L’Autorità Garante per la Protezione dei Dati Personali – GPDP dice sì all’altra Autorità Nazionale Anticorruzione – ANAC e ai quattordici (14) Schemi standard di pubblicazione che stabiliscono le regole che le Pubbliche Amministrazioni – PA devono, dallo scorso 10 aprile 2024, seguire per rispettare i noti obblighi di trasparenza nella pubblicazione appunto dei siti online previsti dal Decreto Trasparenza (D.lgs. 33/2023). Lo fa con un parere favorevole che andiamo di seguito ad analizzare.
PA e siti online: sì agli obblighi di trasparenza, ma maggiori tutele privacy
Le PA per adempiere agli obblighi di trasparenza, come risaputo, devono pubblicare – nell’apposita e omonima Sezione – sui propri siti una serie di informazioni. Tuttavia, queste non devono diminuire in alcun modo la protezione dei dati personali. In caso contrario, scatteranno le sanzioni. A stabilirlo è il Garante della privacy con una nota ufficiale diffusa a inizio aprile 2024.
Revisione di Schemi standard di pubblicazione (ANAC): tra esigenze e criticità rilevate dal GPDP
Dal parere in questione, notiamo come il Garante abbia avanzato delle esigenze da rispettare e sollevato delle criticità da risolvere.
Tra le esigenze, rientra anzitutto la necessità di limitare la pubblicazione dei dati di contatto. Il leitmotiv è sempre lo stesso: “…solo dati personali necessari” possono essere pubblicati nella Sezione di “Amministrazione trasparente” per rispondere al ricorrente principio della minimizzazione. Quindi potranno essere, per esempio, pubblicati sui siti pubblici: il numero di telefono, l’indirizzo e-mail e la PEC dell’ufficio, ma non anche quegli stessi riconducibili al dipendente. Con lo stesso criterio, circa i risultati dei concorsi pubblici potranno essere pubblicati dati personali soltanto come:
- nome, cognome, data di nascita in caso di omonimia;
- la posizione in graduatoria dei vincitori e degli idonei dichiarati vincitori per via dello scorrimento della graduatoria.
Il Garante ha rappresentato poi l’esigenza, negli schemi, di “oscurare i dati personali eventualmente presenti nell’oggetto (e nei documenti pubblicati online in via facoltativa) degli accordi stipulati dall’amministrazione con soggetti privati o con altre amministrazioni pubbliche”.
Tra le criticità il GPDP ravvisa invece che occorra ancora chiarire che:
- circa la pubblicazione dei dati concernenti i pagamenti, le PA non devono pubblicare i dati personali dei destinatari “di benefici economici inferiori a mille euro nell’anno solare e in ogni caso se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale”, come si legge espressamente;
- le valutazioni (performanti) vanno sì pubblicate, ma anonimizzate da eventuali dati personali presenti;
- in relazione alla pubblicazione delle informazioni relative alla class action, va esclusa la pubblicazione dei nomi delle parti, se persone fisiche.
Ancora, tra le criticità, come si legge espressamente nel Parere, con riferimento alloSchema standard di pubblicazione circa gli “Obblighi di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale” (art. 20) si prevede, tra gli altri, “l’indicazione per il personale dirigenziale e non dirigenziale di dati granulari che in alcuni casi potrebbero non risultare sufficientemente aggregati”, occorre evidenziare che devono essere pubblicati “i criteri” dei sistemi di misurazione e valutazione della performance per la finalità predetta.
Ciò per dare conto e ragione del “livello di selettività utilizzato nella distribuzione dei premi e degli incentivi, nonché i dati relativi al grado di differenziazione nell’utilizzo della premialità sia per i dirigenti sia per i dipendenti”.
In pratica, non più “dati troppo dettagliati” riferibili e riferiti ai singoli dipendenti, ma criteri più alti e generali rispondendo sempre a quel criterio di minimizzazione suddetto.
PA e siti online tra obblighi di trasparenza e tutela della privacy: le indicazioni e le osservazioni del Garante
Il Garante quindi nell’esprimere parere favorevole, se da un lato offre delle indicazioni, dall’altro fa un paio di osservazioni. Trattiamole separatamente.
Le indicazioni
In sostanza, le indicazioni risiedono nel revisionare il citato art. 20 GDPR compliant, indicando cioè soltanto:
- il valore del premio
- delle informazioni più specifiche circa i trattamenti accessori/premi effettivamente erogati al personale;
- dei criteri definiti in ordine alla misurazione/valutazione come, per esempio, la qualità del lavoro prestato, i risultati raggiunti, la qualità della preparazione, l’osservanza dei doveri d’ufficio, l’attitudine ad assumere maggiori responsabilità e via seguire.
Le osservazioni/opportunità
Al termine del parere, ecco che emergono osservazioni o meglio opportunità che il Garante per il tramite dell’avv. Scorza, quale relatore del Parere, pone.
Il ragionamento che fa è lineare: poiché “la maggior parte degli schemi standard […] fa espresso riferimento alla pubblicazione nella Piattaforma Unica della Trasparenza per adempiere agli obblighi di pubblicazione” dal momento che tale piattaforma non risulta allo stato ancora istituita, né disciplinata, è indispensabile, scrive l’esimio Collega, “valutare l’opportunità di espungere il riferimento alla pubblicazione nella Piattaforma Unica della Trasparenza” onde creare incertezze che è bene sempre evitare.
Da ultimo ma non ultimo, il GPDP invita a valutare altresì “l’opportunità di prevedere un periodo transitorio per consentire alle pp.aa. e agli altri soggetti destinatari degli obblighi di pubblicazione per finalità di trasparenza previsti dal d. lgs. n. 33/2013 di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web istituzionali”. Insomma, una fase transitoria che consenta l’adeguamento step by step.
Le PA, in conclusione dunque, possono pubblicare dati e informazioni nell’area Amministrazione & Trasparenza, purché il livello di protezione dati personali sia sensibilmente innalzato.
