Garante per i dati personali - 15/05/2014 - n. 243 Articolo unico1) ai sensi dell'art. 154, comma 1, lett. h), del Codice di adottare le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalita' di pubblicita' e trasparenza sul web da soggetti pubblici e da altri enti obbligati» contenute nel documento allegato che forma parte integrante della presente deliberazione; 2) che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. InquadramentoLe Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, disciplinano gli accorgimenti che tali soggetti devono seguire, nel perseguimento di finalità di trasparenza e pubblicità, quando comunicazione e diffondono dati personali sui propri siti internet istituzionali. L'adozione delle Linee guida è stata ritenuta necessaria successivamente all'entrata in vigore del d.lgs. n. 33/2013, in materia di «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni» (modificato dal d.lgs. n. 97/2016), che già recepiva le indicazioni dell'Autorità contenute nel «Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle P.A.», del 7 febbraio 2013. Successivamente alle modifiche introdotte al d.lgs. n. 33/2013 dal d.lgs.n. 97/2016, l'Autorità nazionale Anticorruzione (ANAC) ha approvato le Linee Guida per l'attuazione dell'accesso civico generalizzato e degli obblighi di pubblicazione previsti dal d.lgs. n. 97/2016 (denominato «FOIA», dall'inglese Freedom of Information Act) (art. 5-bis, comma 6, del d.lgs. n. 33/2013), e le Linee guida sull'attuazione degli obblighi di pubblicazione previsti dal decreto Trasparenza. Il trattamento dei dati per finalità di pubblicità e trasparenza nel ProvvedimentoIn via generale, il principio della trasparenza dell'attività amministrativa non può non tenere conto del rispetto delle previsioni in materia di protezione dei dati personali, e, in primo luogo, il rispetto dei principi di necessità e minimizzazione, ex art. 5, lett. c), del Regolamento, adoperando, ogni qual volta sia possibile, tecniche di oscuramento al fine di evitare qualsiasi trattamento, pubblicazione e diffusione di dati personali. È sempre vietata la pubblicazione e diffusione di categorie particolari di dati personali, ed in particolare quelli che rilevino lo stato di salute e la vita sessuale, ex art. 9, paragrafo 1, del Regolamento, come anche dei dati giudiziari, ex art. 10 del Regolamento, salvo quanto previsto dall'art. 2-octies del codice. Tali dati possono essere oggetto di pubblicazione e diffusione solamente nei casi previsti da espresse previsioni di legge, e solamente «nel caso in cui siano in concreto «indispensabili» per il perseguimento di una finalità di rilevante interesse pubblico come quella di trasparenza; ossia quando la stessa non può essere conseguita, caso per caso, mediante l'utilizzo di dati anonimi o di dati personali di natura diversa» (v. provv. qui esaminato, Parte II, punto 1); ed in ogni caso, non riportando nell'oggetto e nel contenuto del provvedimento pubblicato, informazioni relative a dati sensibili, che saranno invece contenute nella documentazione a disposizione dell'ufficio – e dunque non pubblicata – accessibile e consultabile dall'interessato. Anche in presenza di un obbligo di pubblicazione, infatti, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti A tal riguardo, l'art. 3, comma 1-bis d.lgs. n. 33/2013, prevede che «[l]'Autorità nazionale anticorruzione, sentito il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali, con propria delibera adottata, previa consultazione pubblica, in conformità con i principi di proporzionalità e di semplificazione, e all'esclusivo fine di ridurre gli oneri gravanti sui soggetti di cui all'art. 2-bis, può identificare i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della disciplina vigente per i quali la pubblicazione in forma integrale è sostituita con quella di informazioni riassuntive, elaborate per aggregazione». L'eventuale pubblicazione di dati cd. «ulteriori», ovvero di informazioni che non sono soggette all'obbligo di pubblicazione, può avvenire soltanto in forma anonima, informazioni e documenti, che non si ha l'obbligo di pubblicare, è legittima solo procedendo alla «anonimizzazione» dei dati personali eventualmente presenti. In ragione di quanto sopra, nel tempo il Garante, in specifici provvedimenti sanzionatori, ha avuto modo di precisare le indicazioni delle Linee guida. In particolare, ha stabilito che la diffusione dei dati personali da parte dei soggetti pubblici è vincolata a stringenti condizioni ed è ammessa solo quando prevista da una specifica norma di legge o di regolamento. Pertanto, prima di mettere a disposizione informazioni, atti e documenti amministrativi contenenti dati personali sui siti web istituzionali, le pubbliche amministrazioni devono verificare se la normativa in materia di trasparenza impone tale obbligo. Inoltre, quando le amministrazioni pubbliche sono obbligate a pubblicare atti o documenti sul proprio sito web istituzionale, è necessario selezionare attentamente i dati personali da inserire, valutando caso per caso se è possibile oscurare determinate informazioni. I soggetti pubblici