L'ANAGRAFE PUBBLICA DEI DIRIGENTI E PP.OO. DELLE PP.AA. ITALIANE: IL LEGISLATORE SILENTE DOPO LA SENT. C.COST. 20/2019 ED IL NUOVO SOFT LAW DELL'ANAC EX DELIB. 586 DEL 26.6.2019 SULL’ART. 14 DEL DLGS. 33/2013Ma le Direttive dell’ANAC in materia sono cogenti? La stessa ANAC pare dire di no!
L'ANAGRAFE PUBBLICA DEI DIRIGENTI E PP.OO. DELLE PP.AA. ITALIANE: IL LEGISLATORE SILENTE DOPO LA...
L'ANAGRAFE PUBBLICA DEI DIRIGENTI E PP.OO. DELLE PP.AA. ITALIANE: IL LEGISLATORE SILENTE DOPO LA SENT. C.COST. 20/2019 ED IL NUOVO SOFT LAW DELL'ANAC EX DELIB. 586 DEL 26.6.2019 SULL’ART. 14 DEL DLGS. 33/2013Ma le Direttive dell’ANAC in materia sono cogenti? La stessa ANAC pare dire di no!
28 Agosto 2019
00. La gestione amministrativa dei dati personali: ordinari e particolari (sensibili).
Tra le news della home page del sito dell’Anac in data 8.8.2019 si legge:
“08/08/2019
Atti dell’Autorità
In Gazzetta Ufficiale le Linee guida sui conflitti di interesse, sulla verifica delle concessioni, e la delibera sugli obblighi di pubblicità per i dirigenti PA
Nella Gazzetta Ufficiale della Repubblica Italiana, Serie Generale n. 182 del 5 agosto 2019 sono stati pubblicati tre atti dell’Autorità nazionale anticorruzione.
(….)
Con la pubblicazione in Gazzetta della Delibera n. 586 del 26 giugno 2019, infine, entrano in vigore gli aggiornamenti sugli obblighi di trasparenza per i dirigenti pubblici: ‘Integrazioni e modifiche della delibera 8 marzo 2017, n. 241 per l’applicazione dell’art. 14, co. 1-bis e 1-ter del d.lgs. 14 marzo 2013, n. 33 a seguito della sentenza della Corte Costituzionale n. 20 del 23 gennaio 2019’.
L’entrata in vigore di dette disposizioni è avvenuta esattamente il 06.08.2019 se è vero, come è vero, che alla fine (v. pag. 16) detta Delibera recita “Il presente provvedimento è pubblicato sul sito istituzionale dell’Autorità ed entra in vigore il giorno successivo alla pubblicazione in Gazzetta Ufficiale. ” = ovvero 6.8.2019.
Orbene, pubblicare sul sito web istituzionale di una PA dati afferenti un Dirigente pubblico è un particolare tipo 'trattamento' di dato personale riconducibile alla cd GESTIONE DEL PERSONALE, esattamente trattasi di pura gestione amministrativa del personale (no retributiva, no previdenziale, no fiscale, no assistenziale).
Detto trattamento, imposto dai commi 1bis e ss. dell'art. 14 del D.Lgs. 33/2013 presuppone a sua volta, a monte, altri trattamenti (necessari) quali la precedente 'raccolta e conservazione' del dato reso dall'interessato - ove solo da esso può provenire (v. curriculum vitae, dichiarazione dei redditi, stato patrimoniale, etc.) - ovvero in posso ab origine della parte della PA datoriale in quanto dato personale generantesi all'interno del sistema pubblico di gestione del rapporto di lavoro (dati stipendiali, spese per trasferte, etc.).
