Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

DATI PERSONALI

PA, come rispettare privacy e trasparenza (evitando sanzioni): buone pratiche

La coesistenza di due principi in contrasto tra loro comporta scelte discrezionali che rischiano di bloccare la partita nelle pubblicazioni obbligatorie e nell’accesso agli atti. Uno scenario complesso al cui interno occorre muoversi con attenzione. L’analisi dei fattori in ballo e gli errori da scongiurare

17 Giu 2019
Nicola Manzi

Consulente Direzionale, Compliance, DPO


La normativa su trasparenza, accesso e privacy può presentare aspetti di complessa gestione, per la PA. La nuova disciplina della privacy, pur non intervenendo in maniera diretta sulle norme nazionali su  pubblicazioni obbligatorie, accesso ad atti e documenti amministrativi, complica il lavoro di chi, in un ente locale, deve assicurare la trasparenza e facilitare l’accesso civico alle informazioni detenute dalla PA.

La sussistenza di due principi di rango costituzionale in contrasto tra di loro vede, infatti, la necessità di compiere scelte discrezionali che portano a soccombere alcune volte il principio di riservatezza, altre volte quello della trasparenza amministrativa. Come comportarsi, quindi, per assicurare di volta in volta l’accesso alle informazioni e la tutela dei diritti evitando di incorrere nelle pesanti sanzioni previste dalle norme? Per poter rispondere con efficacia a questa domanda conviene concentrare l’analisi sul significato di “Trasparenza amministrativa” ed i suoi obiettivi. Essa è, infatti, un valore chiave del nostro ordinamento così come statuito all’art 1 della L. 241/90.

Quali sono i principi generali dell’attività amministrativa

“1. L’attività amministrativa persegue i fini determinati dalla legge ed è retta da criteri di economicità, di efficacia, di imparzialità, di pubblicità e di trasparenza, secondo le modalità previste dalla presente legge e dalle altre disposizioni che disciplinano singoli procedimenti, nonché dai princípi dell’ordinamento comunitario”.

Definizione che non può non accompagnarsi a quella del d.lgs. n.33/2013 e s.m.i. (denominato anche “decreto trasparenza”) che all’art 1 così definisce il Principio generale di trasparenza:

“1. La trasparenza è intesa come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche”.

Questo ampio diritto all’informazione così definito, resta temperato solo dalla necessità di garantire le esigenze di riservatezza, segretezza e tutela di determinati interessi pubblici e privati (elencati nell’art. 5-bis del d.lgs. n. 33/2013) tra cui conviene ricordare (ai fini della nostra trattazione) il comma 2, lettera a: la protezione dei dati personali, in conformità con la disciplina legislativa in materia.

Il nostro ordinamento, quindi, prevede come corollari della Trasparenza gli istituti della pubblicità e del diritto di accesso, strumenti attraverso i quali il principio si attua nel concreto.

Pubblicazione degli atti, i 2 principi cardine 

  1. obblighi di pubblicazione per finalità di trasparenza (previsti dal d.lgs 33/2013);
  2. obblighi di pubblicazione per altre finalità (contenuti in altre disposizioni di settore non riconducibili a finalità di trasparenza, quali ad es. le pubblicazioni matrimoniali)

I primi riguardano l’organizzazione e le attività delle pubbliche amministrazioni e sono esplicitati negli articoli dello stesso decreto trasparenza. Comprendono, ad esempio: i dati relativi agli organi di indirizzo politico e di amministrazione e gestione; i dati sull’articolazione degli uffici, sulle competenze e sulle risorse a disposizione di ciascun ufficio, anche di livello dirigenziale non generale; i nomi dei dirigenti responsabili dei singoli uffici; l’illustrazione in forma semplificata dell’organizzazione dell´amministrazione (es. mediante l’organigramma); l’elenco dei numeri di telefono nonché delle caselle di posta elettronica cui il cittadino possa rivolgersi.

I secondi sono contenuti in specifiche disposizioni di settore e riguardano finalità diverse dalla trasparenza, come quelli che prevedono la pubblicità legale di determinati atti amministrativi. Si pensi, ad esempio, alle pubblicazioni ufficiali dello Stato; alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti locali; alle pubblicazioni matrimoniali; alla pubblicazione degli atti concernenti il cambiamento del nome; alla pubblicazione della comunicazione di avviso di deposito delle cartelle esattoriali a persone irreperibili; ecc.

Dati sensibili, divieto di pubblicazione?

In tutti i casi, seguendo le linee guida espresse dall’Autorità Garante per la protezione dei dati personali (provv. Del 15 maggio 2014), indipendentemente dalla finalità perseguita, laddove la pubblicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

Le pubbliche amministrazioni, cioè, possono diffondere dati personali solo se ciò è ammesso da una specifica disposizione di legge o di regolamento e anche laddove quest’obbligo sussista, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Esiste, quindi, un divieto di pubblicazione dei dati sensibili?

