Obblighi di pubblicazione online degli atti amministrativi e protezione dei dati personali: qual è il punto di equilibrio?
Le Authorities testimoniano il passaggio da una organizzazione verticistica dello Stato ad un policentrismo funzionale, nonchè il ritiro dello Stato Legislatore da alcuni settori. Ed invero, le Autorità indipendenti, agiscono a salvaguardia di un peculiare interesse della vita sociale cui il Legislatore guarda con attenzione e, nell’esercizio delle loro attività, sono sottratte a quel circuito democratico che generalmente vede nel Parlamento, eletto dal popolo, un supervisore dell’operato degli organi di nomina politica, che così vengono ricondotti nei solchi degli assetti costituzionali.
In questo modo, il Legislatore è potuto intervenire affidando la tutela di settori delicati alle Authorities, stante l’incapacità del Parlamento di riuscire a districarsi nei meandri di interessi sensibili sempre più particolareggiati, per apprestarvi una tutela roboantemente invocata in un’epoca connotata da un pluralismo giuridico che ha ormai plasmato vasti settori dell’ordinamento, introducendo peraltro elementi connotati da un alto tasso di tecnicismo.
In questo ordine di idee, una delle materie più abbisognevole di protezione neutrale è stata, tra le altre, la tutela dei dati personali: pertanto, con legge 31 dicembre 1996, n. 675 — poi confluita nel D.lgs. 196/2003, attuale T.U in materia di protezione di dati personali — è istituito su impulso comunitario il Garante della privacy. Questi opera in piena autonomia e con indipendenza di giudizio e valutazione, ed è composto da quattro componenti scelti dalle Camere tra esperti di riconosciuta competenza nelle materie del diritto e dell’informatica.
La ratio giustificatrice dell’attività del Garante è ad ogni modo quella di assicurare lo svolgimento della funzione pubblica e il perseguimento del pubblico interesse, senza nel contempo incidere negativamente sulle libertà fondamentali e sui diritti alla protezione dell’identità personale degli individui interessati, sacrificandoli, ma contemperando le opposte esigenze disponendo gli accorgimenti e le misure necessarie a tal fine, come disposto, tra gli altri, agli artt. 22 e 26 del citato Codice.
L’Autorità de qua assicura che il trattamento dei dati personali, ossia di qualunque informazione relativa ad una persona fisica, si svolga nel rispetto dei diritti e delle libertà fondamentali dell’interessato, della sua dignità ed identità, e provvede ad adottare ogni misura o accorgimento utile all’applicazione dei principi in esso sanciti; vigila affinchè tutte le disposizioni prescritte nel predetto T.U siano osservate e provvede anche d’ufficio a sanzionarne le trasgressioni, tramite provvedimenti inibitori; promuove la sottoscrizione di Codici di condotta e deontologia ai sensi degli artt. 12 e 139; segnala al Parlamento e al Governo l’opportunità di interventi normativi tesi a tutelare i diritti che egli stesso garantisce e coopera con questi in occasione della predisposizione di atti regolamentari e amministrativi suscettibili di incidere sulla protezione dei dati personali.
In linea di principio, va segnalato che il trattamento di dati personali effettuato da soggetti pubblici è ammesso solo per consentire l’espletamento delle funzioni istituzionali, anche se il Codice opera ragionevoli distinzioni in base alla natura sensibile o giudiziaria del dato personale, ovvero in merito al soggetto che compie il trattamento. A tale specifico riguardo, il Garante deve essere interpellato affinchè presti consenso espresso ed autorizzi al trattamento dei dati da parte di soggetti privati o enti pubblici economici, mentre i soggetti pubblici possono trattare dati sensibili o giudiziari sempre che ciò sia indispensabile per lo svolgimento di attività istituzionali che non possano essere adempiute tramite trattamento di dati anonimi o di diversa natura. Tuttavia, anche in tal caso significative eccezioni e particolari regole sono diffuse in seno al Testo Unico. La tutela giurisdizionale è alternativa e preclude quella amministrativa dinanzi il Garante, il quale, in caso di violazioni riscontrate o segnalategli, esaurita l’istruttoria preliminare, procede ai sensi delle lett. a), b), c), d) dell’art. 143 del Codice. Ciò nonostante, come già anzidetto, contro i provvedimenti del Garante è possibile adire l’autorità giudiziaria ordinaria, e l’art. 152 pone una riserva di giurisdizione ordinaria per le controversie sull’applicazione delle disposizioni del T.U per la protezione dei dati personali.
