Allo scopo di contemperare le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali nonché la dignità delle persone, il Garante privacy ha individuato un quadro organico e unitario di cautele e misure che le PA devono adottare quando diffondono sui loro siti web dati personali dei cittadini. A seguire proponiamo l’analisi delle nuove Linee Guida su trasparenza e privacy nelle PA proposta nell’ambito della nostra collaborazione con lo Studio Legale Lisi da Saveria Coronese.
Sono state recentemente emanate le Linee guida su trasparenza e privacy nelle PA, con lo scopo di fornire una descrizione delle cautele che gli organismi pubblici e gli altri soggetti tenuti agli obblighi di trasparenza (in base alla normativa vigente) devono adottare nei casi di diffusione dei dati personali attraverso la pubblicazione sui siti web istituzionali. L’intervento del Garante consta di due parti: la prima è dedicata agli obblighi di pubblicazione per finalità di trasparenza, indicati nel d.lgs. n. 33/2013, mentre nella seconda parte sono trattati gli obblighi di pubblicazione per le altre finalità di pubblicità non ricomprese nella trasparenza.
Inoltre, le nuove Linee guida sostituiscono quelle adottate dal Garante in data 2 marzo 2011.
Nel paragrafo 1 della Parte prima viene ripresa la definizione di trasparenza già prevista nell’art. 1, comma 1 del “decreto trasparenza”, descritta come “l’accessibilità totale delle informazioni concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo di risorse pubbliche”, in base alla quale l’amministrazione è tenuta a pubblicare – inserendoli sulla scorta dello schema allegato al d. lgs. n. 33/2013 – dati, informazioni e documenti attinenti all’organizzazione e all’attività delle pubbliche amministrazioni.
La pubblicazione, però, non può avvenire in maniera incondizionata, ma deve essere sottoposta al rispetto di determinati limiti, imposti dagli artt. 1 e 4 del decreto in questione.
Pertanto, nel momento in cui la PA decide di diffondere informazioni, atti e documenti amministrativi che contengono dati personali, deve dapprima controllare che tale obbligo di diffusione sia impartito dalla normativa e in seguito deve selezionare i dati personali che vanno inseriti, oscurandoli quando necessario e assicurandosi poi di pubblicare esclusivamente dati esatti, aggiornati e contestualizzati.
Viene quindi in gioco il principio di necessità (contemplato nell’art. 3, comma 1 del Codice in materia di protezione dei dati personali), il quale propugna non solo la riduzione al minimo di dati personali e identificativi, ma anche la non sottoposizione di questi ad attività di trattamento se le finalità perseguite possono ugualmente concretizzarsi con l’utilizzo di dati anonimi o altre modalità che limitino l’identificazione ai soli casi in cui questa sia necessaria.
Altre limitazioni sussistono quando oggetto della pubblicazione sono dati sensibili e giudiziari o idonei a rivelare lo stato di salute e la vita sessuale dell’interessato.
Per i primi esistono garanzie stringenti che consentono la loro diffusione solo se appare indispensabile in riferimento alla realizzazione delle finalità perseguite. I secondi, invece, sono garantiti da un divieto assoluto di diffusione.
Particolarmente rilevante risulta l’art. 7 del d. lgs. n. 33/2013, con il quale si prevede che “i documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria ai sensi della normativa vigente, resi disponibili anche a seguito dell’accesso civico di cui all’articolo 5, sono pubblicati in formato di tipo aperto ai sensi dell’articolo 68 del Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e sono riutilizzabili ai sensi del decreto legislativo 24 gennaio 2006, n. 36, del decreto legislativo 7 marzo 2005, n. 82, e del decreto legislativo 30 giugno 2003, n. 196, senza ulteriori restrizioni diverse dall’obbligo di citare la fonte e di rispettarne l’integrità”. Infatti la nozione di formato aperto non equivale a quella di dato aperto1, poiché i dati personali pubblicabili obbligatoriamente non sono indiscriminatamente riutilizzabili da chiunque.
Occorre quindi che le amministrazioni ricorrano a misure idonee e ad accorgimenti tecnici che prevengano il riutilizzo dei dati e la loro indicizzazione.
