Garante Dati Personali: parere sui 14 schemi standard ANAC per la pubblicazione sui siti

Con il provvedimento n. 92 del 22 febbraio 2024 il Garante per la protezione dei dati personali (di seguito: Garante) nell’esprimere il prescritto parere all’Autorità nazionale anticorruzione (di seguito: ANAC) su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pubbliche Amministrazioni (di seguito: PA) devono seguire per rispettare gli obblighi di trasparenza online, ha fornito alcune indicazioni sulle modalità di pubblicazione dei dati personali sui siti istituzionali delle PA che, indubbiamente, esprimono l’esigenza di un innalzamento del livello di tutela dei dati personali.

Il caso

Più volte il Garante è intervenuto, con pareri e Linee Guida[1] in materia di pubblicazione di informazioni, da parte della PA, in adempimento degli obblighi previsti da disposizioni di prevenzione della corruzione, pubblicità e trasparenza.

Ai sensi l’art. 48, commi 1 e 3, del decreto legislativo 14 marzo 2013, n. 33/2013 e successive modifiche id integrazioni[2] (di seguito: d.lgs n.33/13), l’ANAC ha il compito di definire criteri, modelli e schemi standard per la pubblicazione di informazioni e dati compresa l’organizzazione della sezione “Amministrazione trasparente” sui rispettivi siti.

Con proprio provvedimento l’ANAC ha sottoposto al Garante, per il prescritto parere quattordici schemi standard di pubblicazione di informazioni e dati di cui al d.lgs. n. 33/13; gli schemi hanno già acquisito il parere favorevole della Conferenza unificata stato regioni e dalla Conferenza delle regioni e delle province autonome.

In particolare, gli schemi impattano sugli adempimenti previsti dagli articoli:

• 4-bis, c. 2 – i dati sui propri pagamenti e ne permette la consultazione in relazione alla tipologia di spesa sostenuta, all’ambito temporale di riferimento e ai beneficiari;
• 12 – i riferimenti normativi (alla banca dati «Normattiva») che ne regolano l’istituzione, l’organizzazione e l’attività comprese le direttive, le circolari, i programmi e le istruzioni emanati dall’amministrazione che riguardano o dettano disposizioni attuative per l’applicazione, compresi codici di condotta, le misure integrative di prevenzione della corruzione, i documenti di programmazione strategico-gestionale e gli atti degli organismi indipendenti di valutazione;
• 13 – le informazioni e i dati concernenti la propria organizzazione, corredati dai documenti anche normativi di riferimento;
• 19 – i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori;
• 20 – i dati relativi all’ammontare complessivo dei premi collegati alla performance stanziati e l’ammontare dei premi effettivamente distribuiti oltre ai criteri di misurazione e valutazione della performance e i dati relativi alla sua distribuzione, in forma aggregata;
• 23 – gli elenchi dei provvedimenti adottati nei procedimenti di scelta del contraente per l’affidamento di lavori, forniture e servizi, compresa la modalità di selezione prescelta e gli accordi stipulati dall’amministrazione con soggetti privati o con altre amministrazioni pubbliche;
• 26 – gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati, compresi i criteri e le modalità che sono state utilizzate;
• 27 – l’elenco dei soggetti beneficiari delle erogazioni di cui all’art. 26;
• 29 – i documenti e gli allegati del bilancio preventivo e del conto consuntivo;
• 31 – gli atti degli organismi o nuclei indipendenti di valutazione, comprese le relazioni degli organi di revisione amministrativa e contabile, nonché i rilievi della Corte dei conti, riguardanti l’organizzazione e l’attività delle amministrazioni stesse e dei loro uffici;
• 32 – i dati relativi ai servizi erogati;
• 35 – i dati relativi alle tipologie di procedimento di propria competenza, l’unità organizzativa responsabile dell’istruttoria con i recapiti, informazioni relative agli atti da allegare, la modulistica, i termini e gli strumenti di tutela;
• 36 – le informazioni necessarie per l’effettuazione di pagamenti informatici;
• 39  – gli atti di governo del territorio e la documentazione relativa;
• 42 – i provvedimenti relativi a interventi straordinari e di emergenza che comportano deroghe alla legislazione vigente.

Le indicazioni del Garante

Il Garante, con l’obiettivo dichiarato di evitare che i soggetti destinatari degli obblighi di pubblicazione online per finalità di trasparenza mettano in atto comportamenti non conformi alla disciplina in materia di protezione dei dati personali (incorrendo nel rischio sanzionatorio), pur dando atto che molte delle criticità emerse sono state superate nella fase di interlocuzione con gli uffici,  ha ritenuto necessario subordinare il parere favorevole al recepimento di alcune espresse condizioni.

