Linee guida sulla privacy

 

                     

1. Diritto di accesso e dati sensibili: il bilanciamento dei contrapposti interessi

La più recente giurisprudenza amministrativa ha elaborato un indirizzo interpretativo che privilegia il diritto di accesso, considerando per converso recessivo l’interesse alla riservatezza dei terzi, quando l’accesso stesso sia esercitato per la difesa di un interesse giuridico, nei limiti in cui esso sia necessario alla difesa di quell’interesse (cfr. Cons. Stato, Sez. VI, 20 aprile 2006, n. 2223).

Occorre, peraltro, che il principio venga applicato cum grano salis, attraverso la ricerca e l’identificazione di un punto di equilibrio che, nel bilanciamento dei contrapposti interessi, tenga conto della necessità di  assicurare la tutela dell’interesse giuridicamente rilevante, di cui è titolare il soggetto che esercita il diritto di accesso, nonché di salvaguardare l’esigenza di stabilità delle situazioni giuridiche e di certezza delle posizioni dei controinteressati, che sono pertinenti ai rapporti amministrativi scaturenti dai principi di pubblicità e trasparenza dell’azione amministrativa (interesse alla riservatezza dei terzi; tutela del segreto) (cfr. Cons. Stato, A.P., 18 aprile 2006, n. 6).

E’ indispensabile, insomma, che un’attenta valutazione, caso per caso,  delle situazioni giuridiche che vengono via via in considerazione,  si riveli in grado di garantire, da un lato, la difesa di un interesse giuridicamente rilevante, ancorché nei limiti in cui l’accesso sia effettivamente necessario alla tutela di quell’interesse; e, dall’altro, di salvaguardare, ove ciò risulti (e fino a quando risulti) possibile tutelare il diritto alla riservatezza, al quale la legge riconosce ugualmente una particolare tutela.

Si impone, dunque, l’ineludibile esigenza che siano rigorosamente verificate l’effettività e la concretezza del collegamento dell’accesso al documento con la dichiarata esigenza di tutela (cfr. Cons. Stato, Sez. V, 2 ottobre 2006, n. 5718), giacché il diritto alla c.d. privacy non può essere sacrificato se non a titolo di extrema ratio, restando altrimenti possibile assicurare un ampio esercizio del diritto di accesso, pur salvaguardando l’interesse alla riservatezza mediante modalità, alternative alla limitazione o al diniego dell’accesso, che utilizzino, ad esempio, la schermatura dei nomi dei soggetti menzionati nei documenti, che si dichiarino fermamente intenzionati a mantenere l’anonimato, o che, invece, si avvalgano dell’assenso delle persone di volta in volta indicate nei documenti in questione (cfr. per il principio, Cons. Stato, Sez. VI, 22 novembre 2005, n. 6524).

 

Con In Pratica GDPR in pratica sei già pronto Con oltre 30 tipologie di action plan, In Pratica GDPR offre un validissimo strumento di supporto per svolgere una attività o risolvere un caso specifico.

Prova subito!

2. L’introduzione del FOIA e i limiti all’accesso ai dati sensibili della Pa

La questione si è poi indubbiamente complicata con l’avvento del d.lgs. n. 33/2013 che anche alla luce delle modifiche introdotte dal recente decreto legislativo che ha accolto nel nostro ordinamento i principi del Freedom of Information Act (FOIA), ha introdotto il concetto di accessibilità totale delle informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche. Naturalmente questa forma di trasparenza amministrativa presenta inevitabili punti di contrasto con la riservatezza.

L’art. 7-bis del d.lgs n. 33/2013 nel disciplinare il riutilizzo dei dati pubblicati regola necessariamente i rapporti con la normativa in materia di protezione dei dati personali chiarendo che gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali.

Si precisa, inoltre, che la pubblicazione nei siti istituzionali di dati relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonché a dirigenti titolari degli organi amministrativi è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico nel rispetto della disciplina in materia di protezione dei dati personali.

Le pubbliche amministrazioni possono anche disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall'articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti.

La norma ancora prevede che nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.

Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall'amministrazione di appartenenza.

Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l'astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l'amministrazione, idonee a rivelare taluna delle informazioni di cui all'articolo 4, comma 1, lettera d), del decreto legislativo n. 196 del 2003.

Sono inevitabili, quindi, in materia gli impatti con la normativa posta a tutela dei dati personali e la stessa Autorità Garante (tra l’altro interessata in casa propria da un ricorso al TAR di propri dirigenti) ha più volte specificato che se priva di adeguati criteri discretivi, la divulgazione di un patrimonio informativo immenso e sempre crescente (quale quello delle pubbliche amministrazioni) rischia di mettere in piazza spaccati di vita individuale la cui conoscenza è inutile ai fini del controllo sull'esercizio del potere ma, per l'interessato, può essere estremamente dannosa.

3. Le linee guida del Garante su privacy e trasparenza on line della Pa

Con l'adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per assicurare l'osservanza della disciplina in materia di protezione dei dati personali nell'adempimento degli obblighi di pubblicazione sul web di atti e documenti.

Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell'azione amministrativa.

Dopo aver verificato la sussistenza dell'obbligo di pubblicazione dell'atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono sensibili (ossia idonei a rivelare ad esempio l'origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l'adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.

