Il Garante e la tutela dei dati personali nella P.A

4. La tutela giuridica

4.2 Il Garante e la tutela dei dati personali nella P.A

La tutela dei dati personali è naturalmente riconosciuta anche quando colui che tratta i dati è una pubblica amministrazione alla quale in linea generale si applica il disposto dell’art. 18 del D.Lgs. 196/2003, dove viene innanzitutto stabilito che qualunque trattamento di dati personali da parte di soggetti pubblici (ad esclusione degli enti pubblici economici) è consentito soltanto per lo svolgimento delle funzioni istituzionali.

Nel trattare i dati, il soggetto pubblico osserva i presupposti e i limiti stabiliti per i trattamenti dal D.Lgs. 196/2003 stesso, anche in relazione alla diversa natura dei dati,

______________________

(118)_{D.Lgs. 30 giugno 2003, n. 196 - Art. 162. Altre fattispecie}

1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro.

2. La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro.

2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta

2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.

2-quater. La violazione del diritto di opposizione nelle forme previste dall'articolo 130, comma 3- bis, e dal relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo.

(119)_{D.Lgs. 30 giugno 2003, n. 196 - Art. 170. Inosservanza di provvedimenti del Garante}

1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

nonchè dalla legge e dai regolamenti. A meno che non si tratti di esercenti le professioni sanitarie e di organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato.

Le pubbliche amministrazioni sono comunque sottoposte alle limitazioni in tema di comunicazione e diffusione da quanto stabilito dall’art. 25(120).

L’art. 19 afferma che il trattamento da parte di un soggetto pubblico, riguardante dati diversi da quelli sensibili e giudiziari, come è appunto un indirizzo di posta elettronica, è consentito soltanto per lo svolgimento delle funzioni istituzionali, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.

La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all'art. 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata. Infine la comunicazione e la diffusione da parte di un soggetto pubblico a privati o ad enti pubblici economici sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.

______________________ (120)

D.Lgs. 30 giugno 2003, n. 196 - Art. 25. Divieti di comunicazione e diffusione

1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorità giudiziaria:

a) in riferimento a dati personali dei quali e' stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e); (cioè è decorso il tempo necessario agli scopi per i quali i dati sono stati raccolti o successivamente trattati)

b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta. 2. E' fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze

di polizia, dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

Si riporta un pronunciamento del Garante in materia di diritto di accesso(121). Il ricorrente, dipendente di un’unità sanitaria locale lamenta di non aver ricevuto positivo riscontro alla richiesta avanzata ai sensi dell’art. 13 della legge n. 675/1996, riferita al complesso dei propri dati personali detenuti dal predetto datore di lavoro. L’unità sanitaria ha fornito al Garante copia della risposta inviata all’interessato dove viene indicato il diniego all’accesso ai dati personali ai sensi del citato art. 13 ritenendo che, se esercitato nei confronti di un “organismo a rilevanza pubblica”, il diritto di accesso ai dati incontrerebbe un limite di riservatezza “in ordine ad elementi che si inseriscono in un procedimento finalizzato al perseguimento di interessi pubblici”.

L’accesso ai dati, in altre parole, secondo l’unità sanitaria locale, dovrebbe essere contemperato con “l’interesse pubblicistico alla riservatezza degli atti interni di un procedimento amministrativo”.

Il Garante ha affermato che il diritto di accedere ai dati personali del richiedente è esercitabile nei confronti di qualsiasi titolare del trattamento pubblico e privato e non è soggetto alle limitazioni ipotizzate dall’Azienda Sanitaria Locale. Gli unici limiti all’esercizio del diritto di cui all’art. 13 sono previsti dall’art. 14 della medesima legge n. 675/1996, che prevede altre esclusioni per particolari categorie di titolari del trattamento o per specifiche ipotesi espressamente individuate fra le quali non rientra quella oggetto di eccezione. In conseguenza di ciò il Garante, nell’accogliere il ricorso, ordina all’Azienda Unità Sanitaria di comunicare all’interessato i dati personali che lo riguardano.

