Amministrativo

Principio di trasparenza amministrativa vs privacy: un continuo "bilanciamento"

Questo concetto è stato recentemente ribadito dal Garante privacy nell'ambito di un'istruttoria conclusasi con un provvedimento sanzionatorio a carico di un Ente pubblico che aveva assolto alcuni obblighi informativi in violazione della normativa esistente

di Elisa Chizzola*

Le Pubbliche amministrazioni, quando pubblicano dati e documenti on line, devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità perseguite.

Questo concetto è stato recentemente ribadito dal Garante privacy nell'ambito di un'istruttoria conclusasi con un provvedimento sanzionatorio a carico di un Ente pubblico che aveva assolto alcuni obblighi informativi in violazione della normativa esistente.

In generale, nell'ambito dell'attività amministrativa esercitata dalle Pa, assume particolare importanza il rapporto tra il principio di trasparenza e il principio della riservatezza, due interessi di rango primario che, in quanto tali, sono garantiti e sono meritevoli di tutela da parte dell'ordinamento giuridico.

Partendo dal concetto di trasparenza amministrativa, occorre dire che esso rappresenta un criterio fondamentale che guida l'azione di enti e organismi pubblici: il riferimento legislativo cardine su questo tema è rappresentato dal D.Lgs. 33/2013 (cd. "Testo unico sulla trasparenza"). Tale decreto definisce la "trasparenza" come "accessibilità totale dei dati e documenti detenuti dalle Pa", e tale obbligo informativo in capo alle Pa ha espressamente lo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all'attività amministrativa, favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche.

Il Legislatore, per dare concreta efficacia alla trasparenza amministrativa, ha innanzitutto introdotto due istituti giuridici:

- la pubblicazione obbligatoria nei siti istituzionali delle Amministrazioni (nella sezione "Amministrazione trasparente") di determinati atti, informazioni e dati concernenti l'organizzazione della Pa specificatamente previsti dal T.U. sulla trasparenza;

- l'accesso civico, nella sua doppia veste di accesso civico semplice e accesso civico generalizzato (cd. FOIA, Freedom Of Information Act).

Con riferimento, in particolare, agli atti di pubblicazione obbligatoria ex T.U. sulla trasparenza, naturalmente il problema del rapporto tra principio di trasparenza e principio di riservatezza si pone perché taluni atti amministrativi, oggetto di pubblicazione, possono contenere dati personali.

Tuttavia, il rapporto tra trasparenza e privacy non è caratterizzato dalla contrapposizione tra tali concetti. In realtà, infatti, entrambi i principi sono espressione di interessi di rango primario e non sono, come apparentemente potrebbe sembrare, uno la negazione dell'altro.

Anzi, si può dire che riservatezza a privacy sono componenti di una stessa vision delle attività pubbliche, incentrata sul rispetto e la centralità del cittadino-interessato, in veste di titolare di un doppio diritto: il diritto all'informazione e alla conoscenza dei vari aspetti dell'azione amministrativa da un lato e il diritto alla riservatezza rispetto ai dati personali eventualmente contenuti nell'atto amministrativo dall'altro.

Facendo un passo ancora in avanti, occorre evidenziare come il rapporto tra trasparenza e privacy debba essere visto in termini di armonizzazione delle rispettive normative e di bilanciamento degli interessi coinvolti.

È necessario, quindi, ponderare attentamente le disposizioni sulla trasparenza con quelle in materia di protezione dei dati personali (in primis, GDPR e Codice privacy).

A questo proposito, anche a seguito dell'applicazione del GDPR, si rivelano ancora compatibili con la nuova impostazione privacy di matrice europea le "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" (provv. 15 maggio 2014, n. 243)

Il Garante privacy è intervenuto con tali indicazioni proprio per operare un primo bilanciamento tra i "due mondi", quello della trasparenza e quello della privacy, assicurando l'osservanza della disciplina in materia di protezione dei dati personali nell'adempimento degli obblighi di pubblicazione sul web di atti e documenti.