Prima di procedere alla pubblicazione sul proprio sito web la P.A. deve adoperate alcune modalità operative:

  • individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
  • verificare, caso per caso, se ricorrono i presupposti per l'oscuramento di determinate informazioni;
  • sottrarre all'indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordato al punto precedente.

In ogni caso è vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.

Le linee guida del Garante si occupano nello specifico di determinati obblighi di pubblicazione:

  • i curricula professionali (ad esempio, dei titolari di incarichi di indirizzo politico o amministrativi di vertice), nei limiti dei dati pertinenti alle finalità di trasparenza perseguite;
  • le dichiarazioni dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari, sempre nel rispetto dei principi di pertinenza e non eccedenza e delle previsioni a tutela dei dati sensibili;
  • i compensi di alcuni soggetti (ad esempio, i titolari di incarichi amministrativi di vertice) evitando di pubblicare la versione integrale dei documenti contabili e fiscali o altri dati eccedenti (ad esempio, i recapiti individuali e le coordinate bancarie utilizzate per effettuare i pagamenti);
  • i provvedimenti amministrativi (ad esempio, concorsi e prove selettive);
  • gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e l'elenco dei soggetti beneficiari.

Riguardo gli atti di concessione di benefici economici a determinate categorie di soggetti non possono essere pubblicati:

  • i dati identificativi dei soggetti beneficiari di importi inferiori a mille euro nell'anno solare;
  • le informazioni idonee a rivelare lo stato di salute o la situazione di disagio economico-sociale degli interessati;
  • i dati eccedenti o non pertinenti.

Un eccesso indiscriminato di pubblicità rischia, peraltro, di occultare informazioni realmente significative con altre del tutto inutili, così ostacolando, anziché agevolare, il controllo diffuso sull'esercizio del potere e degenerando in una forma di sorveglianza massiva.

Per la trasparenza c'è bisogno di un approccio qualitativo e non meramente quantitativo: meno dati ma più qualificati.

Critica è la posizione dell’Autorità garante anche con riferimento all’accesso universale ritenuto troppo ampio in quanto non prevede quelle cautele dettate dalla L. 241/1990 per l'accesso ad atti amministrativi contenenti dati sensibili o giudiziari e, soprattutto, la regola del "pari rango" per i dati ipersensibili, secondo cui ove siano coinvolti dati sanitari o sulla vita sessuale, l'accesso è ammesso solo per la tutela di una situazione giuridicamente rilevante di rango "almeno pari" o di un "altro" diritto o libertà fondamentale e inviolabile.

Secondo l’Autorità, quindi, l’attuale disciplina sulla trasparenza andrebbe rimodulata, prevedendo che ove l'accesso coinvolga dati personali di terzi, esso possa essere effettuato solo previo accertamento della prevalenza dell'interesse perseguito dall'accesso ovvero, previo oscuramento dei dati personali presenti.

Tale previsione andrebbe poi completata con un generale divieto di comunicazione di dati sensibili o giudiziari nonché di dati personali di minorenni, in osservanza della tutela rafforzata accordata dall'ordinamento interno e dal diritto dell'Unione europea a tali categorie di dati personali.

 

Il nuovo regolamento europeo per la protezione dei dati (GDPR) e i relativi adempimenti seminario di studio, 7 ore in aula

Iscriviti subito!

4. Il trattamento dei dati sensibili nel GDPR

Il GDPR, in realtà, non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art. 9, comma 2, per i dati sensibili), anche se poi, come vedremo tra breve, alcune di esse riguardano esclusivamente lo svolgimento di attività pubbliche.

Il nuovo Regolamento, quindi, non si sofferma sulla natura pubblica o privata del titolare del trattamento, ma sulla tipologia di trattamento, che scaturisce dall’attività svolta dal titolare.

A differenza del Codice Privacy (D.Lgs. n. 196/2003), il nuovo regolamento europeo non contiene la suddivisione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici, come accadeva con il Capo II del Codice Privacy, dove, ad eccezione del settore sanitario, si menzionava l’istituto del consenso quale elemento distintivo tra titolari privati e titolari pubblici.

In effetti, tra gli stessi presupposti di liceità del trattamento dei dati personali il GDPR all’art. 6, lett. e) fa riferimento alla necessarietà del trattamento per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, caso tipico, naturalmente dell’ente pubblico.

Si pensi, poi, all’art. 9 del GDPR che tra le eccezioni al divieto generale di trattare dati personali sensibili fa rientrare:

  • il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  • il trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
  • il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
  • il trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale.
  • il trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.

L’art. 10 del GDPR, poi, con riferimento al trattamento dei dati giudiziari chiarisce che lo stesso deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Anche un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.

Altra norma di sicuro interesse per l’indubbia rilevanza in materia pubblicistica è rappresentata dall’art. 23 del GDPR che chiarisce come il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento possa limitare, mediante specifiche misure legislative, la portata di alcuni fondamentali obblighi e diritti degli interessati qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare tra gli altri: la sicurezza nazionale; la difesa; la sicurezza pubblica; la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; la salvaguardia dell'indipendenza della magistratura e dei procedimenti giudiziari.