devono ridurre al minimo l'utilizzo di dati personali e identificativi, in conformità ai principi di protezione dei dati, evitando il trattamento di tali dati quando le finalità possono essere realizzate utilizzando dati anonimi o altre modalità che consentono l'identificazione solo se necessaria. Una volta terminato il periodo previsto dalla normativa per la pubblicazione degli atti e dei documenti nell'albo pretorio, gli enti locali non possono continuare a diffondere i dati personali contenuti in essi. Qualsiasi diffusione dei dati personali al di là della durata prevista dalla normativa di riferimento sarebbe illecita in quanto priva di adeguati presupposti normativi. Inoltre, il Garante ha evidenziato che il concetto di dato idoneo a rivelare lo stato di salute non si limita solo all'indicazione della patologia, ma include qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compresi riferimenti alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Riutilizzo dei datiL'Autorità ha rilevato come alcune certe tecniche di «anonimizzazione» adoperate da parte di alcune amministrazioni non siano idonee: ad esempio, sostituire nome e cognome dell'interessato con le iniziali di per sé non rende del tutto escludibile riconoscere l'identità del soggetto, soprattutto se a tali iniziali sono collegate altre informazioni che ne rendono ancora più probabile l'identificazione (e, dunque, informazioni che sono da considerarsi quali dati personali). Ciò è ancora più evidente se il dato così pubblicato è destinato anche ad un utilizzo successivo, in quanto l'obbligo di pubblicazione, ex art. 7 d.lgs. n. 33/2013, in «formato di tipo aperto» (come definito dall'art. 1, comma 1, lett. l-bis del Codice dell'Amministrazione digitale – CAD), non comporta necessariamente che i dati, pubblicati sui siti web istituzionali in ottemperanza agli obblighi di trasparenza, siano anche «dati di tipo aperto» (come definiti dall'art. 1, comma 1, lett. l-ter del CAD), che ne permetterebbe l'utilizzo da parte di qualsiasi soggetto, anche, tra le altre, per finalità commerciali e in formato disaggregato. A tal proposito, il Garante ribadisce che «non è ammesso l'incondizionato riutilizzo di dati personali oggetto di pubblicazione obbligatoria sulla base di mere licenze aperte che non pongano alcuna limitazione all'ulteriore trattamento dei dati» e che, qualora la pubblica amministrazione che ha assolto all'obbligo di pubblicazione dei dati «voglia rendere gli stessi [...] anche riutilizzabili, è invece indispensabile che lo stesso predisponga sul proprio sito istituzionale licenze standard, in formato elettronico e rese facilmente conoscibili ai potenziali utilizzatori, le quali stabiliscano chiaramente le modalità di carattere giuridico e tecnico che presiedono al corretto riutilizzo di tali dati». Tali termini delle licenze per il riutilizzo dovrebbero contenere «una clausola di protezione dei dati sia quando il riuso riguardi dati personali, sia quando riguardi dati anonimi derivati da dati personal. Nel primo caso, le condizioni di licenza dovrebbero indicare chiaramente le finalità e le modalità degli ulteriori trattamenti consentiti. Nel secondo caso tali condizioni dovrebbero, invece, vietare ai titolari delle licenze di re-identificare gli interessati e di assumere qualsiasi decisione o provvedimento che possa riguardarli individualmente sulla base dei dati personali così ottenuti, nonché prevedere in capo ai medesimi titolari l'obbligo di informare l'organismo pubblico nel caso in cui venisse rilevato che gli individui interessati possano essere o siano stati re-identificati». Invece, con riferimento alla finalità commerciale ed a quelle di propaganda elettorale, l'Autorità evidenzia che i recapiti e gli indirizzi di posta elettronica del personale della Pubblica amministrazione oggetto di pubblicazione obbligatoria, non sono utilizzabili oltre la finalità originale di trasparenza per la quale essi sono stati resi pubblici. Accesso civicoPer quanto riguarda gli aspetti di accesso civico, è opportuno precisare che questo – definito quale accesso civico «semplice» per distinguerlo dall'accesso civico «generalizzato», ex art. 5, comma 1 d.lgs. n. 33/2013 – rimane circoscritto ai soli «atti, documenti e informazioni oggetto di obblighi di pubblicazione e costituisce un rimedio alla mancata osservanza degli obblighi di pubblicazione imposti dalla legge». L'accesso generalizzato, invece, è autonomo ed indipendente dagli obblighi di pubblicazione, e deve tenere in considerazione il «rispetto della tutela degli interessi pubblici e/o privati indicati all'art. 5-bis, commi 1 e 2, e dall'altra, il rispetto delle norme che prevedono specifiche esclusioni (art. 5-bis, comma 3).» (v. Linee guida ANAC sull'attuazione degli obblighi di pubblicazione previsti dal decreto Trasparenza, Parte III, art. 9). L'accesso generalizzato è anche poi diverso e distinto dalla disciplina dell'accesso ai documenti amministrativi di cui agli articoli 22 e seguenti della l. n. 241/1970 (e con le limitazioni di cui agli artt. 24, comma 6, lett. d) e 24, comma 7 della medesima legge). |
