Sì condizionato del Garante per la privacy allo schema di decreto
legislativo del Ministro per la pubblica amministrazione e la
semplificazione relativo agli obblighi di trasparenza della Pa. Nel dare
il suo parere favorevole, il Garante ha infatti posto una serie di
“paletti” chiedendo che alcune norme vengano modificate, introducendo
maggiori garanzie a tutela delle persone
SCHEDA
- Doc-Web:
- 2243069
- Data:
- 08/02/13
- Argomenti:
- Dati sensibili , Trasparenza amministrativa , Dati giudiziari , Diffusione dati fiscali , Pubblicazioni online , Lavoro pubblico
- Tipologia:
- Comunicato stampa
Trasparenza Pa: Garante privacy, servono piu' garanzie a tutela delle persone
Sì al controllo diffuso sull'attività della Pa, ma non a forme sproporzionate di diffusione dei dati
Sì al controllo diffuso sull'attività della Pa, ma non a forme sproporzionate di diffusione dei dati
Sì
condizionato del Garante per la privacy allo schema di decreto
legislativo del Ministro per la pubblica amministrazione e la
semplificazione relativo agli obblighi di trasparenza della Pa. Nel dare
il suo parere favorevole [doc. web n. 2243168],
il Garante ha infatti posto una serie di "paletti" chiedendo che alcune
norme vengano modificate, introducendo maggiori garanzie a tutela delle
persone. La necessità di realizzare un controllo diffuso sull'attività
della Pubblica amministrazione non deve condurre a forme sproporzionate
di diffusione di informazioni che possono finire per ledere i diritti
dei cittadini, specialmente di quelli in condizioni più disagiate.
L'Authority
condivide le ragioni sottese al provvedimento e l'obiettivo di
garantire la trasparenza nell'attività della Pa, ma ritiene che un tale
valore debba essere comunque bilanciato con un diritto di pari rango
costituzionale come quello della riservatezza e della protezione dei
dati che trova la sua matrice nella normativa europea.
Per
questi motivi valuta con preoccupazione i possibili rischi che alcune
disposizioni contenute nel provvedimento potrebbero determinare. Rischi
ancora più forti se si tiene conto della particolare delicatezza di
alcune informazioni che verrebbero messe on line e della loro facile
reperibilità e riutilizzabilità incontrollata grazie ai motori di
ricerca. Si pensi soltanto ai dati sensibili o in grado di rivelare
condizioni di disagio economico e sociale di anziani, disabili o altri
soggetti deboli che beneficiano di sussidi (es. social card), la cui
diffusione potrebbe comportare irreversibili danni per la dignità degli
interessati, anche considerate le difficoltà oggettive di cancellare
tali informazioni una volta in rete.
Sono già numerosi, in questo senso, i casi sottoposti in questi ultimi anni all'Autorità.
Nell'esprimere
il suo parere, l'Autorità ha anche tenuto conto di quanto previsto
dalla normativa europea, di quanto stabilito dalla stessa Corte di
Giustizia e del fatto che nella stragrande maggioranza dei Paesi europei
non esistono forme di diffusione paragonabili a quelle che si intendono
realizzare nel nostro.
Queste le richieste avanzate dal Garante.
Dati personali
Sui siti web della Pa non dovranno mai essere diffusi dati sulla salute e sulla vita sessuale.
Vanno
esclusi dalla pubblicazione i dati identificativi dei destinatari dei
provvedimenti dai quali si possano ricavare dati sullo stato di salute o
di uno stato economico-sociale degli interessati: si pensi al
riconoscimento di agevolazioni economiche, alla fruizione di prestazioni
sociali collegate al reddito, come l'esenzione dal contributo per le
refezione scolastica o dal ticket sanitario, i benefici per portatori di
handicap, il riconoscimento di sussidi ad anziani non autosufficienti, i
contributi erogati per la cura di particolari malattie o per le vittime
di violenza sessuale.
Così
come non appare giustificata la diffusione di dati non pertinenti
rispetto alle finalità perseguite, quali ad esempio l'indirizzo di casa,
il codice fiscale, le coordinate bancarie, la ripartizione degli
assegnatari secondo le fasce ISEE, informazioni sulle condizioni di
indigenza.
Più
in generale, le pubbliche amministrazioni nel pubblicare atti o
documenti dovranno rendere inintelligibili i dati personali non
pertinenti o, se sensibili e giudiziari, non indispensabili rispetto
alle finalità di trasparenza che si intendono perseguire nel caso
concreto. Potranno inoltre pubblicare sui propri siti web informazioni e
documenti per i quali non vi è l'obbligo di pubblicazione, ma solo una
volta che avranno reso anonimi i dati personali in essi contenuti.
Motori di ricerca
I
documenti pubblicati dovranno essere rintracciabili solo mediante i
motori di ricerca interna al sito del soggetto pubblico e non attraverso
i comuni motori di ricerca generalisti, garantendo così la
conoscibilità dei dati senza che essi vengano estrapolati dal contesto
nei quali sono inseriti.
Durata della pubblicazione
Dovranno
essere stabiliti periodi differenziati di permanenza on line dei
documenti, e si dovrà prevedere una accessibilità selettiva una volta
scaduto il termine di pubblicazione.
Dipendenti pubblici
Per
quanto riguarda i dipendenti pubblici, lo schema di decreto legislativo
dovrà essere modificato circoscrivendo la pubblicazione dei dati ad un
ambito più ristretto di informazioni personali, strettamente pertinenti,
sia riguardo ai curricula sia ai compensi corrisposti, individuando
anche modalità di diffusione meno invasive di quelle previste.
Incarichi politici e cariche elettive
Per
quanto riguarda gli obblighi di trasparenza relativi ai titolari di
incarichi politici o di carattere elettivo il Garante ha richiamato
l'attenzione del Governo sull'opportunità di una riflessione generale
sull'impianto della disciplina, richiedendo una graduazione degli
obblighi di pubblicazione sia sotto il profilo della platea dei soggetti
coinvolti che del contenuto degli atti da pubblicare.
In
particolare, occorre circoscrivere il contenuto delle dichiarazioni dei
redditi da pubblicare alle sole notizie risultanti dal quadro
riepilogativo della dichiarazioni stesse, allo scopo di evitare la
diffusione di dati anche sensibili (come la scelta del contribuente
sulla destinazione del "5 per mille"). Lo stesso vale per soggetti
estranei all'incarico pubblico, come coniugi, figli, parenti, ai quali è
comunque necessario chiedere il consenso alla pubblicazione dei dati.
Tale consenso dovrà essere libero e non condizionato e non dovranno
comunque essere resi noti i nomi degli interessati che non intendessero
fornirlo.
Roma, 8 febbraio 2013
Fonte: http://www.garanteprivacy.it
[doc web. n. 2243168]
Parere
del Garante su uno schema di decreto legislativo concernente il
riordino della disciplina riguardante gli obblighi di pubblicità,
trasparenza e diffusione di informazioni da parte delle Pa - 7 febbraio 2013
Registro dei provvedimenti
n. 49 del 7 febbraio 2013
n. 49 del 7 febbraio 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA
riunione odierna, in presenza del dott. Antonello Soro, presidente,
della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia
Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del
dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere del Ministro per la pubblica amministrazione e la semplificazione;
Vista la documentazione in atti;
Viste
le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
PREMESSO
Il
Ministro per la pubblica amministrazione e la semplificazione ha
richiesto il parere del Garante in ordine a uno schema di decreto
legislativo concernente il riordino della disciplina riguardante gli
obblighi di pubblicità, trasparenza e diffusione di informazioni da
parte delle pubbliche amministrazioni.
