La pubblicazione di dati personali da parte delle pubbliche amministrazioni richiede un costante bilanciamento tra il diritto alla riservatezza e le esigenze di trasparenza. In linea generale, prima di diffondere dati, documenti e informazioni sui propri siti istituzionali, le amministrazioni devono verificare l’esistenza di un obbligo giuridico e valutare caso per caso quali dati pubblicare, oscurando quelli non necessari o eccedenti.
Indice
1. L’articolo e la disposizione di legge
In tema, la disposizione di cui l’articolo 7-bis, comma 4, del decreto legislativo del 14 marzo 2013, n. 33 (di seguito anche “Decreto Trasparenza”), prevede che “nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”, consentendo la pubblicazione esclusivamente dei dati personali strettamente necessari e proporzionati alla finalità di trasparenza perseguita nel caso specifico, ovvero, in caso di dati sensibili o giudiziari, unicamente di quelli indispensabili a tale finalità.
La disposizione in esame evidenzia altresì che i dati personali non strettamente correlati alla finalità di trasparenza non devono essere inclusi negli atti destinati alla pubblicazione. Qualora tali dati venissero inseriti, l’amministrazione è tenuta a procedere all’oscuramento delle informazioni eccedenti e non pertinenti.
Inoltre, non è ammessa la diffusione di dati personali ulteriori rispetto a quelli previsti dal Decreto Trasparenza, da altre specifiche disposizioni di legge o regolamento, o da atti amministrativi generali e l’eventuale diffusione di dati, informazioni e documenti, non obbligata da una disposizione, è legittima solo “procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”, in conformità a quanto previsto dall’articolo 7-bis, comma 3, del Decreto Trasparenza.
Il Garante per la protezione dei dati personali, attraverso le sue Linee guida, sottolinea l’importanza di rispettare i principi di pertinenza, minimizzazione e proporzionalità, evitando la diffusione di dati sensibili o giudiziari, salvo nei casi strettamente necessari e regolati da specifiche disposizioni normative. È vietata la pubblicazione di informazioni relative alla salute, alla vita sessuale, o dati biometrici e genetici, se non indispensabili.
La qualità delle informazioni pubblicate deve rispettare i criteri di integrità, accessibilità e aggiornamento previsti dal Decreto Trasparenza, che impone alle amministrazioni di utilizzare formati aperti e tecniche di anonimizzazione per garantire la tutela degli interessati. In conclusione, la pubblicazione deve essere conforme ai principi del GDPR e limitata ai dati essenziali per le finalità di trasparenza perseguite.
Potrebbero interessarti anche:
2. Trasparenza e protezione dei dati personali: giurisprudenza e applicazione pratica
In merito alla giurisprudenza in materia della disciplina concernente gli obblighi di pubblicazione, è utile individuare la sentenza della Corte costituzionale n. 20 del 23 febbraio 2019, che dichiarava l’illegittimità costituzionale dell’articolo 14, comma 1-bis, del decreto legislativo del 14 marzo 2013, n. 33, relativamente alla previsione che riguardava la pubblicazione indiscriminata per tutti i titolari di incarichi dirigenziali[1].
Tale sentenza fu richiamata anche nella decisione del Consiglio di Stato del 2022[2] sull’obbligo di pubblicazione dei dati patrimoniali dei titolari di incarichi politici con la quale, a seguito della contestazione da parte di un componente del Consiglio di amministrazione dell’Università di Tor Vergata relativa alla richiesta dell’Ateneo di comunicare i dati personali di cui all’articolo 14 del Decreto Trasparenza ai fini della prescritta pubblicazione, lo stesso Consiglio di Stato ha osservato che la pronuncia della Corte costituzionale esplica effetti solo in merito alla posizione di titolari di incarichi dirigenziali e non anche su quelle dei titolari di incarichi di indirizzo politico, come il Consiglio di amministrazione, stante l’esercizio di funzioni di indirizzo strategico e di coordinamento della gestione amministrativa, finanziaria e patrimoniale dell’Ateneo.
Sul tema, invece, della ponderazione tra privacy e trasparenza e, in particolare, sulle tempistiche di pubblicazione e sui dati che consentono l’identificazione della persona, nonché sui dati che rilevano lo stato di salute degli interessati, la sentenza della Corte di cassazione civile, Sez. 3, del 13 ottobre 2016, n. 20615, ha evidenziato che, nel caso di specie, la pubblicazione e la divulgazione di atti che determinino una diffusione di dati personali deve ritenersi lecita qualora prevista da una norma di legge o di regolamento. In particolare, il caso prende in esame due delibere comunali che riportavano il nome e il cognome degli interessati, oltre alla targa di un’autovettura e i dati anagrafici di una signora caduta nell’atrio comunale che ha comportato una lesione al ginocchio.
