3. IL RUOLO DEL GARANTE DELLA PRIVACY. PRIVACY E TRASPARENZA, TRA NORME DI LEGGE E LE NUOVE LINEE GUIDA DEL GARANTE

33  Download (0)

Full text

(1)

3.

IL RUOLO DEL GARANTE DELLA PRIVACY.

PRIVACY E TRASPARENZA, TRA NORME DI LEGGE

E LE NUOVE LINEE GUIDA DEL GARANTE

SOMMARIO: 3.1 La composizione interna dell’organo di vigilanza - 3.2 Compiti del Garante in materia di trattamento dei dati personali e sensibili - 3.3 Le nuove linee guida emanate del Garante e il loro contrasto con il D.Lgs 33/2013 - 3.4 Gli obblighi di pubblicità degli atti per finalità diverse dalla trasparenza - 3.5 Tra-sparenza e privacy, le due facce della stessa medaglia - 3.6 Gli open data quali strumenti utili e necessari per comprendere la naturale coesistenza tra privacy e trasparenza

3.1 La composizione interna dell’organo di vigilanza

Dopo lʼemanazione della Legge sulla privacy (675/96) nacque lʼesigenza di creare un organo collegiale imparziale e con una propria soggettività giu-ridica; un ente che garantisse la supervisione della materia di protezione dei dati personali e non solo.

Lʼautorità garante, creata dal Parlamento nel 1997, nacque con lʼobiettivo di rispondere alle esigenze di chiarimenti della società in merito alla prote-zione dei dati personali; uno dei compiti più difficili per il garante è, infatti, quello di comunicare lʼesattezza della normativa alla collettività.

Per svolgere al meglio la comunicazione allʼesterno, questi si avvale di bollettini che raccolgono provvedimenti e risposte ai quesiti dei media e de-gli organi di stampa che si pongono come obiettivo la corretta divulgazione attraverso le proprie testate giornalistiche degli approfondimenti inviati setti-manalmente dal garante.

Al fine di ottimizzare ulteriormente la promozione informativa, è stato realizzato il sito web del garante29, anch’esso aggiornato periodicamente.

L’Autorità è un organo collegiale, composto da quattro membri30 eletti dal

29 Sito web www.garanteprivacy.it

30 La nomina di Antonello Soro e di Giovanna Bianchi Clerici è stata comunicata dalla Camera dei Deputati al

Garante per la protezione dei dati personali in data 6 giugno 2012; la nomina di Augusta Iannini e di Licia Califano è stata comunicata dal Senato della Repubblica al Garante per la protezione dei dati personali in data 8 giugno 2012

(2)

Parlamento, i quali rimangono in carica per un mandato di sette anni non rinno-vabile. L’attuale Collegio è stato eletto dal Parlamento (ai sensi dell’art. 153, comma 2 del Codice) il 6 giugno 2012 e si è insediato 19 giugno 2012.

3.2 Compiti del Garante in materia di trattamento dei dati personali e sensibili

Il Garante, con l’entrata in vigore della Legge 675/1996, è intervenuto più volte soprattutto in situazioni in cui la normativa della privacy si occupa di casi particolari che, con il diffondersi delle tecnologie, cresciute in modo esponenziale, hanno messo in evidenza notevoli lacune normative; per questo motivo, l’autorità ha dovuto evolversi per continuare a far sì che la normativa venisse rispettata.

Si pensi ad esempio alle segnalazioni, ai reclami, alle ispezioni e ai con-trolli, alle autorizzazioni generali ed individuali per il trattamento di dati sen-sibili, alla creazione del registro generale dei trattamenti in cui sono archiviate le notifiche, all’organizzazione e al funzionamento dell’ufficio, alla predispo-sizione di un proprio codice etico, ai rapporti con i media e ai bollettini volti alla divulgazione degli aspetti trattati dall’autorità.

Gli adempimenti principali che permettono al garante e ai terzi di conoscere come un’azienda o un ente gestisca dati sensibili sono: la notificazione all’au-torità garante, l’informativa all’interessato, la raccolta dei consensi, la suddivi-sione dei compiti con l’attribuzione delle relative responsabilità all’interno delle organizzazione del titolare e l’adozione di ben determinate misure di sicurezza.

3.2.1 La notificazione

Analizziamo, ora, i singoli istituti. La notificazione, ex art. 37 e seguenti del Codice, è una comunicazione ufficiale che il titolare del trattamento deve

(3)

inviare per via telematica al Garante. Con essa si comunica l’esistenza di un’attività di raccolta e utilizzazione di dati personali e informazioni sul tipo di trattamento svolto; deve essere inviata al Garante qualora il titolare effettui il trattamento di:

a) dati biometrici o genetici;

b) dati che rilevano la posizione geografica di persone o oggetti median-te mezzi di comunicazione elettronica;

c) dati che rilevano la vita sessuale e lo stato di salute di un soggetto (come in caso di prestazione di servizi sanitari per via telematica re-lativi a banche dati o alla fornitura di beni, indagini epidemiologiche, rilevazioni di malattie mentali, infettive e diffusive, coma la sieropo-sitività, il trapianto di organi e tessuti ed infine il monitoraggio della spesa sanitaria);

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il pro-filo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazio-ne elettronica con esclusiocomunicazio-ne dei trattamenti tecnicamente indispen-sabili per fornire i servizi medesimi agli utenti.

e) dati sensibili registrati in banche dati a fini di selezione del personale per conto di terzi, nonché dati sensibili utilizzati per sondaggi di opi-nione, ricerche di mercato e altre ricerche campionarie; dati registra-ti in apposite banche daregistra-ti gesregistra-tite con strumenregistra-ti elettronici e relaregistra-tive al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti e infine dati concernenti l’ubicazione di persone o oggetti mediante una rete di comunicazione elettronica.

Ai sensi dell’articolo 38, primo comma, D.Lgs. 196/2003, la notificazio-ne deve essere presentata anche una sola volta, anteriormente all’inizio del

(4)

trattamento, indipendentemente dalla durata e dal numero delle operazioni e può riguardare una o più finalità correlate.

Una nuova notificazione è necessaria solo qualora vi sia la cessazione del trattamento o si assista ad una variazione di uno o più elementi, da indicare, quindi, nella notificazione stessa.

3.2.2 L’informativa

L’informativa, ex art. 13, è la comunicazione con la quale il titolare del trattamento informa l’interessato del trattamento e può essere svolta in forma orale o scritta. Il titolare deve illustrare all’interessato la finalità e le moda-lità del trattamento dei dati, il loro ambito di comunicazione e diffusione, eventuali conseguenze di un rifiuto del conferimento, eventuale trasferimento all’esterno dei dati, i diritti dell’interessato, indicazioni del titolare, l’indica-zione del responsabile individuato o di quello designato per l’esercizio dei diritti dell’interessato, l’indicazione degli Incaricati che compiono le opera-zioni di trattamento. L’informativa va resa nota al responsabile al momento della raccolta dei suoi dati.

La raccolta del consenso, secondo l’art. 23 del Codice quindi, non può es-sere effettuata senza il consenso del titolare, che deve eses-sere, esplicito, libero e documentato per iscritto. Con esso l’interessato da l’autorizzazione in senso generale al trattamento dei suoi dati. La mancanza del consenso comporta sanzioni penali e amministrative, ferma restando la responsabilità civile del titolare in caso di accertamento del danno derivante da illecito trattamento.

