Aiuti alle famiglie e privacy: come e quando i consiglieri comunali hanno accesso agli elenchi | Agenda Digitale

normativa

Aiuti alle famiglie e privacy: come e quando i consiglieri comunali hanno accesso agli elenchi

In questi giorni, le amministrazioni sono assediate dalle richieste dei Consiglieri per ottenere gli elenchi dei beneficiari degli aiuti per le famiglie adottati in seguito all’emergenza. Vediamo come si concilia il diritto di accesso dei Consiglieri comunali con la protezione dei dati personali dei richiedenti

11 Mag 2020
Salvatore Coppola

Avvocato del Foro di Matera, DPO


Tra le misure che sono state varate in questo periodo di emergenza sanitaria, sono stati previsti anche degli aiuti per le famiglie che si trovano in difficoltà economiche.

Volendo controllare la gestione dei fondi da parte dei Comuni, in questi giorni le amministrazioni sono assediate dalle richieste dei Consiglieri per ottenere gli elenchi dei beneficiari. Ma come si conciliano il diritto di accesso dei Consiglieri comunali con la protezione dei dati personali dei richiedenti?

Ecco cosa c’è da sapere.

Le richieste dei Consiglieri

Con l’erogazione dei contributi economici ai cittadini più esposti agli effetti derivati dall’emergenza COVID 19, sono stati stilati degli elenchi di tutti i cittadini che hanno fatto richiesta, che sono stati ammessi all’agevolazione ovvero a cui l’aiuto è stato invece negato, con tanto di dati personali e informazioni particolarmente delicate.

A parte qualche singolo caso come il Comune di Gragnano che ha visto la sconsiderata pubblicazione degli elenchi di tutti i cittadini che hanno fatto richiesta dei buoni spesa, dando così adito a tutti i possibili giudizi e pettegolezzi dei loro concittadini, pare acquisito dalla Pubblica amministrazione che è vietata la diffusione sul sito web istituzionale dei dati sullo stato di salute e sulle situazioni di disagio economico e sociale dei beneficiari (come spiegato qui).

In questi giorni però, in nome della trasparenza e del mandato istituzionale, i Consiglieri comunali di tutt’Italia stanno inoltrando alle loro amministrazioni richieste di accesso agli atti relativamente all’elenco delle persone, italiane e straniere, che sono risultate beneficiarie di interventi economico-sociali.

Ai fini delle domande, i richiedenti hanno fornito dati e informazioni personali di tipo comune (dati anagrafici; indirizzo di residenza; mancanza di reddito; assenza forme di sostegno Enti pubblici; onere mensile del canone di affitto; presenza di minore di 12 anni; dati anagrafici, rapporto di parentela e occupazione/reddito mensile dei componenti del nucleo familiare; possesso depositi/titoli/azioni; perdita di lavoro per emergenza Covid-19) e dati cosiddetti particolari (cittadinanza extracomunitaria, titolo di soggiorno, presenza componente nucleo familiare con gravi problemi di salute certificati).

Ci si chiede dunque se e come i richiedenti abbiano diritto, in relazione alla normativa riguardante la privacy, di accedere agli atti relativi alle persone anche in considerazione dei dati relativi alla salute e all’origine razziale o etnica contenuti nella documentazione.

Il ruolo privacy del Consigliere comunale

Il Regolamento europeo in materia di protezione dei dati personali (Reg. UE 2016/679, GDPR) nonché il Codice Privacy (D.lgs. n. 196/2003 come modificato dal D.lgs. n. 101/2018) e i provvedimenti del Garante per la protezione dei dati personali sono ispirati alla necessità di adottare particolari cautele nel trattare i dati personali riferibili ad un cittadino (cosiddetto interessato).

Tra gli obblighi che la normativa privacy pone a carico del Titolare/Responsabile del trattamento, vi è innanzitutto quello di designare espressamente tutti coloro che nell’ambito dell’assetto organizzativo, utilizzano dati personali per l’espletamento di specifici compiti e funzioni, nonché l’onere di fornire appropriate istruzioni di comportamento.