Sull’argomento, la direttiva 2003/98/CE sul riutilizzo dell’informazione del settore pubblico, revisionata dalla recente direttiva 2013/37/UE, chiarisce che il soggetto pubblico può riutilizzare i dati o concederli a terzi solo previa valutazione dell’impatto in ambito di protezione dei dati, non potendo mai comunque riutilizzare i dati sensibili e giudiziari.2
Un aspetto altrettanto importante riguarda la durata degli obblighi di pubblicazione. L’art. 8, comma 3, del d. lgs. n. 33/2013 fissa indicativamente in 5 anni il periodo di mantenimento dei dati sui siti web istituzionali delle amministrazioni.
Sono però previste delle deroghe, fermo restando che in ogni caso i dati devono essere conservati per il periodo necessario al raggiungimento della finalità per la quale sono stati raccolti e consentendo all’interessato la loro cancellazione se non occorre più la conservazione ai fini del raggiungimento di tali scopi (art. 11, comma 1, lett. e) del Codice Privacy).
La delicatezza della questione si evince dal controverso rapporto tra il principio di trasparenza (e le attività poste in essere per la sua attuazione) e i diritti dell’individuo, uno fra questi il particolarmente discusso diritto all’oblio3.
Mantenere indeterminatamente accessibili delle informazioni contenenti dati personali potrebbe dimostrarsi lesivo dell’identità dell’interessato, la quale apparirebbe fossilizzata e privata della sua connotazione dinamica, e quindi non più corrispondente alla realtà attuale.
Allo scadere del termine i documenti dovranno essere conservati nelle sezioni di archivio dei siti web, in alcuni casi anche precedentemente alla scadenza termine del periodo di pubblicazione.
Sempre nell’ottica di bilanciamento tra trasparenza e protezione dei dati personali, all’art. 9 del d. lgs. n. 33/2013 si dispone che l’attività di indicizzazione dei motori di ricerca generalisti (come Google) sia circoscritta ai soli dati individuati tassativamente dalle disposizioni in materia di trasparenza, tralasciando i dati che devono essere pubblicati per finalità differenti dalla trasparenza e proibendo l’indicizzazione di dati sensibili e giudiziari.
Come già scritto, la seconda parte delle Linee guida è incentrata sugli obblighi di pubblicazione per finalità di pubblicità dell’azione amministrativa diverse da quella di trasparenza.
Ci si riferisce alla pubblicazione di dati nel rispetto dei principi di legittimità e correttezza dell’azione amministrativa oppure in garanzia della pubblicità legale degli atti amministrativi (a titolo esemplificativo, rientrano nella categoria le pubblicazioni ufficiali dello Stato, le pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti locali, le pubblicazioni matrimoniali, etc.). Le similitudini tra le due tipologie di dati sono numerose.
Quanto detto in relazione al rispetto del principio di necessità, pertinenza e non eccedenza della pubblicazione di atti per finalità di trasparenza vale anche per la pubblicazione di atti per finalità ulteriori.
Stesso discorso per la diffusione di dati sensibili o giudiziari, i quali saranno trattati solo se indispensabili e non utilizzabili in forma anonima. Parimenti vietata è la pubblicazione di dati idonei a rivelare lo stato di salute dell’interessato.
La diffusione di dati personali in Rete acquisisce la caratteristica della liceità se avviene entro il termine indicato dalla normativa di riferimento4. Nei casi in cui la normativa non si sia pronunciata circa la durata della pubblicazione degli atti, questa sarà determinata dalle amministrazioni pubbliche titolari del trattamento, in base al periodo ritenuto congruo per la realizzazione dei fini in ragione dei quali si è provveduto alla pubblicazione.
Una volta che il periodo di tempo stabilito dalla disciplina di settore o a cura dell’amministrazione giunge al termine, si procederà con la rimozione dei documenti immessi nel sito e contenenti dati personali oppure si agirà con le procedure idonee a non consentire l’identificazione degli interessati5.
Infine le amministrazioni sono invitate a evitare atti di duplicazione massiva dei documenti che contengono dati personali da parte degli utenti, mediante l’adozione di misure opportune affinché i file non vengano riprodotti per mezzo di software o programmi automatici appositi.
Dalla disamina delle nuove linee guida appare inevitabile l’influenza delle attualissime riflessioni in merito di diritto all’oblio.
L’attenzione nei confronti del “diritto di dimenticare e di essere dimenticati” di ogni interessato i cui dati personali circolano in Rete, non può essere infatti posta in secondo piano rispetto al perseguimento degli obiettivi di trasparenza o per le altre finalità che richiedono la diffusione delle informazioni e degli atti sui siti web dei soggetti pubblici.
FONTE: Forum PA