La Corte individua che tali dati personali, seppure in un primo momento potrebbero dare evidenza dell’identificazione dell’interessato, in realtà non rendono il soggetto identificabile, se tale soggetto non viene associato ad altri elementi come la data e il luogo di nascita, la residenza o il codice fiscale e se calato in un contesto ampio quale il Comune in esame con circa ottanta mila abitanti.
La sentenza, inoltre, entrando nel merito della risoluzione dei casi concreti, prevede che l’identificazione dei nominativi danneggiati e del tipo di autovettura, nonché un banale infortunio al ginocchio, non rientrano tra le notizie finalizzate a rivelare lo stato di salute del danneggiato[3].
Sempre in merito ad un infortunio, va segnalato anche il provvedimento del Garante del 9 giugno 2022, n. 212, emanato a seguito della contestazione relativa alla diffusione di dati e informazioni personali contenuti nella delibera della Giunta pubblicata sul sito web istituzionale del Comune di Brindisi, riferiti al reclamante e al figlio minore con indicazione riguardanti le lesioni da quest’ultimo riportate a seguito di una caduta all’interno della scuola.
In questo caso, risultando il contesto sociale più “ristretto” essendo probabilmente le persone in questione legate alla scuola citata e, quindi, risultando semplice l’identificazione dei soggetti in questione, il Garante ha accertato che il Comune di Brindisi ha effettuato un trattamento di dati personali non conforme alla disciplina in materia e ha, pertanto, notificato al Comune le violazioni effettuate[4], invitando l’amministrazione comunale a far pervenire al Garante scritti difensivi o documenti e, eventualmente, a chiedere di essere sentita dall’autorità stessa.
In particolare, il Garante ha contestato l’assenza dell’oscuramento dei dati personali all’interno della delibera diffusa sul sito istituzionale dell’ente.
Il Garante ha, inoltre, rappresentato che, sebbene l’articolo 23, comma 1, del Decreto Trasparenza, preveda che le amministrazioni pubbliche debbano pubblicare gli “elenchi dei provvedimenti adottati dagli organi di indirizzo politico”, in realtà tale disposizione deve essere contemperata con i principi del trattamento dei dati personali di cui all’articolo 5 del GDPR 2016/679 e, in tale circostanza il Garante, rilevata l’illiceità del trattamento effettuato dal Comune di Brindisi, ha provveduto alla sua ammonizione per aver violato l’articolo 5, paragrafo 1, lettera c)[5], e l’articolo 6, paragrafo 1, lettera c)[6] ed e)[7], nonché il paragrafo 2 e il paragrafo 3, lettera b)[8], del GDPR 2016/679 e l’articolo 2-ter, commi 1-3, del Codice Privacy.
In tema, invece, di procedure concorsuali, è meritevole di trattazione il provvedimento del Garante del 23 marzo 2023, n. 83, in merito al reclamo presentato da un candidato ad una procedura concorsuale per la quale l’ente che l’ha indetta ha pubblicato sul proprio sito web istituzionale la graduatoria finale di detta procedura, in cui il reclamante figurava quale “non vincitore”, e ha successivamente adottato e pubblicato una deliberazione finalizzata all’adozione di un provvedimento di esclusione del reclamante in ragione della sussistenza di pregresse condanne penali, con oscuramento del nome e del cognome dello stesso e delle motivazioni sottese all’esclusione.
Il reclamante ha, quindi, lamentato che la pubblicazione di tali documenti, se considerati congiuntamente tra loro, avrebbe comportato l’illegittima diffusione di dati personali a lui relativi, inclusi i dati personali relativi a condanne penali e reati. In tale circostanza, il Garante ha dichiarato, ai sensi dell’art. 57, paragrafo 1, lettera f)[9], del Regolamento europeo, l’illiceità del trattamento effettuato dall’ente.
In merito, invece, al provvedimento del Garante del 18 luglio 2023, n. 311, avente ad oggetto un reclamo con il quale è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte di un’Autorità di sistema portuale va segnalato che, nello specifico, è stata contestata la circostanza che nel documento intitolato al reclamante, pubblicato online sul sito web istituzionale dell’Autorità portuale, pur essendo stato omesso il nominativo del reclamante, sono stati lasciati tutti i riferimenti dai quali risultava agevole risalire alla relativa identità e, in particolare, veniva citato il Decreto dell’Ente all’interno del quale l’unico soggetto indicato è il reclamante.
In base alle valutazioni del Garante ed all’esito dell’istruttoria relativa al reclamo presentato, nelle quali si evince che, pur tenendo conto della volontà dell’Autorità di sistema portuale, titolare del trattamento, di non rendere identificabile il soggetto interessato, il reclamante risultava comunque “identificabile” per relationem e, alla luce di ciò, il Garante ha rilevato l’illiceità del trattamento effettuato dall’Autorità di sistema portuale e i termini indicati in motivazione ai sensi dell’articolo 58, paragrafo 2, lettera b)[10], del GDPR 2016/679.