In particolare l’Ente locale, facendo riferimento all’atto della proclamazione del Consigliere (ovvero, in caso di surrogazione, non appena adottata dal consiglio la relativa deliberazione) in ordine all’entrata in carica per l’esercizio delle funzioni di cui al D.lgs. n. 267/2000 (cd. TUEL), deve autorizzare il Consigliere comunale al trattamento dei dati personali.

Infatti, nell’espletamento del suo mandato elettivo – fermo il segreto a cui è tenuto ai sensi dell’art. 43, comma 2, del TUEL – il Consigliere potrà venire a conoscenza di notizie e informazioni in possesso degli uffici comunali sul conto dei cittadini che, ai sensi della disciplina privacy, costituiscono dati personali, di natura sia comune che particolare (dati sensibili).

L’art. 4, n. 10, GDPR prevede espressamente l’esistenza di “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare e del Responsabile del trattamento”.

L’art. 29 GDPR stabilisce che chiunque agisca sotto l’autorità del Titolare o del Responsabile del trattamento ed abbia accesso a dati personali non possa trattare tali dati se non è istruito in tal senso dal Titolare del trattamento. Tale obbligo viene ribadito al paragrafo 4 dell’art. 32 GDPR nel solco dell’obbligo in capo al Titolare e al Responsabile del trattamento di “mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (par. 1).

Si aggiunga che il D.lgs. n. 101/2018 ha introdotto nel Codice Privacy l’art. 2-quaterdecies. Quest’ultimo statuisce al comma 1 che: “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”; al comma 2 prevede altresì che “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Dunque, nell’alveo delle persone fisiche che operano sotto l’autorità del titolare del trattamento (nel nostro caso dell’Ente pubblico locale) possono distinguersi “autorizzati” e “designati” in ragione – rispettivamente – della soggezione, o meno, alla “diretta” autorità.

Ebbene, a parere di chi scrive1, in ragione dei compiti specifici e delle funzioni istituzionali connessi al trattamento dei dati personali, il Consigliere comunale dovrà essere puntualmente “designato” ai sensi del comma 1 dell’art. 2-quaterdecies del Codice.

Diritto di accesso dei Consiglieri comunali

È necessario premettere che il diritto di accesso riservato ai Consiglieri ha una ratio diversa da quella che contraddistingue il diritto di accesso documentale di cui all’art. 22 e ss. della Legge n. 241/1990, nonché i diritti di accesso civico cd. semplice ex D.lgs. n. 33/2013 e cd. generalizzato ex D.lgs. n. 97/2016.

A ciò deve aggiungersi la piena autonomia concettuale del diritto di accesso dei Consiglieri anche rispetto a quello attribuito a tutti i cittadini e disciplinato dall’art. 10 TUEL.

Il diritto di accesso dei Consiglieri2 agli atti del Comune, affermato dall’art. 43, comma 3, TUEL ha un valore particolare in quanto è finalizzato al pieno ed effettivo svolgimento delle funzioni3 assegnate al Consiglio stesso.

Sull’argomento, la giurisprudenza amministrativa è consolidata nel ritenere che l’esercizio del diritto di accesso del Consigliere è finalizzato all’espletamento del mandato politico-amministrativo, costituendone al tempo stesso il presupposto che lo legittima e il suo limite. Da ciò discende che il Consigliere non deve dimostrare, in base alle norme comuni sull’accesso, l’esistenza di un interesse giuridicamente rilevante, essendo sufficiente che rappresenti l’effettiva utilità delle notizie e delle informazioni richieste rispetto al mandato4.