Su questo tema, come anticipato, negli ultimi mesi il Garante per la protezione dei dati personali è intervenuto con un provvedimento sanzionatorio verso un Comune, il quale non aveva rispettato le norme in materia di pubblicazione obbligatoria e non aveva effettuato correttamente il necessario bilanciamento di interessi tra obblighi di trasparenza e protezione dei dati personali.

La fattispecie posta sotto i riflettori dell'Autorità di controllo riguarda la pubblicazione di dati personali contenuti all'interno di un curriculum vitae di un dipendente pubblico pubblicato sul sito istituzionale dell'Ente in base agli obblighi informativi, ai sensi del T.U. sulla trasparenza.

Tale Ordinanza ingiunzione è particolarmente interessante in quanto affronta la questione sotto più profili.

Innanzitutto, il focus è posto sui contorni effettivi della norma del D.Lgs. 33/2013 che prevede, per alcune qualifiche professionali, l'obbligo di pubblicazione di dei cv dei dipendenti, in relazione anche al versante della tempistica di tale obbligo.

Nello specifico, il Garante privacy è intervenuto su richiesta di un reclamante (un ex dipendente di un Comune con qualifica di dirigente) che lamentava la diffusione di dati personali contenuti all'interno del suo curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l'attività lavorativa. Con il reclamo l'interessato aveva anche fatto presente la peculiare condizione personale, in ragione della quale la diffusione dei dati avrebbe potuto comportare dei rischi per sé e per la famiglia.

Nel corso dell'istruttoria il Garante ha accertato che il curriculum era rimasto disponibile online oltre l'arco temporale previsto dalla disciplina di settore, quindi tale circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Pertanto, la diffusione dei dati personali del reclamante era avvenuta in maniera non conforme ai principi di "liceità, correttezza e trasparenza" e "minimizzazione dei dati".

Un secondo profilo approfondito dal Garante è collegato alla tipologia di dati che possono essere presenti nel cv pubblicato.

Su questo argomento, le citate Linee guida del Garante del 2014 sottolineano che il cv pubblicato nella sezione "Amministrazione trasparente" del sito dell'ente di volta in volta coinvolto, deve contenere esclusivamente dati pertinenti, vale a dire informazioni riguardanti i titoli di studio e informazioni professionali, le esperienze lavorative (ad esempio, gli incarichi ricoperti), nonché ulteriori informazioni di carattere professionale (si pensi alle conoscenze linguistiche oppure alle competenze nell'uso delle tecnologie, come pure alla partecipazione a convegni e seminari oppure alla redazione di pubblicazioni da parte dell'interessato). Non devono formare, invece, oggetto di pubblicazione dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità.

Tornando al caso concreto, il Comune non aveva tenuto un comportamento compliance privacy nemmeno sotto questo versante, in quanto non aveva operato un'attenta selezione dei dati contenuti nel cv pubblicato, in quanto erano presenti: indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali.

Un'altra questione affrontata dal Garante in occasione di tale ordinanza ingiunzione riguarda i rapporti tra titolare del trattamento dei dati personali (in questo caso, il Comune) e il responsabile del trattamento dei dati che tratta i dati per conto del titolare stesso. In particolare, relativamente a tale tipologia di rapporto, il Comune ha avanzato la difesa secondo la quale la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all'epoca la gestione della pagina "Amministrazione trasparente" del sito. Tuttavia, il Garante ha ricordato che spetta al Comune, in veste di titolare del trattamento, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto (indicazioni che l'Ente aveva mancato di dare alla società affidataria del servizio informatico).

Inoltre, tra le altre violazioni riscontrate dall'Autorità, è stata riscontrata anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell'interessato.

Infine, occorre sottolineare come nel determinare l'ammontare della sanzione al Comune (€ 10.000) il Garante privacy abbia tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali ex art. 9 GDPR e ha coinvolto un solo interessato.

A spingere per la determinazione di un importo contenuto della sanzione si è posto un ulteriore elemento a favore dell'Ente: il Comune ha fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale, garantendo un comportamento compliance alla normativa.

* a cura di Elisa Chizzola

Per saperne di piùRiproduzione riservata ©