L’articolo 24 del D.Lgs. 196/2003 raccoglie i casi in cui non vi è bisogno di chiedere il consenso per il trattamento; tra questi è bene ricordare quelli de-finiti nel comma e, a mente del quale “il consenso non è richiesto quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può

(5)

prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2”.

3.2.3 Le autorizzazioni

Un aspetto molto importante dell’attività dell’autorità garante è il rilascio delle autorizzazioni per il trattamento dei dati sensibili e giudiziari (ex art. 40 e 41 del Codice), nonché per il trasferimento dei dati all’estero (Titolo VII, art. 42 e seguenti). Il compito correlato al rilascio delle autorizzazioni consi-ste nel valutare se la richiesta fatta dal responsabile, in merito a un trattamen-to dati, sia idonea o meno. Secondo l’art. 41 del Codice, infatti, “il titrattamen-tolare del trattamento che rientra nell’ambito di applicazione di un’autorizzazione rilasciata ai sensi dell’articolo 40 non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende effettuare è conforme alle relative prescrizioni”.

Se una richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi dell’articolo 40, il Garante può provvedere comunque sulla richiesta se le specifiche modalità del trattamento lo giustificano. L’eventuale richiesta di auto-rizzazione è formulata utilizzando esclusivamente il modello predisposto e reso disponibile dal Garante e trasmessa a quest’ultimo per via telematica, osservan-do le modalità di sottoscrizione e conferma del ricevimento di cui all’articolo 38, comma 2. La medesima richiesta e l’autorizzazione possono essere trasmesse anche mediante telefax o lettera raccomandata (ex art. 41, comma 2 e 3).

Per concludere, l’articolo 42, Trasferimenti all’interno dell’Unione

eu-ropea, cita testualmente: “Le disposizioni del presente codice non possono

(6)

dei dati personali fra gli Stati membri dell’Unione europea, fatta salva l’ado-zione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni”.

3.2.4 Il web e il perenne conflitto in termini con la tutela della riservatezza

La tutela alla riservatezza non si limita solo al rispetto dei principi di cor-rettezza e liceità delle singole operazioni del trattamento eseguite dai rispetti-vi titolari ma, si estende sino a ricomprendere sistemi tecnici, organizzatirispetti-vi e logistici che consentano una effettiva e concreta protezione della sfera privata dell’interessato.

La crescita esponenziale di internet e l’evoluzione di mezzi tecnologici sofisticati hanno fatto sì che la trasmissione dei dati possa avvenire senza alcuna limitazione territoriale, mettendo così a rischio la loro effettiva, sicura archiviazione.

I nuovi mezzi di comunicazione legati alla rete internet sono quindi molto rischiosi, in quanto permettono l’interferenza da parti di terzi, in mancanza di precise procedure ed aggiornati criteri di sicurezza, nella sfera persona dell’individuo.

L’adozione di idonee misure di sicurezza è strettamente correlata con la riduzione dei costi, che il titolare dovrebbe sostenere al verificarsi dell’al-terazione o della divulgazione di dati personali, spesso di natura sensibile. Deve, pertanto, svilupparsi una maggiore conoscenza della sicurezza ed una sensibilizzazione al trattamento attraverso la pianificazione di un budget di spesa dedicato agli aggiornamenti e alla configurazione di sistemi informatici idonei. L’adozione di aggiornate misure di sicurezza deve essere garantita dal momento della pianificazione di un trattamento e sin dalla sua concreta esecu-zione. Il legislatore italiano ha individuato alcune regole di base, considerate minime e definite nel D.Lgs. 196/2003.

(7)

3.2.5 I doveri del Garante

Il Garante deve controllare, così come definito nell’art. 154 del Codice, che i trattamenti dei dati sensibili vengano effettuati nel rispetto della disci-plina e in conformità alla notificazione anche in caso di cessazione dei trat-tamenti. Deve esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o alle associazioni che li rappresentino. Questa attività ha luogo in quanto il Garante riceve reclami da singoli privati, da associazioni di consumatori che lo avvisano della non osservanza della nor-mativa.

Deve prescrivere anche d’ufficio ai titolari del trattamento le misure ne-cessarie o opportune al fine di rendere il trattamento lecito qualora vengano segnalati reclami. Deve vietare anche d’ufficio, in tutto o in parte, il tratta-mento illecito o non corretto dei dati o disporne il blocco, ovvero emettere blocchi correttivi. Segnalare al parlamento e al governo l’opportunità di pro-cedere con interventi normativi per far si che i diritti di libertà, dignità, riser-vatezza e protezione dei dati vengano rispettati. Deve inoltre esprimere pareri qualora vengano lui richiesti.

Ma, soprattutto, deve diffondere la conoscenza tra l’utenza della discipli-na rilevante in materia di trattamento dei dati persodiscipli-nali e delle relative fidiscipli-nali- finali-tà, nonché delle misure di sicurezza dei dati.

Si occupa di denunciare i fatti configurabili come reati perseguibili d’uf-ficio, dei quali viene a conoscenza nell’esercizio o a causa delle proprie fun-zioni. Tiene il registro dei trattamenti formato sulla base delle notificazioni e promuove il codice di deontologia e buona condotta.

Annualmente il Garante è tenuto a predisporre una relazione sull’attività svolta e sullo stato di attuazione del presente codice, che viene trasmessa al parlamento e al governo entro il 30 Aprile dell’anno successivo a quello cui si riferisce.

(8)

Deve inoltre svolgere la funzione di controllo e assistenza in materia di trattamento dei dati personali prevista dalle leggi di ratifica di accordi o con-venzioni internazionali o da regolamenti comunitari.

In particolare, il Garante deve aggiungere ai compiti appena espressi, il dovere di modifica, di ratifica e di esecuzione dei protocolli e degli accordi di adesione all’accordo di Schengen31 non che alla relativa convenzione di applicazione e alle successive modificazioni, di ratifica ed esecuzione della convenzione istitutiva dell’Ufficio europeo di polizia (Europol) e alle suc-cessive modificazioni, di ratifica ed esecuzione, della convenzione sull’uso dell’informatica nel settore doganale.

Deve inoltre attenersi al regolamento CE n. 2725/2000 del Consiglio, dell’11 dicembre 2000, che istituisce l’Eurodac per il confronto delle impron-te digitali e per l’efficace applicazione della convenzione di Dublino.

Il Garante coopera con altre autorità amministrative indipendenti nello svolgimento dei rispettivi compiti. A tale fine, può anche invitare rappresen-tanti di un’altra autorità a partecipare alle proprie riunioni, o essere invitato alle riunioni di altre autorità, prendendo parte alla discussione di argomenti di comune interesse ove può richiedere, altre sì, la collaborazione di personale specializzato addetto.

3.2.6 L’iter procedimentale seguito dal Garante per il controllo circa la corretta applicazione della Legge sulla privacy

La funzione del Garante si esplica attraverso interventi di carattere

ini-31 Complesso di accordi volti a favorire la libera circolazione dei cittadini e la lotta alla criminalità organizzata

all’interno dell’(UE) mediante l’abbattimento delle frontiere interne tra gli Stati partecipanti e la costituzione di un sistema comune di controllo alle frontiere esterne dell’UE. A un primo accordo siglato a Schengen nel 1985 da Bel-gio, Francia, Germania, Lussemburgo e Paesi Bassi, ha fatto seguito una Convenzione di attuazione (1990), entrata in vigore nel 1995. Ulteriori accordi hanno permesso l’adesione al sistema degli altri Stati dell’UE (l’accordo di adesione dell’Italia è del 1990), tranne Regno Unito e Irlanda. Con il Trattato di Amsterdam (1997, entrato in vigore nel 1999) le norme e le strutture previste dagli accordi sono state integrate nel diritto dell’Unione Europea.