L'odierno
provvedimento è adottato ai sensi dell'articolo 1, commi 35 e 36 della
legge 6 novembre 2012, n. 190, recante disposizioni per la prevenzione e
la repressione della corruzione e dell'illegalità nella pubblica
amministrazione.
In
base a tali disposizioni il Governo è delegato ad adottare un decreto
volto al riordino della disciplina riguardante gli obblighi di
pubblicità, trasparenza e diffusione di informazioni da parte delle
pubbliche amministrazioni, mediante la modifica o l'integrazione
delle disposizioni vigenti, ovvero mediante la previsione di nuove
forme di pubblicità secondo, fra l'altro, i seguenti criteri direttivi:
a)
ricognizione e coordinamento delle disposizioni che prevedono obblighi
di pubblicità a carico delle amministrazioni pubbliche;
b)
precisazione degli obblighi di pubblicità di dati relativi ai titolari
di incarichi politici, di carattere elettivo o comunque di esercizio
di poteri di indirizzo politico, di livello statale, regionale
e locale. Le dichiarazioni oggetto di pubblicazione obbligatoria
devono concernere almeno la situazione patrimoniale complessiva
del titolare al momento dell'assunzione della carica, la
titolarità di imprese, le partecipazioni azionarie proprie, del
coniuge e dei parenti entro il secondo grado di parentela, nonché tutti
i compensi cui dà diritto l'assunzione della carica;
c)
il comma 3 dell'articolo 4 sia sostituito dal seguente: "Le pubbliche
amministrazioni possono disporre la pubblicazione nel proprio sito
istituzionale di dati, informazioni e documenti che non hanno l'obbligo
di pubblicare ai sensi del presente decreto, procedendo alla
anonimizzazione dei dati personali eventualmente presenti, fermo
restando quanto previsto dall'articolo 19, comma 3 del decreto
legislativo 30 giugno 2003, n. 196." (punto 1.2);
d)
ampliamento delle ipotesi di pubblicità, mediante
pubblicazione nei siti web istituzionali, di informazioni relative ai
titolari degli incarichi dirigenziali nelle pubbliche amministrazioni di
cui all'articolo 1, comma 2, del decreto legislativo n. 165 del
2001, con riferimento sia a quelli che comportano funzioni di
amministrazione e gestione, sia agli incarichi di responsabilità degli
uffici di diretta collaborazione;
e) definizione di categorie di informazioni che le amministrazioni devono pubblicare;
f)
obbligo di pubblicare tutti gli atti, i documenti e le
informazioni anche in formato elettronico elaborabile e in formati di
dati aperti. Per formati di dati aperti si devono intendere almeno i
dati resi disponibili e fruibili on line in formati non proprietari, a
condizioni tali da permetterne il più ampio riutilizzo anche a fini
statistici e la ridistribuzione senza ulteriori restrizioni d'uso,
di riuso o di diffusione diverse dall'obbligo di citare la fonte e
di rispettarne l'integrità;
g)
individuazione, anche mediante integrazione e coordinamento della
disciplina vigente, della durata e dei termini di aggiornamento per
ciascuna pubblicazione obbligatoria;
h)
individuazione, anche mediante revisione e integrazione della
disciplina vigente, delle responsabilità e delle sanzioni per il
mancato, ritardato o inesatto adempimento degli obblighi di
pubblicazione.
Lo
schema di decreto legislativo si compone di una parte meramente
ricognitiva di norme già vigenti che prevedono obblighi di
pubblicazione, per la pubblica amministrazione, di atti, documenti, dati
e informazioni.
Diverse
sono poi le disposizioni innovative, volte a coordinare nel testo unico
all'esame quelle già esistenti e a stabilire principi e regole utili ad
assicurare piena attuazione al principio della trasparenza.
L'esame
del Garante verterà principalmente (ma non solo) su queste ultime, e in
particolare su quelle applicabili a "dati personali", al fine di
valutarne la compatibilità con la disciplina anche comunitaria in
materia di protezione dei dati personali.
RILEVATO
Il
tema della trasparenza (o comunque della diffusione di informazioni)
riveste grande importanza per il Garante e per le Autorità di garanzia
sulla protezione dei dati personali degli altri Paesi europei, in
particolare per quanto riguarda il contemperamento di tale principio con
la disciplina in materia di protezione dei dati personali (direttiva
del Parlamento europeo e del Consiglio 95/46/CE relativa alla tutela
delle persone fisiche con riguardo al trattamento dei dati personali)
come interpretata ed applicata dalla giurisprudenza della Corte di
giustizia dell'Unione europea (cfr., in particolare, Corte di Giustizia 9
novembre 2010, cause riunite C-92/09 e C-93/09).
Al riguardo, si rammenta che il Garante ha adottato in materia le Linee
guida in materia di trattamento di dati personali contenuti anche in
atti e documenti amministrativi effettuato da soggetti pubblici per
finalità di pubblicazione e diffusione sul web (provv. 2 marzo 2011).
L'odierno
decreto legislativo si pone quale completamento di un percorso
normativo del Parlamento e del Governo in relazione al quale l'Autorità
non sempre è stata messa in condizione di esprimere agevolmente le
proprie valutazioni a garanzia del diritto alla protezione dei dati
personali, come invece nel caso del presente schema di decreto.
L'espressione dell'odierno parere è, quindi, un'occasione preziosa per
il Garante per valutare la conformità dell'intervento normativo alla
disciplina comunitaria e nazionale in materia di protezione dei dati
personali e per contribuire in maniera sistematica al bilanciamento di
valori costituzionali così importanti, come la trasparenza, la
riservatezza degli individui e la protezione dei loro dati personali.
Ciò,
peraltro, assume particolare importanza alla luce dell'ambito di
applicazione del decreto legislativo, che disciplina in maniera organica
i casi di pubblicazione di dati mediante inserzione sui siti
istituzionali, cioè, in definitiva, mediante diffusione sul web, che è,
per definizione, la forma più ampia e più invasiva di diffusione di
dati.
I
rischi connessi al trattamento dei dati personali sulla rete emergono
ancora di più ove si consideri la delicatezza di talune informazioni e
la loro facile reperibilità una volta pubblicate, grazie anche ai motori
di ricerca.
Sotto
il primo profilo, si pensi ai dati idonei a rivelare condizioni di
disagio economico-sociale di anziani, disabili, o altri soggetti deboli,
la cui diffusione potrebbe comportare irreversibili danni per la
dignità degli interessati. Sotto l'altro aspetto, si consideri anche il
rischio di "cristallizzazione" delle informazioni sul web, a fronte di
oggettive difficoltà pratiche (oltre che giuridiche, a volte)
nell'ottenere la loro cancellazione una volta decorso il termine di
pubblicazione e, soprattutto, laddove un termine non sia fissato o
comunque i dati non siano cancellati dopo il raggiungimento dello scopo
perseguito, in violazione del cd. "diritto all'oblio".
Di
tutti questi rischi si terrà conto nella disamina dell'articolato, in
relazione al quale il Garante svolge le osservazioni di seguito
riportate.
RITENUTO
PARTE I – PRINCIPI GENERALI1. La trasparenza e la pubblicazione di dati personali.
1.1.