Non siamo in presenza di un divieto di carattere assoluto. I dati personali, anche quelli di natura ”particolare” (ossia idonei a rivelare ad esempio l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale), o relativi a procedimenti giudiziari, potranno essere pubblicati se indispensabili, ossia se la finalità di trasparenza della pubblicazione non possa essere conseguita con dati anonimi o dati personali di natura diversa. In tutti gli altri casi andranno omessi o oscurati.

Protezione dati per i dati comuni 

No, il principio di protezione dei dati va rispettato anche se la pubblicazione in oggetto presenta al suo interno soltanto dati cd “comuni”.

I principi di pertinenza, non eccedenza, limitazione e minimizzazione (nonché quello di esattezza dei dati) devono guidare ogni attività di pubblicazione dei dati sui siti web dell’Ente per finalità di trasparenza, anche laddove si assecondi un idoneo presupposto normativo. La pubblicazione di informazioni personali (anche di dati di natura comune) si pone, infatti, in contrasto con la normativa sulla privacy quando non necessaria al raggiungimento delle finalità per le quali i dati sono stati raccolti.

Nella pratica, cioè, dobbiamo sempre preoccuparci di adottare:

  • in fase preliminare tutte le misure idonee ad identificare soltanto i dati strettamente necessari per raggiungere la finalità dell’atto;
  • in fase successiva tutte le misure efficaci per cancellare o rettificare tempestivamente i dati eccedenti e non pertinenti rispetto alle finalità per le quali sono trattati.

Sarà cautela, quindi, dei soggetti pubblici preposti al servizio di osservare i suddetti obblighi di legge avendo cura di rispettare la riservatezza degli interessati attraverso la predisposizione di idonee procedure volte a garantire il rispetto di tutti i principi chiamati in causa.

Ricapitolando:

Per assicurare il rispetto degli obblighi di pubblicazione e contemporaneamente la riservatezza degli interessati, gli Enti

  • devono individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
  • laddove ricorra l’obbligo di pubblicazione devono selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di alcune informazioni;
  • devono ridurre al minimo l’utilizzazione di dati personali e di dati identificativi (principio di minimizzazione) ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità;
  • devono (anche in presenza di un obbligo di pubblicità) diffondere i soli dati personali la cui inclusione in atti e documenti sia realmente necessaria e proporzionata al raggiungimento delle finalità perseguite dall’atto;
  • devono preoccuparsi di assicurare il rispetto delle specifiche disposizioni di settore che individuano circoscritti periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi contenenti dati personali, rendendoli accessibili sul proprio sito web solo per l’ambito temporale individuato dalle disposizioni normative di riferimento, anche per garantire il diritto all’oblio degli interessati (es.: art. 124, del d. lgs. 18 agosto 2000, n. 267, riguardante la pubblicazione di deliberazioni sull’albo pretorio degli enti locali per quindici giorni consecutivi);
  • devono sottrarre all’indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari una volta trascorso il periodo di pubblicazione previsto dalla legge.

I dati da “oscurare” nella pubblicazione online

Se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati.

Poiché, inoltre, la finalità perseguita mediante gli obblighi di pubblicazione nell’albo pretorio online riguarda atti e provvedimenti concernenti questioni rilevanti essenzialmente nell’ambito della collettività locale di riferimento, risulta sproporzionato, rispetto alla finalità di pubblicità, consentire l’indiscriminata reperibilità in rete dei dati personali contenuti in atti e provvedimenti amministrativi tramite i comuni motori di ricerca generalisti (es. Google).

Pertanto, si consiglia alle amministrazioni pubbliche responsabili dell’inserzione degli atti nell’albo pretorio online, di adottare gli opportuni accorgimenti tecnici per evitare l’indicizzazione nei motori di ricerca generalisti della documentazione contenente dati personali e pubblicata sull’albo pretorio online dei siti istituzionali degli enti locali.

Ecco come deindicizzare le pagine

Per deindicizzare o bloccare l’indicizzazione di una pagina, si può:

  • inserire il valore disallow nel file robots seguito dall’indirizzo della pagina (es. Disallow: /indirizzo_pagina.html)
  • Inserire l’attributo noindex nel metatag robot del documento

(Il mio suggerimento è di farsi aiutare nella procedura da chi fornisce i servizi di assistenza informatica all’Ente).

Queste operazioni di oscuramento, infine, non precludono la possibilità di esercitare i propri diritti. Per consultare il documento completo, con i riferimenti in chiaro, infatti, basterà (come vedremo in maniera più approfondita nella II parte della guida) una richiesta di accesso agli atti amministrativi presso gli uffici competenti, laddove esistano i presupposti previsti dalla l. 7 agosto 1990, n. 241.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4