Il Garante Privacy traccia i confini dell'amministrazione aperta

News 21/02/2013

di avv. Graziano Garrisi (Vice coordinatore ABIRT) e dott.ssa Sarah Ungaro - Digital & Law Department
pubblicato su ForumPA

L'autorità Garante per la protezione dei dati personali, con il provvedimento n. 49 del 7 febbraio 2013, ha espresso un parere sullo schema del decreto legislativo concernente il riordino della disciplina sugli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.

In tale documento, il Garante Privacy ha inteso anche formulare alcune osservazioni sul tanto discusso art. 18 del D.L. 22 giugno 2012, n. 83 (convertito con modificazioni dalla legge 4 aprile 2012, n. 35), dedicato all'Amministrazione aperta.

Tale norma, in particolare, prevede che "la concessione di sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese e l'attribuzione dei corrispettivi e dei compensi a persone, professionisti, imprese ed enti privati e comunque di vantaggi economici di qualunque genere di cui all'articolo 12 della legge 7 agosto 1990, n. 241 ad enti pubblici e privati, sono soggetti alla pubblicità sulla rete internet, ai sensi del presente articolo e secondo il principio di accessibilità totale di cui all'articolo 11 del decreto legislativo 27 ottobre 2009, n. 150".

Inoltre, il secondo comma dell'art. 18 impone alle PA di pubblicare, sui rispettivi siti internet istituzionali il "nome dell'impresa o altro soggetto beneficiario ed i suoi dati fiscali; l'importo; la norma o il titolo a base dell'attribuzione; l'ufficio e il funzionario o dirigente responsabile del relativo procedimento amministrativo; la modalità seguita per l'individuazione del beneficiario; il link al progetto selezionato, al curriculum del soggetto incaricato, nonché al contratto e capitolato della prestazione, fornitura o servizio".

Tuttavia, come si è già avuto modo di porre in evidenza¹, ciò che desta maggiore perplessità in questa disposizione è la scelta di imporre l'applicazione di questi obblighi addirittura "in deroga ad ogni diversa disposizione di legge o regolamento" (art. 18, comma 2).

Con specifico riferimento agli obblighi di pubblicazione concernenti atti e provvedimenti amministrativi, il Garante Privacy ha osservato che l'articolo 26 dello schema di decreto in commento, a sua volta, riproduce in parte l'articolo 18 del D.L. 22 giugno 2012, n. 83, la cui applicazione è stata oggetto di numerosissimi quesiti e segnalazioni pervenuti allo stesso Garante che lamentavano la pubblicazione anche di dati sensibili o comunque lesivi della dignità della persona. Per altro verso, le menzionate disposizioni di cui all'art. 26 riproducono testualmente una previsione già contenuta nell'articolo 1, comma 16 della legge n. 190 del 2012 (non abrogato dallo schema di decreto), in base al quale è disposta la pubblicazione di vantaggi economici di qualunque genere, mentre l'art. 27 del citato schema di decreto stabilisce gli obblighi di pubblicazione relativi ai soggetti beneficiari.

In tal senso, l'Autorità Garante ha rilevato che anche alla luce del contesto normativo da cui proviene la norma (contrasto della corruzione, in particolare per quanto riguarda le concessioni di appalti o l'affidamento di lavori e forniture) essa non dovrebbe trovare applicazione per ogni forma di sussidio, contributo o vantaggio economico previsto per il cittadino, come ad esempio quelli nel campo della solidarietà sociale (si pensi alla social card) i cui procedimenti sono spesso idonei a rivelare lo stato di salute dei beneficiari del contributo o comunque situazioni di particolare bisogno o disagio sociale (in tal senso si pensi al riconoscimento di agevolazioni economiche, nella fruizione di prestazioni sociali, collegate alla situazione reddituale come l'esenzione dal contributo per la refezione scolastica o l'esenzione dal pagamento del cd. ticket sanitario). Fermo restando che deve essere comunque rispettato il divieto di pubblicare dati idonei a rivelare lo stato di salute (art. 22, comma 8, del Codice), l'eventuale diffusione sul web di altre informazioni sensibili o comunque idonee ad esporre l'interessato a discriminazioni, presenta rischi specifici per la dignità degli interessati, che spesso versano in condizioni di disagio economico-sociale.

