Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

LINEE GUIDA SUL TRATTAMENTO DEI DATI PERSONALI ONLINE DA PARTE DELLE PP. AA

di Graziano Garrisi

[five_sixth][toggle Title=”Garante per la protezione dei dati personali – Delibera 15 maggio 2014, n. 243 (GU n. 134 del 12/06/2014, SO) “]Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati: solo dati aggiornati e indispensabili; vietato diffondere informazioni sulla salute; si agli “open data”, ma senza pregiudicare i diritti delle persone; garanzie per i più deboli.[/toggle][/five_sixth]

[one_sixth_last]pdf-icon[/one_sixth_last]

Con la Delibera del 15 maggio 2014, n. 243, l’Autorità Garante per la protezione dei dati personali ha emanato le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”. Tale documento affronta il problema riguardante la diffusione dei dati personali online contenuti negli atti e nei documenti pubblicati dalle varie PP.AA. sui siti istituzionali, nell’ottica del necessario bilanciamento di interessi rispetto alla dignità degli interessati. Infatti, se da un lato, la Trasparenza garantisce l’accessibilità delle informazioni secondo la logica della “buona amministrazione”, dall’altro l’inserimento di troppi dati o l’essere troppo trasparenti può produrre una lesione della riservatezza altrui(1).

Tali Linee Guida, pertanto, di fatto aggiornano e sostituiscono quelle del 2 marzo 2011 (emanate dalla medesima Autorità Garante), nel tentativo di raggiungere una maggiore integrazione tra “Trasparenza” e “Privacy”, secondo un’interpretazione equilibrata del complessivo quadro di obblighi tra normative apparentemente contrapposte e il richiamo ad alcuni paletti che la stessa Autorità aveva indicato nel suo Parere del 7 febbraio 2013 (le cui prescrizioni sono state solo parzialmente accolte in fase di approvazione del D.Lgs. 33/2013).

Il Garante Privacy, quindi, nella stesura di tali Linee Guida è partito dall’individuazione delle fonti che impongono gli obblighi di pubblicazione (es. D.Lgs. 33/2013, allegato n. 1 della Delibera CIVIT 50/2013) per identificare tutto ciò che non è sottoposto a tali obblighi (e, quindi, non riconducibile alle finalità di trasparenza). Inoltre, nell’applicazione dei principi e delle regole stabilite dal Garante, viene affermata la fondamentale distinzione tra pubblicità per finalità di trasparenza e pubblicità per altre finalità (es. pubblicità legale, integrativa dell’efficacia, dichiarativa, notizia, etc.), in quanto a seconda della specifica finalità perseguita dovranno essere applicate determinate accortezze nella pubblicazione di atti e documenti.

Nella Parte I delle Linee Guida si affrontano le problematiche legate alla “pubblicità per finalità di Trasparenza”, tenendo presente che i soggetti pubblici possono diffondere dati personali per finalità di trasparenza solo per espressa disposizione di legge o di regolamento (art. 19, comma 3, del Codice Privacy).
L’attenzione è focalizzata sul rispetto dei principi cardine del Codice Privacy, in base ai quali i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità (c.d. “principio di necessità”). In base, poi, ai principi di pertinenza e indispensabilità, occorre sempre selezionare i dati oggetto della pubblicazione (anche mediante la messa a disposizione di allegati accessibili solo ai soggetti interessati ai sensi della L. 241/1990(2)) e verificare se ricorrono i presupposti per l’oscuramento di determinate informazioni che possono essere pregiudizievoli per gli interessati al trattamento (a tal proposito spetta sempre al soggetto titolare del trattamento che pubblica l’atto la selezione dei dati personali ivi contenuti, ciò anche se il servizio è stato dato in outsourcing, perché incombe sul titolare l’obbligo di verifica)(3). Devono altresì essere adottate idonee misure e accorgimenti tecnici per evitare l’indicizzazione e la rintracciabilità dei dati personali tramite i motori di ricerca generalisti e il loro riutilizzo.

