Riportiamo il testo rilevato dal "Sito del Garante della Privacy"
Documento per le linee guida del Garante.
"Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati"
(Pubblicato sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014)
Registro dei provvedimenti
n. 243 del 15 maggio 2014
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTA la direttiva del Parlamento europeo e del Consiglio 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");
CONSIDERATO il "Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle P.a." del 7 febbraio 2013 (in www.garanteprivacy.it, doc. web n. 2243168);
VISTO il decreto legislativo 14 marzo 2013, n. 33 recante "Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni" (in G.U. 5 aprile 2013, n. 80);
VISTE le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" del 2 marzo 2011 (in G.U. 19 marzo 2011, n. 64, p. 32; in www.garanteprivacy.it, doc. web n. 1793203);
ESAMINATE le segnalazioni e i quesiti pervenuti in ordine al trattamento dei dati personali derivante dagli obblighi di pubblicazione di atti e informazioni nel web contenuti nel citato d. lgs. n. 33/2013;
RITENUTA l'opportunità di individuare un quadro organico e unitario di garanzie finalizzato a indicare apposite cautele in relazione alle ipotesi di diffusione di dati personali mediante la pubblicazione sui siti web da parte di organismi pubblici e in particolare di quelli chiamati a dare attuazione al d. lgs. n. 33/2013 attraverso l'adozione di nuove "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati";
CONSIDERATO che tali nuove Linee guida sono state elaborate come opportuno supporto fornito a tutti i soggetti pubblici e altri enti obbligati per favorire l'implementazione, sotto il profilo della protezione dei dati personali, delle numerose e complesse disposizioni normative che si sono succedute negli ultimi anni in materia di pubblicazione e di diffusione dei dati, specie con riguardo al conseguimento della finalità di trasparenza;
RILEVATO che il quadro legislativo e regolamentare incidente su tale materia andrà soggetto a ulteriori modificazioni, segnatamente in relazione alla necessità di recepire nell'ordinamento nazionale la nuova direttiva 2013/37/UE relativa al riutilizzo dell'informazione del settore pubblico, e che pertanto potranno essere adottate altre linee guida e provvedimenti anche sulla base di una leale collaborazione con le altre autorità competenti;
TENUTO CONTO delle osservazioni e dei riscontri ricevuti dal Dipartimento della Funzione Pubblica presso la Presidenza del Consiglio dei Ministri, dall'Autorità nazionale anticorruzione e per la valutazione e la trasparenza delle amministrazioni pubbliche (già CIVIT e ora ANAC) e dall'Agenzia per l'Italia Digitale (AgID);
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Licia Califano;
DELIBERA
1) ai sensi dell'art. 154, comma 1, lett. h), del Codice di adottare le "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" contenute nel documento allegato che forma parte integrante della presente deliberazione;
2) che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 15 maggio 2014
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
______________________________________________
"Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati"
(Allegato alla deliberazione n. 243 del 15 maggio 2014)
SOMMARIO
INTRODUZIONE
OBBLIGHI DI PUBBLICITÀ
PARTE PRIMA
PUBBLICITÀ PER FINALITÀ DI TRASPARENZA
1. Principi e oggetto del "decreto trasparenza" (artt. 1, 2 e 3 del d. lgs. n. 33/2013)
2. Limiti generali alla trasparenza (artt. 1 e 4 del d. lgs. n. 33/2013)
3. Pubblicazione di dati personali ulteriori (art. 4, comma 3, del d. lgs. n. 33/2013)
4. Qualità delle informazioni (art. 6 del d. lgs. n. 33/2013)
5. Modalità di pubblicazione online dei dati personali (art. 7 del d. lgs. n. 33/2013)
6. Limiti al "riutilizzo" di dati personali (artt. 4 e 7 del d. lgs. n. 33/2013)
7.a. Le sezioni di "archivio" dei siti web istituzionali (art. 9, comma 2, del d. lgs. n. 33/2013)
8. Indicizzazione tramite motori di ricerca (art. 9, comma 1, del d. lgs. n. 33/2013)
9. Indicazioni per specifici obblighi di pubblicazione
9.e.i. Albo dei beneficiari di provvidenze di natura economica (d.P.R. 7 aprile 2000, n. 118)
PARTE SECONDA
PUBBLICITÀ PER ALTRE FINALITÀ DELLA P.A.