Ebbene, sussiste in capo al Consigliere comunale un incondizionato diritto di accesso a tutti gli atti che possano essere di utilità all’espletamento del suo mandato come la valutazione della correttezza e dell’efficacia dell’operato dell’Amministrazione, nonché per poter esprimere un voto consapevole e promuovere le iniziative che gli spettano, sempre nell’ambito di competenza del Consiglio5. Purché tale diritto si esplichi senza indebite incursioni in ambiti riservati dalla legge all’apparato amministrativo e senza porre in essere atti e/o comportamenti qualificabili come “abuso del diritto”6,7.

Concludendo, non è sufficiente “essere” un Consigliere per avere diritto all’accesso ma è necessario che la domanda muova da un’effettiva esigenza8 collegata all’esame di questioni proprie del Consiglio comunale.

Pertanto, ove l’accesso sia consentito perché risultato essenziale, compatibile ed effettivamente utile per lo svolgimento del mandato, occorre effettuare un’ulteriore valutazione riguardo alla protezione dei dati personali contenuti nei documenti amministrativi del Comune, che pone, in capo al titolare del trattamento, innanzitutto il rispetto di obblighi di trasparenza.

Lo schema tipo di regolamento fornito dal Garante

Nel 2005, nel quadro giuridico disciplinato dal Codice Privacy, l’Autorità Garante emanava un Provvedimento generale9 in ordine ad uno schema tipo10 di regolamento per i trattamenti dei dati sensibili e giudiziari da effettuarsi presso le amministrazioni comunali. Ebbene, l’Autorità vi stabiliva che: “I comuni, al pari degli altri soggetti pubblici, possono trattare i dati sensibili e giudiziari in base ad un’espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.” Ma vi era di più.

A qualche mese di distanza il Garante interveniva nuovamente con un Parere per affermare che: “In presenza di una disposizione primaria che si limiti a specificare solo la finalità di rilevante interesse pubblico, tali soggetti devono identificare e rendere pubblici i tipi di dati sensibili o giudiziari, nonché le operazioni eseguibili in relazione alle finalità perseguite nei singoli casi, al fine di rendere legittimo il trattamento. A tale scopo, i comuni sono tenuti ad adottare un atto di natura regolamentare conforme al parere reso dal Garante, parere che, in armonia con il principio di semplificazione nel quadro di un elevato livello di tutela dei diritti, può essere fornito anche su schemi-tipo11”.

WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

Dunque, laddove i Comuni non avessero adottato i propri atti regolamentari in conformità allo schema tipo del Garante, evidentemente il trattamento di dati sensibili e giudiziari doveva ritenersi illecito e conseguentemente interrotto12 (salvo la specifica richiesta di parere all’Autorità13).

Lo schema tipo di regolamento per i Comuni conteneva l’indice dei trattamenti ed una serie di schede articolate nelle quali venivano evidenziati: le finalità rilevanti di interesse pubblico per trattare i dati sensibili e giudiziari, la denominazione del trattamento dei dati, la fonte normativa, i tipi di dati trattati, nonché una “Sintetica descrizione del trattamento e del flusso informativo”.

In particolare, per quanto qui d’interesse, con riferimento al trattamento di cui alla Scheda n. 33 (dello schema tipo de quo) denominato “Attività politica, di indirizzo e di controllo, sindacato ispettivo e documentazione dell’attività istituzionale degli organi comunali”, all’esame della “Sintetica descrizione”era stabilito quanto segue: “Nell’ambito delle proprie prerogative, i consiglieri comunali possono formulare atti sia di indirizzo politico (quali mozioni, ordini del giorno e risoluzioni), sia di sindacato ispettivo (presentando interrogazioni e interpellanze alla Giunta comunale), secondo le modalità stabilite dallo Statuto dal regolamento interno del Consiglio comunale. Le predette attività possono comportare il trattamento di dati sensibili e giudiziaririguardanti le persone oggetto di mozioni, ordini del giorno, risoluzioni, interrogazioni o interpellanze. Queste informazioni, eccetto quelle idonee a rivelare lo stato di salute, possono inoltre essere diffuse ai sensi del d.lg. n. 267/200 in ottemperanza al regime di pubblicità degli atti e delle sedute dei consigli comunali, delle commissioni e degli altri organi comunali (art. [oggi abrogato] 65, comma 5, d.lg. n. 196/2003).”

