Le ultime linee guida del Garante Privacy sui contenuti dei siti web delle PP.AA.

Sono state pubblicate, nella Gazzetta Ufficiale del 19 marzo scorso, le “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”.

Rappresentano la naturale evoluzione delle “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali” del 19 aprile 2007, anche e soprattutto in considerazione delle innovazioni normative (non sempre coerenti tra loro) che hanno introdotto dei veri e propri oneri di pubblicazione di dati personali nei siti web delle PP.AA.

E’ lo stesso provvedimento, difatti, a sottolineare, all’art. 1, che “le recenti disposizioni in materia di trasparenza e pubblicità dell’azione amministrativa e quelle sulla consultabilità degli atti prevedono in capo ai soggetti pubblici diversi obblighi di  messa a disposizione delle relative informazioni da realizzare con modalità di divulgazione e  ambiti di conoscenza di tipo differente, comportando, a seconda dei casi, operazioni di comunicazione oppure di diffusione di dati personali”.

Tra tali disposizioni, si ricordano le più recenti:

1. L’art. 21 della L. 69/2009, che obbliga le Pubbliche Amministrazioni a pubblicare nel proprio sito internet le retribuzioni annuali, i curricula vitae, gli indirizzi di posta elettronica e i numeri telefonici ad uso professionale dei dirigenti e dei segretari comunali e provinciali nonché di rendere pubblici, con lo stesso mezzo, i tassi di assenza e di maggiore presenza del personale distinti per uffici di livello dirigenziale.

2. L’art. 32 della L. 69/2009, che ha introdotto l’obbligo dell’albo pretorio online (a partire dal 1/1/2010), prevedendo, quale unica forma valida di pubblicità legale, a decorrere dal 1/1/2011, la pubblicazione sui siti informatici delle PP.AA. (fatte salve le procedure ad evidenza pubblica ed i bilanci, per i quali vi era l’obbligo di pubblicazione sulla stampa quotidiana, ove il termine è spostato al primo gennaio 2013, secondo modalità da stabilitsi con emanando D.P.C.M.).

3. Il D.lgs 150/2009 (Attuazione della legge 4 marzo 2009, n. 15, in materia di ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazione), e le relative “Linee guida per la predisposizione del Programma triennale per la trasparenza e l’integrità”, approvate con delibera n. 105/2010 della Civit – Commissione Indipendente per la Valutazione, l’Integrità e la Trasparenza delle Amministrazioni pubbliche.

4. L’art. 54 del Codice dell’Amministrazione Digitale (D.lgs 82/2005), come recentemente modificato dal D.lgs 235/2010, che individua il contenuto “necessario” dei siti delle pubbliche amministrazioni.

In particolare, l’esigenza delle Linee guida era molto sentita, proprio con riguardo all’albo pretorio online, la cui attivazione, per le pubbliche amministrazioni in generale e per gli enti locali in particolare, era divenuta imprescindibile a partire dal primo di gennaio del corrente anno, in quanto costituente, ope legis, unica legittima forma di pubblicità legale.

Le Linee guida, nell’intenzione del Garante, adempiono allo “scopo di definire un primo quadro unitario di misure e accorgimenti finalizzati a individuare opportune cautele che i soggetti pubblici sono tenuti ad applicare in relazione alle ipotesi in cui effettuano, in attuazione alle disposizioni normative vigenti, attività di comunicazione o diffusione di dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità dell’azione amministrativa, nonché di consultazione di atti su iniziativa di singoli soggetti”.

Esse, comunque, non apportano novità dirompenti in tema di comunicazione e diffusione di dati personali da parte delle amministrazioni pubbliche, in quanto si limitano sostanzialmente a ribadire cautele e principi già enucleati in provvedimenti (generali ovvero a seguito di ricorso) dell’Autorità Garante.

Vi è stato, certo, il rilevante impatto delle modifiche normative, che hanno imposto una serie di oneri di diffusione, ma le dette innovazioni non hanno inciso (salva la limitata eccezione di cui all’art. 19, comma 3-bis, del Codice) sulla parte generale del Codice della Privacy, con il conseguente effetto di lasciare invariati i principi generali in tema di trattamento di dati personali (principi peraltro di derivazione comunitaria).

Il sovrapporsi di fonti normative primarie e secondarie ha reso però la creazione e gestione dei siti istituzionali delle amministrazioni pubbliche un’attività decisamente complessa, tanto più che a tali provvedimenti si aggiungono oramai quantomeno tre linee guida, diverse per finalità e per campo di applicazione, ma certamente intersecantisi tra loro: le linee guida qui in commento, le più volte menzionate Linee guida per la predisposizione del Programma triennale per la trasparenza e l’integrità, ed infine le Linee guida per i siti web della PA, di cui alla direttiva 8/2009.

Tali provvedimenti, letti in maniera quanto più possibile coordinata, dovranno essere presi come imprescindibile riferimento non solo nella fase di gestione del sito, ma anche nella redazione dei bandi e dei capitolati tecnici per la realizzazione e l’aggiornamento dei siti istituzionali delle amministrazioni pubbliche.

Ci si augura che la pubblicazione del provvedimento in commento sia di stimolo ad una complessiva revisione dell’attuale situazione, ove, al contrario, molti siti istituzionali (al di là delle ricordate ipotesi patologiche di diffusione di dati inerenti lo stato di salute) non contengono alcuna limitazione all’indicizzazione da parte degli ordinari motori di ricerca e, soprattutto, non adottano le necessarie cautele onde evitare la permanenza, a tempo tendenzialmente indeterminato, dei documenti contenenti dati personali.

A ciò si somma il tutt’ora frequente utilizzo di formati di file liberamente modificabili, e la quasi totale assenza dei dati di contesto, con buona pace dell’esattezza e dell’integrità delle informazioni diffuse.

Il rischio (certamente reale) è che tali condotte, potenzialmente costituenti dei trattamenti illeciti di dati personali, proprio in quanto posti in essere in violazione dei principi di necessità, proporzionalità ed esattezza, di cui agli artt. 3 e 11 del Codice della Privacy, possano condurre a pesanti conseguenze in tema di responsabilità e risarcimento del danno, trattandosi, come è noto, di ipotesi di responsabilità oggettiva, in ordine alle quali, stante il disposto dell’art. 15 del Codice stesso, anche il danno non patrimoniale è risarcibile.

Giovanni Battista Gallus

Scrivi un commento

Accedi per poter inserire un commento