Sicchè la mancata, doverosa, ostensione non sempre dipende dal publisher (incaricato) operante in seno alla PA, ma dallo stesso soggetto 'interessato' cui il dato si riferisce che non lo fornisce alla PA (che magari diligentemente chiede/ricorda e predispone anche una modulistica tipo, più o meno conforme a quella proposta dall'ANAC. Lo si evince bene dallo stesso D.Lgs. 33/2013 quando all'art. 47 (parte sanzionatoria per la violazione proprio e solo dell'art. 14 cit.) dispone (SI NOTI - E SI TRAGGANO LE DOVUTE CONCLUSIONI !!! - COME L'ELENCAZIONE DEI DATI/DOCUMENTI NON PUBBLICATI DELL'ART. 47 NON RICALCA ESATTAMENTE L'ELENCAZIONE DI QUELLI DELL'ART. 14 !!!):
Articolo 47 - Sanzioni per la violazione degli obblighi di trasparenza per casi specifici
1. La mancata o incompleta comunicazione (((alla PA))) delle informazioni e dei dati di cui all'articolo 14, concernenti
la situazione patrimoniale complessiva del titolare dell'incarico al momento dell'assunzione in carica, (((dato in disponibilità del solo interessato)))
la titolarita' di imprese, (((dato in disponibilità del solo interessato)))
le partecipazioni azionarie proprie, del coniuge e dei parenti entro il secondo grado, (((dato in disponibilità del solo interessato)))
nonche' tutti i compensi cui da diritto l'assunzione della carica,(((dato in disponibilità della PA datoriale)))
da' luogo a una sanzione amministrativa pecuniaria da 500 a 10.000 euro a carico del responsabile della mancata comunicazione e il relativo provvedimento e' pubblicato sul sito internet dell'amministrazione o organismo interessato.
1-bis. La sanzione di cui al comma 1 si applica anche
>>> nei confronti del dirigente che non effettua la comunicazione ai sensi dell'articolo 14, comma 1-ter, relativa agli emolumenti complessivi percepiti a carico della finanza pubblica,
>>> nonche' nei confronti del responsabile della mancata pubblicazione dei dati di cui al medesimo articolo.
La stessa sanzione si applica nei confronti del responsabile della mancata pubblicazione dei dati di cui all'articolo 4-bis, comma 2 (((ovvero: “2. Ciascuna amministrazione pubblica sul proprio sito istituzionale, in una parte chiaramente identificabile della sezione "Amministrazione trasparente", i dati sui propri pagamenti e ne permette la consultazione in relazione alla tipologia di spesa sostenuta, all'ambito temporale di riferimento e ai beneficiari.”))).
2. La violazione degli obblighi di pubblicazione di cui all'articolo 22, comma 2, da' luogo ad una sanzione amministrativa pecuniaria da 500 a 10.000 euro a carico del responsabile della violazione. La stessa sanzione si applica agli amministratori societari che non comunicano ai soci pubblici il proprio incarico ed il relativo compenso entro trenta giorni dal conferimento ovvero, per le indennita' di risultato, entro trenta giorni dal percepimento.
3. Le sanzioni di cui al comma 1 sono irrogate dall'Autorita' nazionale anticorruzione. L'Autorita' nazionale anticorruzione disciplina con proprio regolamento, nel rispetto delle norme previste dalla legge 24 novembre 1981, n. 689, il procedimento per l'irrogazione delle sanzioni.
Cosa si intenda per dato personale lo si comprende, definisce e delimita leggendo bene l'art. 4 co. 1 n. 1 del GDPR 679/2016:
“Articolo 4 - Definizioni
Ai fini del presente regolamento s'intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)(1);
> si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento
a un identificativo come
il nome,
un numero di identificazione,
dati relativi all'ubicazione,
un identificativo online
o a uno o più elementi caratteristici della sua identità
fisica,
fisiologica,
genetica,
psichica,
economica,
culturale
o sociale;”
(1) All'interessato si contrappone il TERZO ovvero sempre ivi ma al n. “10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;”
Tutto il GDPR 679/2016 e correlata legislazione italiana ad esso conformata si occupa del lecito (condizioni di liceità del) trattamento di DATI PERSONALI da parte di soggetti privati e pubblici, PPAA incluse. L'art. 6 del GDPR 679/2016 stabilisce le regole generali o condizioni (ricorrendo le quali si ha il...) del lecito trattamento di dati personali e più precisamente se:
“a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti.”
E' evidente che per le PP.AA. italiane la gestione del rapporto di lavoro subordinato dei propri dipendenti, inclusi i Dirigenti e PP.OO., applicando leggi e CCNL/CCAL(A=Aziendale)/CIL (IL=Individuale di lavoro], integra le condizioni di cui alle lettere b), c) ed e)* [*si pensi al D.Lgs. 81/2008]. quindi giammai le PP.AA. debbono acquisire il consenso dal dirigente 'interessato' anche se debbono 'informarlo' !!!