Vengono ribaditi, inoltre, i seguenti principi:

  • per la diffusione dei “dati ulteriori” (ovvero non individuati e la cui pubblicazione non è prevista dal D.Lgs. 33/2013 o da altra specifica disposizione di legge o di regolamento) vi è l’obbligo di anonimizzazione(4);
  • le amministrazioni sono obbligate a pubblicare dati esatti, aggiornati e contestualizzati;
  • relativamente agli “open data”, i dati personali oggetto di pubblicazione obbligatoria non sono liberamente riutilizzabili da chiunque per qualsiasi ulteriore finalità (es. marketing), così come i dati sensibili e giudiziari non possono essere oggetto di riutilizzo.

Una conferma in tal senso viene anche dalla disciplina comunitaria che fa salva la protezione dei dati personali, tant’è che in tale contesto, di regola, i dati personali non possono formare oggetto di diffusione. Viene rimarcata, quindi, la distinzione tra “formato di tipo aperto” (obbligo derivante dal D.Lgs. 33/2013) e “dati di tipo aperto” (obbligo derivante dal Codice dell’Amministrazione Digitale). Il concetto di open data, infatti, è molto più ampio, perché i dati in questione oltre a essere pubblicati in formato di tipo aperto, possono essere utilizzati da chiunque anche per altre finalità. Ma a tal proposito è bene ricordare che non tutti gli open data sono dati personali, essendo generalmente questi dati di tipo anonimo o statistitici.

Il principio del riutilizzo, pertanto, non è automatico quando coinvolge dati personali e non prevale sulla disciplina sulla protezione dei dati personali (vd. Direttiva 2003/98/CE); in tal senso, la privacy dovrebbe guidare il processo di selezione dei dati personali da rendere o meno disponibili. Per fare ciò, tuttavia, è necessario effettuare una “valutazione di impatto privacy” (al fine di ridurre il rischio di perdere il controllo sulle informazioni o di dover far fronte a richieste di risarcimento del danno) che tenga presente una serie di indicatori, tra cui la verifica sulla disponibilità di dati destinati al riutilizzo, le garanzie applicate, le finalità perseguite (ad esempio che tali obiettivi siano compatibili con gli scopi originari per i quali quei dati sono stati resi pubblici), le condizioni previste (limitazioni d’uso da definire in apposite licenze), le modalità tecniche (es. impedire il download, duplicazione, massiva, etc.), il livello di aggregazione (mediante anonimizzazione adeguata al rischio di reidentificazione degli interessati).

Al fine di evitare di perdere il controllo sui dati personali pubblicati online e di ridurre i rischi di loro usi indebiti, inoltre, viene raccomandato l’utilizzo di specifici “alert” da inserire nella sezione “Trasparenza” per specificare se un dato è riutilizzabile o meno, sempre in termini compatibili con gli scopi per i quali sono stati raccolti e registrati e nel rispetto della normativa in materia di protezione dei dati personali.

Per quanto concerne la durata delle pubblicazioni, invece, si sottolinea la necessità che i dati personali pubblicati vengano oscurati anche prima della scadenza (cinque anni) se sono cessate le finalità e sono stati raggiunti gli scopi del trattamento.
Un’attenzione particolare è stata altresì dedicata alla tutela dei dati dei dipendenti della PA, mediante chiarimenti circa le modalità di pubblicazione dei curricula(5), dei compensi nella dichiarazione dei redditi(6), dei dati relativi ai concorsi e alle prove selettive.

Nella Parte II delle Linee Guida, riferita soprattutto alle pubblicazioni per finalità diverse dalla Trasparenza (come, ad esempio, l’Albo Pretorio on line), l’Autorità Garante ha sottolineato che tali pubblicazioni non sono soggette alle disposizioni previste dal D.Lgs. 33/2013, ma che occorre seguire per esse principi e norme in parte diverse (in effetti il Garante aveva già sanzionato alcuni Comuni che pubblicavano on line delibere contenenti dati personali anche oltre il termine di 15 giorni previsto dalla legge(7)).

Posto che i principi privacy vengono interamente richiamati anche per queste pubblicazioni, l’Autorità sottolinea la necessità di adottare alcuni accorgimenti tecnici in relazione alle diverse finalità perseguite:

Motori di Ricerca: diversamente dai dati pubblicati in ottemperanza agli obblighi previsti dal D.Lgs. 33/2013 (i quali devono poter essere indicizzati dai motori di ricerca, trattandosi di pubblicazione per finalità diversa dalla trasparenza), è necessario evitare che i dati siano reperibili mediante motori di ricerca esterni. Pertanto, appare preferibile utilizzare motori di ricerca interni al sito, in quanto ciò assicura accessi maggiormente selettivi e coerenti con le finalità di volta in volta sottese alla pubblicazione assicurando, nel contempo, la conoscibilità sui siti istituzionali delle informazioni che si intende mettere a disposizione.