Le norme del decreto individuano, ai sensi dell'articolo 117, secondo
comma, lettera m), della Costituzione, il livello essenziale delle
prestazioni erogate dalle amministrazioni pubbliche a fini di
trasparenza, prevenzione, contrasto della corruzione e della cattiva
amministrazione.
Nel
preambolo del provvedimento, inoltre, la trasparenza è correlata al
principio di uguaglianza sostanziale di cui all'articolo 3, comma
secondo, della Costituzione ed al principio di buon andamento
dell'azione amministrativa. Viceversa, non sono richiamati né la
disciplina in materia di protezione dei dati personali, né i principi
costituzionali dei quali la stessa costituisce attuazione, che
rappresentano, invece, i ‘limiti esterni' alla trasparenza e che con
essa devono essere necessariamente bilanciati.
Si
ritiene, pertanto, necessario che il preambolo sia integrato con il
riferimento ai parametri costituzionali di cui all'articolo 2 della
Costituzione, essendo l'articolo 117 già richiamato nel suo complesso e
dunque anche con riferimento all'articolo 8 della Carta dei diritti
fondamentali dell'Unione europea come richiamato dall'articolo 6 del
Trattato di Lisbona, nonché al Codice in materia di protezione dei dati
personali di cui al decreto legislativo 30 giugno 2003, n. 196 (di
seguito "Codice").
1.2.
Lo schema di decreto individua gli "obblighi di trasparenza" posti a
carico delle "pubbliche amministrazioni" come definite dall'articolo 11.
Inoltre esso definisce la "pubblicazione" come la "pubblicazione
……..nei siti istituzionali delle pubbliche amministrazioni dei
documenti, delle informazioni e dei dati" (art. 2).
Lo
schema sembra prevedere due forme di pubblicazione: quella
obbligatoria, in quanto stabilita dalla "normativa vigente", come
prevede espressamente l'articolo 3, e quella non obbligatoria (art. 4,
comma 3). I documenti, le informazioni e i dati personali oggetto di
pubblicazione obbligatoria sono definiti dallo schema "pubblici", così
che tutti hanno il diritto di conoscerli, di utilizzarli e riutilizzarli
ai sensi dell'articolo 7.
In
generale, la pubblicazione di atti o documenti o di specifiche
informazioni o dati, anche personali, prevista da norme di legge o di
regolamento (cioè "dalla normativa vigente" come prevede lo schema) è
coerente con la disciplina comunitaria in materia di protezione dei dati
personali (art. 7, primo paragrafo, lett. c), dir. 95/46/CE; artt. 19,
comma 3, 20, 21 e 22 del Codice), fermo restando il rispetto degli altri
principi in materia (sui quali si tornerà più avanti).
Non
sarebbe, di converso, in linea con i medesimi principi rimettere la
scelta in ordine alla pubblicazione di dati e documenti alla mera
discrezionalità amministrativa delle singole pubbliche amministrazioni,
con il rischio, peraltro - in assenza di una specifica norma (di legge o
di regolamento) che autorizzi la diffusione dei dati - di decisioni
differenziate da parte delle pubbliche amministrazioni, a fronte della
necessità di garantire il diritto alla protezione dei dati personali in
maniera omogenea su tutto il territorio nazionale.
Al
riguardo, lo stesso articolo 4, comma 3, prevede che la pubblicazione
di informazioni che le pubbliche amministrazioni non hanno l'obbligo di
pubblicare avvenga "anche ricorrendo a forme di anonimizzazione in
presenza di dati personali". La formulazione della norma suscita
tuttavia perplessità in quanto sembra costituire un'autorizzazione
permanente alla diffusione da parte di un soggetto pubblico di dati
personali anche in assenza della previsione legislativa o regolamentare
di cui all'articolo 19, comma 3, del Codice. Pertanto, la norma in
questione deve essere modificata prevedendo la salvaguardia della
predetta disposizione e prescrivendo come necessaria, e non meramente
facoltativa, l'anonimizzazione in presenza di dati personali.
Il
comma 3 dell'articolo 4 potrebbe, pertanto, essere sostituito dal
seguente: "Le pubbliche amministrazioni possono disporre la
pubblicazione nel proprio sito istituzionale di dati, informazioni e
documenti che non hanno l'obbligo di pubblicare ai sensi del presente
decreto, procedendo alla anonimizzazione dei dati personali
eventualmente presenti, fermo restando quanto previsto dall'articolo 19,
comma 3, del decreto legislativo 30 giugno 2003, n. 196.".
2. Il principio di pertinenza e di indispensabilità dei dati.
Il
diritto alla protezione dei dati personali trova il suo pieno ed
effettivo riconoscimento solo se sono rispettati tutti i principi e le
regole alla base delle garanzie previste dalla normativa comunitaria e
dal Codice a tutela dell'individuo, della sua riservatezza e della sua
dignità. Fra questi assumono particolare importanza il principio di
necessità, il quale comporta un obbligo di attenta configurazione di
sistemi informativi e di programmi informatici per ridurre al minimo
l'utilizzazione di dati personali (art. 3 del Codice), il principio di
pertinenza e non eccedenza dei dati personali e quello di
indispensabilità del trattamento di dati sensibili e giudiziari, tutti
di derivazione comunitaria (artt. 3, 11, comma 1, lett. d), e 22, comma
3, del Codice; art. 6 direttiva 96/45/CE). Tali principi devono trovare
applicazione anche in presenza di norme di legge e di regolamento che
impongano la pubblicazione di atti o documenti. In tal caso, deve essere
rimessa alla cura dell'amministrazione la selezione, all'interno
dell'atto o documento in via di pubblicazione, dei dati personali da
oscurare o comunque da espungere.
Come
ha ricordato il Garante nelle Linee guida citate, prima di
intraprendere un'attività che comporta una diffusione di dati personali,
l'ente pubblico deve valutare se la finalità di trasparenza e di
comunicazione può essere perseguita senza divulgare tali dati, oppure
rendendo pubblici atti e documenti senza indicare dati identificativi
adottando modalità che permettano di identificare gli interessati solo
quando è necessario. Ad esempio, nel caso degli enti locali, la
circostanza secondo la quale tutte le deliberazioni sono pubblicate deve
indurre l'amministrazione comunale a valutare con estrema attenzione le
stesse tecniche di redazione delle deliberazioni e dei loro allegati.
Ciò, soprattutto quando vengano in considerazione informazioni sensibili
(si pensi ad esempio agli atti adottati nel quadro dell'attività di
assistenza e beneficenza, che comportano spesso la valutazione di
circostanze e requisiti personali che attengono a situazioni di
particolare disagio). In proposito, può risultare utile menzionare tali
dati solo negli atti a disposizione negli uffici (richiamati quale
presupposto della deliberazione e consultabili solo da interessati e
controinteressati), come pure menzionare delicate situazioni di disagio
personale solo sulla base di espressioni di carattere più generale o, se
del caso, di codici numerici.
Lo
schema di decreto sembra tener conto di tali esigenze (art. 4, comma
4), ma con una formulazione che lascia qualche dubbio interpretativo
circa la obbligatorietà della selezione preventiva dei dati personali da
sottrarre alla pubblicazione. Si ritiene necessario, pertanto,
integrare il medesimo articolo 4 con una disposizione che richiami
l'applicazione doverosa dei predetti principi nei termini appena
descritti.