2. Accorgimenti tecnici in relazione alle finalità perseguite
2.a. Evitare l'indicizzazione nei motori di ricerca generalisti
2.b. Tempi limitati e proporzionati di mantenimento della diffusione dei dati personali nel web
2.c. Evitare la duplicazione massiva dei file contenenti dati personali
2.d. Dati personali esatti e aggiornati
3. Fattispecie esemplificative
3.a. Albo pretorio online degli enti locali
INTRODUZIONE
OBBLIGHI DI PUBBLICITÀ
Le recenti modifiche legislative in materia di pubblicità e trasparenza della pubblica amministrazione (cfr. da ultimo il d. lgs. 14 marzo 2013, n. 33) hanno reso necessario un intervento del Garante diretto ad assicurare l'osservanza della disciplina in materia di protezione dei dati personali nell'adempimento degli obblighi di pubblicazione sul web previsti dalle disposizioni di riferimento.
Le presenti "Linee guida" hanno, pertanto, lo scopo di definire un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che i soggetti pubblici, e gli altri soggetti parimenti destinatari delle norme vigenti, sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell'azione amministrativa. Pertanto, il presente provvedimento sostituisce le precedenti "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" del 2 marzo 2011 (doc. web n. 1793203).
In via preliminare, vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell'azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (es.: pubblicità legale).
In particolare, gli obblighi di pubblicazione online di dati per finalità di "trasparenza" sono quelli indicati nel d. lgs. n. 33/2013 e nella normativa vigente in materia avente a oggetto le "informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche". A tali obblighi si applicano le indicazioni contenute nella parte prima delle presenti Linee guida.
Accanto a questi obblighi di pubblicazione permangono altri obblighi di pubblicità online di dati, informazioni e documenti della p.a. – contenuti in specifiche disposizioni di settore diverse da quelle approvate in materia di trasparenza – come, fra l'altro, quelli volti a far conoscere l'azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, o quelli atti a garantire la pubblicità legale degli atti amministrativi (es.: pubblicità integrativa dell'efficacia, dichiarativa, notizia). Si pensi, a titolo meramente esemplificativo, alle pubblicazioni ufficiali dello Stato, alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull'albo pretorio online degli enti locali (oppure su analoghi albi di altri enti, come ad esempio le Asl), alle pubblicazioni matrimoniali, alla pubblicazione degli atti concernenti il cambiamento del nome, alla pubblicazione della comunicazione di avviso deposito delle cartelle esattoriali a persone irreperibili, ai casi di pubblicazione dei ruoli annuali tributari dei consorzi di bonifica, alla pubblicazione dell'elenco dei giudici popolari di corte d'assise, etc. A tali obblighi si riferiscono le indicazioni contenute nella parte seconda delle presenti Linee guida.
In tutti i casi, indipendentemente dalla finalità perseguita, laddove la pubblicazione online di dati, informazioni e documenti, comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali, nonché la dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali (art. 2 del Codice).
In tale quadro, è opportuno evidenziare che le decisioni, assunte dalle amministrazioni pubbliche o dagli altri soggetti onerati, in ordine all'attuazione degli obblighi di pubblicità sui siti web istituzionali di informazioni, atti e documenti contenenti dati personali sono oggetto di sindacato da parte del Garante al fine di verificare che siano rispettati i principi in materia di protezione dei dati personali.
Si fa presente, altresì, che la diffusione di dati personali da parte dei soggetti pubblici effettuato in mancanza di idonei presupposti normativi è sanzionata ai sensi degli artt. 162, comma 2-bis, e 167 del Codice.
Inoltre, l'interessato che ritenga di aver subito un danno – anche non patrimoniale – in particolare per effetto della diffusione di dati personali, può far valere le proprie pretese risarcitorie, ove ne ricorrano i presupposti, davanti all'autorità giudiziaria ordinaria (art. 15 del Codice).
PARTE PRIMA
PUBBLICITÀ PER FINALITÀ DI TRASPARENZA
1. Principi e oggetto del "decreto trasparenza" (artt. 1, 2 e 3 del d. lgs. n. 33/2013)
Con il d. lgs. 14 marzo 2013 n. 33 intitolato "Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni" il legislatore – in attuazione della delega contenuta nella legge 6 novembre 2012, n. 190, recante: "Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione" (art. 1, commi 35 e 36) – ha disciplinato in maniera organica i casi di pubblicità per finalità di trasparenza mediante inserzione di dati, informazioni, atti e documenti sui siti web istituzionali dei soggetti obbligati.
A tal fine, nel capo I dedicato ai "principi generali", la trasparenza è definita come "l'accessibilità totale delle informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche" (art. 1, comma 1).
