Nei Comuni, come del resto in tutta la PA, i dati devono essere sempre più disponibili e trasparenti ma ciò fa chiedere a molte amministrazioni se possano determinarsi conflitti con la privacy, specialmente alla luce del d.lgs. n. 33/2013 che regola i rapporti tra l’utilizzo dei dati e la normativa in materia di protezione dei dati personali chiarendo che gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell’articolo 7 nel rispetto dei principi sul trattamento dei dati personali.
Sono inevitabili, quindi, in materia, gli impatti con la normativa posta a tutela dei dati personali
Con l’adozione di apposite Linee guida (provvedimento del 15 maggio 2014), tuttavia il Garante è intervenuto proprio per assicurare l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti.
Le linee guida individuano le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.
Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto.
Pertanto laddove l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione di un atto o di un documento sarà necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni.
I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità.
Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione dovranno “rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione” (art. 4, comma 4, del d. lgs. n. 33/2013).
È, quindi, consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto. Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultano eccedenti o non pertinenti.
È, invece, sempre vietata la diffusione di dati idonei a rivelare lo stato di salute e la vita sessuale. In particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.
Il procedimento di selezione dei dati personali che possono essere resi conoscibili deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni sono idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale (“dati sensibili”), oppure nel caso di dati idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, nonché la qualità di imputato o di indagato (“dati giudiziari”).
I dati sensibili e giudiziari, infatti, sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto “indispensabili” per il perseguimento di una finalità di rilevante interesse pubblico.
Per la trasparenza dunque c’è bisogno di un approccio qualitativo e non meramente quantitativo: meno dati ma più qualificati.
Il concetto di trasparenza è peraltro indubbiamente collegato a quello di accountability, uno dei principi fondamentali del GDPR. L’accountability, difatti, si compone di almeno tre elementi:
- “trasparenza” intesa come garanzia della completa accessibilità alle informazioni,
- “responsività” intesa come la capacità di rendere conto di scelte, comportamenti e azioni
- “compliance” intesa come capacità di far rispettare le norme.
Nei rapporti tra privacy e trasparenza, dunque, prevale l’obbligo della trasparenza ma nel rispetto dei fondamentali principi in materia di protezione dei dati personali.
Avv. Federica Spuri Nis,