(9)

bitorio, cautelare o sanzionatorio finalizzati alla risoluzione dei conflitti fra l’interessato ed il titolare del trattamento; funzione che può essere attivata d’ufficio o a seguito di una segnalazione o di un reclamo. Questi poteri sono perciò indirizzati alla prevenzione e alla repressione di illeciti in materia e possono essere esercitati tanto su un intero trattamento quanto ad una sua parte soltanto di esso.

L’articolo 157 del D.Lgs 196/2003 stabilisce che il Garante possa ri-chiedere al titolare, al responsabile, all’interessato e anche a soggetti terzi di fornire informazioni e di esibire documenti. È questa una prima modalità di verifica della corretta applicazione della Legge sulla privacy, volta ad acqui-sire primi elementi di valutazione che possono essere sufficienti a indurre il garante a procedere verso controlli più specifici e circostanziati, che si espli-cano in accertamenti ed ispezioni, nonché ad accessi a banche dati. Viceversa, è possibile che, a seguito di accertamenti, il garante possa richiedere l’esibi-zione di documental’esibi-zione o il rilascio di altre informazioni.

L’accesso alle banche dati, le ispezioni e le verifiche possono essere ese-guite informando il titolare o il responsabile o, se è assente o non nominato, anche gli incaricati del trattamento. Il personale d’Ufficio deve essere munito di documento di riconoscimento e può essere assistito da consulenti. Possono essere estratte copie di documenti, anche a campioni e su supporto informa-tico o per via telematica. Al termine delle operazioni di accertamenti sarà re-datto un verbale riportante i risultati dell’ispezione e anche eventuali dichia-razioni dei presenti. Una volta terminato l’accertamento, il Garante rileva la violazione della normativa, e se sussistono elementi probatori del trattamento illecito e non conforme al Codice, indica al responsabile o al titolare le misure modificative o integrative a correzione e ne verifica la successiva adozione. Se l’accertamento è stato richiesto dall’interessato, il garante provvederà a comunicargli l’esito dell’accertamento.

(10)

3.3 Le nuove linee guida emanate del Garante e il loro contrasto con il D.Lgs 33/2013

Allo scopo di contemperare le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità delle persone, il Garante

privacy ha individuato un quadro organico e unitario di cautele e misure che

le pubbliche amministrazioni devono adottare quando diffondono sui loro siti

web dati personali dei cittadini. Le Linee guida, emanate alla luce del recente

D.Lgs 33/2013, riguardano sia la pubblicazione di dati e documenti che le PA devono mettere online per finalità di trasparenza, sia di quelli finalizzati a ga-rantire altri obblighi di pubblicità degli atti amministrativi (es. pubblicazioni matrimoniali, deliberazioni sull’albo pretorio online, avviso di deposito delle cartelle esattoriali ecc.). Su tali Linee guida il Garante ha sentito il Diparti-mento della funzione pubblica, l’Autorità nazionale anti corruzione (ANAC), ex CIVIT, e l’Agenzia digitale.

Le recenti modifiche legislative in materia di pubblicità e trasparenza della pubblica amministrazione, da ultimo proprio il D.Lgs. 14 marzo 2013, n. 33, hanno reso necessario un intervento del Garante diretto ad assicura-re l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web previsti dalle di-sposizioni di riferimento.

Le linee guida hanno, pertanto, lo scopo di definire un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che i soggetti pub-blici e gli altri soggetti parimenti destinatari delle norme vigenti, sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa. Pertanto, il provvedimento sostituisce le precedenti “Linee guida in materia di trattamento di dati personali

(11)

contenu-ti anche in atcontenu-ti e documencontenu-ti amministracontenu-tivi, effettuato da soggetcontenu-ti pubblici per finalità di pubblicazione e diffusione sul web” del 2 marzo 2011.

3.3.1 Il rispetto del principio di necessità, di pertinenza e di non eccedenza

In via preliminare, vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (es. pubblicità legale).

In particolare, gli obblighi di pubblicazione online di dati per finalità di “trasparenza” sono quelli indicati nel D.Lgs. n. 33/2013 e nella normativa vigente in materia avente a oggetto le “informazioni concernenti l’organiz-zazione e l’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche”.

Accanto a questi obblighi di pubblicazione permangono altri obblighi di pubblicità online di dati, informazioni e documenti della PA – contenuti in speci-fiche disposizioni di settore diverse da quelle approvate in materia di trasparenza – come, fra l’altro, quelli volti a far conoscere l’azione amministrativa in rela-zione al rispetto dei principi di legittimità e correttezza, o quelli atti a garantire la pubblicità legale degli atti amministrativi (es. pubblicità integrativa dell’ef-ficacia, dichiarativa, notizia). Si pensi, a titolo meramente esemplificativo, alle pubblicazioni ufficiali dello Stato, alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti locali (oppure su analoghi albi di altri enti, come ad esempio le ASL), alle pubblicazioni matrimoniali, alla pubblicazione degli atti concernenti il cambiamento del nome, alla pubblica-zione della comunicapubblica-zione di avviso deposito delle cartelle esattoriali a persone irreperibili, ai casi di pubblicazione dei ruoli annuali tributari dei consorzi di bo-nifica, alla pubblicazione dell’elenco dei giudici popolari di corte d’assise, ecc.

(12)

In tutti i casi, indipendentemente dalla finalità perseguita, laddove la pub-blicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la digni-tà dell’interessato, con particolare riferimento alla riservatezza, all’identidigni-tà personale e al diritto alla protezione dei dati personali (art. 2 del Codice).

In tale quadro, è opportuno evidenziare che le decisioni, assunte dalle amministrazioni pubbliche o dagli altri soggetti onerati, in ordine all’attua-zione degli obblighi di pubblicità sui siti web istituzionali di informazioni, atti e documenti contenenti dati personali sono oggetto di sindacato da parte del Garante della privacy al fine di verificare che siano rispettati i principi in materia di protezione dei dati personali.

Si fa presente, altre sì, che la diffusione di dati personali da parte dei soggetti pubblici effettuato in mancanza di idonei presupposti normativi è sanzionata ai sensi degli articoli 162, comma 2-bis, e 167 del Codice.

Inoltre, l’interessato che ritenga di aver subito un danno – anche non patrimoniale – in particolare per effetto della diffusione di dati personali, può far valere le proprie pretese risarcitorie, ove ne ricorrano i presupposti, davan-ti all’autorità giudiziaria ordinaria (art. 15 del Codice).

3.3.2 I principi alla base delle nuove linee guida

Prima di addentrarci nell’analisi dei vari aspetti trattati dalle nuove linee guida del Garante, emanate nel Maggio 2014, occorre fare una breve premes-sa circa i principi generali promossi dalle stesse linee guida.

Le PA devono pubblicare solo dati esatti, aggiornati e contestualizzati. Prima di mettere online sui propri siti informazioni, atti e documenti ammi-nistrativi contenenti dati personali, le amministrazioni devono verificare che esista una norma di legge o di regolamento che ne preveda l’obbligo.

(13)

Le PA devono pubblicare online solo dati la cui pubblicazione risulti re-almente necessaria. È sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale. I dati sensibili (etnia, religione, appartenenze politiche ecc.) possono essere diffusi solo laddove siano indispensabili al perseguimen-to delle finalità di rilevante interesse pubblico.