Ciò posto, giova rilevare come un sistema così strutturato ed attento alle esigenze di protezione dell’identità e dei dati personali dei consociati, si scontra e va bilanciato con il contrapposto interesse del cittadino alla trasparenza della p.a.
In particolare, la trasparenza, ossia l’accessibilità delle informazioni relative ai procedimenti, l’organizzazione e le attività delle p.p. a.a., concorre ad attuare i princìpi costituzionali di buon andamento, eguaglianza, efficienza ed imparzialità, di guisa che gli amministrati possano divenire partecipi dell’agere amministrativo e al contempo controllarne l’operato, per conoscere l’utilizzo delle risorse pubbliche.
Per conseguire tale scopo, stante il processo di digitalizzazione delle p.a., il Legislatore, con D.lgs. 14 Marzo 2013, n. 33, ha predisposto il riordino della disciplina concernente gli obblighi di trasparenza, pubblicità e diffusione delle informazioni da parte delle pubbliche amministrazioni, dove per p.a devono intendersi tutte le amministrazioni di cui all’art. 1, comma 2 del D.lgs. 165/2001.
Attraverso il d.lgs. 33/2013, vengono prescritti obblighi di trasparenza e di pubblicazione online, ossia nei siti internet istituzionali delle pubbliche amministrazioni, di documenti, informazioni e dati afferenti l’organizzazione e l’attività di queste, riconoscendo al contempo il diritto di chiunque di accedervi gratuitamente, senza identificazione ed autenticazione, nonchè di utilizzarli ai sensi dell’art. 7 del citato Decreto legislativo. Fatti salvi i dati sensibili e giudiziari, di cui all’art. 4, comma 1, lettere d) ed e), del T.U sulla protezione dei dati personali, è fatto obbligo alle pubbliche amministrazione di procedere alla pubblicazione e alla diffusione dei dati medesimi attraverso i siti istituzionale, oltre a consentirne la indicizzazione e rintracciabilità tramite i motori di ricerca web ne rispetto dei principi sanciti nel Codice della privacy. Ulteriori limiti alla pubblicazione di dati sono prescritti all’art. 4 del D.lgs. 33/2013.
Giova evidenziare come il medesimo testo normativo, al successivo art. 5 introduca l’istituto dell’accesso civico, che si distingue dal più noto accesso di cui al Capo V della Legge 241/90, per il fatto di non richiedere, quale presupposto soggettivo legittimante l’accesso agli atti, una situazione giuridicamente tutelata — ovvero un interesse diretto, concreto e attuale collegato al documento cui si vuole accedere — riconoscendo a chiunque il diritto di richiedere gratuitamente i dati o i documenti oggetto di un obbligo di pubblicazione per le p.a., che, in seguito all’istanza, dispongono di trenta giorni per procedere alla pubblicazione del dato richiesto nel sito web.
Ogni amministrazione aggiorna annualmente un programma triennale per la trasparenza e l’integrità teso a promuovere la cultura dell’integrità e della trasparenza, ed assicura la tempestività dei flussi informatori e della pubblicazione degli atti oggetto di pubblicazione obbligatoria, i quali permangono nei siti istituzionali per un periodo di cinque anni, fatti salvi i diversi termini previsti dalla normativa sul trattamento dei dati personali. Alla scadenza del predetto termine quinquennale, i documenti e le informazioni sono comunque conservati e resi disponibili all’interno di apposite sezioni di archivio.
E’ opportuno segnalare come devono ritenersi estranei all’oggetto del citato decreto legislativo tutti gli obblighi di pubblicazione previsti da altre disposizioni per finalità diverse da quelle di trasparenza, quali gli obblighi di pubblicazione a fini di pubblicità legale, pubblicità integrativa dell’efficacia, pubblicità dichiarativa o notizia. Si pensi, ad esempio, alle pubblicazioni matrimoniali, la cui affissione alla porta della casa comunale (e oggi sui siti web istituzionali dei comuni) è prevista per otto giorni. La pubblicazione dei dati personali dei nubendi assolve a una funzione che evidentemente esula dalle finalità di trasparenza previste dal d.lgs. n. 33/2013, e che è pienamente assolta con la semplice pubblicazione per la durata temporale prevista. Infatti, sarebbe irragionevole applicare a essi il regime di conoscibilità previsto dalla normativa sulla trasparenza (limiti temporali di permanenza sul web, indicizzazione, accesso civico, riutilizzo etc.).