Ma, i dati personali trattabili non sono tutti uguali: invero il GDPR 679/2016, pur senza darne una nozione direttamente dentro l'art. 4 (male!), al successivo art. afferma tuttavia chiaramente che esistono dati personali “PARTICOLARI” (un tempo detti “SENSIBILI”) sancendo quanto segue:
“Articolo 9
Trattamento di categorie particolari di dati personali
1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
2. (((MA..ATTENZIONE))) Il paragrafo 1 (((DIVIETO DI TRATTARE))) non si applica se si verifica uno dei seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
(...)”
E' evidente che per le PP.AA. italiane quali Ministeri, Regioni, Province e Comuni anche rispetto a detti dati 'particolari' (= sensibili) ricorrono, nel gestire il rapporto di lavoro, le legittimanti (il trattamento di detti particolari dati) condizioni di cui alle lettere b), d), g), h): per cui nessuna necessità anche per il relativo trattamento di acquisire il consenso dal dirigente interessato, anche se parimenti va informato del relativo trattamento (spesso dallo stesso stimolato: si pensi allo stato di malattia che perviene alla PA a seguito della visita medica cui spontaneamente l'interessato si sottopone determinando poi l'invio telematico del certificato di malattia alla PA, ma senza diagnosi = solo prognosi !!!).
Bene: come premessa giuridica può bastare.
01: Quid iuris nel trattamento ostensorio dei dati personali ex art. 14 comma 1bis ss. Del D.Lgs. 33/2013 post sentenza C.cost. 20/2019, nel silenzio dell'ANAC e del Legislatore sollecitato dalla Consulta?
In una PA pronta e prudente alla luce della sentenza n. 20/2019 della Corte costituzionale avrebbe dovuto così disporre tramite il proprio RPCT
“Il RPCT
considerato che la C.Cost. con sentenza n. 20/2019 ha:
1) nel dispositivo dichiarato “ 1) ...l’illegittimità costituzionale dell’art. 14, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione, anziché solo per i titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche);”
PRESSO IL NS. ENTE I DATI E LE DICHIARAZIONI SUB LETTERA f) CORRISPONDONO A:
- Modello 9 a) e allegata Dichiarazione dei Redditi;
- Modello 9 b) ed eventuali Dichiarazione dei Redditi di coniuge/parenti
2) ha affermato nel preambolo in punto di diritto che:
“Sorge, dunque, l’esigenza di identificare quei titolari d’incarichi dirigenziali ai quali la disposizione possa essere applicata, senza che la compressione della tutela dei dati personali risulti priva di adeguata giustificazione, in contrasto con il principio di proporzionalità.(((indomma detto principio secondo la Corte implica di doversi fermare ai “titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del decreto legislativo 30 marzo 2001, n. 165 ” =
È evidente, a questo proposito, che le molteplici possibilità di classificare i livelli e le funzioni, all’interno della categoria dei dirigenti pubblici, anche in relazione alla diversa natura delle amministrazioni di appartenenza, impediscono di operare una selezione secondo criteri costituzionalmente obbligati.
Non potrebbe essere questa Corte, infatti, a ridisegnare, tramite pronunce manipolative, il complessivo panorama, necessariamente diversificato, dei destinatari degli obblighi di trasparenza e delle modalità con le quali tali obblighi debbano essere attuati.
Ciò spetta alla discrezionalità del legislatore, al quale il giudice costituzionale, nel rigoroso rispetto dei propri limiti d’intervento, non può sostituirsi. (((e se il Legislatore tarda? L'ANAC interviene e si sostituisce al Legislatore dormiente col suo soft law !!!)))
Nondimeno, occorre assicurare, allo stato, la salvaguardia di un nucleo minimo di tutela (((??? no tutela, semmai ATTUAZIONE: giacché si impone l'ostensione di dati personali per finalità pubbliche!!!))) del diritto alla trasparenza amministrativa in relazione ai dati personali indicati dalla disposizione censurata, in attesa di un indispensabile e complessivo nuovo intervento del legislatore.
Da questo punto di vista, l’art. 19 del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche), nell’elencare gli incarichi di funzioni dirigenziali, ai commi 3 e 4 contiene indicazioni normative che risultano provvisoriamente congruenti ai fini appena indicati.