Occorre adottare misure per impedire la indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro riutilizzo.

Qualora le PA intendano pubblicare dati personali ulteriori rispetto a quel-li individuati nel D.Lgs. n.33, devono procedere prima all’anonimizzazione di questi, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

3.3.3 L’Open data e il riutilizzo dei dati

Gli articoli 4 e 7 del D.Lgs. n. 33/2013 stabiliscono che il riutilizzo dei dati personali pubblicati è soggetto alle condizioni e ai limiti previsti dalla di-sciplina sulla protezione dei dati personali e dalle specifiche disposizioni del D.Lgs. del 24 gennaio 2006 n. 36 di recepimento della direttiva 2003/98/CE sul riutilizzo dell’informazione del settore pubblico32. Tale direttiva è stata oggetto di recente revisione (v. direttiva 2013/37/UE entrata in vigore dopo l’approvazione del Decreto legislativo sulla trasparenza).

Con la modifica della predetta direttiva, l’Unione europea conferma il principio, da ritenersi ormai consolidato in ambito europeo, in base al quale il riutilizzo di tali documenti non deve pregiudicare il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali fissato dalle di-sposizioni di diritto europeo e nazionale in materia33. In particolare, le nuove

32 Direttiva 17 novembre 2003, 2003/98/CE del Parlamento Europeo e del Consiglio relativa al riutilizzo

dell’in-formazione del settore pubblico.

33 Art. 1, par. 4, dir. 2003/98/CE, come modificato dall’art. 1, par. 1, lett. c), dir. 2013/37/UE; cfr. art. 4, comma 1,

(14)

disposizioni della direttiva introducono specifiche eccezioni al riutilizzo fon-date sui principi di protezione dei dati, prevedendo che una serie di documenti del settore pubblico contenenti tale tipologia di informazioni siano sottratti al riuso anche qualora siano liberamente accessibili online.

Ciò significa che il principio generale del libero riutilizzo di documen-ti contenendocumen-ti dadocumen-ti pubblici34, stabilito dalla disciplina nazionale ed europea, riguarda essenzialmente documenti che non contengono dati personali o, ri-guarda dati personali opportunamente aggregati e resi anonimi.

In altri termini, il semplice fatto che informazioni personali siano rese pubblicamente conoscibili online per finalità di trasparenza non comporta che le stesse siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, bensì impone al soggetto chiamato a dare attuazione agli obblighi di pubbli-cazione sul proprio sito web istituzionale di determinare – qualora intenda rendere i dati riutilizzabili – se, per quali finalità e secondo quali limiti e condizioni eventuali utilizzi ulteriori dei dati personali resi pubblici possano ritenersi leciti alla luce del “principio di finalità” e degli altri principi di ma-trice europea in materia di protezione dei dati personali.

In particolare, in attuazione del principio di finalità di cui all’articolo 11 del Codice, il riutilizzo dei dati personali conoscibili da chiunque sulla base delle previsioni del D.Lgs. n. 33/2013 non può essere consentito “in termini incompatibili” con gli scopi originari per i quali i medesimi dati sono resi

34 Per dati pubblici si intendono dati conoscibili da chiunque (art. 1, comma 1, lett. n), del CAD), ma come,

peraltro, specificato anche nelle Linee guida nazionali per la valorizzazione del patrimonio in- formativo pubblico dell’AgID, cit., par. 3.3, pag. 28 «Il concetto di dato pubblico esclude, in linea generale, i dati personali per i quali trovano applicazione le norme del “Codice in materia di protezione dei dati personali” (i.e., D.Lgs. n. 196/2003 e deliberazione n. 88/2011 dell’Autorità Garante per la protezione dei dati personali). Laddove, in un contesto informativo, il dato pubblico contiene riferimenti o è collegato a dati personali trova applicazione il comma 5 dell’articolo 2 del CAD “Le disposizioni del presente codice si applicano nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del codice in materia di protezione dei dati personali approvato con Decreto legislativo 30 giugno 2003, n. 196. I cittadini e le imprese hanno, comunque, diritto ad ottenere che il trattamento dei dati effettuato mediante l’uso di tecnologie telematiche sia conformato al rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato” o altre norme specifiche che consentono la pubblicazione di certe tipologie di informazioni, come ad esempio le norme sulla trasparenza come prima descritto (D.Lgs. n. 33/2013)».

(15)

accessibili pubblicamente (art. 7 del D.Lgs. n. 33/2013, art. 6, comma 1, lett. b, direttiva 95/46/CE; art. 11, comma 1, lett. b, del Codice)35.

Pertanto, al fine di evitare di perdere il controllo sui dati personali pubbli-cati online in attuazione degli obblighi di trasparenza e di ridurre i rischi di loro usi indebiti, è quindi in primo luogo opportuno che le pubbliche amministrazio-ni e gli altri soggetti chiamati a dare attuazione agli obblighi di pubblicazione di cui al D.Lgs. n. 33/2013 inseriscano nella sezione denominata “Amministra-zione trasparente” dei propri siti web istituzionali un Alert generale con cui si informi il pubblico che i dati personali pubblicati sono “riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (diretti-va comunitaria 2003/98/CE e D.Lgs. 36/2006 di recepimento della stessa), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali”.

3.3.4 I limiti al riutilizzo dei dati

Al riguardo, si rappresenta che una volta effettuata la pubblicazione on-line dei dati personali prevista dalla normativa in materia di trasparenza, il soggetto pubblico possa rendere riutilizzabili tali dati o accogliere eventuali richieste di riutilizzo degli stessi da parte di terzi solamente dopo avere effet-tuato una rigorosa valutazione d’impatto in materia di protezione dei dati, al fine di ridurre il rischio di perdere il controllo sulle medesime informazioni o di dover far fronte a richieste di risarcimento del danno da parte degli interes-sati. Tale valutazione, quindi, deve essere volta a:

a) stabilire se è lecito, alla luce dell’esistenza di un presupposto nor-mativo idoneo, che i dati personali pubblicamente accessibili sui siti

35 Per valutare se i dati personali pubblicamente disponibili online possono essere utilizzati per ulteriori scopi in

termini compatibili con quelli originari, si vedano gli elementi condivisi in ambito europeo ed elaborati dal Gruppo Art. 29 nel Parere n. 3/2013 sul principio di limitazione della finalità

(16)

web istituzionali possano essere riutilizzati da terzi e per scopi

ulte-riori (art. 11, comma 1, lett. a e b del Codice)36;

b) verificare, in caso di valutazione positiva, se l’utilizzo ulteriore di questi dati possa essere consentito:

– limitatamente ai dati rielaborati in forma anonima e aggregata, individuando il livello appropriato di aggregazione e la specifica tecnica di anonimizzazione da utilizzare sulla base di una ponde-rata valutazione del rischio di re-identificazione degli interessati oppure rispetto a tutti o soltanto ad alcuni dei dati personali resi pubblici (cfr. artt. 3 e 11, lett. d, del Codice);

– per qualsiasi scopo ulteriore o solo per taluni scopi determinati (art. 11, comma 1, lett. b, del Codice);

– secondo modalità di messa a disposizione online conformi ai principi di necessità, proporzionalità e pertinenza (artt. 3 e 11 del

Codice)37;

– a condizione che gli utilizzatori adottino modalità tecniche e ri-spettino specifici vincoli giuridici definiti in apposite licenze pre-disposte al fine di individuare idonee cautele per tutelare i diritti degli interessati nei successivi trattamenti di dati a fini di riutilizzo.