Dunque – prima del GDPR e del D.lgs. n. 101/2018 – in assenza di una legge14 che avesse specificato i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite, nonché in mancanza dell’adozione da parte del Comune di propri atti regolamentari15, doveva concludersi che nell’ambito dell’attività politica di indirizzo e controllo16 i Consiglieri non potessero trattare dati sensibili e giudiziari17 di persone fisiche.

La differenza tra trattamenti di dati comuni e particolari

Preliminarmente, con riferimento all’esecuzione di un compito di interesse pubblico, è opportuno evidenziare che sussistono delle differenze tra i trattamenti che riguardano i dati comuni rispetto a quelli dei dati particolari.

Infatti, in linea con la disciplina previgente, il confronto delle disposizioni del GDPR con quelle del Codice Privacy novellato evidenzia una volta di più quanto sia indispensabile18 che per il trattamento di dati particolari sussista come base giuridica una legge o un regolamento (ove previsto dalla legge) che indichi puntualmente i tipi di dati che possono essere trattati, le operazioni eseguibili e le misure.

L’art. 2-sexies, comma 1, del Codice prescrive che i trattamenti dei dati particolari sono ammessi soltanto quando la legge o il regolamento “specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili […], nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.”

Diversamente, con riferimento ai dati di tipo comune, l’art. 6, par. 3, GDPR prevede che la base giuridica19potrebbe contenere disposizioni specifiche” tra le quali “le tipologie di dati oggetto del trattamento; […] le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto”. Restando pertanto aperta ad interpretazioni meno restrittive sulla presenza degli elementi sopracitati.

Un’ulteriore differenza tra il trattamento dei dati comuni e particolari è che per quest’ultimi, a mente dell’art. 2-sexies, comma 1, del Codice il trattamento è ammesso soltanto se sia necessario per motivi di interesse pubblico “rilevante” (cfr. anche art. 9, par. 2, lett. g), GDPR).

Lo stesso art. 2-sexies al comma 2 stabilisce che “si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie: […] h)svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l’accesso20 a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo”.

Dunque – abrogato l’art. 65 – nel Codice è presente una norma primaria che riconosce al Consigliere la possibilità di trattare i dati sensibili (rectius: particolari) nello svolgimento del proprio mandato; tuttavia non è sufficientemente dettagliata quanto a tipi di dati, operazioni eseguibili e misure che ammetterebbero il trattamento dei dati particolari. Ragione per la quale occorre tenere ancora in debita considerazione i regolamenti per il trattamento dei dati sensibili e giudiziari dei comuni conformi allo schema tipo del Garante21.

Tant’è vero che al fine di superare qualsiasi dubbio interpretativo22, con una nota del novembre 2018 il Presidente dell’Autorità Garante ha confermato che “devono peraltro intendersi tuttora applicabili i vigenti regolamenti sui trattamenti di dati sensibili e giudiziari adottati secondo la disciplina previgente (art. 20, c.2 del Codice).23

Avviandoci verso la conclusione, in concreto, quali sono le valutazioni che deve effettuare l’amministrazione di fronte alla richiesta di accesso di un Consigliere comunale?

L’utilità della richiesta e le valutazioni caso per caso

Sulla scorta della giurisprudenza amministrativa può affermarsi che il Consigliere comunale gode di un incondizionato diritto di accesso a tutti gli atti che possano essere di utilità all’espletamento del suo mandato. Tale figura istituzionale deve essere in condizione di valutare la correttezza e l’efficacia dell’operato dell’Amministrazione, di esercitare pienamente le sue prerogative nonché di esprimere un voto consapevole sulle questioni di competenza del Consiglio.

Pertanto, le richieste dei Consiglieri comunali potranno essere legittimamente accolte soltanto ove risultino utilmente ricondotte alle finalità di rilevante interesse pubblico direttamente connesse all’espletamento del mandato elettivo.