Per garantire la conoscibilità dei dati senza che essi vengano estrapolati dal contesto nei quali sono inseriti, pertanto, l’Autorità Garante raccomanda di non consentire l’indicizzazione e la facile rintracciabilità degli stessi attraverso i comuni motori di ricerca generalisti (ad esempio, Google). Si deve provvedere, pertanto, alla relativa deindicizzazione:
tramite l’inserimento di metatag noindex e noarchive nelle intestazioni delle pagine web,
o attraverso la codifica di regole di esclusione all’interno di uno specifico file di testo (file robots.txt) posto sul server che ospita il sito web configurato in accordo al Robot Exclusion Protocol.

Tempi limitati e proporzionati di mantenimento della diffusione dei dati personali nel web: il Garante sottolinea che – qualora la disciplina di settore non stabilisca un limite temporale alla pubblicazione – i soggetti pubblici hanno l’obbligo di individuare un congruo periodo di tempo entro il quale atti e documenti amministrativi contenenti dati personali devono rimanere disponibili on line (in una forma che consenta l’identificazione dell’interessato), periodo che non può essere superiore a quello ritenuto, caso per caso, necessario al raggiungimento degli scopi per i quali i dati stessi sono resi pubblici, anche per garantire il diritto all’oblio degli interessati (la rimozione può avvenire anche in maniera automatizzata mediante l’utilizzo di sistemi di web publishing e CMS – Content Management Systems – in grado di attribuire, anche mediante l’utilizzo di parole chiave, un intervallo temporale di permanenza della documentazione all’interno del sito istituzionale);

Evitare la duplicazione massiva dei file contenenti dati personali: si raccomanda l’utilizzo di software o programmi automatici, per ridurre il rischio di riproduzione e riutilizzo dei contenuti informativi in ambiti e contesti differenti;

Dati esatti e aggiornati: è necessario mettere a disposizione soltanto dati personali esatti e aggiornati, garantendo “che le informazioni contenute sui siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito” (art. 54, comma 4, del D.Lgs. 82/2005, Codice dell’amministrazione digitale) e adottando idonee misure per eliminare o ridurre il rischio di cancellazioni, modifiche, alterazioni o decontestualizzazioni delle informazioni e dei documenti resi disponibili tramite Internet, come ad esempio:

  • l’indicazione, tra i dati di contesto riportati all’interno del contenuto informativo dei documenti, delle fonti attendibili per il reperimento dei medesimi documenti;
  • l’utilizzo di certificati e firma digitale, in modo da assegnare una data asseverabile di creazione del documento che può essere validata con certezza e che consente, a chi faccia uso di quel documento, di verificarne l’attendibilità in qualsiasi momento.

Ogni file oggetto di pubblicazione, inoltre, potendo essere letto in un altro ambito e in un momento successivo alla sua diffusione, dovrebbe prevedere l’inserimento dei “dati di contesto” (ad esempio, data di aggiornamento, periodo di validità, amministrazione, segnatura di protocollo o dell’albo).
Relativamente alla natura dei dati personali, inoltre, sui siti web della PA non dovranno mai essere diffusi dati sulla salute e sulla vita sessuale o su un particolare stato economico-sociale degli interessati(8).

Non si può sottovalutare l’importanza che la scrupolosa osservanza del Codice Privacy da un lato e del D.Lgs. 33/2012 dall’altro riveste al fine di escludere violazioni e, conseguentemente, responsabilità: dal punto di vista della tutela della privacy, soprattutto, possono essere astrattamente ipotizzabili diverse fattispecie sanzionatorie in caso di mancato adeguamento alle Linee Guida del Garante, quali, ad esempio, quelle disciplinate dagli artt. 162, comma 2-bis e 167 del D.Lgs. 196/2003. Anche in base all’art. 15 del Codice Privacy, la PA potrà sempre essere esposta a richieste di risarcimento in sede civile, qualora l’interessato che ritenga di aver subito un danno (anche non patrimoniale) per effetto della diffusione di dati personali, faccia valere le proprie pretese risarcitorie davanti all’autorità giudiziaria ordinaria.

