Trattamento dati personali dei lavoratori delle PA
Come rispettare il diritto alla privacy dei lavoratori
Al trattamento dei dati personali operato dalle pubbliche amministrazioni, si applicano tendenzialmente i principi relativi al rapporto di lavoro privato; sono però previste alcune specificità per le PA, in relazione sia alla diversa disciplina che regola il pubblico impiego sia alle diverse finalità perseguite dalle amministrazioni pubbliche.
Da una parte leggi e regolamenti riguardanti il pubblico impiego, ed i contratti collettivi (nazionali e integrativi), dall’altra principi come il buon funzionamento della amministrazione e la trasparenza dell’attività amministrativa, e le disposizioni normative che regolamentano l’organizzazione della PA, prevedono un trattamento delle informazioni di natura personale dei lavoratori pubblici, diverso rispetto a quello effettuato dai datori di lavoro privati.
Oltre alle disposizioni contenute nel decreto legislativo n°196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali – riguardanti il generale trattamento delle informazioni personali operato dalle PA, è l’articolo 112 del Codice a trattare esplicitamente la tutela della privacy dei soggetti che hanno un rapporto di lavoro di qualunque tipo – dipendente, autonomo, temporaneo, non retribuito o onorario o altre forme di impiego – con le pubbliche amministrazioni. In questo articolo vengono elencate alcune finalità di rilevante interesse pubblico in rapporto alle quali le amministrazioni possono trattare i dati personali dei lavoratori, come ad esempio il collocamento obbligatorio delle categorie protette, la garanzia delle pari opportunità, l’accertamento di particolari requisiti previsti per l’accesso a specifici impieghi, lo svolgimento di attività di indagine o ispezione, ecc.
In merito al trattamento di dati personali dei lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, il Garante per la protezione dei dati personali, ha emanato nel giugno 2007 le Linee Guida , con le quali ha chiarito alcuni aspetti riguardanti la tutela della privacy dei lavoratori pubblici.
Nel documento si ricorda che il trattamento dei dati personali per la gestione del rapporto di lavoro, deve avvenire:
- rispettando i principi di necessità, di liceità e di qualità dei dati (artt. 3 e 11 del Codice);
- attenendosi alle funzioni istituzionali e applicando i presupposti e i limiti previsti da leggi e regolamenti rilevanti per il trattamento, in particolare in materia di pubblico impiego (art. 18 del Codice);
- limitando il trattamento di dati sensibili e giudiziari alle sole informazioni ed operazioni di trattamento individuate e rese pubbliche con l’atto regolamentare adottato in conformità al parere del Garante (artt. 20, 21, 112 e 154 del Codice);
- informando preventivamente e adeguatamente gli interessati (art. 13 del Codice);
- adottando misure di sicurezza idonee a preservare i dati del personale da accessi ed utilizzazioni indebiti, rispetto ai quali l’amministrazione può essere chiamata a rispondere anche civilmente e penalmente (artt. 15 e 31 e ss. del Codice).
Comunicazione e diffusione dei dati personali
Specifiche disposizioni legislative o regolamentari possono inoltre individuare i casi in cui l’amministrazione pubblica è legittimata a comunicare informazioni che riguardano i lavoratori a terzi, soggetti pubblici o privati o a diffondere dati personali riferiti ai lavoratori (artt. 4, co1 e 19 co3 del Codice), anche mediante l’uso delle tecnologie telematiche (art. 3 d.lg. 7 marzo 2005, n. 82, recante il "Codice dell’amministrazione digitale" ).
L’ art. 19 del Codice in materia di protezione dei dati personali, modificato dall’art. 14, comma 1, della legge 4 novembre 2010, n. 183, che ha aggiunto il comma 3-bis, prevede che “le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall’amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonchè le componenti della valutazione o le notizie concernenti il rapporto di lavoro” tra il dipendente e l’amministrazione, idonee a rivelare informazioni relative ai dati sensibili.
Le comunicazioni a terzi di dati personali sensibili, sono infatti lecite quando sono realmente indispensabili per perseguire le finalità di rilevante interesse pubblico connesse all’instaurazione e alla gestione di rapporti di lavoro da parte di soggetti pubblici previste dal citato art. 112 del Codice. Per quanto riguarda il trattamento dei dati idonei a rilevare lo stato di salute, le PA sono chiamate a osservare cautele particolari, rispettando i principi di necessità e indispensabilità, e bilanciando le necessità organizzative e funzionali con il diritto alla privacy dei lavoratori; per esempio è sufficiente che la documentazione giustificativa dell’assenza per malattia del dipendente riporti la prognosi (e non la diagnosi), indicazione da rispettare anche per la nuova modalità di trasmissione telematica dei certificati medici prevista dall’art. 55 septies del d. lgs. n°165/2001, come modificato dal d. lgs 150/2009.