Giunti a una tale valutazione positiva, nessun ostacolo potrebbe ravvisarsi alla comunicazione (al Consigliere): di notizie e informazioni prive delle generalità o di altri elementi identificativi degli interessati, riguardanti il numero delle richieste ovvero dei contributi erogati, le tipologie di motivazioni addotte al rigetto della richiesta da parte del personale autorizzato, i provvedimenti di revoca o di modifica degli atti di disposizione, nonché gli eventuali procedimenti giudiziari.

Nell’eventualità in cui l’accesso dovesse riguardare necessariamente i dati comuni, la cedevolezza dell’art. 6, par. 3, GDPR nel richiedere le “disposizioni specifiche”, conduce chi scrive a pensare che di fronte ad una base giuridica non sufficientemente dettagliata come l’art. 43 TUEL dovrebbe potersi ammettere il trattamento dei dati comuni anche ai Consiglieri.

È allora proprio il caso di sottolineare che in virtù del principio di minimizzazione (art. 5, par. 1, lett. c), GDPR) l’amministrazione destinataria della richiesta – cui spetta entrare nel merito dell’istanza eventualmente sindacabile dal giudice amministrativo24 – è tenuta a comunicare dati personali “adeguati, pertinenti e limitati”, ovvero “indispensabili”25.

Laddove l’accesso dovesse interessare i dati personali particolari, ferma la valutazione di utilità rispetto al mandato elettivo, l’amministrazione potrà comunicare i suddetti dati soltanto nel caso in cui la richiesta si fondi su una disposizione di legge o su un regolamento che specifichi i tipi di dati che possono essere trattati, le operazioni eseguibili, nonché le misure appropriate e specifiche per tutelare i diritti e le libertà fondamentali degli interessati (art. 2-sexies, comma 1, Codice Privacy).

Conclusioni

Concludendo, sebbene l’art. 43 TUEL stabilisca che i Consiglieri comunali hanno diritto di ottenere dagli uffici tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato, la norma non specifica elementi quali i tipi di dati, le operazioni eseguibili e le misure appropriate.

Di conseguenza, se l’amministrazione considera utile la richiesta di accesso in conformità al mandato istituzionale, l’art. 43 TUEL dovrebbe potersi considerare una base giuridica corretta ai sensi degli artt. 6, paragrafi 1, lett. e) e 3, lett. b), GDPR e 2-ter Codice Privacy e dunque consentire il legittimo trattamento dei dati ccdd. comuni da parte dei Consiglieri.

Al contrario, rispetto ai dati particolari, certamente l’art. 43 TUEL non potrà considerarsi una base giuridica corretta ai sensi degli (ulteriori) artt. 9, par. 2, lett. g), GDPR e 2-sexies Cod. Privacy. Infatti, perché il trattamento dei dati particolari da parte dei Consiglieri possa ritenersi legittimo, il Comune dovrebbe aver adottato e pubblicizzato un regolamento conforme allo schema-tipo del Garante, che chiarisca e specifichi i medesimi elementi (i tipi di dati, le operazioni eseguibili e le misure adottate).

Ove tale atto regolamentare non fosse stato adottato, il contrasto tra il diritto di accesso de quo e quello alla privacy, potrà essere superato adottando misure tecniche e organizzative adeguate quali la pseudonimizzazione e la minimizzazione dei dati. In pratica si tratterebbe di un accesso con oscuramento dei dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici ovvero ad altre categorie di dati personali particolari e giudiziari.

In conclusione, il Comune, in qualità di titolare del trattamento, nel soddisfare le predette richieste deve sempre avere cura di adottare modalità tali da assicurare che l’accesso del Consigliere sia esercitato in modo da comportare il minor pregiudizio possibile alla vita privata delle persone cui si riferiscono i dati contenuti nei documenti oggetto dell’istanza di accesso.

