Garante privacy e PA: la pubblicazione di dati e la trasparenza online

La pubblica amministrazione, così come qualsiasi altro soggetto privato, ha la necessità di espletare le proprie finalità istituzionali avvalendosi dell’utilizzo di internet. In questo articolo porremo il focus sul concetto di “trasparenza online della PA”, analizzando le linee guida del Garante atte a regolarla e ci soffermeremo sui possibili rischi derivanti da una pubblicazione errata. Prima di tutto è doveroso introdurre il concetto di dato personale.

Cosa si intende per dato personale

Per dato personale si intende, come stabilito dall’art. 4 del Regolamento UE 2016/679: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

I dati personali possono essere oggetto di trattamento, il quale viene disciplinato dal Regolamento UE. Per trattamento si intende, come viene descritto dall’art. 4: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

L’art. 9 inoltre, distingue tre principali categorie di dati personali, quali:

• dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
• dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca;
• dati personali relativi alla salute: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Cosa si intende per trasparenza online della PA

La trasparenza online della pubblica amministrazione, disciplinata dal d.lgs. del 14 marzo 2013 n.33 e dalle sue successive modifiche, non è altro che la pubblicità di atti, documenti e dati appartenenti alla pubblica amministrazione attraverso il proprio sito internet. Scopo principale della trasparenza online è quello di diffondere forme di controllo riguardanti l’azione amministrativa, l’utilizzo delle risorse pubbliche e le modalità grazie alle quali la pubblica amministrazione raggiunge i propri obiettivi.

La norma della trasparenza online è stata inoltre affiancata dalle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, redatte dal Garante per la protezione dei dati allo scopo di assicurare l’osservanza della disciplina in merito alla protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti. Con le linee guida vengono individuate le cautele che la pubblica amministrazione deve applicare nei casi in cui vengano diffusi dati personali sui propri siti web per finalità di trasparenza o di pubblicità dell’azione amministrativa.

Gli obblighi di pubblicazione nelle linee guida del Garante

Gli obblighi di pubblicazione nelle linee guida del Garante sono caratterizzati nella divisione in due categorie, ovvero gli obblighi di pubblicazione per finalità di trasparenza (previsti dal decreto trasparenza) e gli obblighi di pubblicazione per altre finalità (contenuti in disposizioni del settore non riconducibili alla trasparenza).

Gli obblighi di pubblicazione per finalità di trasparenza riguardano principalmente l’organizzazione e l’attività delle pubbliche amministrazioni. Sono, ad esempio:

• dati relativi all’articolazione degli uffici, alle competenze e alle risorse a disposizione di ciascun ufficio;
• dati relativi agli organi di indirizzo politico e di amministrazione gestione;
• l’organizzazione dell’amministrazione (il cosiddetto organigramma).

Gli obblighi per altre finalità riguardano la pubblicità legale degli atti amministrativi, come:

• pubblicazioni ufficiali dello Stato;
• pubblicazioni matrimoniali;
• pubblicazioni di deliberazioni, ordinanze e determinazioni sull’albo pretorio online.

I principi e la disciplina di protezione dei dati personali nelle linee guida del Garante

I principi e la disciplina di protezione dei dati personali nelle linee guida del Garante sono fondamentali e applicabili al processo di pubblicazione dei dati sul web per finalità di trasparenza.

La diffusione di dati personali da parte dei soggetti pubblici è ammessa unicamente quando è prevista da una specifica norma di legge o di un regolamento. È dunque necessario che la pubblica amministrazione verifichi, prima di pubblicare documenti contenenti dati personali sul proprio sito web, la presenza di un obbligo di pubblicazione nella normativa in materia di trasparenza.

Deve essere inoltre rispettato il principio di pertinenza e non eccedenza dei dati personali i quali, devono essere inclusi negli atti e nei documenti da pubblicare solo se realmente necessario. Tali dati devono essere proporzionati rispetto alla finalità di trasparenza perseguita.

Le linee guida stabiliscono il divieto di pubblicazione dei dati personali che rivelano lo stato di salute o la vita sessuale. In particolare, per i dati idonei a rilevare lo stato di salute, è vietata la pubblicazione di qualsiasi informazione che possa desumere, anche indirettamente, lo stato di malattia o la presenza di qualsiasi patologia compresi riferimenti a invalidità, disabilità e handicap.

Gli obblighi della pubblica amministrazione

Gli obblighi della pubblica amministrazione relativa alla pubblicazione dei dati personali sono numerosi. Gli enti pubblici devono porre massima attenzione ai dati personali che intendono pubblicare, dalla fase di redazione degli atti fino alla loro pubblicazione, attuando una serie di accorgimenti atti a minimizzare i rischi. È preferibile quindi non riportare le informazioni sensibili nei testi dei provvedimenti che vengono pubblicati online (nell’oggetto, nel contenuto ecc.) menzionando le stesse solo negli atti a disposizione degli uffici, oppure indicare situazioni di disagio personale con espressioni di carattere generale o con l’utilizzo di codici numerici.

La pubblica amministrazione deve inoltre adottare misure idonee e accorgimenti tecnici, nei casi in cui sia indispensabile pubblicare dati sensibili o giudiziari, volti ad evitare “l’indicizzazione e la rintracciabilità tramite i motori di ricerca web e il loro riutilizzo”.

