L’accesso alle informazioni e la loro tutela danno l’idea dello stato della privacy nella pubblica amministrazione che si prepara a fare i conti con la riservatezza in chiave europea.
Privacy e trasparenza sono spesso visti come concetti contrastanti ma in realtà non è così.
La trasparenza delle informazioni è infatti un principio fondamentale della disciplina sulla protezione dei dati personali che riconosce a ciascuno il diritto di essere informato sul trattamento dei propri dati sia prima dell’inizio del trattamento, attraverso l’informativa, che nel corso dello stesso, grazie alla possibilità di accedere ai propri dati e controllarne l’utilizzo.
Per definizione del Garante la trasparenza “consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull’azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi”.
La trasparenza è quindi la premessa fondamentale per consentire a ciascuno di adottare scelte consapevoli sull’uso dei propri dati e tale principio è anche inserito nell’art. 5, paragrafo 1, lettera a) del nuovo Regolamento generale sulla protezione dei dati (GDPR) che prevede espressamente che i dati personali sono “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”.
Questo primo passo ci consente già di affermare che le due discipline non sono contrastanti bensì complementari.
Ciò emerge con chiarezza anche nel Regolamento generale sulla protezione dei dati 2016/679 (GDPR) che, al considerando n. 4, prevede che: “il diritto alla protezione dei dati personali non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e va contemperato con gli altri diritti fondamentali in ossequi al principio di proporzionalità”, e al considerando 154, prevede altresì che l’accesso del pubblico ai documenti ufficiali è un trattamento considerato di interesse pubblico e che i dati personali, contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico, dovrebbero poter essere diffusi se la diffusione è prevista dal diritto degli Stati membri, il quale deve “conciliare l’accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali”.
Dunque l’espressa inclusione della trasparenza amministrativa tra i compiti di interesse pubblico rende pienamente compatibili tutti i trattamenti di dati ad essa connessi, ivi compresa la loro diffusione, allorché prevista dalla legge, a patto però, che le norme nazionali concilino l’accessibilità ai dati con il rispetto della privacy degli interessati.
Nel nostro ordinamento l’accesso civico è escluso nei casi previsti dall’art. 5-bis, comma 3 del d.lgs. 33/2013 e può essere rifiutato quando il diniego è necessario per evitare un “pregiudizio concreto” agli interessi, pubblici e privati, indicati all’art. 5-bis, comma 1 e 2 del medesimo decreto legislativo, tra i quali è elencata anche la protezione dei dati personali.
Chi dovrà decidere se consentire o meno l’accesso a determinate informazioni sarà un funzionario chiamato ad effettuare un complesso bilanciamento che richiede il coinvolgimento anche di tutti i controinteressati.
Considerato che gli atti detenuti dalla pubblica amministrazione contengono quasi sempre anche dati personali indubbiamente una delle valutazioni più ricorrenti che caratterizzerà, nella pratica, l’accesso civico generalizzato atterrà proprio al confronto tra il diritto alla conoscenza del richiedente e il diritto alla protezione dei dati del (o dei) controinteressato/i.
A supporto di tali decisioni si riporta una parte delle Linee guida adottate dall’Autorità nazionale anticorruzione (ANAC), d’intesa con il Garante per la protezione dei dati personali, sentita la Conferenza unificata Stato regioni, recanti le prime indicazioni operative.
Nelle linee guida è specificato che, ove la valutazione riguardi aspetti di protezione dei dati personali, ai fini della valutazione del “pregiudizio concreto” (che può legittimare il diniego alla richiesta di accesso), vanno prese in considerazione “le conseguenze – anche legate alla sfera morale, relazionale e sociale – che potrebbero derivare all’interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto, tenuto conto delle implicazioni derivanti dalla previsione di cui all’art. 3, comma 1, del d.lgs. n. 33/2013, in base alla quale i dati e i documenti forniti al richiedente tramite l’accesso generalizzato sono considerati come «pubblici», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 7 del d.lgs. n. 33/2013). Tali conseguenze potrebbero riguardare, ad esempio, future azioni da parte di terzi nei confronti dell’interessato, o situazioni che potrebbero determinare l’estromissione o la discriminazione dello stesso individuo, oppure altri svantaggi personali e/o sociali”.
Un ulteriore supporto nelle decisioni riguardanti la pubblicazione di atti e documenti nel rispetto dei principi di trasparenza e di privacy lo ha fornito il Garante della Privacy con “le Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” nelle quali ha stabilito che “è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto (cd. “principio di pertinenza e non eccedenza” di cui all’art. 11, comma 1, lett. d, del Codice). Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione online. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultano eccedenti o non pertinenti. È, invece, sempre vietata la diffusione di dati idonei a rivelare lo “stato di salute” (art. 22, comma 8, del Codice) e “la vita sessuale” (art. 4, comma 6, del d. lgs. n. 33/2013)” e ancora “gli enti pubblici sono tenuti a porre in essere la massima attenzione nella selezione dei dati personali da utilizzare, sin dalla fase di redazione degli atti e documenti soggetti a pubblicazione, in particolare quando vengano in considerazione dati sensibili. In proposito, può risultare utile non riportare queste informazioni nel testo dei provvedimenti pubblicati online (ad esempio nell’oggetto, nel contenuto, etc.), menzionandole solo negli atti a disposizione degli uffici (richiamati quale presupposto del provvedimento e consultabili solo da interessati e controinteressati), oppure indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici. Effettuata, alla luce delle predette indicazioni, la previa valutazione circa i presupposti e l’indispensabilità della pubblicazione di dati sensibili e giudiziari, devono essere adottate idonee misure e accorgimenti tecnici volti ad evitare “la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo”.
Si può dunque affermare che solo attraverso una corretta e ponderata interazione tra trasparenza amministrativa e protezione dei dati personali si possano conseguire tutti i vantaggi sociali sottesi alle nuove disposizioni, senza sacrificare i diritti individuali.
Avv. Federica Spuri Nisi