Nel medesimo capo I è precisato che "oggetto del decreto" è l'individuazione degli obblighi di trasparenza "concernenti l'organizzazione e l'attività delle pubbliche amministrazioni" e che "tutti i documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell'articolo 7" (art. 2, comma 1, e art. 3).
Si evidenzia, in proposito, che lo stesso legislatore, ai soli fini del campo di applicazione del decreto, definisce la "pubblicazione" come l'inserimento nei siti istituzionali delle pubbliche amministrazioni, in conformità alle specifiche e alle regole tecniche previste nell'allegato al decreto stesso, dei documenti, delle informazioni e dei dati "concernenti l'organizzazione e l'attività delle pubbliche amministrazioni" (art. 2, comma 2).
Da ciò si deduce che tutte le volte in cui nel decreto legislativo n. 33/2013 è utilizzata la locuzione "pubblicazione obbligatoria ai sensi della normativa vigente" – cfr. artt. 3, 5, 7, 8, 9, 10, 41, 43, 45, 46 e 48 – il riferimento è limitato agli "obblighi di pubblicazione concernenti l'organizzazione e l'attività delle pubbliche amministrazioni" contenuti oltre che nel d. lgs. n. 33/2013 anche in altre disposizioni normative aventi analoga finalità di trasparenza, con esclusione degli obblighi di pubblicazione aventi finalità diverse.
La tipologia dei predetti obblighi di pubblicazione per finalità di trasparenza concernenti l'organizzazione e l'attività delle pubbliche amministrazioni è schematicamente riassunta nell'allegato al d. lgs. n. 33/2013 che individua la "struttura delle informazioni sui siti istituzionali"(1) e che precisa come la sezione dei siti istituzionali denominata "Amministrazione trasparente" deve essere organizzata in sotto-sezioni all'interno delle quali devono essere inseriti i documenti, le informazioni e i dati previsti dal decreto (art. 48 e allegato al d. lgs.).
Uno schema più particolareggiato degli obblighi di pubblicazione ai sensi della normativa vigente per finalità di trasparenza sopra descritti è contenuto poi nell'allegato n. 1 della delibera della CIVIT n. 50/2013 recante "Linee guida per l'aggiornamento del Programma triennale per la trasparenza e l'integrità 2014-2016") cui si rimanda.(2)
Per tale motivo, come si è detto, devono ritenersi estranei all'oggetto del citato decreto legislativo tutti gli obblighi di pubblicazione previsti da altre disposizioni per finalità diverse da quelle di trasparenza, quali gli obblighi di pubblicazione a fini di pubblicità legale(3), pubblicità integrativa dell'efficacia, pubblicità dichiarativa o notizia (già illustrati in forma esemplificativa nell'"Introduzione" (pag. 4) e presi in considerazione nella parte seconda delle presenti Linee guida.
Si pensi, ad esempio – tra i diversi casi indicati – alle pubblicazioni matrimoniali, la cui affissione alla porta della casa comunale (e oggi sui siti web istituzionali dei comuni) è prevista per otto giorni (cfr. art. 55 del d.P.R. n. 396 del 3/11/2000). La pubblicazione dei dati personali dei nubendi assolve a una funzione che evidentemente esula dalle finalità di trasparenza previste dal d. lgs. n. 33/2013 e che è pienamente assolta con la semplice pubblicazione per la durata temporale prevista. Infatti, sarebbe irragionevole applicare a essi il regime di conoscibilità previsto dalla normativa sulla trasparenza (limiti temporali di permanenza sul web, indicizzazione, accesso civico, riutilizzo etc.)
Di conseguenza, tutte le ipotesi di pubblicità non riconducibili a finalità di trasparenza (cfr. gli esempi forniti nell'"Introduzione" alle presenti Linee guida), qualora comportino una diffusione di dati personali, sono escluse dall'oggetto del d. lgs. n. 33/2013 e dall'ambito di applicazione delle relative previsioni fra cui, in particolare, quelle relative all'accesso civico (art. 5), all'indicizzazione (art. 4 e 9), al riutilizzo (art. 7), alla durata dell'obbligo di pubblicazione (art. 8) e alla trasposizione dei dati in archivio (art. 9).
2. Limiti generali alla trasparenza (artt. 1 e 4 del d. lgs. n. 33/2013)
I principi e la disciplina di protezione dei dati personali – come peraltro previsto anche dagli artt. 1, comma 2, e 4 del d. lgs. n. 33/2013 (v. altresì art. 8, comma 3) – devono essere rispettati anche nell'attività di pubblicazione di dati sul web per finalità di trasparenza.