La diffusione di informazioni idonee a rivelare lo stato di salute degli interessati, è invece tendenzialmente vietata, e a tale divieto non è consentito derogare per generiche esigenze di pubblicità connesse alle finalità di trasparenza. Risulta invece giustificata, secondo il Garante, “la conoscenza da parte dell’amministrazione di informazioni personali relative all’effettuazione di visite mediche, prestazioni specialistiche, presenza di patologie invalidanti” quando il dipendente richieda di usufruire dei permessi o delle specifiche condizioni di assenza previsti.
La diffusione delle tecnologie digitali anche nella pubblica amministrazione e l’introduzione di nuovi obblighi normativi previsti per garantire in particolare una maggiore trasparenza, efficacia ed efficienza dell’attività amministrativa, hanno imposto una maggiore cautela nel bilanciamento tra diritto dei lavoratori alla tutela dei dati personali e diritto di accesso dei cittadini alle informazioni riguardanti il funzionamento della PA, come precisato anche dal Garante nelle linee guida in materia di trattamento di dati personali contenuti in atti e documenti amministrativi pubblicati e diffusi sul web, del 2 marzo 2011.
Nelle già citate linee guida del Garante del 2007, sono trattati in maniera più dettagliata alcune attività specifiche della gestione del rapporto di lavoro in ambito pubblico, e in particolare:
- Diffusione delle informazioni relative alle selezione del personale
- Pubblicazione dei dati relativi all’organizzazione degli uffici e di informazioni riguardanti il personale
- Trattamento dati personali dei lavoratori delle PAIdentificazione del personale a contatto con il pubblico
Concorsi e graduatorie
Come previsto per legge, le graduatorie dei vincitori di concorsi devono essere pubblicate nel bollettino ufficiale della Presidenza del Consiglio dei Ministri o dell’amministrazione interessata, dandone, se previsto, contestuale avviso sulla Gazzetta Ufficiale. In risposta ad alcuni principi come la trasparenza o l’imparzialità dell’attività amministrativa, e ad altri obblighi normativi, le graduatorie possono essere diffuse anche con altri strumenti di comunicazione come il sito web istituzionale. La diffusione on line di alcune informazioni impone una maggiore cautela, e secondo il Garante pone la necessità di “prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti”, come per esempio aree ad accesso limitato alle persone direttamente interessate alla procedura selettiva.
Per quanto riguarda la pubblicità delle graduatorie e degli esiti di concorsi e selezioni pubbliche, generalmente prevista, dovrebbero essere diffusi “solo i dati personali pertinenti e non eccedenti ai fini del corretto espletamento della procedura concorsuale e della sua rispondenza ai parametri stabiliti nel bando (elenchi nominativi con i risultati di prove intermedie, elenchi degli ammessi alle prove scritte o orali, punteggi ottenuti, ecc.).
Dati relativi all’organizzazione degli uffici, alla retribuzione, ai curricula
Le PA sono chiamate a rispettare specifici obblighi normativi che impongono la pubblicità, anche attraverso i propri siti web, di alcuni dati personali dei propri dipendenti, concernenti ad esempio le retribuzioni, i livelli stipendiali, i curricula. Le amministrazioni devono pubblicare in particolare, anche ai sensi del Decreto legislativo 150/2009, e secondo quanto indicato dalla Delibera CiVIT n. 105/2010 in un’apposita sezione in homepage dei siti istituzionali denominata "Trasparenza, valutazione e merito", alcune informazioni relative all’organizzazione e ai procedimenti, al personale e all’attribuzione di incarichi e consulenze.
