Ministero della Giustizia

Cosa riguarda il dipendente
 

La trasparenza dell’azione amministrativa costituisce uno dei cardini fondamentali dell’agere della PA.
 

L’art. 1 del d.lgs. n. 33/2013 (Decreto Trasparenza) descrive la trasparenza come «l’accessibilità totale dei dati e dei documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche».

Tuttavia, il decreto non impone una ostensione libera ed indiscriminata di dati, documenti, dal momento che la stessa, come prescritto dall’art. 1, comma 2, d.lgs. n. 33/2012, deve essere eseguita compatibilmente con le disposizioni in materia di segreto di Stato, segreto d’ufficio e di protezione dei dati personali.
 

La disciplina in materia di privacy definisce il «dato personale» come «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» ai sensi dell’art. 4, par. 1, n. 1, Regolamento generale sulla protezione dei dati 2016/679 (GDPR).
 

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 GDPR, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).
 

La necessità di un equilibrio tra la disciplina della trasparenza e quella della protezione dei dati personali è stata, ad esempio, ribadita dalla sentenza della Corte costituzionale n. 20/2019, che ha dichiarato l’illegittimità costituzionale dell’art. 14, co 1 bis, d.lgs. n. 33/2013, nella parte in cui prevedeva l’obbligo delle PA di pubblicare i dati di cui all’art. 14, co 1, lett f) d.lgs n. 33/2013,

Al di là della pronuncia del caso di specie, ciò che veramente rileva è la motivazione resa della Corte Costituzionale la quale, in linea con la giurisprudenza della Corte di Giustizia UE, ha affermato che non può riconoscersi alcuna prevalenza automatica dell’obiettivo di trasparenza della PA sulla protezione dei dati personali. Infatti, laddove la pubblicazione online di dati, documenti o informazioni comporti il trattamento di dati personali, i contestuali obblighi di trasparenza dell’azione amministrativa dovranno essere contemperati con i diritti e le libertà fondamentali dell’individuo, nonché con la dignità dell’interessato al trattamento dei dati personali, con particolare riferimento alla sua riservatezza ed alla protezione dei suoi dati.
 

Il terreno elettivo del confronto tra la disciplina della trasparenza e quella della protezione dei dati personali è certamente la materia delle procedure concorsuali, con particolare riferimento alla disposizione dell’art. 19 D.lgs n. 33/201, che, stabiliscono che le Pubbliche Amministrazioni, fermi restando gli altri obblighi in materia di pubblicità legale, dovranno pubblicare i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’Amministrazione, nonché i criteri di valutazione adottati dalla Commissione d’esame, le tracce delle prove, e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori.
 

Orbene, appare chiaro che tali obblighi di pubblicazione potrebbero comportare il trattamento dei dati personali dei partecipanti al concorso, pertanto le disposizioni dell’art. 19 d.lgs. n.33/2013 dovranno necessariamente essere coordinate con il Regolamento UE 2016/679 (GDPR) e con il d.lgs. n. 196/2003 così come modificato dal d.lgs. n. 101/2018.
 

Ne deriva che, in omaggio al “principio di minimizzazione” di cui all’art. 5, par. 1, lett. c), del GDPR la PA, nel dare riscontro alla richiesta di accesso generalizzato, deve scegliere le modalità meno pregiudizievoli per gli interessati: bisogna privilegiare l’ostensione di documenti con l’omissione dei dati personali in esso presenti, laddove l’esigenza informativa, alla base dell’accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali.
 

Dunque, non possono formare oggetto di pubblicazione i dati concernenti i recapiti degli interessati (utenza telefonica fissa o mobile, l’indirizzo di residenza e di posta elettronica, il codice fiscale, l’indicatore ISEE, il numero dei figli disabili, i risultati dei test psicoattitudinali o i titoli di studio)
 

Del pari, non possono assolutamente essere pubblicati i dati concernenti le condizioni di salute, nonché gli altri dati indicati dall’art. 2-septies, comma 8 d.lgs n. 196/2003, anche qualora gli stessi si riferiscano a terzi (ad esempio il numero di figli disabili che in alcuni concorsi costituiscono titolo di preferenza).
 

La ricerca di un bilanciamento tra gli obblighi di protezione dei dati personali e quelli di trasparenza consentirà alla PA di avvalersi anche di misure organizzative atte a soddisfare entrambe le esigenze come, per esempio, consentire ai soli partecipanti alla procedura concorsuale di accedere ai documenti oggetto di obbligatoria pubblicazione, mediante l’attribuzione agli stessi di credenziali di accesso, password, numero di protocollo o altri estremi identificativi forniti dall’ente agli aventi diritto, oppure mediante dispositivi di autenticazione, quali la carta nazionale dei servizi.
 

Infine, si evidenzia che in capo alla PA sussiste è il potere di adottare le misure idonee alla protezione dei dati personali, ma non anche la facoltà di sottrarsi agli obblighi di pubblicazione dei documenti indicati dall’art. 19 d.lgs. n. 33/2013, adducendo la tutela della privacy come giustificazione del proprio inadempimento.
 

Sul punto, infatti, il d.lgs. n. 33/2013 prevede una serie di sanzioni e responsabilità, di vario genere, a carico sia dell’Ente Pubblico che del RPCT che dei soggetti addetti alla pubblicazione dei documenti.
 

Ed, invero, l’inadempimento degli obblighi di pubblicazione previsti dalla normativa vigente, e il rifiuto, il differimento e la limitazione dell’accesso civico, al di fuori dei casi previsti dalla legge, costituiscono elemento di valutazione negativa della performance individuale dei dirigenti (oltre alla sanzione applicabile ai sensi dell’art. 47, comma 1-bis, d.lgs. n. 33/2013 e dei responsabili, nonché eventuale causa di responsabilità per danno all’immagine dell’amministrazione art. 46, comma 1, d.lgs. n. 33/2013.
 

Normativa di riferimento

D.lgs. 14 marzo 2013 n. 33 modificato dal D.lgs. 25 maggio 2016, n. 97

D.lgs 30 giugno 2003 n. 196

Regolamento UE 2016/679