Nello specifico, dunque, non dovrebbero essere oggetto di pubblicazione i dati relativi a: i titoli dell'erogazione dei benefici (come ad esempio l'attribuzione di borse di studio a soggetti portatori di handicap, o il riconoscimento di un buono sociale a favore di anziani non autosufficienti o l'indicazione, insieme al dato anagrafico, delle specifiche patologie sofferte dal beneficiario); i criteri di attribuzione (come i punteggi attribuiti con l'indicazione degli "indici di autosufficienza nelle attività della vita quotidiana"); nonché, la destinazione dei contributi erogati (come, ad esempio, il contributo per donne che hanno subito violenze).

In ossequio, quindi, ai principi di necessità, pertinenza e proporzionalità nel trattamento dei dati, il Garante privacy auspica che dallo schema di decreto in commento siano esclusi espressamente dall'obbligo di pubblicazione i dati identificativi dei destinatari di provvedimenti riguardanti persone fisiche, dai quali sia possibile evincere informazioni relative allo stato di salute degli interessati o lo stato economico-sociale disagiato degli stessi.

In linea generale, poi, per garantire la conoscibilità dei dati senza che essi vengano estrapolati dal contesto nei quali sono inseriti, l'Autorità Garante raccomanda l'utilizzo di motori di ricerca interna al sito della PA per reperire i documenti pubblicati, non consentendo l'indicizzazione e la facile rintracciabilità degli stessi attraverso i comuni motori di ricerca generalisti (es. Google). Un'attenzione particolare, inoltre, deve essere riservata alla durata della pubblicazione dei documenti poiché devono essere stabiliti periodi di permanenza on line differenziati in base alla natura dei documenti stessi, garantendone altresì un'accessibilità selettiva in base alla scadenza del termine di pubblicazione.

È stata richiesta, infine, anche una tutela maggiore nei confronti dei dipendenti pubblici.

Tali principi, tutti di derivazione comunitaria (artt. 3,11, comma 1, lett. d), e 22, comma 3, del Codice; art. 6 direttiva 96/45/CE), devono trovare applicazione anche in presenza di norme di legge e di regolamento che impongano la pubblicazione di atti o documenti. In tal caso, deve essere rimessa alla cura dell'amministrazione la selezione, all'interno dell'atto o documento in via di pubblicazione, dei dati personali da oscurare o comunque da espungere, anche con l'ausilio di criteri individuati in un apposito regolamento dell'ente.

La realizzazione della "trasparenza pubblica" (e non la semplice pubblicazione sui siti web istituzionali), infatti, integra una "finalità di rilevante interesse pubblico" e, pertanto, sul piano applicativo, le singole amministrazioni dovranno individuare e aggiornare i propri regolamenti interni (adottati ai sensi dell'articolo 20, comma 2, del Codice Privacy) circa i tipi di dati sensibili e giudiziari e di operazioni eseguibili per il trattamento dei dati effettuati per tale finalità.

D'altronde, l'Autorità Garante nell'esprimere il suo parere - e probabilmente in vista della prossima riforma alla disciplina sul trattamento dei dati personali che si avrà con l'introduzione del Regolamento europeo - ha anche tenuto conto di quanto previsto dall'attuale normativa europea, di quanto stabilito dalla stessa Corte di Giustizia e del fatto che negli altri Paesi europei non esistono forme di diffusione paragonabili a quelle che si intendono realizzare nel nostro.

[1] Sul punto si veda Amministrazione aperta: le assurde implicazioni di una norma mal scritta, di A. Lisi e S. Ungaro, in www.forumpa.it.

 

Tag: Garante privacy, dati personali, provvedimento n. 49 del 7 febbraio 2013, dati sensibili, pubblica amministrazione, obblighi di pubblicità, trasparenza