Il diritto di accesso ai dati personali può essere esercitato nei confronti di un titolare del trattamento sia pubblico, sia privato, e non è soggetto ai limiti posti dalla legge per l'accesso ai documenti amministrativi.

______________________ (121)

Garante per la protezione dei dati personali – Diritto di accesso - L'interessato può accedere ai dati personali anche quando il titolare è soggetto pubblico, 31 gennaio 2002

Stante quanto sino ad ora detto, sono comunque molteplici le sfaccettature legate al trattamento del dato personale casella di posta elettronica da parte delle pubbliche amministrazioni, in tal senso alcuni recenti pronunciamenti del Garante pongono in evidenza alcune nuove problematiche legate alla necessità per le P.A., da un lato di attenersi alle recenti norme in materia di trasparenza dell’attività amministrativa che prevedono obblighi di pubblicazione sul sito web istituzionale delle informazioni previste dal D.Lgs. 14 marzo 2013, n. 33 (“Riordino della disciplina riguardante gli

obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”), dall’altro di fornire adeguate garanzie alla tutela dei dati personali.

Il 15 maggio 2014 il Garante ha emanato le “Linee guida in materia di

trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”(122) al fine di definire un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che i soggetti pubblici, e gli altri soggetti parimenti destinatari delle norme vigenti, sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell'azione amministrativa. Tale provvedimento sostituisce le precedenti linee in materia del 2 marzo 2011.

Secondo queste Linee guida recentemente approvate, le P.A. devono pubblicare solo dati esatti, aggiornati e contestualizzati; inoltre, prima di mettere on-line sui propri siti informazioni, atti e documenti amministrativi contenenti dati personali, le amministrazioni devono verificare che esista una norma di legge o di regolamento che ne preveda l'obbligo. Se le P.A. intendono pubblicare dati personali ulteriori rispetto a quelli individuati nel D.L.gs. 33/2013, devono procedere prima all'anonimizzazione di questi dati, evitando soluzioni che consentano l'identificazione, anche indiretta o a posteriori, dell'interessato.

______________________

(122)_{Garante per la protezione dei dati personali – Linee guida in materia di trattamento di dati} personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati - Registro dei provvedimenti n. 243 del 15 maggio 2014

Nelle linee guida viene evidenziata inoltre la necessità di pubblicazione di dati pertinenti e non eccedenti, ad esempio, con riguardo alla pubblicità degli esiti di prove concorsuali o graduatorie, non possono formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (come l’indirizzo di posta elettronica). Inoltre viene ulteriormente ricordato che è illecito, ad esempio, riutilizzare a fini di marketing o di propaganda elettorale i recapiti e gli indirizzi di posta elettronica del personale della P.A. oggetto di pubblicazione obbligatoria, in quanto tale ulteriore trattamento deve ritenersi incompatibile con le originarie finalità di trasparenza per le quali i dati sono resi pubblicamente disponibili. Lo scopo perseguito dalle disposizioni che impongono la pubblicazione dei dati del personale, infatti, seppure non espressamente indicato, è quello di aiutare ad individuare i soggetti e i recapiti da contattare per presentare istanze o ottenere informazioni relative a procedimenti di competenza delle pubbliche amministrazioni (es. il responsabile del procedimento nel D.Lgs. n. 33/2013).

Il Garante, con riferimento alla posta elettronica certificata, ha espresso parere favorevole sullo schema di provvedimento richiesto da DigitPa recante regole tecniche volte a disciplinare le modalità di consultazione ed estrazione di indirizzi e di elenchi di indirizzi di posta elettronica certificata, da parte delle pubbliche amministrazioni, di cui agli artt. 16 comma 10 e 16-bis comma 5 del D.L. n. 185/2008, convertito con modificazioni dalla Legge n. 2/2009(123). Il parere favorevole è stato emesso dopo il recepimento, da parte di DigitPa, degli aspetti relativi:

- all'effettiva osservanza dei principi di finalità e pertinenza dei dati trattati di cui all'art. 11, comma 1, lettere b) e c) del Codice in materia di protezione dei dati personali;

- all'esatta delimitazione della sfera soggettiva e oggettiva di applicazione del provvedimento;

- alle modalità di realizzazione del flusso informativo tra i soggetti coinvolti e agli obblighi cui questi ultimi sono tenuti;

______________________

(123)_{Garante per la protezione dei dati personali - DigitPA: regole tecniche per la consultazione ed} estrazione di indirizzi e di elenchi di indirizzi di posta elettronica certificata (PEC) di cittadini, imprese e professionisti, da parte della pubblica amministrazione. Registro dei provvedimenti n. 151 del 21 aprile 2011 (Rif: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1807547)

100

- alle misure di sicurezza necessarie e in particolare al tracciamento delle richieste di accesso e delle operazioni eseguite.