Ne consegue che tutte le ipotesi di pubblicità non riconducibili a finalità di trasparenza, qualora comportino una diffusione di dati personali, sono escluse dall’oggetto del d.lgs. n. 33/2013 e dall’ambito di applicazione delle relative previsioni già sinteticamente trattate.
In relazione all’operazione di diffusione, occorre che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali informazioni, atti e documenti amministrativi contenenti dati personali, verifichino che la normativa in materia di trasparenza preveda tale obbligo. Laddove l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni.
I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità (cd. “principio di necessità” di cui all’art. 3, comma 1, del Codice).
Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque rendere intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.
È quindi consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto. Ed invero, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione online. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultano eccedenti o non pertinenti.
Va altresì rilevato come sia, invece, sempre vietata la diffusione di dati idonei a rivelare lo “stato di salute” (art. 22, comma 8, del Codice della privacy) e “la vita sessuale” (art. 4, comma 6, del D. lgs. n. 33/2013).
In particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici o psichici.
Il procedimento di selezione dei dati personali che possono essere resi conoscibili online deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni siano idonee a rivelare i dati sensibili, ossia l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, oppure nel caso di dati giudiziari idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, nonché la qualità di imputato o di indagato.
I dati sensibili e giudiziari, infatti, sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto “indispensabili” per il perseguimento di una finalità di rilevante interesse pubblico come quella di trasparenza; ossia quando la stessa non può essere conseguita, caso per caso, mediante l’utilizzo di dati anonimi o di dati personali di natura diversa.
Pertanto, va conclusivamente sottolineato come gli enti pubblici siano tenuti a prestare la massima attenzione nella selezione dei dati personali da utilizzare, sin dalla fase di redazione degli atti e documenti soggetti a pubblicazione, ed in particolare quando vengano in considerazione dati sensibili. A tale specifico riguardo, può risultare utile non riportare queste informazioni nel testo dei provvedimenti pubblicati online (ad esempio nell’oggetto, nel contenuto, etc.), menzionandole solo negli atti a disposizione degli uffici (richiamati quale presupposto del provvedimento e consultabili solo da interessati e controinteressati), oppure indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici.
Alla luce delle predette considerazioni, e attraverso il vaglio analitico del panorama normativo che regola gli argomenti oggetto di trattazione e tutela le relative situazioni giuridiche soggettive, se ne deduce una sempre più pressante esigenza del Legislatore di salvaguardare i diritti dei singoli — in linea con l’evoluzione degli ordinamenti ed in conformità con le indicazioni del Legislatore comunitario — sacrificabili unicamente allorquando appaiano recessivi rispetto al preminente perseguimento dell’interesse pubblico alla trasparenza. Restano ad ogni modo fermi, preme ribadirlo, il principio di proporzionalità, nonchè l’indispensabilità dello specifico trattamento di dati per le predette finalità della p.a., fatte comunque salve le diffuse eccezioni inderogabili di legge.
Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione avv. Giacomo Romano
Copyrights © 2015 – Salvis Juribus - ISSN 2464-9775
Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.
Marco Petrigni
Laureato in Giurisprudenza, con tesi in Diritto Costituzionale su "La tutela della concorrenza e il riparto di competenze legislative", relatore Prof.ssa Antonella Sciortino.
Nel 2016 ha conseguito l'abilitazione all'esercizio della professione forense presso la Corte d'Appello di Palermo e il Diploma di Specializzazione nelle Professioni Legali presso l'Università degli Studi Guglielmo Marconi di Roma, con dissertazione in Diritto Civile su "Il danno da nascita indesiderata: legittimazione attiva per il risarcimento del danno - nota di commento a Cass. S.S. U.U., sent. n. 25767/2015".
Latest posts by Marco Petrigni (see all)
- Il trust e il fondo patrimoniale: un tentativo di perimetrazione dogmatica - 20 December 2016
- Stato unico di figlio e riflessi successori: come cambia la posizione dei figli adottivi? - 3 December 2016
- Obblighi di pubblicazione online degli atti amministrativi e protezione dei dati personali: qual è il punto di equilibrio? - 1 December 2016