Tale
osservazione potrebbe essere recepita aggiungendo al comma 4, il
seguente periodo o altro di analogo tenore: "Nei casi in cui norme di
legge o di regolamento prevedano la pubblicazione di atti o documenti,
le pubbliche amministrazioni provvedono a rendere comunque non
intelligibili i dati personali non pertinenti o, se sensibili o
giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.".
Applicazione concreta dei principi di pertinenza e di indispensabilità si rinviene – fra l'altro – nel successivo paragrafo 10.
3. Dati sensibili e giudiziari. Dati idonei a rivelare lo stato di salute.
Com'è
noto le categorie dei dati sensibili e giudiziari sono assoggettate ad
una disciplina di maggior rigore e con più ampie garanzie a tutela dei
diritti dell'interessato.
Opportunamente
quindi lo schema di decreto prevede una differenziazione delle modalità
di diffusione dei dati (art. 4, comma 1). La disposizione però deve
essere perfezionata, chiarendo, innanzitutto, se si intenda escludere
del tutto dall'ambito di applicazione del presente decreto e quindi
dalla diffusione (rectius dalla "pubblicazione", come definita
all'articolo 2) i dati sensibili e giudiziari o, in caso contrario,
precisando quali siano le modalità di diffusione consentite per tali
categorie di dati.
Quanto
ai dati idonei a rivelare lo stato di salute, si rammenta che per
previsione normativa nazionale, di derivazione comunitaria, quale
presidio della riservatezza e dignità della persona, è previsto il
divieto assoluto di diffusione (quindi di pubblicazione con mezzi che ne
consentano una fruizione generalizzata) di dati idonei a rivelare lo
stato di salute degli individui (art. 22, comma 8, del Codice; art. 8
dir. 95/46/CE).
In
tal senso è opportuno che lo schema di decreto sia integrato prevedendo
espressamente che la pubblicazione di dati personali non può riguardare
dati idonei a rivelare lo stato di salute delle persone, nonché – dato
il particolare contesto normativo – quelli idonei a rivelare la vita
sessuale degli individui (la previsione potrebbe essere inserita, ad
esempio, nel comma 6 dell'articolo 4, concernente appunto i limiti alla
diffusione delle informazioni). Ciò, sul presupposto che le due
categorie di dati appena descritte sono assoggettate dalla normativa
vigente ad eguali garanzie, particolarmente elevate, in particolare
rispetto all'applicazione della normativa sul diritto di accesso a dati e
documenti ai sensi della legge n. 241 del 1990 (artt. 59 e 60 del
Codice).
4. La conoscibilità dei dati "pubblici".4.1. Motori di ricerca e indicizzazione
L'articolo
4, comma 1, stabilisce che la pubblicazione dei dati personali avvenga
attraverso i siti istituzionali e secondo modalità che ne consentano
l'indicizzazione e la rintracciabilità mediante motori di ricerca.
Al
riguardo, l'Autorità richiama l'attenzione del Governo sulla
opportunità di rendere rintracciabili i dati oggetto di pubblicazione
solo con motori di ricerca interni ai siti, posto che un obbligo
indifferenziato e ampio, come quello previsto dalla norma, appare
contrario al principio di proporzionalità nel trattamento dei dati
personali rispetto alle specifiche finalità di trasparenza di volta in
volta perseguite (art. 11, comma 1, lett. b) del Codice), e incide
negativamente sull'esigenza di avere dati esatti, aggiornati e
contestualizzati.
In
proposito si rammenta che nelle Linee guida citate il Garante ha
ritenuto preferibile le funzionalità di ricerca interne ai siti in
quanto assicurano accessi maggiormente selettivi e coerenti con le
finalità di volta in volta sottese alla pubblicazione, garantendo nel
contempo la conoscibilità sui siti istituzionali delle informazioni che
si intende mettere a disposizione del pubblico.
4.2. Pubblicità dei dati ed accesso civico.
Correlata
alla configurazione della trasparenza quale strumento per il controllo
diffuso sull'esercizio delle pubbliche funzioni è la espressa previsione
(art. 3) del diritto di ciascuno "alla conoscibilità", ovvero del
diritto a conoscere, utilizzare e riutilizzare (alle condizioni
descritte) i dati, i documenti e le informazioni "pubblici" in quanto
oggetto "di pubblicazione obbligatoria".
Rispetto
a dati e documenti pubblici l'articolo 5 riconosce a ciascuno il
diritto di "accesso civico", così introducendo, tra l'altro, un istituto
non previsto dalla legge delega. Si tratta, in particolare, di un
istituto diverso ed ulteriore rispetto al diritto di accesso ad atti e
documenti amministrativi disciplinato dalla legge n. 241 del 1990.
Diversamente da quest'ultimo, infatti, non presuppone un interesse
qualificato in capo al soggetto e si estrinseca nel chiedere e ottenere
che le pubbliche amministrazioni pubblichino gli atti, i documenti e le
informazioni (appunto a pubblicazione obbligatoria) da queste detenute
ma che, per qualsiasi motivo, non abbiano provveduto a rendere pubbliche
sui propri siti istituzionali.
Pubblici ai fini in esame, e dunque soggetti a libero accesso da parte di ciascuno sono pertanto non già dati e documenti qualificati espressamente come pubblici dalla normativa vigente, ma solo quelli per i quali si prescrive la pubblicazione obbligatoria. Proprio per questo, però, all'articolo 5, comma 5, oggetto del diritto di accesso civico dovrebbero essere non già i documenti o dati qualificati come "pubblici" ma quelli di cui sia invece prevista la pubblicazione obbligatoria.
5. Finalità di rilevante interesse pubblico.Pubblici ai fini in esame, e dunque soggetti a libero accesso da parte di ciascuno sono pertanto non già dati e documenti qualificati espressamente come pubblici dalla normativa vigente, ma solo quelli per i quali si prescrive la pubblicazione obbligatoria. Proprio per questo, però, all'articolo 5, comma 5, oggetto del diritto di accesso civico dovrebbero essere non già i documenti o dati qualificati come "pubblici" ma quelli di cui sia invece prevista la pubblicazione obbligatoria.
L'articolo
4, comma 2, sembra voler individuare nella trasparenza una nuova
"finalità di rilevante interesse pubblico" legittimante il trattamento
di dati sensibili o giudiziari, ai sensi della normativa in materia di
protezione dei dati personali (artt. 20 e 59 del Codice).
Al
riguardo, si suggerisce di perfezionare la disposizione chiarendo che
la finalità di rilevante interesse pubblico è la "realizzazione della
trasparenza pubblica" (cui faceva riferimento una precedente versione
dello schema di decreto) e non la pubblicazione nei siti istituzionali
dei dati relativi agli interessati (questa è l'attività consentita,
unitamente al relativo trattamento dei dati). Tale osservazione potrebbe
essere recepita sostituendo le parole da "integra" sino alla fine del
comma con le seguenti: "è finalizzata alla realizzazione della
trasparenza pubblica, che integra una finalità di rilevante interesse
pubblico, nel rispetto della disciplina in materia di protezione dei
dati personali.".
Inoltre
è necessario che la disposizione sia raccordata con gli articoli 65
("diritti politici e pubblicità dell'attività di organi") e 68
("benefici economici ed abilitazioni") del Codice che già prevedono vari
trattamenti legittimamente effettuabili per finalità di rilevante
interesse pubblico in materie affini a quella oggetto del presente
decreto, ricorrendo alla salvaguardia di tali norme (ad es.: "Fatto
salvo quanto previsto da…..").