Tali regole tecniche, per la consultazione ed estrazione di indirizzi p.e.c. ed elenchi di indirizzi p.e.c. di cui all’art. 6 comma 1‐bis del C.A.D., ottenuto il parere favorevole del Garante, sono state emanate da DigitPA il 22 Aprile 2011(124). Tale disposizione che regolamenta le modalità di consultazione degli indirizzi P.E.C. di cittadini, imprese e professionisti e di estrazione degli elenchi dei medesimi indirizzi, acquisisce particolarmente rilevanza in quanto consente alle P.A. di accedere a tali informazioni.

In merito alla protezione del dato personale domicilio digitale, essendo in ogni caso un indirizzo di posta elettronica, ad esso dovranno certamente applicarsi tutte le tutele su dette. Inoltre, trattandosi di un indirizzo di posta elettronica certificata rilasciato ai sensi dell’art. 16-bis comma 5 del D.L. 185/2008, ad esso si applicano le ulteriori tutele previste in materia di consultazione da parte delle P.A..

Il servizio di Postacertificat@, ad oggi, fornisce sul suo sito(125) indicazioni in merito alle modalità con cui le pubbliche amministrazioni possono consultare gli indirizzari centralizzati dei cittadini e delle P.A. che dispongono di una casella di Postacertificat@.

Stante che il domicilio digitale troverà collocazione nell’A.N.P.R., il Garante, in data 24 aprile 2013, ha espresso il parere di competenza(126) su uno schema di decreto recante disposizioni “di prima attuazione” dell’A.N.P.R. (art. 62 C.A.D.). Tale schema precisava che con successivi decreti (da adottarsi ai sensi del medesimo art. 62, comma 6 C.A.D.), si sarebbero disciplinate le ulteriori modalità di attuazione della disposizione normativa in questione, anche con riferimento al subentro dell'A.N.P.R. alle Anagrafi

______________________

(124)_{Le regole tecniche per la consultazione ed estrazione di indirizzi PEC ed elenchi di indirizzi PEC di} cui all’art. 6 comma 1‐bis del CAD sono disponibili all’indirizzo:

http://archivio.digitpa.gov.it/sites/default/files/Regole_tecniche _estrazione_PEC_rev_AGDP_4-2.pdf (125)_{Postacertificat@, Indirizzari Cittadini e Pubblica Amministrazione}

(Rif: https://www.postacertificata. gov.it/guida_pa/accesso-agli-indirizzari-cittadini-e-pa.dot)

(126) _{Parere del Garante su uno schema di decreto recante disposizioni per la prima applicazione} dell'articolo 62 del decreto legislativo 82/2005, che istituisce presso il Ministero dell'interno l'Anagrafe nazionale della popolazione residente - 24 aprile 2013. Registro dei provvedimenti n. 216 del 24 aprile 2013 (Rif: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2448700)

101

Comunali, alle relative misure di sicurezza e alle specifiche tecniche concernenti l'organizzazione e il flusso dei dati. Il Garante, nell'esprimere il parere sullo schema, si era riservato di valutare i sistemi e le misure di sicurezza relativi alle successive fasi del progetto di attuazione. Lo schema del decreto, poi approvato, è divenuto il D.P.C.M. 23 agosto 2013, n. 109. Un più recente parere(127), richiesto al Garante, su uno schema di regolamento in materia di Anagrafe Nazionale della Popolazione Residente, non tratta la specificità del domicilio digitale.

Nel documento Il domicilio digitale può facilitare l'interazione tra il cittadino e la P.A.? (pagine 101-107)