Tali commi individuano due particolari categorie di incarichi dirigenziali, quelli di Segretario generale di ministeri e di direzione di strutture articolate al loro interno in uffici dirigenziali generali (comma 3) e quelli di funzione dirigenziale di livello generale (comma 4).”
non potendosi allo stato equiparare il Segretario Generale e/o il Direttore Generale, benchè di sicura nomina fiduciaria (v. recentemente C.cost. Sent. n. 23/2019), equiparare a detti specifici dirigenti apicali dello Stato centrale;”
dovendosi evidentemente – quanto sopra premesso - equiparare ai dirigenti anche i titolari di PP.OO. con delega parziale di funzioni dirigenziali ex art. 17 co. 1bis D.Lgs. 165/2001, nelle more di interventi legislativi e/o dell'ANAC, al fine di scongiurare la lesione del diritto soggettivo alla privacy dei dipendenti sotto elencati
DISPONE
la depubblicazione immediata da Amministrazione Trasparente dell’Ente[1], sezioni correnti e d'archivio dei modelli per qualunque anno
- Dichiarazione Stato PATRIMONIALE e allegata Dichiarazione dei Redditi [= Modello 9 a) e allegata Dichiarazione dei Redditi];
- eventuali (ove prodotte) Dichiarazioni Stato PATRIMONIALE e allegate Dichiarazioni dei Redditi di coniuge/parenti [Modello 9 b) ed eventuali Dichiarazione dei Redditi di coniuge/parenti];
relativamente a:
> Segretario Generale
> Direttore Generale
> Dirigenti
> Titolari di PP.OO. con delega parziale di funzioni dirigenziali ex art. 17 co. 1bis DLgs. 165/2001”.
02 – Silente il Legislatore, l'ANAC norma con la deliberazione n. 586 del 26.6.2019 e depositata in Segreteria ANAC solo il 12.7.2019 ma divulgata[2] (solo) il 31.07.2019[3]: cosa dispone esattamente? Le regole dettate dall'Anac sono 'legge' ?
Trattasi di 15 pagine dense e strabilianti, esattamente ad integrazione “... della delibera 8 marzo 2017, n. 241 per l’applicazione dell’art. 14, co. 1- bis e 1-ter del d.lgs. 14 marzo 2013, n. 33 a seguito della sentenza della Corte Costituzionale n. 20 del 23 gennaio 2019.” - che si dà per letta e conosciuta – non scevre di qualche sbavatura (ma) non ostativa al rispetto di quanto l'ANAC (chi esegue le disposizioni dell'ANAC non versa/non incorre, per definizione, né in dolo né in colpa grave dinanzi ad un eventuale danno indiretto che la PA datoriale dovesse subire a seguito di sentenza di sua condanna al risarcimento del danno da lesione della privacy da ostensioni illecite di dati personali di propri dipendenti rientranti nell'elenco sopra riportato: quanto ai dati del coniuge e parenti deve, invece, esserci sempre il consenso all'ostensione e dunque non si pone questione di lesione del diritto.
Integrazione della delibera 241/2017 - si diceva - che l’ANAC assume esattamente valutando tre presupposti ma con un unico F-I-N-E:
“Vista la sentenza della Corte Costituzionale n. 20 del 23 gennaio 2019 con cui la Consulta, su questione di legittimità costituzionale sollevata dal Tar Lazio – Roma, sez. I-quater, con ordinanza n. 9828 del 19 settembre 2017, ha dichiarato l’illegittimità costituzionale dell’art. 14, co. 1-bis, d.lgs. 33/2013 “nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione, anziché solo per i titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche)”;
Valutata la necessità di revocare la sospensione di cui alla delibera del 12 aprile del 2017, n. 382 alla luce della sentenza suddetta e di superare il comunicato del Presidente dell’ANAC del 7 marzo 2018;
Considerata la necessità di fornire precisazioni in ordine alle indicazioni contenute nella delibera n. 241/2017 (((PP.AA.))) e della delibera n. 1134/2017 (((Enti/Società extra non PP.AA.))), alla luce della pronuncia della Consulta
al f-i-n-e di evitare alle amministrazioni pubbliche e agli enti di diritto privato di cui all’art. 2-bis del d.lgs. 33/2013 situazioni di incertezza sulla corretta applicazione dell’art. 14 del medesimo decreto;”. (((INCERTEZZA amministrativo-gestionale potenzialmente foriera di danni erariali indiretti come sopra detto a carico del publisher addetto a questa specifica ostensione))).