Rimane fermo, in ogni caso, che il Consigliere deve essere responsabilizzato con la designazione al trattamento e che i dati personali eventualmente acquisiti possono essere utilizzati per le sole finalità realmente pertinenti al mandato e nel rispetto del segreto d’ufficio, poiché trattamenti ulteriori sono da ritenersi sicuramente illegittimi.

___________________________________________________________________

Gli interpreti si interrogano su quale specifico “ruolo” privacy assuma oggi il Consigliere comunale. Come per i singoli componenti dell’Organismo di Vigilanza (OdV), il confronto è tra l’autonoma Titolarità, la responsabilità del trattamento ex art. 28 GDPR e la “immedesimazione organica”. Sul tema, mutatis mutandis, v. Bolognini L. (a cura di Bolognini L. – Pelino E.), Codice della disciplina privacy, Milano, 2019, 225.

2 Sul diritto di accesso degli assessori comunali, v. Garante Privacy, Il Garante e le pubbliche amministrazioni [doc. web n. 1637571], in Relazione 2008 – Protezione dei dati e nuove tecnologie nel mondo in trasformazione – 2 luglio 2009 [1632972], parte II, par. 3.

3 Da ultimo il Consiglio di Stato 2 gennaio 2019, n. 12, ha affermato che questo diritto è un’espressione delle prerogative di controllo democratico e non incontra alcuna limitazione relativa all’eventuale natura riservata degli atti e/o delle informazioni, considerato anche l’esistenza del segreto d’ufficio, ma, allo stesso tempo, non può che essere strumentale all’esercizio della funzione.

4 Cfr. ex multis Consiglio di Stato, sez. V, 26 settembre 2000 n. 5109; 2 aprile 2001, n. 1893; 4 maggio 2004, n. 2716; 11 maggio 2004, n. 2966; 9 dicembre 2004, n. 7900; 20 ottobre 2005, n. 5879.

5 Cfr. Consiglio di Stato, sez. V, 17 settembre 2010, n. 6963. Sull’argomento il Garante Privacy, in Privacy e trasparenza negli enti locali – 09 giugno 1998, già affermava che “la concreta individuazione da parte degli enti locali delle notizie e delle informazioni utili che possono essere apprese dai consiglieri deve avvenire tenendo conto della necessità che questi soggetti hanno di accedere a tutto ciò che può essere funzionale allo svolgimento del proprio mandato. E questo allo scopo di consentire loro di valutare con piena cognizione di causa la correttezza e l’efficacia dell’operato dell’amministrazione, di esprimere un voto consapevole sulle questioni di competenza del Consiglio e di promuovere idonee iniziative.”

6 In questo senso, cfr. Lucca M., Considerazioni metodologiche sul diritto di accesso del consigliere comunale, http://www.segretarientilocali.it/nuovo/A2014/Doc/Lucca_DirittoAccesso.pdf .

7 Si tenga presente altresì che ai sensi dell’art. 78 del TUEL il Consigliere comunale non può partecipare ad atti che lo riguardano personalmente o propri parenti o affini entro il quarto grado, dovendo, quindi tenere un comportamento imparziale anche nel rispetto del principio di buona amministrazione ex art. 97 del Costituzione. Ad esempio, un accesso generalizzato a tutti gli atti protocollati, in un giudizio prognostico, consentirebbe la conoscenza di documenti nei quali il Consigliere comunale potenzialmente potrebbe trovarsi in “conflitto di interessi” e/o per i quali sussisterebbe “l’obbligo di astensione”; oppure, abiliterebbe l’accesso indiscriminato ad atti coperti da segreto posto dall’Autorità giudiziaria o all’accesso di atti dello stato civile; ovvero, in presenza di dati e situazioni sensibili, senza il giusto bilanciamento dei diritti di “pari grado” e “dei terzi”.