Sul tema della pubblicazione degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023 da parte di un Istituto di Istruzione Superiore Statale, il Garante, a seguito di una segnalazione, con provvedimento del 6 luglio 2023, n. 288, ai sensi dell’articolo 57, paragrafo 1, lettera f)[11], dichiara illecita la condotta tenuta dall’Istituto di Istruzione Superiore in quanto consistente nella violazione degli articoli 5 e 6 del Regolamento e 2-ter del Codice Privacy.
Va segnalato, inoltre, anche il reclamo con cui è stata lamentata la pubblicazione sul sito dell’Ente comunale di una determina avente ad oggetto l’attribuzione di compensi incentivanti relativi alla produttività individuale, con allegato l’elenco dei nominativi e i relativi compensi.
In tale circostanza, il Garante con provvedimento del 6 luglio 2023, n. 287, considerando la particolare delicatezza dei dati personali oggetto di diffusione online di numerosi interessati, circa settanta soggetti, riguardanti vicende inerenti al rapporto di lavoro e, in particolare, i dati personali di dipendenti comunali relativamente ai compensi percepiti in ragione della produttività individuale e quelli relativi all’esito delle progressioni economiche orizzontali, nonché tenendo conto che i dati personali, oggetto di diffusione online, riguardavano gli esiti di procedure valutative e i conseguenti effetti giuridici ed economici riferiti a numerosi dipendenti comunali, ha dichiarato l’illiceità del trattamento effettuato dal Comune e disposto l’applicazione di una sanzione amministrativa pecuniaria allo stesso, per violazione degli articoli 5 e 6 del Regolamento e dell’articolo 2-ter del Codice.
In conclusione, risulta cruciale per l’amministrazione realizzare un idoneo contemperamento tra disposizioni sulla trasparenza e disposizioni sulla protezione dei dati personali, considerando che l’attività di diffusione sui siti istituzionali concernenti la finalità di trasparenza, anche se effettuata in presenza di un presupposto normativo, deve avvenire nel rispetto dei principi di cui agli articoli 5 e 6 del GDPR 2016/679, nonché all’articolo 2-ter del Codice della Privacy e, quindi, nel rispetto della base giuridica che è costituita da una norma di legge, da un regolamento o da atti amministrativi generali.
Pertanto, la finalità di trasparenza deve essere perseguita nel rispetto della minimizzazione, non eccedenza, pertinenza e limitazione dei dati pubblicati, al fine di garantire il rispetto sia delle disposizioni concernenti la protezione dei dati personali, sia le disposizioni disciplinanti la trasparenza e, quindi, il giusto contemperamento tra trasparenza e privacy e, anche alla luce dei numerosi provvedimenti del Garante sul tema, si evince come tale ponderazione tra i due interessi confliggenti sia oggi ancora problematica e, tali provvedimenti, agevolano l’attività delle amministrazioni perché permettono di creare la fattispecie tipica e di operare nel rispetto della c.d. regola del caso concreto.
Formazione in materia per professionisti
Cybersecurity e Direttiva NIS 2 – Step di adeguamento per imprese e pubbliche amministrazioni
La Direttiva NIS 2 (Direttiva UE 2022/2555) ha l’obiettivo di rafforzare il quadro normativo della cybersecurity, estendendo le misure di sicurezza informatica ad un maggior numero di settori strategici e imponendo obblighi stringenti e sanzioni più severe ai soggetti interessati.
Durante il corso verranno esaminati approfonditamente tutti gli obblighi e i relativi step di adeguamento: quali sono i soggetti obbligati? Come creare un piano di risposta agli incidenti? Cosa fare in caso di attacco informatico? Quali sono i ruoli e le responsabilità nella compliance alla NIS 2?
I partecipanti acquisiranno competenze utili per implementare la conformità alla NIS 2 attraverso una check-list pratica e case studies.
>>>Per info ed iscrizioni<<<
Note
[1] Bertin M., Tessaro T., Come cambia la trasparenza amministrativa dopo il GDPR e il nuovo Decreto Privacy, Santarcangelo di Romagna, Maggioli Editore, 2019.
[2] Sentenza del Consiglio di Stato del 28 luglio 2022, n. 6654.
[3] Michetti E., Privacy: il risarcimento per gli atti pubblicati on line, www.ilquotidianodellapa.it 2016.
[4] Articolo 166, comma 5, del decreto legislativo del 30 giugno 2003, n. 196, rubricato “Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori”.
[5] I dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, c.d. minimizzazione dei dati.
[6] Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.
[7] Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
[8] La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
[9] Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo: f) tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo.
[10] Ogni autorità di controllo ha tutti i poteri correttivi seguenti: b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento.
[11] Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo: f)tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’articolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo.
Scrivi un commento
Accedi per poter inserire un commento