Al
riguardo si richiama l'attenzione della Presidenza del Consiglio dei
ministri sul fatto che, sul piano applicativo, le singole
amministrazioni saranno tenute a valutare la necessità di individuare,
con regolamento, i tipi di dati sensibili e giudiziari e di operazioni
eseguibili per il trattamento dei dati effettuati per la suesposta
finalità di rilevante interesse pubblico, ai sensi dell'articolo 20,
comma 2, del Codice.
6. Riutilizzo dei dati.
Profili
di criticità emergono anche in relazione all'articolo 7, secondo il
quale i dati resi pubblici in conformità al regolamento "sono
liberamente riutilizzabili secondo la normativa vigente, senza ulteriori
restrizioni diverse dall'obbligo di citare la fonte e di rispettarne
l'integrità". Tale previsione pare porsi in contrasto con il principio
di finalità, anch'esso di matrice europea, in base al quale i dati
personali, legittimamente raccolti, possono essere utilizzati in altre
operazioni del trattamento solo "in termini compatibili" con gli scopi
per i quali sono stati raccolti e registrati (art. 11, comma 1, lett.
b), del Codice; art. 6 direttiva 95/46/CE).
La
materia del riutilizzo dei documenti nel settore pubblico è
disciplinata, com'è noto, dalla direttiva 2003/98/CE e dal decreto
legislativo 24 gennaio 2006, n. 36, che prevede limiti e condizioni al
riutilizzo dei documenti e fa salva espressamente la disciplina sulla
protezione dei dati personali, obbligando gli Stati membri a non
pregiudicare "in alcun modo il livello di tutela delle persone fisiche
con riguardo al trattamento dei dati personali ai sensi delle
disposizioni di diritto comunitario e nazionale e non modifica, in
particolare, i diritti e gli obblighi previsti" dalla disciplina di
protezione dei dati personali (cfr. considerando 21 e art. 1, comma 4,
dir.; art. 4, comma 1, d.lg. n. 36/2006).
Al
predetto decreto legislativo n. 36/2006 fa riferimento anche l'articolo
52 del CAD, il quale stabilisce, più in generale, che il riutilizzo dei
dati e dei documenti delle pubbliche amministrazioni deve avvenire nel
rispetto della normativa vigente. Infine al medesimo decreto legislativo
n. 36/2006 rinvia anche l'articolo 68, comma 3, del CAD, a proposito
dei dati di tipo aperto.
In
tale quadro, mentre la definizione di "riutilizzo" contenuta nel
decreto legislativo n. 36/2006 consente l'uso del documento e del dato a
fini diversi dallo scopo iniziale per il quale il documento è stato
prodotto nell'ambito dei fini istituzionali, ai sensi del Codice, in
base al principio di finalità, i dati personali possono essere
riutilizzati solo in termini di compatibilità con gli scopi originari.
La
preoccupazione che tale principio finalistico non sia tenuto nella
dovuta considerazione dall'odierno decreto è avvalorata dalla Relazione
illustrativa nella quale si specifica che "la trasparenza consente […]
di attivare anche un'economia legata a dati pubblicati in formato aperto
e rielaborabili. Le aziende e i privati potranno, infatti, utilizzare i
dati pubblici per realizzare servizi a valore aggiunto e per migliorare
la qualità della vita dei cittadini".
In
proposito, è opportuno richiamare il parere del Garante europeo della
protezione dei dati sul «pacchetto dati aperti» della Commissione
europea, costituito da una proposta di direttiva che modifica la
predetta direttiva 2003/98/CE, da una comunicazione sui dati aperti e
dalla decisione 2011/833/UE della Commissione relativa al riutilizzo dei
documenti della Commissione che, nelle proprie conclusioni, pur
evidenziando i notevoli benefici che il riutilizzo delle informazioni
del settore pubblico contenenti dati personali può arrecare, richiama
l'attenzione sui rischi considerevoli che esso può comportare per la
protezione dei dati personali. Alla luce di tali rischi, il GEPD
"raccomanda che la proposta definisca più chiaramente in quali
situazioni e fatte salve quali salvaguardie le informazioni contenenti
dati personali possono dovere essere messe a disposizione per il
riutilizzo. In particolare, la proposta deve:
- definire più chiaramente il campo di applicabilità della direttiva PSI ai dati personali (sezione 3.1),
-
prevedere che venga svolta una valutazione dall'ente pubblico
interessato prima che qualsivoglia informazione del settore pubblico
contenente dati personali sia messa a disposizione per il riutilizzo
(sezione 3.1),
-
ove opportuno, imporre che i dati siano resi completamente o
parzialmente anonimi e che le condizioni di concessione delle licenze
vietino espressamente la reidentificazione delle persone e il riutilizzo
di dati personali per scopi che potrebbero riguardare individualmente
gli interessati (sezioni 3.2 e 3.3),
-
disporre che i termini della licenza per il riutilizzo
dell'informazione del settore pubblico contengano una clausola di
protezione dei dati ogniqualvolta si trattino dati personali (sezione
3.3),
-
ove necessario, considerando i rischi per la protezione dei dati
personali, imporre a chi chiede il riutilizzo di dimostrare (attraverso
una valutazione d'impatto sulla protezione dei dati o mediante altre
modalità) che eventuali rischi per la protezione dei dati personali
vengano adeguatamente presi in considerazione e che chi chiede il
riutilizzo tratterà i dati in conformità della legislazione applicabile
in materia di protezione dei dati (sezione 3.3),
-
chiarire che il riutilizzo può essere subordinato allo scopo per cui
viene effettuato, in deroga alla regola generale che autorizza il
riutilizzo per fini commerciali e non commerciali (sezione 3.3)".
In
conclusione, il mero rinvio presente nello schema all'osservanza delle
"disposizioni di protezione dei dati personali" (cfr. art. 1, comma 2
dello schema) non appare sufficiente a garantire il rispetto del
principio di finalità, dovendo la disciplina che si intende introdurre
essa stessa incorporare i principi di protezione dei dati personali
contenuti nella direttiva 95/46 nonché nella direttiva 2003/98.
Si
ritiene necessario, pertanto, integrare l'articolo 7 con il seguente
comma o con altro di analogo tenore: "In caso di pubblicazione di dati
personali, il loro utilizzo in altre operazioni di trattamento è
consentito solo in termini compatibili con gli scopi per i quali sono
stati raccolti e registrati, ai sensi dell'articolo 11, comma 1, lett.
b) del decreto legislativo 30 giugno 2003, n. 196, e comunque nel
rispetto delle disposizioni del medesimo decreto legislativo n. 196 del
2003.".
7. Durata della pubblicazione e accesso alle informazioni pubblicate nei siti
L'articolo
8, comma 3, stabilisce in 5 anni, per tutti i dati e i documenti, il
periodo di pubblicazione obbligatoria, decorrenti dal 1° gennaio
dell'anno successivo a quello da cui decorre l'obbligo di pubblicazione;
inoltre, prevede che i dati e documenti restino comunque pubblicati
"fino a che gli atti non producono i loro effetti". La previsione di un
unico termine generalizzato per tutti i dati non rispetta il principio
di proporzionalità nella conservazione dei dati personali rispetto alle
finalità perseguite (art. 11, comma 1, lett. e) del Codice). Né al
riguardo può valere la salvaguardia –che la norma contiene- dei "diversi
termini previsti dalla normativa in materia di trattamento dei dati
personali", poiché il Codice non contiene tali termini, ma solo il
principio di conservazione dei dati per un periodo di tempo
proporzionato, appunto, cioè non superiore a quello necessario agli
specifici scopi per i quali sono stati raccolti.