36 Al riguardo, il mero rinvio alla disciplina generale sul riutilizzo dei dati pubblici (D.Lgs. n. 36/2006 e dir.

2003/98/CE) non può costituire una base giuridica idonea a consentire il riutilizzo dei dati personali contenuti nei documenti degli organismi pubblici, essendo, invece, necessario verificare non solo se esiste una norma di settore che preveda specificamente la diffusione al pubblico di tali informa- zioni, ma anche se e in quali termini in base a tale previsione sia consentito qualsiasi ulteriore trattamento (v. art. 7 del D.Lgs. n. 33/2013 e cfr. Gruppo Art. 29, Parere n. 6/2013, cit., specie sez. IV e par. 7.5, Pare- re n. 3/2013, cit., specie sez. III.2, e All. n. 2).

37 Ciò sulla base di una rigorosa ponderazione dei rischi di utilizzi impropri e degli effetti negativi che possono

derivare agli interessati, tenuto conto delle tipologie di informazioni oggetto di successivo trattamento, delle finalità per le quali esso può essere effettuato, delle categorie di potenziali utilizzatori e degli strumenti utilizzabili. Si fa riferimento in particolare all’adozione di accorgimenti tecnici e giuridici di messa a disposizione dei dati che garan-tiscano, fra l’altro, l’esattezza e l’aggiornamento delle informazioni rese disponibili, l’ulteriore utilizzo dei dati per finalità e con modalità compatibili con lo scopo iniziale della pubblicazione, la messa a disposizione dei dati per un periodo di tempo limitato e la loro tempestiva cancellazione una volta trascorso tale periodo, nonché l’esercizio dei diritti dell’interessato (com- preso il diritto di chiederne la rettifica, l’aggiornamento o la cancellazione) riguardo ai dati personali resi disponibili per il riutilizzo (art. 6 della direttiva 95/46/CE; artt. 3 e 11, del Codice. Cfr. Gruppo Art. 29, Parere n. 6/2013, cit., sez. VII).

(17)

All’interno del quadro generale delineato, è illecito, ad esempio, riuti-lizzare a fini di marketing o di propaganda elettorale i recapiti e gli indirizzi di posta elettronica del personale della PA oggetto di pubblicazione obbliga-toria, in quanto tale ulteriore trattamento deve ritenersi incompatibile con le originarie finalità di trasparenza per le quali i dati sono resi pubblicamente disponibili. Lo scopo perseguito dalle disposizioni che impongono la pubbli-cazione dei dati del personale, infatti, seppure non espressamente indicato, è quello di aiutare i consociati a individuare i soggetti e i recapiti da contattare per presentare istanze o ottenere informazioni relative a procedimenti di com-petenza delle pubbliche amministrazioni (es. art. 35, D.Lgs. n. 33/2013).

In ogni caso, nella valutazione d’impatto sopra delineata, è necessario tener conto che, anche alla luce di un’interpretazione sistematica delle di-sposizioni del Decreto sulla trasparenza, i dati personali sensibili e giudi-ziari sono espressamente esclusi dal riutilizzo (art. 4, comma 1, e art. 7 del D.Lgs. n. 33/2013).

Va tenuto presente, inoltre, che non è ammesso l’incondizionato riutiliz-zo di dati personali oggetto di pubblicazione obbligatoria sulla base di mere licenze aperte che non pongano alcuna limitazione all’ulteriore trattamento dei dati. Laddove, infatti, il soggetto che ha assolto gli obblighi di pubblica-zione dei dati personali online voglia rendere gli stessi – dopo avere effettua-to la predetta valutazione d’impateffettua-to privacy – anche riutilizzabili, è invece indispensabile che lo stesso predisponga sul proprio sito istituzionale licenze standard, in formato elettronico e rese facilmente conoscibili ai potenziali uti-lizzatori, le quali stabiliscano chiaramente le modalità di carattere giuridico e tecnico che presiedono al corretto riutilizzo di tali dati.

In proposito, per garantire il rispetto dei diritti degli interessati da parte degli utilizzatori, i termini delle licenze per il riutilizzo dovrebbero contenere una clausola di protezione dei dati sia quando il riuso riguardi dati personali,

(18)

sia quando riguardi dati anonimi derivati da dati personali. Nel primo caso, le condizioni di licenza dovrebbero indicare chiaramente le finalità e le modalità degli ulteriori trattamenti consentiti. Nel secondo caso tali condizioni dovreb-bero, invece, vietare ai titolari delle licenze di re-identificare gli interessati e di assumere qualsiasi decisione o provvedimento che possa riguardarli in-dividualmente sulla base dei dati personali così ottenuti, nonché prevedere in capo ai medesimi titolari l’obbligo di informare l’organismo pubblico nel caso in cui venisse rilevato che gli individui interessati possano essere o siano stati re-identificati.

3.3.5 La Durata degli obblighi di pubblicazione dei dati

L’articolo 8, comma 3, del D.Lgs. n. 88/2013 prevede che i dati, le infor-mazioni e i documenti oggetto di pubblicazione “sono pubblicati per un pe-riodo di 5 anni, decorrenti dal 1° gennaio dell’anno successivo a quello da cui decorre l’obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatti salvi i diversi termini previsti dalla normativa in materia di trattamento dei dati personali e quanto previsto dagli articoli 14, comma 2, e 15, comma 4”.

Ai sensi di tale disposizione, dunque, il periodo di mantenimento di dati, informazioni e documenti sul web coincide in linea di massima con il termine di cinque anni.

Sono tuttavia espressamente previste deroghe alla predetta durata tempo-rale quinquennale:

a) nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;

b) per alcuni dati e informazioni riguardanti i “titolari di incarichi politi-ci, di carattere elettivo o comunque di esercizio di poteri di indirizzo

(19)

politico, di livello statale regionale e locale” (art. 14, comma 2) e i “titolari di incarichi dirigenziali e di collaborazione o consulenza” che devono rimanere pubblicati online per i tre anni successivi dalla cessazione del mandato o dell’incarico (art. 15, comma 4);

c) nel caso in cui siano previsti “diversi termini” dalla normativa in ma-teria di trattamento dei dati personali.

In merito, si evidenzia come il Codice – che non prevede termini espliciti (come già evidenziato dal Garante nel parere del 7 febbraio 2013) – richiede espressamente che i dati personali devono essere “conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati” e che l’interessato ha diritto di ottenere la cancellazione dei dati personali “di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati” (artt. 11, comma 1, lett. e, e 7, comma 3, lett. b, del Codice). Tali articoli rece-piscono, peraltro, le identiche disposizioni contenute nella direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali le quali, in quanto tali, non possono essere derogate dalla disciplina nazionale in virtù del primato del diritto europeo. Da tale principio, inoltre, discende l’obbligo di interpretare il diritto nazionale in maniera conforme al diritto europeo e, nello specifico, alle disposizioni direttamente applicabili che impongono il rispetto dei principi di pertinenza, necessità e proporziona-lità, in base alle quali la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all’obiettivo persegui-to e, in particolare, quando l’obiettivo perseguipersegui-to non può essere realizzapersegui-to in modo ugualmente efficace con modalità meno pregiudizievoli per la riser-vatezza degli interessati. Per tale motivo, il Garante ritiene che laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza, contengano dati personali, questi ultimi devono essere

(20)

oscu-rati, anche prima del termine di cinque anni, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti.

