Garante per la protezione dei dati personali - Relazione 2014

La protezione dei dati personali nel rapporto di lavoro pubblico e privato

In più occasioni il Garante è stato chiamato a pronunciarsi sulla pubblicazione online sui siti istituzionali degli enti pubblici ovvero nell’ambito delle sezioni dedicate all’albo pretorio, di dati, atti o provvedimenti contenenti dati personali riferiti a lavoratori – gia' oggetto di precedenti pronunce e da ultimo del menzionato provvedimento generale del 15 maggio 2014, n. 243, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalita' di pubblicita' e trasparenza sul web da soggetti pubblici e da altri enti obbligati (in merito v. par. 4.4) – accertando in molti casi l’illiceita' del trattamento per violazione della disciplina di settore (ad es., con riguardo alla mancata osservanza dei termini massimi di pubblicazione) ovvero per mancata osservanza del principio di pertinenza e non eccedenza rispetto alle spesso invocate finalita' di validita' e completezza della motivazione ovvero di adempimento agli obblighi dettati in materia di pubblicita' legale degli atti amministrativi.

In particolare, a fronte della lamentata pubblicazione di deliberazioni sul sito web di un comune, il Garante ha ribadito, nel solco di precedenti decisioni, che la diffusione di dati personali mediante la pubblicazione di atti e relativi allegati, può essere lecitamente effettuata da parte di un soggetto pubblico unicamente quando tale operazione sia prevista da una norma di legge o di regolamento (artt. 11, comma 1, lett. a), e 19, comma 3, del Codice). Nel caso considerato è stata riscontrata l’illiceita' della diffusione di atti rimasti consultabili sul sito del comune oltre l’arco temporale previsto dalla disciplina di settore (cfr. art. 124, d.lgs. 18 agosto 2000, n. 267 concernente la pubblicita' degli atti degli enti locali sull’albo pretorio, nonchè art. 32, l. 18 giugno 2009, n. 69). L’illiceita' è stata rilevata anche alla luce del principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d ), del Codice), in considerazione del fatto gli stessi riportavano valutazioni e giudizi riguardanti l’operato del lavoratore nell’esecuzione della propria prestazione lavorativa (provv. 13 marzo 2014, n. 121, doc. web n. 3112708).

In alcuni casi ha formato oggetto di segnalazione la pubblicazione di graduatorie concorsuali o altri atti contenenti dati riferiti alle condizioni di invalidita' di centinaia di lavoratori o partecipanti alle prove concorsuali, sovente unitamente ad altre informazioni (agevolmente raggiungibili mediante i comuni motori di ricerca) in alcuni casi eccedenti (ad esempio, il codice fiscale ed ulteriori informazioni concernenti titoli di preferenza) ed immediatamente visibili in rete tramite l’inserimento delle generalita' degli interessati nei più diffusi motori di ricerca generalisti. In alcuni casi le graduatorie recavano in chiaro i dati identificativi degli interessati nell’ambito di procedure selettive pubbliche riservate “ai soggetti disabili di cui alla legge n. 68/1999 (provv.ti 6 marzo 2014, n. 109, doc. web n. 3039272; 19 giugno 2014, n. 313, doc. web n. 3259444). In altro caso si trattava invece della diffusione di una delibera di un ente locale che disponeva il collocamento a riposo di un dipendente per “inabilita' assoluta e permanente a qualsiasi proficuo lavoro” (cfr. art. 2, l. 12 giugno 1984, n. 222 e art. 13, l. 8 settembre 1991, n. 274, nonchè, art. 2, comma 12, l. 8 agosto 1995, n. 335) (nota 20 giugno 2014). E' stata altresì lamentata la diffusione sui siti web di istituti scolastici e di uffici periferici del Ministero dell’Istruzione, dell’Universita' e della Ricerca di graduatorie relative al personale docente, contenente dati non pertinenti (quali, il codice fiscale e il numero di figli a carico) ma anche dati relativi alle condizioni di salute degli interessati; in particolare, in allegato alle menzionate graduatorie docenti risultavano pubblicati gli elenchi di decine di docenti “riservisti” e “disabili art. 1, l. n. 68/99”, che dava conto della fruizione da parte del personale dei benefici derivanti dall’art. 21, l. 5 febbraio 1992, n. 104 (con riguardo alla precedenza nell’assegnazione della sede per le persone con gravi invalidita') e dall’art. 61, l. n. 20 maggio 1982, n. 270 (che disciplina modalita' di assegnazione della sede e titoli di preferenza per gli insegnanti non vedenti) (provv. 25 settembre 2014, n. 426, doc. web n. 3505289). In tutti i casi il Garante ha ribadito l’illiceita' della diffusione di dati da cui si possa desumere lo stato di salute dei soggetti interessati (art. 22, comma 8, del Codice), compreso qualsiasi riferimento alle condizioni di invalidita', disabilita' o handicap fisici e/o psichici, disponendo il divieto dell’ulteriore diffusione in Internet di tali dati personali e prescrivendo l’adozione da parte del titolare del trattamento di idonei accorgimenti nelle operazioni di trattamento (cfr. quanto da ultimo previsto dal gia' citato provv. 15 maggio 2014, n. 243, doc. web n. 3134436; v. anche, tra i tanti, provv. 10 ottobre 2013, n. 442, doc. web n. 2753605 e nello stesso senso, con riferimento alla diffusione di determinazioni aventi ad oggetto la liquidazione di indennizzi per patologie contratte per causa di servizio, provv. 22 novembre 2012, n. 362, doc. web n. 2194472).

