NEWS

 

La trasparenza pubblica sulla valutazione della performance dei dipendenti ha un limite: il GDPR

È opportuno pubblicare la pagella completa con il nome e il voto del dipendente pubblico? Alcuni comuni sembrano pensarla così, ma il Garante per la protezione dei dati personali ha chiarito che questo approccio viola la normativa europea.

Con il provvedimento n. 204 del 10 aprile 2025, l’Autorità ha infatti bacchettato un’amministrazione comunale che aveva pubblicato nell’albo pretorio i giudizi individuali dei propri dipendenti, indicandone generalità complete e punteggio.

Il tutto in nome di un preteso obbligo di trasparenza, rafforzato – secondo il comune – da un regolamento interno di disciplina del sistema di misurazione e valutazione della performance e del sistema di incentivazione

Ma le regole sulla privacy, come ricorda il Garante, non si piegano alle delibere locali. Non sono consentiti livelli differenziati di tutela della protezione dei dati personali, specifica il collegio, “specie quando [...] la materia è già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale”.

Il comune ha provato anche a sostenere che la pubblicazione fosse necessaria per far decorrere i termini della conciliazione interna. Ma il Garante non si è lasciato convincere. “La relazione rimane agli atti ed è accessibile da parte di soggetti qualificati”.

La pubblicazione online dei dati personali deve rispettare il principio di proporzionalità e, soprattutto, basarsi su un fondamento normativo chiaro e non arbitrario.

Infatti, anche in tema di albo pretorio e amministrazione trasparente, vale la regola aurea del GDPR. “Devono essere opportunamente contemperate le esigenze di pubblicità [...] con i diritti e le libertà fondamentali”.

E per quanto riguarda i premi di produttività, il Dlgs. 33/2013 impone una pubblicazione solo “in forma aggregata e non nominativa”. Nessun obbligo, quindi, di indicare chi ha preso un voto basso o alto. Pubblicare le valutazioni individuali dei dipendenti non è trasparenza. È diffusione illecita di dati. Quindi il comune, conclude il provvedimento, “ha dato luogo a una diffusione dei dati personali in assenza di un’idonea base giuridica”. E la sanzione non si è fatta attendere.

Note sull'Autore

Stefano Manzelli Stefano Manzelli

Consulente privacy, divulgatore e il data protection officer. Direttore di sicurezzaurbanaintegrata.it.

Articoli correlati

Prev L’ENISA nomina 26 esperti di sicurezza informatica, un solo italiano nell’Advisory Group dell’Agenzia dell'Unione Europea per la Cibersicurezza
Next Telecamere urbane e intelligenza artificiale: offuscare i volti non basta per tutelare la privacy

Galleria Video

Il presidente di Federprivacy a Rai Parlamento

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza