Un peculiare ruolo centrale tra le funzioni di governance e controllo, in ambito pubblico, compete all’Organismo indipendente di valutazione della performance (OIV).
Le sue competenze sono delineate in particolare dall’art. 14 del decreto legislativo 150/2009 afferente la materia dell’ottimizzazione della produttività del lavoro pubblico e le tematiche dell’efficienza e della trasparenza delle PA.
Indice degli argomenti
OIV: il suo ruolo in ambito privacy
Si tratta di un organismo invero poco trattato e conosciuto nelle sue sfaccettature negli ambiti in cui si discute di rischio, di controlli, di privacy. Anche in considerazione di un disegno di legge di recente approvato che, ove convertito in legge nella forma attuale, comporterebbe – anche attraverso successivi decreti legislativi – un redesign dell’OIV, dalle modalità di composizione al tenore delle sue competenze.
Quindi è utile, per una migliore comprensione del ruolo e della portata dell’OIV, soffermarsi su un organismo centrale nell’architettura istituzionale delle amministrazioni pubbliche quale garante del presidio dell’integrità amministrativa, della trasparenza e, in ultima analisi, della legittimità decisionale. Anche per esaminare ruolo e portata dell’OIV in ambito privacy.
A normativa attuale, l’OIV è un soggetto nominato in ogni amministrazione pubblica dall’organo di indirizzo politico-amministrativo. Può essere costituito in forma collegiale con tre elementi o in forma monocratica, sempre comunque da soggetti esterni alla amministrazione e iscritti in un apposito di elenco nazionale di esperti, gestito dal Dipartimento della Funzione Pubblica.
Le competenze dell’OIV
Le principali competenze dell’OIV, che sostituisce i servizi di controllo interno già previsti dal d. lgs. n. 286/1990 e che opera in piena autonomia, attengono in particolare a:
- monitoraggio del funzionamento complessivo del sistema della valutazione, della trasparenza ed integrità dei controlli interni ed elaborazione di una relazione annuale sullo stato dello stesso, anche formulando proposte e raccomandazioni ai vertici amministrativi;
- validazione della relazione sulla performance (che deve essere improntata a sinteticità, chiarezza e immediata comprensione), preliminare all’erogazione delle risorse premiali alla compagnie;
- disamina dell’adozione e dell’aggiornamento annuale sistema di misurazione e valutazione della performance, volto a garantire la correttezza dei processi di misurazione e valutazione con particolare riferimento alla significativa differenziazione dei giudizi nonchè dell’utilizzo dei premi;
- proposta (vincolante), sulla base del sistema di misurazione e valutazione, all’organo di indirizzo politico‐amministrativo, la valutazione annuale dei dirigenti di vertice e l’attribuzione ad essi dei premi;
- supervisiona la promozione delle pari opportunità.
Integrità e trasparenza
L’OIV promuove e attesta l’assolvimento degli obblighi relativi alla trasparenza e all’integrità, interfacciandosi e tenendo conto delle indicazioni dell’ANAC anche in base al D. lgs. 33/2013 in tema di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni, che pure prevede una azione di tale organismo che è pure chiamato a esprime un parere obbligatorio preventivo sull’adozione del codice di comportamento (art. 54 del D. Lgs. 165/2001).
Applicazione linee guida
Nella sua azione, l’OIV è responsabile della corretta applicazione delle linee guida, delle metodologie e degli strumenti predisposti dal Dipartimento della funzione pubblica.
Nell’ambito del suo mandato rientra il supporto all’amministrazione sul piano metodologico e verifica la correttezza dei processi di misurazione, monitoraggio, valutazione e rendicontazione della performance organizzativa e individuale.
Diritto di accesso
La legge conferisce all’OIV, per l’esercizio dei suoi poteri, il diritto di accesso – nel rispetto della disciplina in materia di protezione dei dati personali – a tutti gli atti e documenti, nonché a tutti i sistemi informativi dell’amministrazione, ivi incluso il sistema di controllo di gestione.
Inoltre l’OIV può accedere a tutti i luoghi all’interno dell’amministrazione (e ciò implicitamente include anche il versante salute e sicurezza sul lavoro), al fine di svolgere le verifiche necessarie all’espletamento delle proprie funzioni, potendo agire anche in collaborazione con gli organismi di controllo di regolarità amministrativa e contabile dell’amministrazione.
Il caso del RPCT
Le interazioni all’interno di una P.A. sono quindi molteplici anche se in genere non specificamente definite come invece nel caso del RPCT che, ai sensi dell’art.1 punto 7 della legge 190/2012 sulla prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione, è tenuto a segnalare all’OIV le disfunzioni inerenti all’attuazione delle misure in materia di prevenzione della corruzione e di trasparenza.
L’apertura dell’OIV all’esterno
Ma l’OIV è anche aperto all’esterno e, infatti, è previsto che tenga conto anche delle risultanze delle valutazioni realizzate con il coinvolgimento dei cittadini o degli altri utenti finali per le attività e i servizi rivolti, nonché, ove presenti, dei risultati prodotti dalle indagini svolte dalle agenzie esterne di valutazione e dalle analisi condotte dai soggetti appartenenti alla rete nazionale per la valutazione delle amministrazioni pubbliche.
Poco nota, inoltre, è la facoltà dei cittadini, in forma anche individuale, di rivolgersi direttamente all’OIV in ordine al proprio grado di soddisfazione per le attività e per i servizi erogati (art, 19-bis del D. Lgs 150/2009).
Struttura permanente a supporto dell’OIV
Ad ampi poteri, corrispondono grandi responsabilità, tant’è che la norma prevede che, a supporto dell’OIV, sia costituita presso lo stesso una struttura tecnica permanente per la misurazione della performance.
Whistleblowing
In via incidentale, poi, si evidenzia che l’ANAC nelle Linee guida emanate sul whistleblowing (Delibera 311/2023, parte I – 1.2) include i “componenti degli Organismi interni di valutazione (OIV)” fra i soggetti tutelati nel settore pubblico.
Posto che un componente dell’entità che qui si approfondisce non dovrebbe, stante la sua autonomia, avere esigenza di ricorrere al whistleblowing quanto di seguire le ordinarie vie di legge (peraltro il ricorso al whistleblowing genererebbe una sorta di “ingorgo” di competenze) sarebbe opportuno un chiarimento in merito.
L’obiettivo è infatti capire se l’organismo citato nelle Linee guida anche come OIV è da intendersi come quello di cui al D.Lgs. 150/2009 oppure in quale altro Organismo.
I due ambiti cruciali per l’azione dell’OIV in ambito privacy
A fronte di questo architettura, emergono spunti di discussione su due ambiti cruciali per l’azione dell’OIV, inquadrabile per certi versi come una Funzione di controllo di quarto livello stante la sua autonomia dalla PA di riferimento.
Primo ambito
Per potersi esprimere sugli ambiti afferenti le competenze assegnate l’OIV non può che operare d’intesa con le Funzioni competenti nei diversi ambiti e quindi basarsi di norma sulle informazioni da queste prodotte.
Il fatto che abbia facoltà di accesso a tutte le informazioni e sistemi informativi implica anche che possa essere destinatario delle analisi e relazioni periodiche o meno – in particolare delle Funzioni di secondo livello – al vertice.
Una specifica norma prevede, come accennato, che il RPCT debba tenere edotto l’OIV delle disfunzioni rilevate: anche se non previsto espressamente, analogo flusso informativo dovrebbe provenire dalle funzioni di controllo di secondo e terzo livello.
Ciò avendo presente che l’OIV ha diritto di accesso a tutte le informazioni necessarie per il proprio mandato, fra cui spiccano quelle della funzione di terzo livello, l’internal auditing, in particolare la eventuale relazione periodica al vertice sulle revisioni condotte e/o quella di overall opinion sullo stato dei controli e dei rischi.
Stando così le cose, tutte le funzioni di controllo di secondo livello dovrebbero di iniziativa fornire le informazioni ritenute rilevanti all’OIV e, comunque, anche in assenza di iniziativa non potrebbero non corrispondere a un’eventuale (se non doverosa) richiesta dell’OIV che potrà così supportare le proprie analisi su una base informativa la più articolata possibile oltre agli “ordinari” confronti con le funzioni istituzionali più direttamente coinvolte con la propria attività (in primis quella competente in materia di programmazione e controllo di gestione).
In questo contesto, andrebbero esperiti contatti anche con il RPD quantomeno ai fini della conoscibilità dei riferimenti che quest’ultimo al titolare, ai sensi dell’art. 38.3 del GDPR.
