Garante per i dati personali - 19/04/2007 - n. 17 Articolo unico

Il trattamento dei dati per finalità di pubblicazione e diffusione di atti nelle Linee guida

Per quanto attiene alle modalità di pubblicazione di dati personali via web è possibile fare riferimento anche alle considerazioni esposte sull'applicazione delle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, del 15 maggio 2014, in conformità a quanto previsto dal d.lgs. n. 33/2013, in materia di «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni» (modificato dal d.lgs. n. 97/2016).

Le attività di pubblicazione e diffusione di atti non possono prescindere dal rispetto delle previsioni in materia di protezione dei dati personali, e, in primo luogo, il rispetto dei principi di necessità e minimizzazione, ex art. 5, lett. c), del Regolamento, adoperando, ogni qual volta sia possibile, tecniche di oscuramento al fine di evitare qualsiasi trattamento, pubblicazione e diffusione di dati personali.

È sempre vietata la pubblicazione e diffusione di categorie particolari di dati personali, ed in particolare quelli che rilevino lo stato di salute e la vita sessuale, ex art. 9 del Regolamento, come anche dei dati giudiziari, ex art. 10 del Regolamento, salvo quanto previsto dall'art. 2-octies del codice.

In via generale, i comuni e le province è prevista per legge una modalità specifica per pubblicare atti e documenti, per via «tradizionale» e non via Intenet, fermi restando i diritti di accesso a dati personali e a documenti amministrativi.

L'indicazione di carattere generale, in ogni caso, contenuta nel provvedimento prescrive agli enti, nel perseguimento di finalità di pubblicità e trasparenza, di valutare se tali obiettivi siano raggiungibili anche non ricorrendo, in assoluto, al trattamento di dati personali, o permettendo di conoscere l'interessato solamente quando necessario.

I dati sensibili e giudiziari possono essere trattati e diffusi solamente se necessari e se l'ente abbia adottato il regolamento per il trattamento dei dati sensibili e giudiziari previsto dall'Autorità sull'utilizzo di tali dati, ed in conformità con le previsioni degli artt. 2-sexies e 2-octies del codice.

L'Autorità prescrive che prima di intraprendere un'attività che comporta pubblicazione e conseguente diffusione di dati personali, l'ente locale deve valutare se la finalità di trasparenza possa essere perseguita senza diffondere tali dati, oppure rendendo pubblici atti e documenti senza indicare dati identificativi, e quindi applicando procedure di anonimizzazione, adottando modalità che permettano di identificare gli interessati solo quando è necessario, in ossequio ai principi di necessità, pertinenza e non eccedenza.

Sull'interpretazione dell'art. 7-bis del d.lgs. n. 33/2013, ed in particolare il comma 3 che consente agli enti di pubblicare sul proprio sito istituzionale dati, informazioni e documenti che non sono obbligati a pubblicare in base al decreto o a una specifica disposizione di legge o regolamento, a condizione che i dati personali eventualmente presenti siano indicati in forma anonima, la norma in questione sembra prevedere un obbligo generale di anonimizzazione dei dati personali prima della pubblicazione su un sito istituzionale. Questo obbligo può essere interpretato come una misura volta a proteggere la privacy degli interessati. Tuttavia, è importante notare che la norma potrebbe prevedere delle eccezioni o delle situazioni in cui l'anonimizzazione potrebbe non essere tecnicamente possibile o appropriata. Ad esempio, potrebbe essere il caso in cui l'informazione stessa dipenda direttamente dai dati personali e non sia possibile fornirla in forma anonima senza snaturarla.