La pubblicazione di dati personali da parte delle pubbliche amministrazioni richiede un costante bilanciamento tra il diritto alla riservatezza e le esigenze di trasparenza. Prima di diffondere dati, documenti e informazioni sui propri siti istituzionali, le amministrazioni devono verificare l’esistenza di un obbligo giuridico e valutare caso per caso quali dati pubblicare, oscurando quelli non necessari o eccedenti.
1. L’articolo e la disposizione di legge
In tema di pubblicazione di dati, l’articolo 7-bis, comma 4, del decreto legislativo del 14 marzo 2013, n. 33 (qui di seguito denominato “Decreto Trasparenza”) prevede che “nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”. Questa disposizione consente la pubblicazione unicamente dei dati personali strettamente necessari e proporzionati alla finalità di trasparenza perseguita, e per quanto riguarda i dati sensibili o giudiziari, solo quelli indispensabili a tal fine.
Inoltre, i dati personali non strettamente correlati alla finalità di trasparenza non devono essere inclusi negli atti destinati alla pubblicazione. Qualora venissero inseriti, l’amministrazione è obbligata a oscurare le informazioni eccedenti e non pertinenti. Non è consentita la diffusione di dati personali ulteriori rispetto a quelli previsti dal Decreto Trasparenza o da altre specifiche disposizioni di legge.
Il Garante per la protezione dei dati personali, attraverso le sue Linee guida, sottolinea l’importanza di rispettare i principi di pertinenza, minimizzazione e proporzionalità, evitando la diffusione di dati sensibili o giudiziari, salvo nei casi strettamente necessari e regolati da specifiche disposizioni normative. È vietata la pubblicazione di informazioni relative alla salute, alla vita sessuale, o dati biometrici e genetici, se non indispensabili.
La qualità delle informazioni pubblicate deve rispettare i criteri di integrità, accessibilità e aggiornamento previsti dal Decreto Trasparenza, che impone alle amministrazioni di utilizzare formati aperti e tecniche di anonimizzazione per garantire la tutela degli interessati. In conclusione, la pubblicazione deve essere conforme ai principi del GDPR e limitata ai dati essenziali per le finalità di trasparenza perseguite.
Potrebbero interessarti anche:
2. Trasparenza e protezione dei dati personali: giurisprudenza e applicazione pratica
Riguardo alla giurisprudenza in materia di obblighi di pubblicazione, si segnala la sentenza della Corte costituzionale n. 20 del 23 febbraio 2019, che dichiarava l’illegittimità costituzionale dell’articolo 14, comma 1-bis, del decreto legislativo n. 33/2013, relativo alla pubblicazione indiscriminata dei dati per tutti i titolari di incarichi dirigenziali. Tale sentenza fu richiamata anche nella decisione del Consiglio di Stato nel 2022 sull’obbligo di pubblicazione dei dati patrimoniali da parte dei titolari di incarichi politici.
Sulla ponderazione tra privacy e trasparenza, e in particolare riguardo alle tempistiche di pubblicazione, la Corte di cassazione civile, Sez. 3, con sentenza del 13 ottobre 2016, n. 20615, ha stabilito che la pubblicazione di atti che portano alla diffusione di dati personali è lecita se prevista da una norma di legge o di regolamento. Tuttavia, l’identificabilità del soggetto deve essere considerata in contesti specifici.
Ulteriori esempi includono un provvedimento del Garante del 9 giugno 2022 in relazione a dati pubblicati da un Comune che riguardavano informazioni personali di un minore, nel quale il Garante ha accertato la violazione della normativa sulla protezione dei dati, considerando l’identificabilità del soggetto nel contesto scolastico.
Tanto è emerso in diverse decisioni, come nel caso di un reclamo presentato a seguito della pubblicazione della graduatoria finale di una procedura concorsuale. Anche qui, la diffusione di dati relativi a condanne penali è stata considerata illegittima poiché non rispettava le disposizioni di tutela dei dati.
La necessità di un idoneo contemperamento tra disposizioni sulla trasparenza e la protezione dei dati personali è cruciale. Le amministrazioni pubbliche devono perseguire la trasparenza nel rispetto dei principi del GDPR e della normativa sulla privacy, garantendo il rispetto della minimizzazione e della pertinenza dei dati pubblicati.
In conclusione, l’attività di diffusione dati sui siti istituzionali relativa alla trasparenza deve avvenire in conformità e rispetto delle normative vigenti, formando così un bilanciamento efficace tra gli interessi della trasparenza e della privacy, facilitato dalle indicazioni fornite dal Garante.
Note
[1] Bertin M., Tessaro T., Come cambia la trasparenza amministrativa dopo il GDPR e il nuovo Decreto Privacy, Santarcangelo di Romagna, Maggioli Editore, 2019.
[2] Sentenza del Consiglio di Stato del 28 luglio 2022, n. 6654.
[3] Michetti E., Privacy: il risarcimento per gli atti pubblicati online, www.ilquotidianodellapa.it 2016.
[4] Articolo 166, comma 5, del decreto legislativo del 30 giugno 2003, n. 196.
[5] I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, c.d. minimizzazione.
[6] Il trattamento è lecito solo se necessario per adempiere ad un obbligo legale.
[7] Il trattamento è lecito solo se necessario per la salvaguardia degli interessi vitali dell’interessato.
[8] La base del trattamento deve essere stabilita dal diritto dello Stato membro.
[9] Ogni autorità di controllo tratta i reclami e svolge indagini sull’oggetto del reclamo.
[10] Ogni autorità di controllo ha poteri correttivi per il trattamento violato.
[11] Ogni autorità di controllo svolge indagini sui reclami e informa il reclamante.
