Garante Privacy: le osservazioni critiche non recepite dal decreto “trasparenza”

“Tutte le decisioni assunte dalle amministrazioni in relazione alla pubblicazione sui propri siti istituzionali di atti e documenti contenenti dati personali possono essere oggetto di sindacato da parte del garante, al fine di verificare che siano rispettati i principi di necessità, proporzionalità e pertinenza dei dati (artt. 3 e 11, comma 1, del Codice)”.

Questa prescrizione, valevole per tutte le pubbliche amministrazione, è prescritta dal Garante per la riservatezza dei dati personali nelle “Linee guida in materia di trattamento dei dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”, del 2 marzo 2011, disponibile qui.

Le prescrizioni contenute nell’articolato documento sono state il faro del parere reso dallo stesso Garante sullo schema di decreto legislativo poi confluito nel decreto 33/2013; il parere, disponibile qui, è molto articolato, e contiene numerose osservazioni tese a sottilineare l’inosservanza di alcune norme rispetto ai precetti in tema di riservatezza dei dati.

Alcune di queste prescrizioni non sono state tenute in considerazione dal decreto legislativo nel suo testo ufficiale, che di fatto quindi, in alcuni importanti disposizioni, disattende le prescrizioni del Garante.

Analizziamo nello specifico i rilievi disattesi, per singola disposizione così come pubblicata nella Gazzetta Ufficiale.

Art. 4 comma 1  – Limiti alla trasparenza.
1. Gli obblighi di pubblicazione dei  dati  personali  diversi  dai dati sensibili e dai dati giudiziari, di cui all’articolo 4, comma 1, lettera d) ed e), del decreto legislativo 30  giugno  2003, n. 196, comportano la  possibilita’  di  una  diffusione  dei  dati  medesimi attraverso siti istituzionali, nonche’ il  loro  trattamento  secondo modalita’ che  e consentono la indicizzazione e la  rintracciabilita’ tramite i motori di ricerca  web  ed  il  loro  riutilizzo  ai  sensi dell’articolo 7 nel rispetto dei principi sul  trattamento  dei  dati personali.

A proposito di tale disposizione, il Garante aveva richiamato l’opportunità di rendere rintracciabili i dati personali solo con motori di ricerca interni ai siti, non essendo consentita la rintracciabilità “totale” tramite motori di ricerca ordinari, poiché tale previsione contrasta col principio di proporzionalità nel trattamento dei dati personali e “incide negativamente sull’esigenza di avere dati esatti, aggiornati e contestualizzati”, mentre le funzionalità di ricerca interne ai siti assicurano maggiore rispetto.

Questa prescrizione non è stata recepita dal testo ufficiale, che ha mantenuto l’originaria formulazione.

Art. 7  – Dati aperti e riutilizzo 
1. I documenti, le informazioni e i dati oggetto  di  pubblicazione obbligatoria ai sensi della normativa vigente, resi disponibili anche a seguito dell’accesso civico di cui all’articolo 5, sono  pubblicati in formato di tipo  aperto  ai  sensi  dell’articolo  68  del  Codice dell’amministrazione digitale, di cui al decreto legislativo 7  marzo 2005, n. 82, e sono riutilizzabili ai sensi del  decreto  legislativo 24 gennaio 2006, n. 36, del decreto legislativo 7 marzo 2005, n.  82, e del decreto legislativo 30 giugno 2003,  n.  196,  senza  ulteriori restrizioni diverse dall’obbligo di citare la fonte e di  rispettarne l’integrita’.  

L’utilizzo e il riutilizzo dei dati è stato oggetto di osservazioni puntuali del Garante, che aveva chiesto di riformulare l’art. 7 nel senso di specificare che altre operazioni di trattamento, a proposito dei dati pubblicati e “riutilizzati”, sono consentite solo per gli scopi per cui i dati sono stati raccolti e registrati, nel rispetto dell’art. 11 comma 1 lett. b del decreto 196/2003.

Le motivazioni sottese a tale prescrizione sono evidenziate con attenzione nel parere reso dal Garante, nella preoccupazione che non sia tenuto in considerazione il principio finalistico nel riutilizzo dei dati; a tale proposito vengono richiamati la direttiva 2003/98/CE, il d. lgs. 236/2006 e il parere del Garante europeo per la protezione dei dati, che dispone: particolare attenzione da parte di ogni amministrazione prima di consentire il riutilizzo di dati personali, divieto di reidentificare le persone e clausole di protezione nel settore pubblico ogni volta che si trattino i dati personali. Cautele precise e puntuali, non tenute in considerazione nella formulazione definitiva dell’art. 7.