Si
rimette quindi al Governo la valutazione circa una rimodulazione della
norma con l'indicazione di termini differenziati, in ragione delle
categorie di dati e delle specifiche finalità della pubblicazione (cfr.
criterio di delega sub. lettera g)).
Inoltre,
tale disposizione confligge con i diversi termini temporali previsti da
altre norme di settore (es. art. 124 d.lg. n.127/2000 per gli enti
locali). E' opportuno quindi che siano fatti salvi i diversi termini
previsti dalla normativa vigente e non solo quelli di cui agli articoli
14, comma 2, e 15, comma 4, dell'odierno schema di decreto (come prevede
ora la norma).
E'
importante, infine, che lo schema di decreto chiarisca, anche a
beneficio dei soggetti pubblici interessati all'applicazione del
decreto, quali adempimenti devono mettere in opera le amministrazioni
alla scadenza del termine. Dal tenore dell'articolo 9, comma 2, sembra
evincersi che alla scadenza del termine i dati e documenti debbano
essere conservati in altre sezioni del sito e resi comunque disponibili.
Tale generica previsione vanifica di fatto la pubblicazione temporanea
delle informazioni stabilita al precedente articolo 8 con l'apposizione
di un termine. Per quanto riguarda i dati personali, ciò si tradurrebbe
in una loro permanenza, sul web, sine die, per giunta indicizzati e
reperibili mediante motori di ricerca, magari senza alcuna ragione
dipendente dal perseguimento della specifica finalità di trasparenza e
in violazione del "diritto all'oblio" (cfr. Corte di Giustizia 9
novembre 2010, cause riunite C-92/09 e C-93/09).
Valuti
quindi l'Amministrazione di prevedere una disciplina più articolata al
riguardo, anche stabilendo una conservazione separata ad accesso
selettivo e mirato dei documenti e dei dati dopo la scadenza del termine
di pubblicazione, e comunque sancendo la cancellazione dei dati
personali. Una più puntuale disciplina degli adempimenti a carico della
p.a., decorso il periodo di pubblicazione obbligatoria, dovrà essere
stabilita anche per i dati indicati agli articoli 14, comma 2, e 15,
comma 4.PARTE II - NORME DI SETTORE CONCERNENTI OBBLIGHI DI PUBBLICAZIONE.
8. Obblighi di pubblicazione concernenti i componenti di organi di indirizzo politico
Lo
schema di decreto disciplina all'articolo 14 gli obblighi di
pubblicazione concernenti i componenti degli organi di indirizzo
politico, con riferimento ai titolari di incarichi politici, di
carattere elettivo o comunque di esercizio di poteri di indirizzo
politico, prevedendo la pubblicazione, fra l'altro, delle dichiarazioni e
delle attestazioni di cui agli articoli 2, 3 e 4 della legge 5 luglio
1982, n. 441 (recante norme per la pubblicità della situazione
patrimoniale di titolari di cariche elettive e di cariche direttive di
alcuni enti), come modificata dall'odierno schema (art. 14 comma 1,
lett. f)).
Per
meglio comprendere la portata dell'intervento normativo, è utile una
breve descrizione dell'attuale assetto normativo della materia previsto
dalla legge n. 441/1982 (al netto, cioè, delle modifiche ad essa
apportate dallo stesso schema di decreto, su cui si tornerà più avanti).
Il decreto fa riferimento alle seguenti dichiarazioni previste dalla predetta legge:
1)
una dichiarazione concernente i diritti reali su beni immobili e su
beni mobili iscritti in pubblici registri; le azioni di società; le
quote di partecipazione a società; l'esercizio di funzioni di
amministratore o di sindaco di società, con l'apposizione della formula
«sul mio onore affermo che la dichiarazione corrisponde al vero»;
2) copia dell'ultima dichiarazione dei redditi soggetti all'imposta sui redditi delle persone fisiche;
3)
una dichiarazione concernente le spese sostenute e le obbligazioni
assunte per la propaganda elettorale ovvero l'attestazione di essersi
avvalsi esclusivamente di materiali e di mezzi propagandistici
predisposti e messi a disposizione dal partito o dalla formazione
politica della cui lista hanno fatto parte, con l'apposizione della
formula «sul mio onore affermo che la dichiarazione corrisponde al
vero».
4)
la situazione patrimoniale sopra descritta e la dichiarazione dei
redditi del coniuge non separato e dei figli conviventi, se gli stessi
vi consentono;
5)
entro un mese dalla scadenza del termine utile per la presentazione
della dichiarazione dei redditi, un'attestazione concernente le
variazioni della situazione patrimoniale intervenute nell'anno
precedente e copia della dichiarazione dei redditi, anche rispetto al
coniuge e ai figli consenzienti;
6)
entro tre mesi successivi alla cessazione dall'ufficio, una
dichiarazione concernente le variazioni della situazione patrimoniale
intervenute dopo l'ultima attestazione nonché, entro un mese successivo
alla scadenza del relativo termine, una copia della dichiarazione
annuale dei redditi, anche rispetto al coniuge e ai figli conviventi.
Tali
adempimenti sono previsti, nel testo vigente, per i parlamentari, per
il Presidente del Consiglio dei Ministri, i Ministri, i Sottosegretari
di Stato e, "secondo le modalità stabilite dai rispettivi consigli", per
i seguenti altri soggetti: consiglieri regionali; consiglieri
provinciali; i consiglieri di comuni capoluogo di provincia o con
popolazione superiore ai 50.000 abitanti; membri del Parlamento europeo
spettanti all'Italia.
Tali
soggetti devono depositare la documentazione sopra descritta presso
l'ufficio di presidenza della Camera di appartenenza, se parlamentari,
presso quello del Senato, se componenti del Governo, o presso l'analogo
organo di "vertice" negli altri casi (artt. 2, 10 e 11, primo comma, l.
n. 441/1982).
La
documentazione descritta, ivi comprese le dichiarazioni del coniuge non
separato e dei figli conviventi, ove prodotte, è pubblicata in appositi
bollettini dei vari organi (artt. 9 e 11, secondo comma; ad esempio,
per quanto riguarda le regioni, sul bollettino previsto dagli statuti
per la pubblicazione delle leggi). La documentazione è pubblicata
integralmente, salvo per quanto riguarda la dichiarazione dei redditi
della quale si pubblicano solo "le notizie risultanti dal quadro
riepilogativo".
Il
presente decreto modifica, con interventi mirati, la legge n. 441/1982
(art. 52, comma 1, dello schema). In particolare si estende la platea
dei soggetti titolari di incarichi pubblici cui è rimesso l'obbligo di
trasparenza, sino a ricomprendervi anche: i vice ministri, i componenti
della giunta regionale e provinciale, i consiglieri dei comuni con
popolazione superiore a 15000 abitanti (rispetto ai 50000 attuali),
fermi restando in ogni caso i capoluoghi di provincia.
Quanto
ai soggetti diversi dal titolare dell'incarico pubblico, l'articolo 2,
secondo comma, della legge è modificato con il riferimento al coniuge
non separato, ai figli e ai parenti entro il secondo grado di parentela.
Da questo punto di vista quindi l'ambito di applicazione della legge è
esteso ai figli non conviventi, ai fratelli e ai genitori del titolare
dell'incarico pubblico.