3.3.6 I divieti assoluti di pubblicazione

I dati sensibili e giudiziari, infatti, sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto “indi-spensabili” per svolgere l’attività istituzionale che non può essere adempiuta, caso per caso, mediante l’utilizzo di dati anonimi o di dati personali di natura diversa (art. 22, in particolare commi 3, 5 e 11 e 68 del Codice).

Resta, invece, del tutto vietata la diffusione di “dati idonei a rivelare lo stato di salute” (art. 22, comma 8, del Codice).

Ciò significa, di conseguenza, che è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di pa-tologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

A tale scopo, fin dalla fase di redazione degli atti e dei documenti ogget-to di pubblicazione, nel rispetogget-to del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tanto meno, “vietati”). In caso contrario, occorre provve-dere, comunque, al relativo oscuramento.

Si pensi oltre al caso dei dati sensibili e giudiziari, a quelle informazioni delicate (come ad esempio agli atti adottati nel quadro dell’attività di assi-stenza e beneficenza, che comportano spesso la valutazione di circostanze e requisiti personali che attengono a situazioni di particolare disagio). Specie in tali casi – come già evidenziato con riferimento alla trasparenza – può

(21)

risultare utile menzionare i predetti dati solo negli atti a disposizione negli uffici (richiamati quale presupposto della deliberazione e consultabili solo da interessati e contro interessati), oppure fare riferimento a delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici.

3.4 Gli obblighi di pubblicità degli atti per finalità diverse dalla trasparenza

Come illustrato nell’introduzione alle presenti Linee guida, esistono casi e obblighi di pubblicità online di dati, informazioni e documenti della PA, contenuti in specifiche disposizioni di settore diverse da quelle previste in materia di trasparenza, come, fra l’altro, quelli volti a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, o quelli necessari a garantire la pubblicità legale degli atti amministrativi (es.: pubblicità integrativa dell’efficacia, dichiarativa, notizia).

Anche per tali fattispecie occorre – come già indicato per gli obblighi di pubblicità di dati personali per finalità di “trasparenza” – che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istitu-zionali atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichino se la normativa di settore preveda espressamente tale obbligo (art. 4, comma 1, lett. m, e art. 19, comma 3, del Codice, con riguardo ai dati comuni, nonché artt. 20, 21 e 22, comma 11, con riferimento ai dati sensibili e giudiziari).

Laddove l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscura-mento di determinate informazioni.

(22)

Ciò pure in considerazione del fatto che, anche in tale ipotesi, i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi (art. 4, comma 1, lett. c, del Codice), ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere rea-lizzate mediante dati anonimi o altre modalità che permettano di identifica-re l’inteidentifica-ressato solo in caso di necessità (c.d. “principio di necessità” di cui all’art. 3, comma 1, del Codice).

Pertanto, anche in presenza di un obbligo di pubblicità è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti sia re-almente necessaria e proporzionata al raggiungimento delle finalità persegui-te dall’atto (c.d. “principio di pertinenza e non eccedenza” di cui all’art. 11, comma 1, lett. d, del Codice).

Il procedimento di selezione dei dati personali suscettibili di essere resi diffusi deve essere, inoltre, particolarmente accurato nei casi in cui tali in-formazioni sono idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, as-sociazioni o organizzazioni a carattere religioso, filosofico, politico o sinda-cale, la vita sessuale (dati sensibili), oppure nel caso di dati idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi ca-richi pendenti, nonché la qualità di imputato o di indagato (“dati giudiziari”) (art. 4, comma 1, lett. d ed e, del Codice).

3.5 Trasparenza e privacy, le due facce della stessa medaglia

La trasparenza intesa come accessibilità totale sembra porre problemi insormontabili di interferenza con la disciplina della protezione dei dati

(23)

per-sonali. Così non è e, soprattutto, può essere. È anzi necessario, come rilevato nella delibera della Commissione per la valutazione, la trasparenza e l’inte-grità delle amministrazioni pubbliche (CIVIT) n. 105 del 2010, recante le in mdi trasparenza, delimitare le sfere di passibile interferenza tra disciplina della trasparenza e protezione dei dati personali, in modo da realizzare, in sede di concreta applicazione, un punto di equilibrio tra i valori che esse ri-flettono. Del resto, l’importanza di un continuo tra tali valori è messa in rilie-vo non solo nelle esperienze straniere più avanzate (per esempio, nell’Open

Government Plan statunitense), ma soprattutto dalla normativa europea. In

generale, va sottolineato che, per quanto riguarda la protezione dei dati nel settore pubblico, il problema fondamentale è stato da sempre quello dell’in-dividuazione di un’idonea normativa che consentisse la pubblicità dei dati. In effetti, spesso si è assistito a una domanda di trasparenza, per lo più relativa a funzionari pubblici o comunque a soggetti che agivano nella sfera pubblica (da membri di Istituzioni politiche a manager di società pubbliche, a dirigenti di amministrazioni pubbliche), spesso non supportata tuttavia da una idonea base normativa. E più volte il Garante per la protezione dei dati personali ha avuto modo di rimarcare questo profilo. Un tentativo di fornire una base nor-mativa generalizzata alla pubblicità totale dei dati relativi ai funzionari pub-blici è costituito dalla modificazione apportata originariamente all’articolo 1 del D.Lgs. 30 giugno 2003, n. 196 che all’epoca statuiva: “Chiunque ha di-ritto all’applicazione dei dati personali che lo riguardano. Le notizie concer-nenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riser-vatezza personale”. Oggi, il secondo periodo, fortemente criticato anche per la sua collocazione e per essere avulso dal sistema del Codice, è stato inserito all’articolo 53, comma 1, lett. e del Decreto n. 33 dopo che, con Legge n. 183 del 2010, già era stato spostato dall’articolo 1 all’articolo 19 del Codice.

(24)

Come sottolineato dalla CIVIT, ora ANAC, nella delibera n. 105, l’esi-genza di assicurare una lettura della non felice formulazione della citata di-sposizione, che risulti “orientata” sul piano costituzionale e comunitario, in-duce a ritenere che il diritto dei cittadini di conoscere l’assetto strutturale e il modo di operare delle amministrazioni pubbliche dei suoi agenti, finalizzato al conseguente controllo sociale sulla res publica,essere, comunque, confor-mato al rispetto del principio di proporzionalità (previsto dagli articoli 3 e 11 del Codice).

Tale principio è volto a garantire che i dati pubblicati e i modi di pubbli-cazione siano pertinenti e non eccedenti rispetto alle finalità indicate dalla legge, nel rispetto della disciplina in materia di protezione dei dati, e compor-ta altresì la necessità di provvedere a seguire determinate modalità di pubbli-cazione in relazione alla tipologia dei dati (per esempio, profilazione in forma anonima dei dati inerenti all’erogazione di particolari provvidenze economi-che idonee a rivelare lo stato di salute o di povertà dei beneficiari) nonché ad assicurare l’archiviazione dei dati non più aggiornati, con particolare riguardo ai dati informativi inerenti al personale.

È per converso vero che, nel rispetto del principio di proporzionalità, tutti i dati personali attinenti allo svolgimento della prestazione di chi sia addetto a una funzione pubblica devono essere resi accessibili in attuazione della di-sciplina legislativa della trasparenza che costituisce quindi la necessaria base normativa ed è, a sua volta, espressione di quei valori di buon andamento e imparzialità delle pubbliche amministrazioni che trovano un tradizionale ri-conoscimento negli articoli 97, 98 nonché 3 della Costituzione.