Da tali indicazioni emergono alcuni elementi utili, in generale, a guidare il comportamento della PA nell’adempimento di espliciti obblighi normativi di pubblicazione.

Alcune indicazioni, espresse dal Garante nel corso dell’istruttoria, le ritroviamo già presenti negli schemi standard adottati dall’ANAC. Si tratta di:

• i dati di contatto per l’invio all’amministrazione delle richieste da parte dei soggetti interessati (indirizzo mail e numeri di telefono), devono essere riferiti all’ufficio e non alla persona;
• l’organigramma non deve essere inteso come elenco di tutti i dipendenti, ma deve consentire piena accessibilità e comprensibilità dei dati e dell’organizzazione dell’amministrazione;
• nelle graduatorie dei concorsi pubblici occorre pubblicare solo il nome e il cognome (la data di nascita solo in caso di omonimia) dei vincitori (e degli idonei vincitori) e la posizione in graduatoria;
• nella pubblicazione degli accordi stipulati dall’amministrazione con soggetti privati o con altre amministrazioni pubbliche, vanno oscurati i dati personali eventualmente presenti;
• nella pubblicazione dei dati riguardanti i benefici economici vanno omissati del tutto i nominativi e i dati identificativi dei destinatari, ove gli stessi consentano di ricavare informazioni sullo stato di salute e sulla situazione economica dei beneficiari;
• gli atti relativi ai controlli sull’organizzazione dell’amministrazione (revisori dei conti o organismi di valutazione) devono essere pubblicati anonimizzando i dati personali eventualmente presenti;
• nelle informazioni riguardanti le class action vanno esclusi i nomi delle persone fisiche.

Relativamente ad altri profili il Garante ha rilevato il persistere di alcune criticità che hanno determinato l’adozione del provvedimento n. 92/24, un parere favorevole condizionato al superamento delle stesse.

Vediamo insieme quali sono le condizioni poste dal Garante sulle quali occorre attende un nuovo intervento di ANAC sugli schemi standard:

• la pubblicazione dei dati inerenti l’uso delle risorse pubbliche da parte delle PA va limitata alle sole categorie dei beneficiari o, se ritenuto troppo oneroso, occorre escludere dalla pubblicazione i dati identificativi delle persone fisiche se dalla pubblicazione è possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale oltre ad oscurare i dati identificativi dei destinatari di benefici economici inferiori a 1000 euro (nell’anno solare nei confronti del medesimo beneficiario);

• nella pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale, le PA devono evitare di pubblicare dati troppo dettagliati che consentano l’identificazione del dipendente e l’ammontare del premio erogato (o non erogato). A tal fine occorre indicare esclusivamente:
• • il valore del premio distribuito (ammontare complessivo dei trattamenti accessori/premi stanziati e quelli erogati);
  • informazioni più specifiche relative ai trattamenti accessori/premi effettivamente erogati indicando per ciascuna qualifica (dirigenziale e non dirigenziale) la distribuzione del trattamento accessorio erogato su base annua, l’entità del premio medio annuo, la differenziazione con l’incidenza percentuale;
  • i criteri utilizzati per la misurazione e la valutazione (qualità, risultati raggiunti, attitudine) e il loro peso percentuale.

Tali indicazioni sono ritenute necessarie al fine di consentire che i soggetti destinatari degli obblighi di pubblicazione online per finalità di trasparenza mettano in atto comportamenti conformi alla disciplina in materia di protezione dei dati personali.

Il Garante, infine, ha anche evidenziato l’opportunità di prevedere un periodo transitorio per consentire alla PA e agli altri soggetti destinatari degli obblighi di pubblicazione per finalità di trasparenza previsti dal d.lgs. n. 33/2013, di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione sui siti web, per evitare incertezze, occorre esplicitare che la modalità di adempimento  degli obblighi di pubblicazione on line tramite la Piattaforma Unica della Trasparenza non è ancora attiva.

L’ANAC dovrà rimodulare i 14 schemi standard per recepire le indicazioni del Garante.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Cfr. Garante – Parere n. 49 del 7/2/2013; Parere n. 92 del 3/3/2016; Linee guida n. 243 del 15/5/2014.

[2] Cfr. d.lgs 25 maggio 2016, n. 97; DL 30 aprile 2019, 34; d.lgs 31 marzo 2023 Codice contratti pubblici.