La
legge n. 441/1982 è modificata dallo schema di decreto solo nei termini
sopra esposti: ne consegue che, di essa rimangono applicabili le
disposizioni che prevedono la pubblicazione della descritta
documentazione nei bollettini di settore.
Oltre
alle modifiche alla legge n. 441/1982 lo schema di decreto reca
un'importante previsione normativa: stabilisce cioè, come anticipato
sopra, la pubblicazione delle dichiarazioni e delle attestazioni di cui
agli articoli 2, 3 e 4 della ripetuta legge n. 441/1982, "limitatamente
al soggetto, al coniuge non separato e ai parenti entro il secondo
grado, ove gli stessi vi consentano".
Sotto
questo profilo, poiché restano applicabili le disposizioni della legge
n. 441/1982 che prevedono la pubblicazione delle dichiarazioni sui
bollettini, il quid novi della norma è rappresentato dalla pubblicazione
sui siti istituzionali delle stesse informazioni diffuse mediante il
bollettino.
Tutto
ciò premesso, l'Autorità osserva che la disciplina complessiva
introdotta in materia dallo schema di decreto appare sproporzionata
rispetto alle finalità di trasparenza che lo stesso provvedimento
normativo intende perseguire.
Si
consideri, infatti, l'invasività della pubblicazione mediante
diffusione sul web, rispetto, peraltro, a una massa enorme di
informazioni che in alcuni casi possono rivelare aspetti, anche intimi,
della vita privata delle persone, soprattutto se ci si riferisce al
coniuge, ai figli e ai parenti, che sono estranei all'incarico pubblico
(si pensi ai possibili risvolti sociali di una lettura mirata, se non
tendenziosa, del reddito e della consistenza patrimoniale dei soggetti,
specie in ambiti territoriali ristretti, e ai connessi rischi di
discriminazione sociale).
Per
quanto riguarda i soggetti "terzi" rispetto all'incarico pubblico, è
necessario circoscrivere il contenuto delle dichiarazioni sulla
situazione patrimoniale ed assicurare che il consenso alla pubblicazione
dei dati sia un consenso effettivamente libero e reso in assenza di
condizionamenti. Infatti, poiché si prevede che venga data "evidenza al
mancato consenso" alla pubblicazione delle dichiarazioni, vi è il
rischio concreto che, in sede di applicazione, la norma non persegua,
di fatto, la finalità di trasparenza cui tende, ma esponga, di converso,
tali soggetti a pericolose stigmatizzazioni ove non esprimano il
consenso alla pubblicazione. In tal senso si ritiene doveroso
sopprimere la disposizione in base alla quale deve essere data evidenza
al mancato consenso, peraltro non prevista dall'articolo 1, comma 35,
lett. c), della legge n. 190/2012.
In
ragione delle considerazioni sopra esposte, l'Autorità, per assicurare
un equo bilanciamento fra i valori costituzionali in gioco e il rispetto
della normativa comunitaria in materia di protezione dei dati
personali, richiama l'attenzione del Governo sull'opportunità di una
riflessione generale sull'impianto della disciplina in esame, auspicando
modifiche allo schema di decreto che introducano, selettivamente, una
graduazione degli obblighi di pubblicazione, sia sotto il profilo della
platea dei soggetti coinvolti, che del contenuto degli atti da
pubblicare.
Ciò,
peraltro, a fronte di un criterio di delega (art. 1, comma 35, lett.
c)) che, per un verso, non sembra consentire interventi
significativamente modificativi della disciplina ("precisazione" degli
obblighi di pubblicità; rinvio alle norme che già prevedono obblighi di
pubblicità, oggetto di sola ricognizione e coordinamento; riferimento
alla situazione patrimoniale complessiva del titolare dell'incarico),
ma, per altro verso, appare già ampiamente "rispettato" dal legislatore
delegato con l'ampliamento della platea dei soggetti pubblici cui si
devono riferire gli obblighi di trasparenza.
In
particolare, per quanto riguarda i titolari degli incarichi, potrebbero
essere previste differenziazioni fra organi locali e nazionali oppure,
per quanto riguarda le autonomie, fra le cariche elettive e i livelli di
governo (consiglieri e assessori).
Inoltre,
della dichiarazione dei redditi siano pubblicate sul web, al massimo,
le sole "notizie risultanti dal quadro riepilogativo della dichiarazione
dei redditi", come stabilito dall'articolo 9 della predetta l. n.
441/1982, non abrogato dallo schema di decreto. La previsione è dettata
al fine di evitare la diffusione di dati, anche sensibili - contenuti
nelle dichiarazioni dei redditi - non strettamente pertinenti rispetto
alle finalità della legge (come, ad esempio, talune detrazioni fiscali
o, probabilmente, anche la scelta del contribuente circa la destinazione
del "5 per mille").
Infine
la disciplina sanzionatoria prevista all'articolo 47, comma 1, deve
essere meglio coordinata con quanto previsto dall'articolo 14 e dalla
legge n. 441/1982, in quanto non è chiaro a quale "comunicazione" si
faccia riferimento.
9. La pubblicazione di dati relativi al personale delle pubbliche amministrazioni.
Particolare
attenzione meritano le disposizioni dello schema che prevedono la
pubblicazione di dati riferiti ai dirigenti e agli altri dipendenti
pubblici, che investono delicati profili anche "lavoristici", tenuto
conto che lo schema di decreto legislativo (ed invero già la legge di
delega) focalizza il proprio "raggio d'azione" scorrendo dalla
trasparenza dell'amministrazione e dell'attività amministrativa –
strumentale al buon andamento della medesima – alla trasparenza
dell'attività dei singoli che, a vario titolo, nell'interesse della
stessa operano o che dall'amministrazione percepiscono (a vario titolo)
emolumenti.
Al
riguardo, non risulta che nei lavori preparatori dell'odierno decreto
sia stata effettuata una adeguata valutazione di impatto sui diritti
fondamentali (in particolare il diritto alla protezione dei dati
personali), sulla dignità e riservatezza dell'ampia platea dei soggetti
interessati dal regime di pubblicità (indicati in particolare agli
articoli 15, 16, 18 e 22, commi 4 e 5).
Con
specifico riferimento ai profili di conformità al diritto alla
protezione dei dati personali della pubblicazione di informazioni
relative agli emolumenti o salari percepiti da quanti operano nelle
pubbliche amministrazioni, la materia ha altresì formato oggetto di
vaglio della Corte di giustizia delle Comunità europee (CGCE) (C-465/00,
C-138/01 e C-139/01 riunite; C-92/09 e 93/09, riunite), che ha
enunciato – fra gli altri – il principio generale secondo cui "le
istituzioni, prima di divulgare informazioni riguardanti una persona
fisica, devono soppesare l'interesse dell'Unione a garantire la
trasparenza delle proprie azioni con la lesione dei diritti riconosciuti
dagli artt. 7 e 8 della Carta", non potendosi postulare "alcuna
automatica prevalenza dell'obiettivo di trasparenza sul diritto alla
protezione dei dati personali, anche qualora siano coinvolti rilevanti
interessi economici.".
L'attività
di ponderazione che la Corte di giustizia ha richiesto nei casi
sottoposti alla sua valutazione, non risulta essere stata effettuata con
riguardo alle previsioni contenute nello schema di decreto legislativo.