In merito, si rappresenta che "dato personale" è "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b, del Codice).
Inoltre, la "diffusione" di dati personali – ossia "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m) – da parte dei "soggetti pubblici" è ammessa unicamente quando la stessa è prevista da una specifica norma di legge o di regolamento (art. 19, comma 3). Pertanto, in relazione all'operazione di diffusione, occorre che le pubbliche amministrazioni, prima di mettere a disposizione sui propri siti web istituzionali informazioni, atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichino che la normativa in materia di trasparenza preveda tale obbligo (artt. 4, comma 1, lett. m, 19, comma 3 e 22, comma 11, del Codice).
Laddove l'amministrazione riscontri l'esistenza di un obbligo normativo che impone la pubblicazione dell'atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l'oscuramento di determinate informazioni.
I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l'utilizzazione di dati personali e di dati identificativi(4) ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l'interessato solo in caso di necessità (cd. "principio di necessità" di cui all'art. 3, comma 1, del Codice). Pertanto, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013, i soggetti chiamati a darvi attuazione non possono comunque "rendere […] intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione" (art. 4, comma 4, del d. lgs. n. 33/2013).
È, quindi, consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto (cd. "principio di pertinenza e non eccedenza" di cui all'art. 11, comma 1, lett. d, del Codice). Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione online. In caso contrario, occorre provvedere, comunque, all'oscuramento delle informazioni che risultano eccedenti o non pertinenti.
È, invece, sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) e "la vita sessuale" (art. 4, comma 6, del d. lgs. n. 33/2013).
In particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici(5) (art. 22, comma 8, del Codice).
Il procedimento di selezione dei dati personali che possono essere resi conoscibili online deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni sono idonee a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale ("dati sensibili"), oppure nel caso di dati idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, nonché la qualità di imputato o di indagato ("dati giudiziari") (art. 4, comma 1, lett. d ed e, del Codice).
I dati sensibili e giudiziari, infatti, sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto "indispensabili" per il perseguimento di una finalità di rilevante interesse pubblico come quella di trasparenza; ossia quando la stessa non può essere conseguita, caso per caso, mediante l'utilizzo di dati anonimi o di dati personali di natura diversa (art. 4, commi 2 e 4, del d. lgs. n. 33/2013 cit.; artt. 20, 21 e 22, con particolare riferimento ai commi 3, 5 e 11, e art. 68, comma 3, del Codice).
Pertanto, come rappresentato dal Garante nel parere del 7 febbraio 2013 (doc. web 2243168), gli enti pubblici sono tenuti a porre in essere la massima attenzione nella selezione dei dati personali da utilizzare, sin dalla fase di redazione degli atti e documenti soggetti a pubblicazione, in particolare quando vengano in considerazione dati sensibili. In proposito, può risultare utile non riportare queste informazioni nel testo dei provvedimenti pubblicati online (ad esempio nell'oggetto, nel contenuto, etc.), menzionandole solo negli atti a disposizione degli uffici (richiamati quale presupposto del provvedimento e consultabili solo da interessati e controinteressati), oppure indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici (cfr. par. 2 del parere citato).
Effettuata, alla luce delle predette indicazioni, la previa valutazione circa i presupposti e l'indispensabilità della pubblicazione di dati sensibili e giudiziari, devono essere adottate idonee misure e accorgimenti tecnici volti ad evitare "la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo" (cfr. art. 4, comma 1 e art. 7, del d. lgs. n. 33/2013, nonché le precisazioni fornite infra nei parr. 6 e 8 delle presente parte ai quali si rimanda).
Per esigenze di chiarezza espositiva, i limiti alla trasparenza sopradescritti sono sinteticamente rappresentati nello schema 1 sotto riportato.
3. Pubblicazione di dati personali ulteriori (art. 4, comma 3, del d. lgs. n. 33/2013)
Le pubbliche amministrazioni non sono libere di diffondere "dati personali" ulteriori, non individuati dal d. lgs. n. 33/2013 o da altra specifica norma di legge o di regolamento (art. 19, comma 3, del Codice).
L'eventuale pubblicazione di dati, informazioni e documenti, che non si ha l'obbligo di pubblicare, è legittima solo "procedendo alla anonimizzazione dei dati personali eventualmente presenti" (art. 4, comma 3, del d. lgs. n. 33/2013).