Al fine di fornire prime indicazioni con riguardo ai profili derivanti dall’applicazione della normativa in materia di protezione dei dati nell’ambito dell’osservanza degli obblighi di pubblicita' degli atti amministrativi e di quelli stabiliti dalla recente normativa in materia di trasparenza, il Garante ha fornito riscontro a specifiche richieste di parere o quesiti formulati dalle pubbliche amministrazioni e altri soggetti istituzionali.

In particolare il Garante si è pronunciato in riscontro ad un quesito formulato dalla Presidenza del Consiglio dei ministri - Dipartimento della funzione pubblica avente ad oggetto la pubblicazione dei nominativi dei dipendenti fruitori di permessi, distacchi ed aspettative sindacali, rilevando in primo luogo che la diffusione di tali dati personali idonei rivelare l’affiliazione sindacale degli interessati (ai sensi dell’art. 4, comma 1, lett. d), del Codice) può essere effettuata solo se autorizzata da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalita' di rilevante interesse pubblico perseguite (art. 20, comma 1, del Codice). Il trattamento delle stesse è ammesso per le esigenze connesse alla gestione del rapporto di lavoro nell’ambito dell’adempimento di specifici obblighi o compiti previsti dalla normativa “in materia sindacale” (cfr. art. 112, comma 2, lett. e), del Codice) e in conformita' al d.P.C.M. 30 novembre 2006, n. 312 (Regolamento concernente il trattamento dei dati sensibili e giudiziari presso la Presidenza del Consiglio dei ministri) adottato ai sensi dell’art. 20, comma 2, del Codice, con atto di natura regolamentare (previo parere espresso dal Garante). Il quadro normativo di riferimento richiede un flusso informativo da parte delle pp.aa. al Dipartimento della funzione pubblica dei dati relativi all’appartenenza sindacale al solo fine della predisposizione della Relazione annuale al Parlamento sullo stato della p.a. e prevede la sola pubblicazione in forma aggregata di tali informazioni ai sensi dell’art. 16, l. 29 marzo 1983, n. 93 oltre che, al fine di consentire il monitoraggio della spesa per le prerogative sindacali nel settore pubblico, anche alla Corte dei conti (art. 50, d.lgs. 30 marzo 2001, n. 165, nonchè art. 4, comma 4, d.m. 23 febbraio 2009). Pertanto il Garante ha concluso che, non trovando applicazione al caso di specie le norme contenute nella recente disciplina in materia di trasparenza (d.lgs. 14 marzo 2013, n. 33), la diffusione in internet dei dati nominativi dei fruitori dei permessi non è prevista dalla legge e risulta una misura sproporzionata in una societa' democratica (cfr. sul punto anche art. 8, par. 1, direttiva 95/46/CE e altresì Article 29 Data Protection Working Party, Advice paper on special categories of data (sensitive data), 4 aprile 2011) rispetto alla finalita' dell’efficace controllo sulla fruizione delle prerogative sindacali nell’ambito del pubblico impiego, finalita' peraltro gia' perseguita mediante la banca dati Gedap costituita presso il Dipartimento della funzione pubblica (provv. 16 gennaio 2014, n. 15, doc. web n. 2922911).