8 “L’individuazione del perché vengono trattati i dati rappresenta il lietmotiv di tutti i trattamenti, incluse quelle attività che si esauriscono all’interno dalla Pubblica Amministrazione, come pure quelle che invece si rivolgono all’esterno, comportando la diffusione o comunicazione di dati, per le quali la minimizzazione dei dati contenuti nei documenti, atti e provvedimenti amministrativi deve essere calibrata con maggiore attenzione.” Così Laurino G., Il diritto di accesso dei Consiglieri comunali e la protezione dei dati personali, in European Journal of Privacy Law & Technologies, http://www.ejplt.tatodpr.eu/Article/Archive/index_html?ida=100&idn=2&idi=-1&idu=-1 .

9 V. Garante Privacy, Trattamento dei dati sensibili nella pubblica amministrazione – 30 giugno 2005 [1144445],
(G.U. n. 170 del 23 luglio 2005).

10 V. Garante Privacy, Schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari dei comuni – 19 settembre 2005 [1174532].

11 Così Garante Privacy, Parere sullo schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari dei comuni – 21 settembre 2005 [1170239].

12 “L´Autorità esprime viva preoccupazione in relazione al rispetto del termine di legge del 31 dicembre prossimo. Se non interverranno per tale data i necessari atti di natura regolamentare il trattamento dei dati sensibili e giudiziari dovrà essere infatti interrotto a decorrere dal 1° gennaio prossimo. La prosecuzione del trattamento di dati sensibili e giudiziari dopo tale data concretizzerebbe un illecito, con conseguenti responsabilità di diverso ordine, anche contabile e per danno erariale; potrebbe inoltre comportare l´inutilizzabilità dei dati trattati indebitamente, nonché il possibile intervento di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2, del Codice). Nel quadro della tematica in esame, le amministrazioni pubbliche hanno l´obbligo -accanto ad altri doveri in materia- di rendere trasparenti ai cittadini quali informazioni vengono raccolte tra quelle particolarmente delicate cui si è fatto riferimento; devono altresì chiarire come utilizzano queste informazioni per le finalità di rilevante interesse pubblico individuate con legge. Tali indicazioni vanno trasfuse in un atto regolamentare cui va data ampia pubblicità (artt. 4, comma 1, lett. d) ed e), 20, comma 2 e 21, comma 2, del Codice). Non si tratta di un mero adempimento formale, oppure di una semplice ricognizione di prassi esistenti, poiché da tali regolamenti discenderanno effetti sostanziali per i cittadini interessati.” Così Garante Privacy, Trattamento dei dati sensibili nella pubblica amministrazione – 30 giugno 2005 [1144445].

13Cfr. articolo (oggi abrogato) 20, comma 3, D.lgs. n. 196/2003 (cd. Codice Privacy).

14Il Codice Privacy prevedeva che le finalità di rilevante interesse pubblico potevano essere individuate anche da un’espressa previsione di legge che, anche se collocata fuori dello stesso Codice, le evidenziasse comunque puntualmente nei termini richiesti.

15 Nel regolamento potevano essere prese in considerazione le sole finalità di rilevante interesse pubblico che erano già state individuate specificamente dal Codice Privacy.

16 L’(oggi abrogato) art. 65 del Codice Privacy dedicato ai “Diritti politici e pubblicità dell’attività di organi” al comma 4 stabiliva che “Ai fini del presente articolo, in particolare, è consentito il trattamento di dati sensibili e giudiziari indispensabili: […] b) per l’esclusivo svolgimento di una funzione di controllo, di indirizzo politico o di sindacato ispettivo e per l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo.”

17 In questo senso anche il Parere del Garante su una versione aggiornata dello schema tipo di regolamento per il trattamento di dati personali sensibili e giudiziari da effettuarsi presso i consigli e le assemblee legislative delle regioni e delle province autonome – 25 luglio 2013 [2576905]: “Le regioni e le province autonome, al pari degli altri soggetti pubblici, possono trattare i dati sensibili e giudiziari, in base ad un´espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. In presenza di una disposizione primaria che si limiti a specificare solo la finalità di rilevante interesse pubblico, è necessario identificare e rendere pubblici, in un atto di natura regolamentare conforme al parere reso dal Garante, i tipi di dati sensibili o giudiziari, nonché le operazioni eseguibili in relazione alle finalità di rilevante interesse pubblico perseguite nei singoli casi, al fine di rendere legittimo il trattamento.”

