News

Il Garante per la protezione dei dati personali ha ribadito con fermezza che non è possibile divulgare sul web la performance dei dipendenti comunali con indicazione analitica del voto conseguito da ogni operatore. Lo ha evidenziato l'Autorità con il provvedimento n. 204 del 10 aprile 2025, che ha sanzionato un comune per aver pubblicato online le deliberazioni contenenti i nominativi dei dipendenti con i relativi punteggi di performance.

Il caso ha riguardato la pubblicazione sul sito web istituzionale di un comune di deliberazioni relative al piano delle performance per diversi anni, contenenti l'elenco nominativo dei dipendenti (circa 40 persone) con l'indicazione del punteggio attribuito a ciascuno. La pubblicazione è avvenuta sia sull'albo pretorio online per 15 giorni, sia nella sezione "Amministrazione Trasparente" del sito istituzionale.

L'amministrazione comunale aveva giustificato la pubblicazione richiamando diverse normative: l'art. 124 del TUEL sulla pubblicazione delle deliberazioni, il proprio regolamento interno sulla performance e gli obblighi di trasparenza previsti dal decreto legislativo 33/2013.

Il Garante ha chiarito che la diffusione di dati personali da parte di soggetti pubblici è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atto amministrativo generale, come stabilito dall'art. 2-ter del Codice Privacy. Nel caso specifico, l'Autorità ha evidenziato che i regolamenti comunali non possono costituire base giuridica sufficiente per la diffusione di dati personali, in quanto la materia è già stata oggetto di bilanciamento dal legislatore con disposizioni uniformi a livello nazionale.

Il provvedimento richiama i principi fondamentali del Regolamento europeo sulla protezione dei dati, in particolare la liceità del trattamento e la minimizzazione dei dati. L'art. 5 GDPR stabilisce che i dati personali devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati", mentre il titolare del trattamento deve essere "in grado di comprovarlo" secondo il principio di responsabilizzazione.

Il Garante ha inoltre chiarito che l'art. 124 del TUEL non stabilisce alcun automatismo per la diffusione online di dati personali contenuti nelle deliberazioni, e che il decreto legislativo 33/2013 prevede espressamente la pubblicazione dei dati sulla performance "in forma aggregata" e non nominativa.

Il Garante ha irrogato una sanzione di 4.000 euro, considerando il livello medio di gravità della violazione. Nella determinazione dell'importo sono state valutate diverse circostanze: la diffusione di dati di circa 40 dipendenti, la pubblicazione per 15 giorni senza indicizzazione sui motori di ricerca, ma anche l'assenza di precedenti violazioni, la buona cooperazione durante l'istruttoria, le dimensioni ridotte del comune e la convinzione errata di adempiere a un obbligo di legge.

La decisione rappresenta un importante punto di riferimento per tutti gli enti pubblici, ribadendo che le esigenze di trasparenza devono sempre essere bilanciate con la protezione dei dati personali. Gli enti locali devono pubblicare i dati sulla performance solo in forma aggregata, evitare la diffusione nominativa delle valutazioni individuali dei dipendenti, verificare sempre l'esistenza di una base giuridica adeguata prima di pubblicare dati personali e rispettare i principi di minimizzazione anche quando esistono obblighi di pubblicazione.