo 24 Responsabilità del titolare del trattamento (C74-C78)  1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del  trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al  presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.  2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare  del trattamento. 3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui  all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del  titolare del trattamento.

 

Articolo 25 Protezione dei dati fin dalla progettazione e protezione dei dati per  impostazione predefinita (C75-C78) 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di  applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità  e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al  momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del  trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione,  volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a  integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente  regolamento e tutelare i diritti degli interessati 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica  finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del  trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono  che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di  persone fisiche senza l'intervento della persona fisica. 3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com