18 “Inoltre, ed è punto decisivo, anche in presenza di normazione primaria e di regolamenti nei casi di legge, la disposizione applica un’ulteriore drastica selezione, escludendo comunque quelle fonti che non specifichino: i tipi di dati che possono essere trattati; le operazioni eseguibili; il motivo di pubblico interesse perseguito; quali misure appropriate e specifiche siano apprestate per tutelare i diritti fondamentali e gli interessi dell’interessato.” Così Pelino E. (a cura di Bolognini L. – Pelino E.), op. cit., 118.

19 L’art. 2-ter Codice Privacy dispone che la base giuridica per il trattamento dei dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’ art 6, par. 3, lett. b), GDPR “è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”.

20 Si fa solo notare che il motivo di interesse pubblico rilevante di cui alla lett. h) è distinto dall’ “accesso a documenti amministrativi e accesso civico” di cui alla lettere a) dello stesso comma 2 dell’art. 2-sexies Codice Privacy novellato, tra l’altro puntualmente disciplinati all’art. 59 dello stesso Codice.

21 In questo senso Pelino E. (a cura di Bolognini L. – Pelino E.), op. cit., 118, il quale prevede che “per quanto concerne i tipi di dati personali, le operazioni eseguite e la rilevanza pubblica della finalità conseguita, i soggetti pubblici potrebbero far leva sugli atti regolamentari prodotti nel lungo arco applicativo della disciplina ante-GDPR, in considerazione delle specifiche aperture in tal senso del Garante”.

22 Erano sorti dei dubbi interpretativi sulla legittimità dei regolamenti adottati dai comuni per il trattamento dei dati sensibili e giudiziari: mentre con il Codice previgente si operava un generico rinvio agli “atti di natura regolamentare” dei singoli soggetti pubblici (cfr. art. 20 del Codice, ora abrogato), nel nuovo quadro giuridico la fonte regolamentare è idonea a disciplinare i dati personali in questione solo “nei casi previsti dalla legge”. In verità, una interpretazione restrittiva del richiamato inciso avrebbe potuto escludere i trattamenti disciplinati con fonte regolamentare. Sul tema, v. Pelino E. (a cura di Bolognini L. – Pelino E.), op. cit., 119.

23 Così Nota del Presidente del Garante, Antonello Soro, al Presidente del Consiglio dei Ministri, al Presidente della Conferenza delle regioni e delle province autonome e al Presidente dell’ANCI, in tema di trattamenti di categorie particolari di dati personali per motivi di interesse pubblico rilevante [doc. web n. 9065601], del 27 novembre 2018.

24 La giustizia amministrativa ha precisato che le istanze di accesso dei Consiglieri non possono eccedere i limiti della proporzionalità e della ragionevolezza (cfr. T.A.R. Sardegna, sez. I, 16 gennaio 2008, n. 32; Consiglio di Stato, sez. V, 13 novembre 2002, n. 6293; 2 settembre 2005, n. 4471; sez. IV, 21 agosto 2006, n. 4855; 28 dicembre 2007, n. 6742) e che non sono inerenti alle funzioni di indirizzo e controllo politico-amministrativo demandate al Consigliere dalla legge richieste di accesso che, per il numero degli atti richiesti e per l’ampiezza della loro formulazione, si traducano in forme di controllo specifico e minuzioso su singoli atti dell’ente di riferimento (cfr. Consiglio di Stato, sez. V, 28 novembre 2006, n. 6960).

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

25 In questo senso, cfr. Garante Privacy, Accesso da parte di consiglieri regionali a cartelle cliniche e certificati medici – 25 luglio 2013 [2536172], provvedimento n. 369.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3