Civile

Il diritto alla protezione dei dati personali persiste anche in presenza di un obbligo di pubblicazione, ad esempio all'albo pretorio online.

di Gianluca Fasano*

In breve

Pur in presenza di un obbligo per l'amministrazione di pubblicare un atto o documento è in ogni caso necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l'oscuramento di determinate informazioni, in quanto non necessari rispetto alle finalità per le quali sono trattati.

La questione si inserisce nel delicato tema dei rapporti tra obblighi legali di pubblicità e tutela della riservatezza dei dati personale, e riflette le difficoltà che si incontrano sul piano pratico-applicativo quando occorre dare attuazione concreta del principio di conoscibilità di determinati atti della PA assicurando, allo stesso tempo, la protezione dei dati personali ivi contenuti.

Per maggiore chiarezza espositiva pare opportuno riepilogare per cenni la vicenda decisa da un recente provvedimento del Garante (provvedimento del 22 luglio 2021 [9696764]). In punta di fatto, risulta che un Comune avesse pubblicato sull'albo pretorio online la «graduatoria definitiva degli aventi diritto» al sostegno economico per il fitto delle abitazioni principali per situazioni di emergenza socio-economica, graduatoria contenente dati personali sensibili e riservati, quali nome, cognome, codice fiscale, indirizzo, importo canone fitto, indicazione importo erogabile e posizione in graduatoria. Inoltre, dagli atti risulta che il numero dei soggetti interessati coinvolti è di oltre quattromila soggetti ammessi al contributo e di oltre settecento soggetti non ammessi. Il numero dei soggetti coinvolti è utile a comprendere l'entità dell'impatto derivante dalla violazione di riservatezza.

Passando all'esame del regime giuridico, un primo elemento da analizzare è quello contenuto nel Codice privacy (art. 2-ter, commi 1, 3, 4, lett. b, del Codice), ove si precisa che la diffusione di dati personali, cioè «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione», da parte di soggetti pubblici è ammessa solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento».

Dunque, un primo punto fermo è rappresentato da questa riserva di legge, con cui in considerazione del rango costituzionale degli interessi in gioco si è voluto demandare al legislatore la delicata opera di bilanciamento, individuando criteri e modalità con cui i dati personali possono – o devono – esser conosciuti dalla generalità dei consociati.

Uno dei campi in cui è principalmente sentita la necessità di porre a disposizione della collettività una serie di atti e documenti è quello della trasparenza amministrativa, disciplinata dal dlgs 33/2013. In particolare, siffatta disciplina prevede l'obbligo delle PA di pubblicare atti di concessione «delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro» (art. 26, comma 2, del d. lgs. n. 33/2013).

Dunque, la riserva di legge è integrata nella fattispecie trattandosi di contributi economici per il fitto delle abitazioni principali di privati. Eppure, tanto non è sufficiente per considerare sempre e comunque pubblicabili i dati personali riportati nei documenti da pubblicare per finalità di trasparenza amministrativa.

In effetti, lo stesso decreto trasparenza prevede delle eccezioni al principio generale e, per quel che riguarda la fattispecie in esame, sancisce che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie dei predetti provvedimenti, nonché gli elenchi dei relativi destinatari, «qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013).

Ebbene, il Garante ha ritenuto che la diffusione di dati personali di soggetti che versano in situazioni di «emergenza» economico-sociale, pubblicati dell'ente comunale, rientrino nell'ambito del più ampio concetto di situazioni di «disagio» economico sociale, relativamente al quale la disposizione richiamata pone un divieto assoluto di pubblicazione.

E l'interpretazione fornita dall'autorità appare largamente condivisibile nel punto in cui evidenzia come l'emergenza epidemiologica da Covid-19 rappresenti soltanto la causa del disagio, il motivo per il quale alcuni cittadini si sono venuti a trovare in una situazione di svantaggio/disagio economico-sociale. Tanto da giustificare, nei confronti di costoro, l'erogazione del sostegno economico.

Dunque, non v'è una distinzione ontologica tra emergenza e disagio economico-sociale, tesi sostenuta dal Comune in sede istruttoria per legittimare la diffusione dei dati personali, bensì l'emergenza epidemiologica non è altro che il fattore scatenante del disagio in cui sono venuti a cadere alcuni cittadini.Peraltro, viene da aggiungere che, anche la presenza di uno specifico obbligo di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali. In forza dei principi in materia di protezione dei dati personali, quali quello di «minimizzazione», i dati personali anche se contenuti in atti o documenti la cui diffusione online sia prevista da una specifica norma devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).

Il quadro normativo fin qui decritto trova specificazione nelle linee guida emanate dal Garante nel 2014, «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (provv. n. 243 del 15/5/2014 [3134436]), laddove è chiarito che pur in presenza di un obbligo per l'amministrazione di pubblicare un atto o documento nel proprio sito web istituzionale è in ogni caso necessario «selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l'oscuramento di determinate informazioni», in quanto non necessari rispetto alle finalità per le quali sono trattati.*

*a cura del''avv. Gianluca Fasano, Istituto di Ricerca ISTC-CNR

Per saperne di piùRiproduzione riservata ©