Art. 8 comma 3 I dati, le informazioni e i documenti oggetto  di  pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per  un periodo di 5 anni, decorrenti dal 1° gennaio dell’anno  successivo  a quello da cui decorre l’obbligo di pubblicazione, e comunque  fino  a che gli atti pubblicati producono  i  loro  effetti,  fatti  salvi  i diversi termini previsti dalla normativa in  materia  di  trattamento dei dati personali e quanto previsto dagli articoli 14,  comma  2,  e 15, comma 4.

Il termine di cinque anni viene considerato dal Garante non rispettoso del principio di proporzionalità rispetto alle finalità perseguite, e implicante una revisione, che tenga conto di termini differenziati in relazione ai diversi dati trattati e alle norme di settore non considerate affatto nella disciplina (es. normative specifche per gli enti locali).

Ancora, il Garante stigmatizza il disposto dell’art. 9 comma due, in base al quale  2.  Alla scadenza del termine di durata  dell’obbligo di pubblicazione di cui all’articolo 8, comma 3, i documenti, le informazioni e i dati sono comunque conservati  e  resi  disponibili, con le modalita’ di  cui  all’articolo  6, all’interno di distinte sezioni del sito di archivio, collocate e debitamente  segnalate nell’ambito della sezione «Amministrazione trasparente». I  documenti possono essere trasferiti all’interno delle sezioni di archivio ancora prima della scadenza del termine di cui all’articolo 8, comma 3.

La critica si basa sul lapalissiano assunto che rendere disponibile su un’altra sezione del sito i dati dopo il decorso del termine (pur criticato) di cinque anni, significa non sottoporre la disponibilità a termine alcuno, e rendere la conoscibilità dei dati prolungata sine die, oltretutto assoggettandoli alla reperibilità tramite motori di ricerca generali, in completa violazione del “diritto all’oblio” più volte ricordato dalla Corte di GIustizia (es. 9 novembre 2012, cause C-92/09 e C-93/09).

La richiesta di intervento e di modifica in tale senso non è stata considerata dal Governo nella redazione del testo finale.

  Art. 14  – Obblighi di pubblicazione concernenti i componenti  degli  organi  di indirizzo politico 
  1. Con riferimento ai titolari di incarichi politici, di  carattere elettivo o comunque di esercizio di poteri di indirizzo politico,  di livello statale regionale  e  locale,  le  pubbliche  amministrazioni pubblicano con riferimento a tutti i propri  componenti,  i  seguenti documenti ed informazioni:
  a) l’atto di nomina o di  proclamazione,  con  l’indicazione  della durata dell’incarico o del mandato elettivo;
  b) il curriculum;
  c) i compensi di qualsiasi  natura  connessi  all’assunzione  della carica; gli importi di viaggi di servizio e missioni pagati con fondi pubblici;
  d) i dati relativi all’assunzione di  altre  cariche,  presso  enti pubblici o  privati,  ed  i  relativi  compensi  a  qualsiasi  titolo corrisposti;
  e) gli altri eventuali incarichi con oneri a carico  della  finanza pubblica e l’indicazione dei compensi spettanti;
  f) le dichiarazioni di cui all’articolo 2,  della  legge  5  luglio 1982, n. 441, nonche’ le attestazioni e  dichiarazioni  di  cui  agli articoli 3 e 4 della medesima legge,  come  modificata  dal  presente decreto, limitatamente al soggetto, al  coniuge  non  separato  e  ai parenti entro il secondo grado, ove gli stessi vi  consentano.  Viene in ogni caso data evidenza al mancato consenso. Alle informazioni  di cui alla presente lettera concernenti soggetti diversi  dal  titolare dell’organo di indirizzo politico non si applicano le disposizioni di cui all’articolo 7. 
2. Le pubbliche amministrazioni pubblicano i dati cui  al  comma  1 entro tre mesi dalla elezione  o  dalla  nomina  e  per  i  tre  anni successivi dalla cessazione del mandato o dell’incarico dei soggetti, salve le informazioni concernenti la situazione patrimoniale  e,  ove consentita, la dichiarazione del coniuge non separato e  dei  parenti entro il secondo grado, che vengono pubblicate fino  alla  cessazione dell’incarico o del mandato. Decorso il termine di  pubblicazione  ai sensi del presente comma le informazioni  e  i  dati  concernenti  la situazione patrimoniale  non  vengono  trasferiti  nelle  sezioni  di archivio.