E' stato altresì esaminato il caso sottoposto dal Ministero dell’interno avente ad oggetto la legittimita' della richiesta, avanzata da parte di una delle organizzazioni sindacali rappresentative della carriera prefettizia, di pubblicare sul sito istituzionale del dicastero la proposta di graduatoria in esito al procedimento di valutazione comparativa dei funzionari per il passaggio alla qualifica di viceprefetto. Secondo la ricostruzione del quadro normativo operata dall’Autorita', impregiudicate le altre forme di conoscibilita' e pubblicita' delle graduatorie e degli altri atti riguardanti i concorsi, le prove selettive e le progressioni di carriera previste dall’ordinamento, l’art. 23, comma 1, lett. c), d.lgs. n. 33/2013 – su cui gli istanti fondavano la richiesta di pubblicazione − non può costituire idonea base normativa per la diffusione di tali atti sul sito istituzionale del Ministero. La norma prevede, infatti, la pubblicazione, con aggiornamento semestrale, sul sito web delle pp.aa, in apposite partizioni della sezione “Amministrazione trasparente”, nella forma di una scheda sintetica, dei soli “elenchi” dei provvedimenti finali (non anche gli atti intermedi del procedimento) relativi anche a “concorsi e prove selettive”; inoltre, per ciascuno dei provvedimenti finali compresi nei menzionati elenchi sono pubblicati esclusivamente “il contenuto, l’oggetto, l’eventuale spesa prevista e gli estremi relativi ai principali documenti contenuti nel fascicolo relativo al procedimento” (nota 9 maggio 2014).

Con riguardo alla richiesta avanzata da parte di una testata giornalistica mirante a conoscere il trattamento pensionistico del segretario generale cessato dall’incarico e degli ex dipendenti dell’Assemblea regionale siciliana è stato chiarito che la disciplina del Codice non può essere invocata per negare, in via di principio, l’accesso ai documenti anche da parte degli organi di stampa, salva in ogni caso la responsabilita' del giornalista in ordine alla diffusione del dato raccolto secondo i parametri dell’essenzialita', della correttezza, della pertinenza e della non eccedenza, avuto altresì riguardo alla natura del dato medesimo (cfr. Chiarimenti all’ Ordine dei giornalisti del 6 maggio 2004, doc. web n. 1007634; artt. 136, 137 e 138 del Codice; codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attivita' giornalistica, All. A1 al Codice). Il Garante ha tuttavia precisato che, con riguardo alla diversa disciplina in materia di trasparenza, resta salva la facolta' in capo alle pubbliche amministrazioni di disporre la pubblicazione di documenti ulteriori, non individuati dal d.lgs. n. 33/2013 o da altra specifica norma di legge o di regolamento (art. 19, comma 3, del Codice), “procedendo alla anonimizzazione dei dati personali eventualmente presenti” (art. 4, comma 3, d.lgs. n. 33/2013, nonchè, parte I, punto 3, provv. 15 maggio 2014, n. 243, doc. web n. 3134436) (nota 9 giugno 2014).

L’Anac, nell’ambito di una più ampia consultazione pubblica, ha sottoposto al Garante per proprie osservazioni la bozza della delibera che, estendendo, in alcuni casi, la portata di una disposizione normativa dalla formulazione lacunosa, disciplina il regime di trasparenza delle dichiarazioni sulla insussistenza delle cause di inconferibilita' e incompatibilita' di incarichi presso le pubbliche amministrazioni e altri enti privati in controllo pubblico, ai sensi dell’art. 20, d.lgs. 8 aprile 2013, n. 39 (Disposizioni in materia di inconferibilita' e incompatibilita' di incarichi presso le pubbliche amministrazioni e presso gli enti privati in controllo pubblico a norma dell’art. 1, commi 49 e 50, della legge 6 novembre 2012, n. 190). La predetta dispo- sizione – all’interno di un testo normativo (il d.lgs. n. 39/2013, appunto) che stabilisce una casistica minuziosa di ipotesi di inconferibilita' e incompatibilita' (sulla scorta dei criteri e dei principi gia' enucleati nella legge di delega, l. 6 novembre 2012, n. 190) – è disposizione in materia di trasparenza che va comunque coordinata con i principi, di derivazione comunitaria, a tutela del diritto alla riservatezza e alla protezione dei dati personali. In particolare, secondo l’Autorita' il predetto art. 20 introduce nuovi obblighi di “pubblicazione obbligatoria” volti a conseguire finalita' di trasparenza il cui adempimento, ove comporti la diffusione di informazioni riferite a persone identificate o identificabili, deve avvenire nel rispetto dei principi di protezione dei dati personali (cfr. art. 1, comma 2, nonchè, artt. 4, 6, 8 comma 3, d.lgs. n. 33/2013) (nota 14 aprile 2014).