HOME

/

DIRITTO

/

PRIVACY 2024

/

PRIVACY TRA RISERVATEZZA E TRASPARENZA: DATI DEI PREMI SULLE PERFORMANCE

Privacy tra riservatezza e trasparenza: dati dei premi sulle performance

La pubblicazione dei dati dei premi sulle performance comprendenti anche i dati personali identificativi (nomi e cognomi): il bilanciamento tra riservatezza e trasparenza

Ascolta la versione audio dell'articolo

Con la presente si richiama un Provvedimento dell’Autorità Garante per la Protezione dei Dati Personali (di seguito, “Garante”) riguardante una segnalazione pervenuta da un dipendente di una Amministrazione Comunale che aveva pubblicato sul proprio sito istituzionale una serie di determine (Determina liquidazione fondo incentivante) contenenti “l’elenco dei dipendenti [… nome, cognome, categoria di appartenenza e somma erogata] in proporzione alla performance individuale”. 

Nel sanzionare l’accaduto il Garante ha ribadito l’esistenza di una serie di regole a carico delle amministrazioni soggette all’applicazione del d.lgs. n. 33/2013 e s.m.i. (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.)

Pertanto, in questa sede si ribadisce che la disciplina di protezione dei dati personali prevede che 

  • i soggetti pubblici, nell’ambito del contesto lavorativo, 
  • possono trattare i dati personali degli interessati, anche relativi a categorie particolari, 
  • se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento UE 679/2016, del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, (di seguito “Regolamento”). 
Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

1) Privacy tra riservatezza e trasparenza: il trattamento dei dati personali

Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice).

Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che, deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

 

Articolo 5

Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza
e trasparenza»);
(omissis)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»);
(omissis)


In aggiunta a quanto sopra, il quadro normativo in materia di protezione dei dati personali richiede per qualsiasi operazione di trattamento, (art.4, punto 2 del Regolamento) compresa la diffusione (art. 2-ter comma 4 lett. b) del Codice), la necessità di disporre di un’idonea base giuridica. (art. 6 Regolamento)

 

Articolo 6

Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:(C40)

  1. l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)
  2. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; (C46)
  5. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. (C47-C50)


Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

2) Privacy tra riservatezza e trasparenza: vietato diffondere informazioni personali singoli lavoratori

Si rammenta, altresì, che non è lecito diffondere informazioni personali riferite a singoli lavoratori, riguardanti, ad esempio, contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti, attraverso la loro pubblicazione, anche online (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809; v. anche provv. del 15 maggio 2014 n. 243 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” doc. web n. 3134436).

Anche la presenza di uno specifico regime di pubblicità che riguarda talune categorie di atti, ci si riferisce agli obblighi di pubblicazione da assolvere ai sensi del cd Decreto Trasparenza, non può comportare alcun automatismo rispetto alla diffusione online di dati personali in essi contenuti né una deroga ai principi in materia di protezione dei dati personali potendo essere diffusi i soli dati necessari, pertinenti e non eccedenti rispetto alle specifiche finalità perseguite dalla norma di settore.

Di conseguenza, anche alle pubblicazioni sull’Albo Pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti, prima ancora che alla eventuale minimizzazione degli stessi.

Anche per quanto riguarda la pubblicazione nella sezione “Amministrazione trasparente” del sito istituzionale la PA deve sempre verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare in applicazione della normativa di settore che regola modi, tempi e forme di pubblicità, non essendo automaticamente applicabile il disposto dell’art. 8, comma 3, del d.lgs. n. 33/2013 (la fattispecie ivi richiamata fa riferimento ai “dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente (omissis)”).

Al riguardo si osserva che il d.lgs. 14 marzo 2013, n. 33 prevede la pubblicazione obbligatoria da parte delle pubbliche amministrazioni dell´“ammontare complessivo dei premi collegati alla performance stanziati e l’ammontare dei premi effettivamente distribuiti” nonché “l’entità del premio mediamente conseguibile dal personale […], i dati relativi alla distribuzione del trattamento accessorio, in forma aggregata” (art. 20, commi 1 e 2, d.lgs. n. 33/2013). 

La finalità di trasparenza perseguita mediante tale previsione, al fine di dare evidenza dei livelli di selettività e premialità “nella distribuzione dei premi e degli incentivi” al personale, trova effettività, per espressa scelta del legislatore, attraverso la pubblicazione dei menzionati valori “in forma aggregata” e non nominativa.

Stante quindi la mancata previsione dell’obbligo di pubblicazione di tale tipologia di dati personali tra le ipotesi puntualmente elencate dal legislatore nel capo II del citato decreto legislativo o in altra specifica norma in materia di trasparenza, non trova applicazione al caso di specie il regime di conoscibilità stabilito dalla normativa sulla trasparenza, ivi compresa la specifica previsione concernente l’arco temporale quinquennale di permanenza sul web (di cui all´art. 8, comma 3, del d.lgs. 33/2013).

Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) Privacy tra riservatezza e trasparenza: il titolare del trattamento

Il Garante ha, inoltre, ribadito che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). 

 

Articolo 24

Responsabilità del titolare del trattamento (C74-C78)
 1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del
 trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate
per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al
 presente regolamento
. Dette misure sono riesaminate e aggiornate qualora necessario.
 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1
includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare
 del trattamento
.

3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui
 all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del
 titolare del trattamento.

 

Articolo 25

Protezione dei dati fin dalla progettazione e protezione dei dati per
 impostazione predefinita
(C75-C78)

1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di
 applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità
 e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al
 momento di determinare i mezzi del trattamento
sia all'atto del trattamento stesso il titolare del
 trattamento mette in atto misure tecniche e organizzative adeguate
, quali la pseudonimizzazione,
 volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a
 integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente
 regolamento e tutelare i diritti degli interessati

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire
che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica
 finalità del trattamento
. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del
 trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono
 che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di
 persone fisiche senza l'intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come
elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.


Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Responsabilità amministrativa enti e whistleblowing

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

Fonte immagine: Foto di Gerd Altmann da Pixabay
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.