Le disposizioni recate dall’art. 14 relativo alla pubblicazione dei dati degli organi politici, sono state oggetto di critiche piuttosto severe ed articolate. Il Garante richiama la vigente legge 441/1982, che già assoggettava ad un regime di pubblicità alcuni dati riferiti agli organi politici, ed evidenzia le profonde modifiche recate dal decreto trasparenza, in senso estensivo, rispetto alla precedente disciplina. L’art. 14 infatti dispone che siano pubblicati i dati riferiti anche al coniuge non separato, ai figli anche se non conviventi, ai fratelli e ai genitori, e che gli stessi dati non siano pubblicati solo in un bollettino dell’organo (es. il BURL per le regioni), come disposto dalla legge fino ad oggi, ma sul sito web istituzionale. Tale disciplina, per il Garante, appare sproporzionata ed invasiva, addirittura pericolosa con rischi, in ambiti territoriali ristretti, di discriminazioni sociali (riferibili a parenti peraltro non coinvolti negli incarichi politici). Inoltre, la disposizione che prevede che si possa non consentire, da parte dei soggetti terzi, alla pubblicazione dei propri dati, ma che del mancato consenso si debba dare menzione, pare coercitiva del consenso stesso. Infine, il Garante richiede di porre attenzione sulla richiesta di pubblicare i dati relativi ai redditi, prevedendo di pubblicare i soli dati riepilogativi e non l’intera documentazione relativa ai redditi, per non includere anche dati sensibili (es. le detrazioni fiscali). Il Garante, a proposito della formulazione dell’art. 14, richiede con decisione una revisione generale dell’impianto dello stesso, che però, come vediamo dal testo ufficiale, non è intervenuta.

Dati relativi al personale delle pubbliche amministrazioni

Gli articoli 15, 16, 18 e 22 prevedono disposizioni tese a pubblicizzare dati riferiti ai dirigenti ed altri dipendenti pubblici che per il Garante investono profili “lavoristici” e attinenti a numerosi dati personali, che impattano anche su diritti fondamentali. Il Garante ricorda che per quanto concerne i salari e gli emolumenti percepiti è intervenuta più volte la Corte di Giustizia europea, ricordando che le istituzioni, prima di divulgare dati personali devono soppesare l’interesse dell’Unione a garantire la trasparenza, ma armonizzandola con i diritti personali, e che non esiste automaatica prevalenza della trasparenza sul diritto alla protezione dei dati personali. Addirittura la situazione italiana così disegnata dal decreto di riforma risulterebbe “quasi unica” a livello europeo ed internazionale. Il Garante conclude nel ritenere tale disciplina assolutamente sproporzionata rispetto ai fini, addirittura confliggente con il Freedom of Information Act statunitense (richiamato più volte, con enfasi e burinaggine dagli organi di stampa nazionali per evidenziare la portata del decreto trasparenza, perchè l’inglese fa sempre fico), e nell’auspicare una revisione generale della disciplina relativa alla pubblicazione dei dati personali dei dipendenti.

Auspici caduti nel vuoto; a parte piccole modifiche negli articoli 16 e 22, gli obblighi relativi alla pubblicazione di emolumenti e salari sono rimasti invariati. 

Art. 50  – Tutela giurisdizionale 
1. Le controversie relative agli obblighi di  trasparenza  previsti dalla normativa vigente sono disciplinate dal decreto  legislativo  2 luglio 2010, n. 104.

A propisito della tutela giurisdizionale, il Garante auspicava nel parere di febbraio che si integrasse la previsione con la possibile giurisdizione del giudice ordinario, competente nelle controversie attinenti alla riservatezza dei dati. Il rilievo non è stato recepito, pur se repitato dal Garante “necessario”.

Il problema, alla luce di quanto esposto e come sovente avviene, si riverbera sui funzionari e dirigenti coinvolti nei procedimenti di pubblicazione; l’ottemperanza al dettato legislativo ultimo sarà causa sovente di inosservanza delle prescrizioni dettate dal Garante privacy e dal Codice di cui al decreto 196/2003, il quale si atteggia come lex specialis, refrattaria ad abrogazioni implicite operate da altre disposizioni di legge.

L’inosservanza delle prescrizioni in tema di riservatezza dei dati potrà essere foriera quindi di problemi ulteriori, ed è soprattutto la conseguenza di un rapporto tra istituzioni assolutamente improduttivo, se l’organo deputato a garantire i diritti alla riservatezza dei cittadini obbliga al rispetto delle proprie prescrizioni i cittadini stessi, ma non può farlo nei confronti del Governo.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Inserisci il risultato dell\'operazione *