In proposito, si evidenzia che la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell'interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online. Inoltre, il rischio di identificare l'interessato è tanto più probabile quando, fra l'altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l'interessato (si pensi, ad esempio, alle informazioni relative alla residenza oppure quando si possiede un doppio nome e/o un doppio cognome).
In molti casi, infatti, in particolari ambiti (ad esempio, per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati – come la data di nascita, il sesso, la residenza, il domicilio, il codice di avviamento postale, il luogo di lavoro, il numero di telefono, la complessiva vicenda oggetto di pubblicazione, etc.– è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti.
Per rendere effettivamente "anonimi"(6) i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all'interessato che ne possono consentire l'identificazione anche a posteriori (7)
4. Qualità delle informazioni (art. 6 del d. lgs. n. 33/2013)
L'art. 6 del d. lgs. n. 33/2013 sancisce che "Le pubbliche amministrazioni garantiscono la qualità delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l'integrità, il costante aggiornamento, la completezza, la tempestività, la semplicità di consultazione, la comprensibilità, l'omogeneità, la facile accessibilità, nonché la conformità ai documenti originali in possesso dell'amministrazione, l'indicazione della loro provenienza e la riutilizzabilità secondo quanto previsto dall'articolo 7" e che "L'esigenza di assicurare adeguata qualità delle informazioni diffuse non può, in ogni caso, costituire motivo per l'omessa o ritardata pubblicazione dei dati, delle informazioni e dei documenti".
Tale previsione deve essere interpretata anche alla luce dei principi in materia di protezione dei dati personali, per cui le pubbliche amministrazioni sono, altresì, tenute a mettere a disposizione soltanto dati personali esatti, aggiornati e contestualizzati (art. 11, comma 1, lett. c, del Codice).
Le pubbliche amministrazioni titolari del trattamento devono, quindi, non solo controllare l'attualità delle informazioni pubblicate, ma anche modificarle o aggiornarle opportunamente, quando sia necessario all'esito di tale controllo e ogni volta che l'interessato ne richieda l'aggiornamento, la rettificazione oppure, quando vi abbia interesse, l'integrazione (art. 7, comma 3, lett. a, del Codice).
5. Modalità di pubblicazione online dei dati personali (art. 7 del d. lgs. n. 33/2013)
L'art. 7 del d. lgs. n. 33/2013 prevede che "I documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria ai sensi della normativa vigente, resi disponibili anche a seguito dell'accesso civico di cui all'articolo 5, sono pubblicati in formato di tipo aperto ai sensi dell'articolo 68 del Codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e sono riutilizzabili ai sensi del decreto legislativo 24 gennaio 2006, n. 36, del decreto legislativo 7 marzo 2005, n. 82, e del decreto legislativo 30 giugno 2003, n. 196, senza ulteriori restrizioni diverse dall'obbligo di citare la fonte e di rispettarne l'integrità".
La disposizione citata persegue, peraltro, lo scopo di non obbligare gli utenti a dotarsi di programmi proprietari o a pagamento per la fruizione – e, quindi, per la visualizzazione – dei file contenenti i dati oggetto di pubblicazione obbligatoria. Infatti, il "formato di tipo aperto" è "un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi" (art. 68, comma 3, lett. a, del d. lgs. 7 marzo 2005, n. 82, Codice dell'amministrazione digitale-CAD) .(8)
Con riferimento ai dati personali (dal novero dei quali sono esclusi i dati delle persone giuridiche, enti e associazioni non riconosciute, nonché i dati anonimi o aggregati; cfr. la definizione contenuta nell'art. 4, comma 1, lett. b, del Codice), si rappresenta, quindi, che l'obbligo di pubblicazione in "formato di tipo aperto" non comporta che tali dati, pubblicati sui siti web istituzionali in ottemperanza agli obblighi di trasparenza, siano anche "dati di tipo aperto" nei termini definiti dal CAD .(9)
Occorre, infatti, tenere distinto il concetto di "formato di tipo aperto" avente il significato sopra descritto, da quello di "dato di tipo aperto" che attiene, invece, più propriamente alla disponibilità unita alla riutilizzabilità del dato da parte di chiunque, anche per finalità commerciali e in formato disaggregato (art. 52, comma 2, e art. 68, comma 3, lett. b, del CAD).
Da ciò consegue che i dati personali oggetto di pubblicazione obbligatoria non sono liberamente riutilizzabili da chiunque per qualsiasi ulteriore finalità, come meglio specificato nel paragrafo seguente.