Se è vero dunque che la trasparenza viene sempre più utilizzata per favorire l’accountability della PA (vd. responsabilità dirigenziale e contrasto alla “mala amministrazione”), divenendo strumento per il contrasto di fenomeni corruttivi nell’agire amministrativo, tuttavia la ormai indiscussa importanza dei dettami del D.Lgs. 33/2013 non comporta ex se un’automatica prevalenza della “Trasparenza” sulla “Privacy”, ma presuppone comunque un bilanciamento fra gli interessi contrapposti e un’accurata valutazione del principio di proporzonalità, che non può mai essere superato. Un approccio basato sulla “privacy by design” anche per il settore pubblico probabilmente potrebbe portare finalmente a un equilibrio tra il diritto alla tutela dei dati personali e gli obblighi di trasparenza, senza pregiudizio per gli interessati al trattamento. ©

NOTE

  1. Si ricorda che gli obblighi di pubblicare, sui siti web istituzionali, informazioni, atti e documenti contenenti dati personali sono oggetto di sindacato da parte del Garante al fine di verificare che siano rispettati i principi in materia di protezione dei dati personali.
  2. Può risultare utile menzionare i dati personali solo negli atti a disposizione negli uffici (richiamati quale presupposto della deliberazione e consultabili solo da interessati e controinteressati).
  3. La pubblicazione di dati sensibili e giudiziari può avvenire solo se indispensabile, mentre è sempre vietata la diffusione di dati idonei a rivelare lo «stato di salute» (art. 22, comma 8, del Codice) e «la vita sessuale» (art. 4, comma 6, del d. lgs. n. 33/2013). Ad esempio, può risultare utile non riportare queste informazioni nel testo dei provvedimenti pubblicati online (nell’oggetto, nel contenuto, etc.), menzionandole solo negli atti a disposizione degli uffici (richiamati quale presupposto del provvedimento e consultabili solo da interessati e controinteressati), oppure indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici.
  4. In tal senso la prassi seguita da alcune PA di sostituire il nome e cognome dell’interessato con le sole iniziali non è sufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online.
  5. Premesso che la pubblicazione di un CV in formato europeo non rispetta la quantità di dati che devono essere oggetto di pubblicazione, ci si pone il problema della pubblicazione e diffusione di eventuali dati (come l’indirizzo e-mail personale o l’appartenenza a una categoria protetta) che non possono essere oggetto di diffusione sul web. È necessario, pertanto, evitare la pubblicazione di dati personali eccedenti e non pertinenti nel curriculum europeo.
  6. Qui è ammessa la pubblicazione dell’entità complessiva del compenso, senza riferimenti a voci o formulazioni specifiche come, ad esempio, i riferimenti tabellari, al fine di rispettare il principio di eccedenza e non pertinenza.
  7. Dal punto di vista dei principi generali possiamo affermare che l’amministrazione locale che ha intenzione di pubblicare un atto contenente dati personali è tenuta a verificare per i dati comuni, preliminarmente, l’esistenza di una norma di legge o di regolamento (ai sensi dell’art. 19, comma 3, del Codice) oppure, per i dati sensibili e giudiziari, di una norma di legge (ai sensi degli artt. 20, 21 e art. 22, comma 11, del Codice) che ne prescriva l’affissione nell’albo pretorio. Una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio, gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi (art. 19, comma 3, del Codice). Ciò, salvo che gli stessi atti e documenti non debbano essere pubblicati in ottemperanza agli obblighi in materia di trasparenza.
  8. Si pensi al riconoscimento di agevolazioni economiche, alla fruizione di prestazioni sociali collegate al reddito, come l’esenzione dal contributo per la refezione scolastica o dal ticket sanitario, i benefici per portatori di handicap, il riconoscimento di sussidi ad anziani non autosufficienti, i contributi erogati per la cura di particolari malattie o per le vittime di violenza sessuale, così come non appare giustificata la diffusione di dati non pertinenti rispetto alle finalità perseguite (quali l’indirizzo di casa, il codice fiscale, le coordinate bancarie). ◊

Altri articoli di Graziano Garrisi

Translate »