Il D.Lgs. 14 marzo 2013, n. 33, interviene a ridefinire l’equilibrio ed il bilanciamento rispetto alle (contrapposte) esigenze di tutela della riservatez-za privata e dei dati personali. bilanciamento di interessi è infatti la tecnica appropriata a contemperare, in un’ottica “cooperativa” dei valori di rilevanza

(25)

costituzionale, le esigenze e di trasparenza e di protezione dei dati; bilancia-mento che come si è detto trova il suo strubilancia-mento operativo nel principio di proporzionalità. Il Decreto n. 33 si occupa dei dati personali oggetto di pub-blicazione obbligatoria (art. 4):

a) allentando i vincoli preventivi alle modalità di diffusione dei dati da parte delle pubbliche amministrazioni (con l’eccezione, doverosa, della salvaguardia dei dati sensibili e di quelli giudiziari);

b) aprendo ai meccanismi di indicizzazione e ricerca mediante i motori di ricerca del web, con conseguente potenziamento della capacità di reperimento delle informazioni diffuse a fini di trasparenza;

c) riconoscendo la più ampia possibilità di riutilizzo e rielaborazione dei dati così diffusi, nella prospettiva dei dati aperti.

Il che non significa che per i dati personali (diversi da quelli sensibili e giudiziari) oggetto di pubblicazione obbligatoria venga meno ogni for-ma di tutela. La ridefinizione dell’equilibrio consiste nella circostanza che perdono peso, ma solo per questi dati, i meccanismi di tutela preventiva, mentre restano immutati, e pienamente applicabili, i meccanismi di tutela successiva a protezione dagli abusi eventualmente perpetrati nell’utilizzo dei dati diffusi. Un riequilibrio che corrisponde alla volontà di rendere più facilmente accessibili, fruibili e riutilizzabili i dati rilevanti (che l’ordina-mento giudica rilevanti, facendone oggetto di pubblicazione obbligatoria) ai fini della trasparenza”38.

La disciplina dell’articolo 4, in particolare, prevede al comma 1 che i dati personali diversi dai dati sensibili e dai dati giudiziari possano essere diffusi attraverso siti istituzionali e possano essere trattati con modalità tali da tramite i comuni motori di ricerca web e il loro riutilizzo secondo quanto

38 B. Ponti, Il codice della trasparenza amministrativa: non solo riordino, ma ridefinizione complessiva del regi-me della trasparenza amministrativa on-line, in www.neldiritto.it

(26)

stabilito dall’articolo 7 nel rispetto dei principi sul trattamento dei dati perso-nali. Il comma 2 individua nella pubblicazione di dati relativi all’assunzione di incarichi personali relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonché a dirigenti titolari degli organi amministrativi, il presupposto per la completa realizzazione della trasparenza pubblica, integrando una finalità di rilevante interesse pubblico, da realizzare nel rispetto dei principi sul trattamento dei dati personali.

Al fine di favorire la massima conoscibilità e disponibilità dei dati pub-blici, quasi come norma di chiusura, il comma 3 prevede la possibilità per le amministrazioni di pubblicare qualsiasi altro dato, diverso da quelli previsti nel presente Decreto comunque utili per favorire la massima disponibilità dei dati pubblici, anche ricorrendo a forme di anonimizzazione in presenza di dati personali e comunque fermi restando i limiti e le condizioni espressamente previsti da disposizioni di legge.

Il comma 4, in accoglimento delle osservazioni del Garante per il tratta-mento dei dati personali, è stato modificato prevedendo che le PA- nei casi in cui norme di legge o di prevedano la pubblicazione di atti o documenti -prov-vedono a rendere non intelligibili dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza collegate pubblicazione.

Il comma 5 riproduce una disposizione già vigente, contenuta nel Codice della privacy, che prevede l’accesso alle notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e alla re-lativa valutazione, mentre sottrae dall’estensibilità le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l’amministrazio-ne, idonee a rivelare taluna delle informazioni “sensibili”.

(27)

3.5.1 È sempre vietata la diffusione di dati idonei a rivelare lo “stato di salute” (art. 22, comma 8, del Codice) e “la vita sessuale” (art. 4, com-ma 6, del D.Lgs. n. 33/2013)

In particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condi-zioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del Codice).

Il procedimento di selezione dei dati personali che possono essere resi conoscibili online deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni sono idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, po-litico o sindacale (“dati sensibili”), oppure nel caso di dati idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi ca-richi pendenti, nonché la qualità di imputato o di indagato (“dati giudiziari”) (art. 4, comma 1, lett. d ed e, del Codice).

I dati sensibili e giudiziari, infatti, sono protetti da un quadro di ga-ranzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto “indispensabili” per il perseguimento di una finalità di rilevante interesse pubblico come quella di trasparenza; ossia quando la stessa non può essere conseguita, caso per caso, mediante l’utilizzo di dati anonimi o di dati personali di natura diversa (art. 4, commi 2 e 4, del D.Lgs. n. 33/2013

(28)

cit.; artt. 20, 21 e 22, con particolare riferimento ai commi 3, 5 e 11, e art. 68, comma 3, del Codice).

Pertanto, come rappresentato dal Garante nel parere del 7 febbraio 2013, gli enti pubblici sono tenuti a porre in essere la massima attenzione nella selezione dei dati personali da utilizzare, sin dalla fase di redazione degli atti e documenti soggetti a pubblicazione, in particolare quando vengano in considerazione dati sensibili. In proposito, può risultare utile non ripor-tare queste informazioni nel testo dei provvedimenti pubblicati online (ad esempio nell’oggetto, nel contenuto, ecc.), menzionandole solo negli atti a disposizione degli uffici (richiamati quale presupposto del provvedimento e consultabili solo da interessati e contro interessati), oppure indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici (cfr. par. 2 del parere citato).

Effettuata, alla luce delle predette indicazioni, la previa valutazione circa i presupposti e l’indispensabilità della pubblicazione di dati sensibili e giu-diziari, devono essere adottate idonee misure e accorgimenti tecnici volti ad evitare “la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo” (cfr. art. 4, comma 1 e art. 7, del D.Lgs. n. 33/2013).

3.5.2 I rischi connessi alla indicizzazione dei dati sul web

Come affermato prima dalla professoressa Licia Califano nel suo inter-vento durante il seminario di formazione presso il Garante per la protezione dei dati personali in data 15 Ottobre 2014 e, successivamente, da Augusta Iannini, vice presidente del Garante, durante la Giornata della Trasparenza, organizzata dall’Azienda Ospedaliera di Firenze, alla quale io stesso ho par-tecipato, il rischio di antagonismo e di una difficile composizione di interes-si che oggi sembra porre trasparenza e riservatezza in potenziale insanabile contrasto costringe l’interprete a ricercare soluzioni di compatibilità. Il

(29)

rap-porto che si instaura tra privacy e trasparenza, nel momento in cui si vuole andare a ridefinire le modalità di svolgimento dell’azione amministrativa, va pertanto attentamente pesato nella prospettiva di consentire la circolazio-ne delle informazioni circolazio-necessarie a che la pubblica opiniocircolazio-ne possa controlla-re l’operato dei pubblici poteri ma, al contempo, garanticontrolla-re un elevato livello di protezione dei dati riguardanti le singole persone, in modo da evitare che vengano resi ostensibili dati personali inutili a fini di trasparenza, ma che abbiano implicazioni afflittive sulla dignità degli interessati. Se la traspa-renza, intesa come accessibilità totale, pone problemi di interferenza con la disciplina della protezione dei dati personali, è però lo stesso articolo 4 del Decreto trasparenza a cercare un punto di equilibrio tra interesse pubblico alla trasparenza e l’esigenza di protezione dei dati personali degli indivi-dui. Ciò nondimeno, la pubblicazione obbligatoria di una grande quantità di dati personali da parte delle pubbliche amministrazioni attraverso i siti istituzionali e secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web e il loro riutilizzo, presenta pericoli e criticità legate ad una eccessiva invasività della diffusione dei dati riguardanti la sfera personale.