6. Limiti al "riutilizzo" di dati personali (artt. 4 e 7 del d. lgs. n. 33/2013)
Gli artt. 4 e 7 del d. lgs. n. 33/2013 stabiliscono che il riutilizzo dei dati personali pubblicati è soggetto alle condizioni e ai limiti previsti dalla disciplina sulla protezione dei dati personali e dalle specifiche disposizioni del d. lgs. del 24 gennaio 2006 n. 36 di recepimento della direttiva 2003/98/CE sul riutilizzo dell'informazione del settore pubblico(10). Tale direttiva è stata oggetto di recente revisione (v. direttiva 2013/37/UE entrata in vigore dopo l'approvazione del decreto legislativo sulla trasparenza(11)).
Con la modifica della predetta direttiva, l'Unione europea conferma il principio, da ritenersi ormai consolidato in ambito europeo(12), in base al quale il riutilizzo di tali documenti non deve pregiudicare il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali fissato dalle disposizioni di diritto europeo e nazionale in materia(13). In particolare, le nuove disposizioni della direttiva introducono specifiche eccezioni al riutilizzo fondate sui principi di protezione dei dati, prevedendo che una serie di documenti del settore pubblico contenenti tale tipologia di informazioni siano sottratti al riuso anche qualora siano liberamente accessibili online.(14)
Ciò significa che il principio generale del libero riutilizzo di docu-menti contenenti dati pubblici(15), stabilito dalla disciplina nazionale ed europea, riguarda essenzialmente documenti che non contengono dati personali oppure riguarda dati personali opportunamente aggregati e resi anonimi(16) .
In altri termini, il semplice fatto che informazioni personali siano rese pubblicamente conoscibili online per finalità di trasparenza non comporta che le stesse siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, bensì impone al soggetto chiamato a dare attuazione agli obblighi di pubblicazione sul proprio sito web istituzionale di determinare – qualora intenda rendere i dati riutilizzabili – se, per quali finalità e secondo quali limiti e condizioni eventuali utilizzi ulteriori dei dati personali resi pubblici possano ritenersi leciti alla luce del "principio di finalità" e degli altri principi di matrice europea in materia di protezione dei dati personali.(17)
In particolare, in attuazione del principio di finalità di cui all'art. 11 del Codice, il riutilizzo dei dati personali conoscibili da chiunque sulla base delle previsioni del d. lgs. n. 33/2013 non può essere consentito "in termini incompatibili" con gli scopi originari per i quali i medesimi dati sono resi accessibili pubblicamente (art. 7 del d. lgs. n. 33/2013, art. 6, comma 1, lett. b, direttiva 95/46/CE; art. 11, comma 1, lett. b, del Codice).(18)
Pertanto, al fine di evitare di perdere il controllo sui dati personali pubblicati online in attuazione degli obblighi di trasparenza e di ridurre i rischi di loro usi indebiti, è quindi in primo luogo opportuno che le pubbliche amministrazioni e gli altri soggetti chiamati a dare attuazione agli obblighi di pubblicazione di cui al d. lgs. n. 33/2013 inseriscano nella sezione denominata "Amministrazione trasparente" dei propri siti web istituzionali un Alert generale con cui si informi il pubblico che i dati personali pubblicati sono "riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (direttiva comunitaria 2003/98/CE e d. lgs. 36/2006 di recepimento della stessa), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali".
Al riguardo, si rappresenta che una volta effettuata la pubblicazione online dei dati personali prevista dalla normativa in materia di trasparenza, il soggetto pubblico può rendere riutilizzabili tali dati o accogliere eventuali richieste di riutilizzo degli stessi da parte di terzi, solamente dopo avere effettuato una rigorosa valutazione d'impatto in materia di protezione dei dati, al fine di ridurre il rischio di perdere il controllo sulle medesime informazioni o di dover far fronte a richieste di risarcimento del danno da parte degli interessati(19). Tale valutazione deve essere volta a:
a) stabilire se è lecito, alla luce dell'esistenza di un presupposto normativo idoneo, che i dati personali pubblicamente accessibili sui siti web istituzionali possano essere riutilizzati da terzi e per scopi ulteriori (art. 11, comma 1, lett. a e b del Codice)(20) ;
b) in caso di valutazione positiva, occorre poi verificare se l'utilizzo ulteriore di questi dati possa essere consentito:
- limitatamente ai dati rielaborati in forma anonima e aggregata, individuando il livello appropriato di aggregazione e la specifica tecnica di anonimizzazione da utilizzare sulla base di una ponderata valutazione del rischio di re-identificazione degli interessati oppure rispetto a tutti o soltanto ad alcuni dei dati personali resi pubblici (cfr. artt. 3 e 11, lett. d, del Codice)(21);
- per qualsiasi scopo ulteriore o solo per taluni scopi determinati (art. 11, comma 1, lett. b, del Codice)(22);
- secondo modalità di messa a disposizione online conformi ai principi di necessità, proporzionalità e pertinenza (artt. 3 e 11 del Codice)(23);
- a condizione che gli utilizzatori adottino modalità tecniche e ri-spettino specifici vincoli giuridici definiti in apposite licenze predisposte al fine di individuare idonee cautele per tutelare i diritti degli interessati nei successivi trattamenti di dati a fini di riutilizzo(24).
