In relazione al rapporto tra privacy e trasparenza nelle P.A., resta invariata la disciplina previgente all’adozione del Regolamento Comunitario 679/2016 (GDPR).
Pertanto laddove l’Amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione di un atto o di un documento sarà necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni.
I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità.
Dunque, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione dovranno “rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione” (art. 4, comma 4, del d. lgs. n. 33/2013).
È, quindi, consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto. Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultano eccedenti o non pertinenti.
È, invece, sempre vietata la diffusione di dati idonei a rivelare lo stato di salute e la vita sessuale. In particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il procedimento di selezione dei dati personali che possono essere resi conoscibili deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni sono idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale (“dati sensibili”oggi definiti come “dati particolari” nel GDPR), oppure nel caso di dati idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, nonché la qualità di imputato o di indagato (“dati giudiziari”).
I dati sensibili e giudiziari, infatti, sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto “indispensabili” per il perseguimento di una finalità di rilevante interesse pubblico.