Una volta pubblicata in rete ed indicizzata una informazione persona-le può essere rintracciata da chiunque tramite i motori di ricerca generali, semplicemente digitando il nominativo dell’interessato; e da qual momento riutilizzata senza limitazioni personali o vincoli modali, anche attraverso l’elaborazione e l’incrocio con altre informazioni recuperabili sul web.

I rischi insiti in una poco equilibrata applicazione delle disposizioni del Decreto consistono nella decontestualizzazione dell’informazione, nello svuotamento del diritto all’oblio, nell’ampia facoltà di riutilizzo del dato per-sonale da parte dell’utente e, non certo ultimo, nella durata sostanzialmente illimitata della pubblicazione. Di fronte ai contenuti delle informazioni (che

(30)

a volte possono rivelare aspetti intimi della vita privata delle persone) ed alle modalità con cui è possibile trattare le informazioni pubblicate, occorre trovare un punto di equilibrio con i principi di non eccedenza e di proporzio-nalità ispiratori della legislazione posta a tutela della privacy. Una proposta di bilanciamento mobile, attraverso il quale viene fornito alle amministra-zioni il parametro per svolgere di volta in volta una corretta valutazione di impatto privacy, lo troviamo all’interno delle nuove Linee guida in materia di trasparenza emanate dal Garante per la protezione dei dati personali che introducono elementi interpretativi mirati a riequilibrare il diritto dei cittadini di conoscere l’assetto strutturale e il modo di operare delle amministrazioni pubbliche (esercitando il controllo sociale sotteso) con il rispetto dei principi di necessità e proporzionalità (artt. 3 e 11 del Codice).

3.6 Gli open data quali strumenti utili e necessari per comprendere la naturale coesistenza tra privacy e trasparenza

Uno dei temi cruciali nella dialettica tra privacy e trasparenza e, forse, la principale sfida che abbiamo dinanzi, è quello relativo ai c.d. open data. Il Decreto trasparenza prevede che i dati pubblici, cioè quelli soggetti a pub-blicazione obbligatoria, siano pubblicati in formato di tipo aperto (a) e siano riutilizzabili (b) (artt. 3 e 7).

a) Quanto alla tipologia di dato, è bene precisare che l’articolo 7 par-la espressamente di formato di tipo aperto e non di dato di tipo di aperto”. Si tratta di concetti definiti dal Cad (art. 68, comma 3): la principale differenza risiede nella circostanza che, se il formato di tipo aperto risulta sostanzialmente neutro rispetto agli strumenti tec-nologici usati (si tratta dei file con estensione pdf o txt), il dato di tipo aperto può essere riutilizzato anche per finalità commerciali o

(31)

mediante programmi automatici. È evidente pertanto la differenza tra i due istituti sul piano dell’impatto, soprattutto quando i dati trat-tati dall’amministrazione sono dati personali. Si deve infatti consi-derare che non tutti i dati pubblici ai sensi del Decreto trasparenza sono personali (ovvero in grado di identificare un individuo): è il caso, per esempio, delle statistiche relative all’iscrizione agli asili comunali in un determinato anno oppure le statistiche relative agli incidenti stradali verificatisi in una determinata area. Quando però i dati da pubblicare sono personali, allora la loro diffusione come “dati di tipo aperto” avrebbe conseguenze altamente dannose per gli interessati, che potrebbero rischiare di essere subissati di promozioni commerciali o propaganda elettorale, oppure catalogati e profilati per il mezzo di banche dati. Per questo, l’articolo 7 del Decreto parla espressamente di dati con “formato di tipo aperto”, al fine di impe-dire le conseguenze connesse con il ricorso a “dati di tipo aperto”: e questa impostazione è condivisa altresì dal Garante privacy il quale, nelle citate Linee guida, precisa che, quantomeno quando oggetto di diffusione sono dati personali, le amministrazioni possono procedere alla pubblicazione di dati in “formato di tipo aperto”: da ciò consegue che i dati personali oggetto di pubblicazione obbligatoria non sono liberamente riutilizzabili da chiunque per qualsiasi ulteriore finalità. b) Per quanto concerne invece la facoltà di riutilizzo dei dati, anche in questo caso essa dovrà necessariamente tenere conto degli ulterio-ri indici forniti dall’articolo 7 stesso, e cioè: da una parte, che essa deve essere favorita “senza ulteriori restrizioni diverse dall’obbligo di citare la fonte e di rispettarne l’integrità”; ma dall’altra, essa deve integrarsi con quanto sancito nella disciplina generale sul riutilizzo (D.Lgs. 24 gennaio 2006, n. 36), nel Cad e nel Codice. Pertanto,

(32)

l’ap-parente riutilizzabilità assoluta deducibile dalla precisazione conte-nuta nell’articolo 7 – ma anche dalla formulazione del diritto alla co-noscibilità, e quindi all’utilizzo e riutilizzo di cui all’articolo 3 – deve essere controbilanciata con principi e regole fissati dal legislatore in settori trasversali.

Si pensi alla disciplina sul riutilizzo, dove il D.Lgs. 24 gennaio 2006, n. 36 rappresenta l’attuazione della direttiva 2003/98/CE: si deve tuttavia te-nere conto del fatto che questa è stata modificata dalla direttiva 2013/37/UE (che però non è stata ancora recepita), e quest’ultima ha introdotto una serie di temperamenti alla possibilità di riutilizzo, alcune delle quali fondate sulla protezione dei dati personali.

E proprio dal sistema di tutela della privacy – allorché i dati da pubblicare abbiano le caratteristiche dei dati personali – deriva l’esigenza di incastonare la riutilizzabilità nell’alveo del fondamentale principio, anch’esso di consolidata matrice europea, di finalità, al fine di limitare la diffusione incontrollata di dati personali, e quindi evitare trattamenti illeciti o ultronei o sproporzionati.

Infatti, a differenza di quanto sostenuto da una parte della dottrina, il Decreto è disseminato di presidi contro la trasparenza “totale”: nel nostro caso specifico, rileva il richiamo al Codice effettuato nello stesso art. 7, ma non bisogna assolutamente trascurare che la disposizione di apertura, dedica-ta ai principi generali della trasparenza, afferma senza ombra di dubbio che la trasparenza deve rispettare le disposizioni in materia di protezione dei dati personali (art. 1, comma 2). Pertanto, si nota come anche nell’affrontare il complesso tema degli open data, il bilanciamento tra trasparenza e privacy, oltre a essere un dovere di carattere generale per l’interprete, rappresenta an-che un puntuale obbligo espresso proprio dal legislatore delegato.

Per esigenze di chiarezza espositiva, i limiti alla trasparenza sopra de-scritti sono sinteticamente rappresentati nello schema riportato a pag78.

(33)

Figure

Updating...

References

Related subjects :