All'interno del quadro generale delineato, è illecito, ad esempio, riutilizzare a fini di marketing o di propaganda elettorale i recapiti e gli indirizzi di posta elettronica del personale della p.a. oggetto di pubblicazione obbligatoria, in quanto tale ulteriore trattamento deve ritenersi incompatibile con le originarie finalità di trasparenza per le quali i dati sono resi pubblicamente disponibili. Lo scopo perseguito dalle disposizioni che impongono la pubblicazione dei dati del personale, infatti, seppure non espressamente indicato, è quello di aiutare i consociati a individuare i soggetti e i recapiti da contattare per presentare istanze o ottenere informazioni relative a procedimenti di competenza delle pubbliche amministrazioni (es. art. 35, d. lgs. n. 33/2013). Di conseguenza, il personale interessato, tenuto conto del contesto in cui i dati che lo riguardano sono stati raccolti, non potrebbe ragionevolmente prevedere che questi possano essere utilizzati per scopi non collegati alle proprie attività lavorative(25).
In ogni caso, nella valutazione d'impatto sopra delineata, è necessario tener conto che, anche alla luce di un'intepretazione sistematica delle disposizioni del decreto sulla trasparenza, i dati personali sensibili e giudiziari sono espressamente esclusi dal riutilizzo (art. 4, comma 1, e art. 7 del d. lgs. n. 33/2013).
Va tenuto presente, inoltre, che non è ammesso l'incondizionato riutilizzo di dati personali oggetto di pubblicazione obbligatoria sulla base di mere licenze aperte che non pongano alcuna limitazione all'ulteriore trattamento dei dati(26). Laddove, infatti, il soggetto che ha assolto gli obblighi di pubblicazione dei dati personali online voglia rendere gli stessi – dopo avere effettuato la predetta valutazione d'impatto privacy – anche riutilizzabili, è invece indispensabile che lo stesso predisponga sul proprio sito istituzionale licenze standard(27), in formato elettronico e rese facilmente conoscibili ai potenziali utilizzatori, le quali stabiliscano chiaramente le modalità di carattere giuridico e tecnico che presiedono al corretto riutilizzo di tali dati(28).
In proposito, per garantire il rispetto dei diritti degli interessati da parte degli utilizzatori, i termini delle licenze per il riutilizzo dovrebbero contenere una clausola di protezione dei dati sia quando il riuso riguardi dati personali, sia quando riguardi dati anonimi derivati da dati personali(29). Nel primo caso, le condizioni di licenza dovrebbero indicare chiaramente le finalità e le modalità degli ulteriori trattamenti consentiti. Nel secondo caso tali condizioni dovrebbero, invece, vietare ai titolari delle licenze di re-identificare gli interessati e di assumere qualsiasi decisione o provvedimento che possa riguardarli individualmente sulla base dei dati personali così ottenuti, nonché prevedere in capo ai medesimi titolari l'obbligo di informare l'organismo pubblico nel caso in cui venisse rilevato che gli individui interessati possano essere o siano stati re-identificati.(30)
Infine, dal punto vista tecnico, è importante considerare con attenzione quali accorgimenti tecnologici possono essere messi in atto per ridurre i rischi di usi impropri dei dati personali resi disponibili online e delle conseguenze negative che possono derivarne agli interessati. In questo quadro devono essere privilegiate modalità tecniche di messa a disposizione dei dati a fini di riutilizzo che consentano di controllare gli accessi a tali dati da parte degli utilizzatori e che impediscano la possibilità di scaricare o di duplicare in maniera massiva e incondizionata le informazioni rese disponibili, nonché l'indiscriminato utilizzo di software o programmi automatici(31).
