A seguito dell’emanazione del D.Lgs n. 33/2013 in materia di pubblicità e trasparenza della Pubblica Amministrazione, l’Autorità Garante per la protezione dei dati personali è intervenuta con apposite Linee guida in materia di pubblicazione di dati personali sul web da parte dei soggetti pubblici.
Si tratta delle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» pubblicate nella G.U. n. 134, serie generale, del 12 giugno 2014 [Registro Provv. n. 243 del 15 maggio 2014 – doc. web. n. 3134436].
Con questo provvedimento, l’Autorità Garante riprende in esame la pubblicità di atti e documenti attraverso la loro pubblicazione sui siti internet istituzionali delle Pubbliche Amministrazioni, alla luce delle recenti disposizioni in materia di trasparenza e pubblicità delle P.A., che prevedono, in capo a queste, obblighi di comunicazione o diffusione di dati personali.
In questo modo il Garante detta una disciplina precisa, individuando le misure alle quali la P.A. deve attenersi nella diffusione dei dati personali dei cittadini[1] sui suoi siti web.
Come detto, lo spunto per l’emanazione delle linee guida è stato dato dal D.Lgs. 14 marzo 2013, n. 33 recante «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pubbliche amministrazioni» pubblicato in G.U. n. 80, serie generale, del 5 aprile 2013.
Attraverso questo provvedimento normativo (c.d. “Decreto Trasparenza”) il Legislatore ha definito i casi di pubblicità per finalità di trasparenza mediante inserzione di dati, informazioni, atti e documenti sui siti web istituzionali dei soggetti obbligati.
Le Linee guida emanate dall’Autorità Garante pongono quali limiti generali alla trasparenza i principi privacy, come peraltro previsto dallo stesso Decreto Trasparenza agli artt. 1, comma 2 e 4. In particolare, precisa il Garante, che: «I soggetti pubblici, […] in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità (c.d. “principio di necessità” di cui all’art. 3, comma 1, del Codice). Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel D.Lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque “rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione» (art. 4, comma 4, del D.Lgs. n. 33/2013) (Linee guida, § 2).
Le Linee guida si basano sulla previsione di un differente regime giuridico, a seconda che la pubblicazione persegua finalità di trasparenza oppure altre finalità (come la pubblicità legale), ma in tutti i casi – si legge nel provvedimento – «indipendentemente dalla finalità perseguita, laddove la pubblicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali» (art. 2 del Codice).
Gli aspetti principali toccati dalle Linee guida emanate dall’Autorità Garante sono:
_ la creazione di un particolare regime giuridico, a seconda che gli obblighi di pubblicazione on line dell’azione amministrativa avvengano per finalità di trasparenza indicate dal D.Lgs. n. 33/2013 (c.d. Decreto Trasparenza) oppure per finalità diverse, come ad esempio, per i casi di pubblicità legale (vedi pubblicazioni matrimoniali). Alle prime, si applica la disciplina contenuta nella prima parte delle Linee guida, mentre alle seconde si applica la parte seconda delle Linee guida[2];
_ l’affermazione del divieto assoluto di diffondere dati sullo stato di salute e, più in generale, il principio della non rintracciabilità sui motori di ricerca dei dati sensibili e giudiziari. Vengono dettate norme in tema di indicizzazione, archivi via web e tempi di conservazione;
_ particolare cura e attenzione alla qualità dei dati (pubblici e personali) con norme in tema di open data e riutilizzabilità dei dati. In particolare, quando i dati aperti contengono dati personali, le P.A. devono adottare opportune cautele al fine di evitare abusi;
_ obblighi privacy per le P.A. in tema di curricula professionali;
_ disciplina particolare e limiti alla pubblicazione per dichiarazioni dei redditi e compensi.
Inoltre, ricordiamo che i principi contenuti nel nuovo Regolamento UE (2016/679) in tema di protezione dei dati personali dovranno essere rispettati anche dalle Pubbliche Amministrazioni.
Come si evince dalla lettura del considerando n.9 del Regolamento, i principi e gli obiettivi espressi della Direttiva 95/46/CE non sono stati modificati.
Così, L’art. 5 rubricato «Principi applicabili al trattamento di dati personali» afferma:
I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).
La norma viene “spiegata” dal considerando n. 39: «Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento».
[1] Si legge nel provvedimento: «Le presenti Linee guida hanno, pertanto, lo scopo di definire un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che i soggetti pubblici, e gli altri soggetti parimenti destinatari delle norme vigenti sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.» (Linee guida, pag. 3).
[2] Il D.Lgs. 14 marzo 2013, n. 33 «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pubbliche amministrazioni» noto anche come “Decreto Trasparenza” definisce la “trasparenza” come l’accessibilità totale delle informazioni concernenti l’organizzazione e l’attività delle Pubbliche Amministrazioni, allo scopo di favorire forme di diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche (art. 1). Per “pubblicazione” invece si intende la pubblicazione nei siti istituzionali delle P.A. dei documenti, delle informazioni e dei dati concernenti l’organizzazione e l’attività delle p.a., (art. 2, comma 2). Da ciò si deduce che: «tutte le volte in cui nel Decreto legislativo n. 33/2013 è utilizzata la locuzione “pubblicazione obbligatoria ai sensi della normativa vigente” – cfr. artt. 3, 5, 7, 8, 9, 10, 41, 43, 45, 46 e 48 – il riferimento è limitato agli “obblighi di pubblicazione concernenti l’organizzazione e l’attività delle Pubbliche amministrazioni” contenuti oltre che nel D.Lgs. n. 33/2013 anche in altre disposizioni normative aventi analoga finalità di trasparenza, con esclusione degli obblighi di pubblicazione aventi finalità diverse.» (Linee guida, Parte Prima, § I).
Scrivi un commento
Accedi per poter inserire un commento