Tra le diverse disposizioni normative che prevedono specifici regimi di pubblicità per talune informazioni personali dei soggetti che hanno un rapporto di lavoro con le PA, si collocano in particolare:
- l’articolo 54 del Codice dell’Amministrazione Digitale che prevede la pubblicazione sul sito istituzionale dell’organigramma degli uffici con l’elenco dei nominativi dei dirigenti, l’organizzazione e i nomi dei dirigenti responsabili dei singoli uffici, l’elenco delle caselle di posta elettronica istituzionali attive per ogni dipendente;
- l’art. 21 legge 69/2009 che obbliga le PA a pubblicare sul sito internet le retribuzioni annuali, i curricula vitae, gli indirizzi di posta elettronica, i numeri telefonici ad uso professionale dei dipendenti di ruolo e dei segretari provinciali e comunali, i tassi di assenza e presenza del personale;
- l’articolo 24 della legge n°183/2010 che ha introdotto l’obbligo della comunicazione al Dipartimento della Funzione Pubblica dei dati relativi ai permessi fruiti dai dipendenti pubblici in base alla legge n°104/1992 (l’assistenza alle persone disabili), che il DFP rende disponibili in un’apposita banca dati. In proposito per bilanciare il principio di trasparenza con la tutela della privacy, lo stesso art. 24 al comma 6 definisce i tempi di conservazione di tali dati da parte delle amministrazioni e del DFP, dati che sono diffusi in forma anonima e aggregata.
- l’art. 11 del decreto legislativo n°150/2009 che prevede la pubblicazione dei curricula e delle retribuzioni dei dirigenti e delle componenti legate alla retribuzione di risultato, i premi collegati alla perfomance; i curricula, le retribuzioni, i compensi e le indennità di coloro che rivestono incarichi di indirizzo politico amministrativo e dei relativi uffici di supporto; gli incarichi retribuiti e non retribuiti conferiti a dipendenti pubblici e ad altri soggetti indicando, curriculum del soggetto incaricato il compenso lordo, modalità di selezione e di affidamento dell’incarico, durata, oggetto e tipo di rapporto.
Nonostante le particolari forme di pubblicità previste per legge, le pubbliche amministrazioni nella diffusione di queste informazioni personali devono rispettare i principi generali di completezza, esattezza, aggiornamento, pertinenza e non eccedenza dei dati, garantendo il rispetto della privacy dei propri dipendenti.
Nelle linee guida del 2 marzo 2011 il Garante ha inoltre precisato che non si possono riprodurre sul web i dati sullo stato di salute, i cedolini dello stipendio, l’orario di entrata e di uscita, l’indirizzo privato, la e-mail personale. Mentre possono essere resi accessibili a tutti, i livelli retributivi, i tassi di assenza, i risultati raggiunti, l’ammontare dei premi collegati alle performance, solo se in forma anonima o aggregata. Possono inoltre, come previsto dalle diverse disposizioni normative, essere diffuse le informazioni relative alla retribuzione e ai curricula di dirigenti, segretari comunali e provinciali, gli incarichi di collaborazione e consulenza, al ruolo dei dirigenti, ai ruoli di anzianità.
Cartellini identificativi
Come indicato anche nelle linee guida del giungo 2007 del Garante, l’identificazione del personale tramite cartellini identificativi può rappresentare un valido strumento per garantire trasparenza ed efficacia e per migliorare i rapporti tra cittadini e PA. L’art. 55 novies d.lgs 165/2001, introdotto dall’art.69 del d.lgs. n°150/2009, prevede che “i dipendenti delle amministrazioni pubbliche che svolgono attività a contatto con il pubblico sono tenuti a rendere conoscibile il proprio nominativo mediante l’uso di cartellini identificativi o di targhe da apporre presso la postazione di lavoro”.
Nella circolare esplicativa n°3 del 2010 del Dipartimento della Funzione Pubblica si precisa che la scelta tra le due modalità è lasciata alle singole amministrazioni, e che possono essere adottate contemporaneamente entrambe le modalità. Nella stessa circolare si chiarisce poi che l’elemento minimo per l’identificazione del dipendente è rappresentato dal nominativo e che l’amministrazione può valutare se e quando indicare anche ulteriori elementi, per esempio relativi al ruolo del dipendente nell’organizzazione (posizione e qualifica, ufficio, ecc.). Nella circolare, e nelle citate linee guida del Garante, si precisa che non è giustificato e proporzionato alle finalità perseguite, l’indicazione di informazioni personali del dipendente, le proprie complete generalità ed altri dati, come ad esempio la data di nascita. Secondo le indicazioni fornite dal Garante è sufficiente indicare nella parte visibile al pubblico un nome, un codice o un numero che permetta ugualmente di risalire all’interessato in caso di reclamo, senza però esporre il lavoratore a pressioni improprie o successivi contatti per ragioni estranee all’attività lavorativa.