Con specifico riguardo al dirigente apicale si osserva poi che egli, oltre a essere titolare del trattamento ai sensi del GDPR e datore di lavoro ai sensi del D. lgs. 81/2008 in materia di salute e in materia di tutela della salute e della sicurezza nei luoghi di lavoro (e, fra l’altro, destinatario di apposita formazione obbligatoria come regolata dal recente accordo Stato – Regioni in tema di SSL).
Si tratta di tematiche basiche che devono essere, non solo formalmente osservate.
Una valutazione sull’operato del dirigente apicale può tralasciare tali aspetti? Occorre che l’OIV si accerti (per esempio sulla base della valutazione periodica dei rischi e/o della documentazione prodotta dal RSPP al datore di lavoro e/o dalle tematiche trattate nelle riunioni periodiche in materia di siucurezza) dello stato dell’arte tenendone conto poi nelle proprie valutazioni.
Secondo ambito
Molteplici sono i dati personali che l’OIV può trovarsi a trattare: i medesimi della PA ove opera nonché di cui sia diretto destinatario da parte esterna.
Ma se così è quale può essere la qualificazione dell’OIV nell’ambito del sistema privacy di una PA standard? Atteso che i suoi poteri sono definiti dalla legge e che i dati su cui opera restano nel patrimonio informativo della PA, mentre sarebbe deleggittimante qualificare i suoi componenti come persone autorizzate al trattamento, piuttosto si potrebbe più propriamente (e come prima ipotesi) considerare tali esperti come delegati del titolare del trattamento, in linea con l’art. 2-quaterdecies del Codice privacy.
Ma con una necessaria precisazione: delegati sì ma non dal titolare, bensì delegati del titolare ex-lege (non essendo necessaria ed anzi impropria e lesiva dell’autonomia dell’OIV una specifica delega del titolare).
L’ipotesi che qui si propone (innovativa rispetto alle ordinarie classificazioni) sulla delega ex-lege potrebbe essere peraltro estesa ad altre figure in genere esterne alle organizzazioni, ma con compiti definiti dalla legge.
Proprio per tale aspetto meriterebbe una riflessione ai fini di una puntuale formalizzazione. Ad ogni modo, quale che sia l’inquadramento dell’OIV, occorre che tutti gli altri adempimenti del GDPR siano osservati, dalla definizione di eventuali trattamenti “proprietari” da inserire nel Registro alle informative (per esempio per la gestione delle segnalazioni dirette all’OIV o con riguardo al parere reso annualmente sulla valutazione annuale del dirigente di vertice).
Come si accennerà oltre, i dati personali ordinariamente conosciuti/trattati dell’OIV potrebbero in futuro aumentare in relazione all’ipotesi di riforma.
Una riflessione, necessaria, sul rapporto OIV-privacy potrebbe anche considerare eventualmente, come punto su cui incardinare la gestione delle informazioni personali trattate dagli OIV, la struttura tecnica permanente di supporto.
Per completezza, infine, lato PA occorre(rà) definire il corretto trattamento dei dati afferenti ai componenti l’OIV.
Per chiudere, si richiamano alcuni degli aspetti della potenziale riforma degli OIV di particolare rilievo:
- la nomina dei componenti i collegi che potrebbe avvenire in parte per sorteggio;
- la derubricazione di alcuni pareri vincolanti in non vincolanti (in particolare quelli connessi alla erogazione delle premialità);
- la partecipazione di un componente dell’OIV, senza diritto di voto, alle commissioni di valutazione per l’accesso ai due diversi gradi della dirigenza.
L’occasione della riforma dell’OIV
Fermo restando che occorrerà vedere se la traduzione in legge vedrà o meno delle modifiche, come prima riflessione si può ritenere che la previsione del sorteggio dei componenti dell’OIV ad esclusione del presidente (l’inserimento nell’elenco richiede competenze di un certo livello) renderebbe meno stringente il timore di alcuni dell’OIV come prigioniero dell’Ente che controlla (essendo da questo nominato). Anzi potrebbe slegare ogni apparente legame controllato-controllore e rendere più pregnante l’azione di partner strategico che è proprio dell’OIV.
L’occasione della riforma andrebbe comunque sfruttata per chiarire espressamente:
- le relazioni OIV e altre funzioni competenti in materia di rischi e controlli, ai fini dell’espletamento dell’articolato mandato;
- e, sul versante privacy, chiarire con linee o punti guida gli aspetti privacy connessi all’attività demandata all’OIV.