7. Durata degli obblighi di pubblicazione (artt. 8, 14, comma 2, 15, comma 4, del d. lgs. n. 33/2013)
L'art. 8, comma 3, del d. lgs. n. 88/2013 prevede che i dati, le informazioni e i documenti oggetto di pubblicazione "sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorre l'obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatti salvi i diversi termini previsti dalla normativa in materia di trattamento dei dati personali e quanto previsto dagli articoli 14, comma 2, e 15, comma 4".
Ai sensi di tale disposizione, dunque, il periodo di mantenimento di dati, informazioni e documenti sul web coincide in linea di massima con il termine di cinque anni.
Sono tuttavia espressamente previste deroghe alla predetta durata temporale quinquennale:
a) nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;
b) per alcuni dati e informazioni riguardanti i "titolari di incarichi politici, di carattere elettivo o comunque di esercizio di poteri di indirizzo politico, di livello statale regionale e locale" (art. 14, comma 2) e i "titolari di incarichi dirigenziali e di collaborazione o consulenza" che devono rimanere pubblicati online per i tre anni successivi dalla cessazione del mandato o dell'incarico (art. 15, comma 4);
c) nel caso in cui siano previsti "diversi termini" dalla normativa in materia di trattamento dei dati personali. In merito, si evidenzia come il Codice – che non prevede termini espliciti (come già evidenziato dal Garante nel parere del 7 febbraio 2013(32)), – richiede espressamente che i dati personali devono essere "conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati" e che l'interessato ha diritto di ottenere la cancellazione dei dati personali "di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati" (artt. 11, comma 1, lett. e, e 7, comma 3, lett. b, del Codice). Tali articoli recepiscono, peraltro, le identiche disposizioni contenute nella direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali(33) le quali, in quanto tali, non possono essere derogate dalla disciplina nazionale in virtù del primato del diritto europeo. Da tale principio, inoltre, discende l'obbligo di interpretare il diritto nazionale in maniera conforme al diritto europeo(34) e, nello specifico, alle disposizioni direttamente applicabili che impongono il rispetto dei principi di pertinenza, necessità e proporzionalità, in base alle quali la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all'obiettivo perseguito e, in particolare, quando l'obiettivo perseguito non può essere realizzato in modo ugualmente efficace con modalità meno pregiudizievoli per la riservatezza degli interessati.(35)
Per tale motivo, il Garante ritiene che laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza, contengano dati personali, questi ultimi devono essere oscurati, anche prima del termine di cinque anni, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti.
7.a. Le sezioni di "archivio" dei siti web istituzionali (art. 9, comma 2, del d. lgs. n. 33/2013)
L'art. 9, comma 2, del d. lgs. n. 33/2013 prevede che "Alla scadenza del termine di durata dell'obbligo di pubblicazione di cui all'articolo 8, comma 3, i documenti, le informazioni e i dati sono comunque conservati e resi disponibili, con le modalità di cui all'articolo 6, all'interno di distinte sezioni del sito di archivio, collocate e debitamente segnalate nell'ambito della sezione "Amministrazione trasparente". I documenti possono essere trasferiti all'interno delle sezioni di archivio anche prima della scadenza del termine di cui all'articolo 8, comma 3".
La disposizione richiamata richiede ai soggetti tenuti agli obblighi di pubblicazione di conservare e mettere a disposizione i documenti, le informazioni e i dati all'interno della sezione di archivio dei siti web, eventualmente anche prima che sia terminato il periodo di pubblicazione.
Con riferimento alla documentazione contenente dati personali, si precisa che la predetta ipotesi di "messa a disposizione" della documentazione nella sezione di archivio non comporta l'accesso e la conoscenza indiscriminata degli stessi una volta scaduti i diversi periodi di pubblicazione previsti dall'art. 8, comma 3, del d. lgs. n. 33/2013. Ciò perché, in caso contrario, si determinerebbe una diffusione sine die di dati personali online in violazione dei principi contenuti nella normativa europea come quello di proporzionalità descritto nel paragrafo precedente(36). Inoltre, sempre ragionando a contrario, la formazione della sezione archivio si trasformerebbe in un mero trasferimento di documenti, informazioni e dati da una parte all'altra dello stesso sito web e all'interno, peraltro, della stessa sezione "Amministrazione trasparente".
Di conseguenza, per attuare le esigenze sottese alla prevista ipotesi di consultabilità di atti e documenti contenuti nella sezione archivio, non è in linea generale giustificato, alla luce del principio di proporzionalità, consentire, al di fuori dei casi espressamente previsti, l'accesso online libero e incondizionato alla consultazione di atti e documenti contene News inserita il 24/11/2014 alle 07:42
Stampa