La pubblica amministrazione deve dunque, prima di pubblicare qualsiasi atto o documento, effettuare i seguenti passi:

• individuare l’esistenza di un presupposto di legge o di un regolamento che legittima la diffusione del documento o del dato personale;
• verificare, caso per caso, se vi sono i presupposti per oscurare determinate informazioni;
• sottrarre all’indicizzazione i dati sensibili e giudiziari.

La durata di pubblicazione degli atti pubblici

La durata di pubblicazione degli atti pubblici è disciplinata dal decreto trasparenza che stabilisce un limite di mantenimento di cinque anni per gli atti pubblicati online, tranne per le seguenti eccezioni:

• per gli atti che producono ancora i loro effetti alla scadenza di cinque anni e che quindi devono rimanere pubblicati fino a quando non cessa la produzione degli effetti (informazioni su dirigenti e vertici della PA, che vengono aggiornati e possono rimanere online fino alla scadenza del loro contratto);
• i dati riguardanti i titolari di incarichi politici, dirigenti, consulenti e collaboratori (che devono rimanere pubblicati per i tre anni successivi alla scadenza del contratto);
• i dati per i quali è previsto un termine diverso dalla normativa in materia di privacy.

Una volta raggiunti gli scopi per i quali sono stati resi pubblici, i dati personali devono essere oscurati anche prima del termine dei cinque anni.

Per porre un esempio concreto circa il mancato rispetto delle linee guida del Garante e le possibili conseguenze vogliamo soffermarci su una recente sanzione ai danni di una pubblica amministrazione.

L’ordinanza del Garante nei confronti del comune di Afragola

Il 26 maggio 2022 il Garante privacy ha sanzionato il comune di Afragola per aver pubblicato un curriculum vitae nella sezione trasparenza del loro sito web.

Nello specifico il curriculum vitae è stato pubblicato nella sua versione completa, non sono stati oscurati i dati non necessari ed è stato conservato nella sezione del sito per un periodo di tempo superiore a quello previsto dalla legge.

Il Garante è intervenuto sulla questione a seguito di una segnalazione ricevuta da un reclamante il quale, lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un comune, con cui da tempo aveva cessato l’attività lavorativa. In aggiunta al reclamo l’interessato ha anche fatto presente la sua situazione personale in ragione della quale la diffusione di tali dati avrebbe comportato dei rischi per sé e la sua famiglia.

L’analisi del Garante

L’analisi del Garante ha accertato che l’interessato aveva ricevuto risconto alla sua istanza di opposizione oltre i 30 giorni previsti dalla normativa soltanto a seguito dell’invito formulato dall’Autorità garante. Inoltre, al reclamante non è stata data la possibilità di informarsi su un possibile reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale entro il medesimo termine, in violazione dell’art. 12, parr. 3 e 4, del Regolamento Europeo 679\2016.

Il curriculum vitae dell’interessato è stato conservato online oltre il limite dei tre anni dalla data di cessazione del rapporto di lavoro, limite previsto dall’art. 14, comma 2, del d.lgs. 14 marzo 2013, n. 33. Il Garante ha osservato che il curriculum vitae conteneva dati ulteriori rispetto a quelli consentiti per adempiere all’obbligo di legge, erano infatti specificati l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati.

Nelle linee guida viene chiarito l’obbligo secondo cui il curriculum vitae non può comportare una diffusione di dati personali, in particolare non possono essere diffusi quei dati che non sono pertinenti rispetto alle finalità di trasparenza perseguite. Ragion per cui prima di pubblicare tali curriculum vitae il titolare è tenuto ad analizzarne attentamente il contenuto omettendo di pubblicare i dati non conformi.

Le ragioni dell’Ente riguardo la pubblicazione

L’Ente ha sostenuto che la pubblicazione del curriculum vitae del reclamante sarebbe dipesa dalla condotta del gestore del sito web al quale si erano affidati per la gestione del loro portale di “Amministrazione Trasparente”. La loro istanza però non è stata accolta dal Garante, poiché essendo l’Ente titolare del trattamento è il soggetto sul quale ricadono le decisioni e le responsabilità sui trattamenti anche nel caso in cui questi trattamenti vengano eseguiti da un responsabile per suo conto.

Oltre a ciò il Garante ha sottolineato che, in base all’art. 28, par. 3, lett. g) gdpr, il titolare del trattamento è tenuto a siglare con il responsabile l’accordo sulla protezione dei dati prima di iniziare il trattamento. Tale accordo prevede che il responsabile debba assumersi le responsabilità riguardo alla cancellazione e\o restituzione dei dati oggetto del trattamento, altro compito è quello di impartire al responsabile designato le giuste istruzioni vigilando affinché vengano eseguite al meglio, al fine di evitare che il titolare non perda il pieno controllo sui dati.

La decisione del Garante

La decisione del Garante stabilisce che il Comune non ha preso i giusti accordi con il fornitore e non ha impartito le giuste istruzioni, la diffusione del curriculum vitae e dei dati personali del reclamante è stata ritenuta responsabilità del Comune in quanto titolare del trattamento.

Il curriculum vitae è stato pubblicato in maniera non conforme con i principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”. Il Garante ha previsto una sanzione pecuniaria elevata tenendo conto però che la violazione non ha riguardato categorie particolari di dati personali e che ha coinvolto un solo interessato. Inoltre, il titolare del trattamento ha poi fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale e gli è stata attribuita una sanzione accessoria relativa alla pubblicazione sul sito del Garante del provvedimento.