Sotto
altro profilo, è importante sottolineare che, alla luce di una indagine
ricognitiva della normativa in materia vigente negli altri Paesi
europei (e non solo), la situazione italiana (prefigurata in relazione
al livello di trasparenza dei pubblici dipendenti risultante
dall'applicazione della disciplina in esame) risulterebbe quasi unica,
anche prendendo a termine di paragone il modello del Freedom of
Information Act statunitense (richiamato nella relazione di
accompagnamento allo schema di decreto, p. 3), atteso che lo stesso
assicura un ampio regime di accessibilità ai dati (anche personali e,
specificamente, alle informazioni relative ai compensi versati ai civil
servants), ma non la loro pubblicazione on line con le modalità previste
dallo schema di decreto.
In
conclusione, l'Autorità ritiene che la disciplina complessiva
introdotta in questo specifico settore sia sproporzionata rispetto alle
finalità di trasparenza che lo stesso provvedimento normativo intende
perseguire, attesa anche l'invasività della pubblicazione dei dati
mediante diffusione sul web.
In
ragione delle considerazioni sopra esposte, il Garante, per assicurare
il rispetto della normativa comunitaria in materia di protezione dei
dati personali, richiama l'attenzione del Governo sull'opportunità di
una riflessione generale sull'impianto della disciplina in esame,
auspicando modifiche allo schema di decreto che, da un lato,
circoscrivano la pubblicazione obbligatoria a un novero più ristretto di
informazioni personali, strettamente pertinenti, che consentano
comunque un controllo diffuso sull'attività della pubblica
amministrazione per assicurarne il buon andamento e, dall'altro,
individuino modalità di diffusione dei dati meno invasive della sfera
personale.
10. Obblighi di pubblicazione concernenti atti e provvedimenti amministrativi
Gli
articoli 23, 26 e 27 disciplinano la pubblicazione di atti e
provvedimenti amministrativi (la pubblicazione di "procedimenti"
amministrativi resta disciplinata, invece, nei commi 15 e 16
dell'articolo 1 della legge n. 190 del 2012, cd. legge anticorruzione,
non abrogati dall'odierno schema).
In
particolare, l'articolo 23 prevede la pubblicazione degli "elenchi dei
provvedimenti adottati" e in particolare di quelli di natura
autorizzatoria, concessoria, relativi a concorsi, ovvero anche
concernenti sovvenzioni, contributi, sussidi e altri vantaggi economici.
La disciplina più specifica di questi ultimi è demandata agli articoli
26 e 27.
Di
ogni provvedimento contenuto nell'elenco devono essere pubblicati il
contenuto, l'oggetto e gli estremi relativi ai principali documenti
contenuti nel fascicolo: la pubblicazione deve avvenire nella forma di
una "scheda sintetica" (art. 23, comma 2). La norma non chiarisce con
quale livello di dettaglio debbano essere riportate le informazioni, né
se in tale scheda possano confluire anche dati personali, o comunque
identificativi del destinatario del provvedimento, che in alcuni casi
potrebbe essere il beneficiario di un sussidio a altro vantaggio
economico particolarmente delicato.
L'articolo
26, a sua volta, riproduce in parte l'articolo 18 del decreto-legge 22
giugno 2012, n. 83, la cui applicazione è stata oggetto di numerosissimi
quesiti e segnalazioni pervenuti al Garante che lamentavano la
pubblicazione anche di dati sensibili o comunque lesivi della dignità
della persona. Per altro verso esso riproduce testualmente una
previsione già contenuta nell'articolo 1, comma 16 della stessa legge n.
190 del 2012 (non abrogato dallo schema di decreto) in base alla quale è
disposta la pubblicazione di "vantaggi economici di qualunque genere a
persone….".
Anche
alla luce del contesto normativo da cui proviene la norma (contrasto
della corruzione, in particolare per quanto riguarda le concessioni di
appalti o l'affidamento di lavori e forniture) essa non dovrebbe trovare
applicazione per ogni forma di sussidio, contributo o vantaggio
economico previsto per il cittadino, come ad esempio quelli nel campo
della solidarietà sociale (si pensi alla social card) i cui procedimenti
sono spesso idonei a rivelare lo stato di salute dei beneficiari del
contributo o comunque situazioni di particolare bisogno o disagio
sociale (in tal senso si pensi al riconoscimento di agevolazioni
economiche, nella fruizione di prestazioni sociali, collegate alla
situazione reddituale come l'esenzione dal contributo per la refezione
scolastica o l'esenzione dal pagamento del cd. ticket sanitario). Fermo
restando che deve essere comunque rispettato il divieto di pubblicare
dati idonei a rivelare lo stato di salute (art. 22, comma 8, del
Codice), l'eventuale diffusione sul web di altre informazioni sensibili o
comunque idonee ad esporre l'interessato a discriminazioni, presenta
rischi specifici per la dignità degli interessati, che spesso versano in
condizioni di disagio economico-sociale.
In
tale quadro, non sarebbe giustificato diffondere dati particolarmente
delicati, che non appaiono pertinenti rispetto alle finalità perseguite,
quali l'indirizzo di abitazione, il codice fiscale, le coordinate
bancarie dove sono accreditati i contributi, la ripartizione degli
assegnatari secondo le fasce dell'Indicatore della situazione economica
equivalente-ISEE ovvero informazioni che descrivano le condizioni di
indigenza in cui versa l'interessato.
Non
dovrebbero inoltre essere riportati, in particolare: i titoli
dell'erogazione dei benefici (es. attribuzione di borse di studio a
"soggetto portatore di handicap", o riconoscimento di buono sociale a
favore di "anziano non autosufficiente" o con l'indicazione, insieme al
dato anagrafico, delle specifiche patologie sofferte dal beneficiario); i
criteri di attribuzione (es. punteggi attribuiti con l'indicazione
degli "indici di autosufficienza nelle attività della vita quotidiana"
); nonché, la destinazione dei contributi erogati (es. contributo per
"ricovero in struttura sanitaria oncologica", o contributo per donne che
hanno subito violenze).»
L'individuazione
in dettaglio dei dati da escludere dalla pubblicazione potrebbe essere
demandata ad uno dei decreti del Presidente del Consiglio dei ministri
di cui all'articolo 48.
In
conclusione, in ossequio ai principi di necessità, pertinenza e
proporzionalità nel trattamento dei dati, si ritiene necessario
perfezionare lo schema al riguardo, escludendo espressamente
dall'obbligo di pubblicazione i dati identificativi dei destinatari di
provvedimenti riguardanti persone fisiche dai quali sia possibile
evincere informazioni relative allo stato di salute degli interessati,
ovvero lo stato economico-sociale disagiato degli stessi, nei termini
appena descritti.
11. Tutela giurisdizionale.
L'articolo
50 dello schema stabilisce che "le controversie relative agli obblighi
di trasparenza previsti dalla normativa vigente sono disciplinate dal
decreto legislativo 2 luglio 2010, n. 104" concernente la giurisdizione
amministrativa.
Com'è
noto, il diritto alla protezione dei dati personali trova la propria
tutela innanzi all'autorità giudiziaria ordinaria (art. 152 del Codice;
art. 10 d.lg. 1° settembre 2011, n. 150).
Poiché
le controversie cui si riferisce il presente articolo possono
riguardare il trattamento di dati personali, è evidente che per questa
parte esse sarebbero comunque sottoposte alla giurisdizione del giudice
ordinario. Il rinvio del presente schema all'osservanza delle
"disposizioni di protezione dei dati personali" (cfr. art. 1, comma 2
dello schema) non appare in questo caso sufficiente a salvaguardare con
certezza l'applicazione della descritta disciplina processuale del
diritto alla protezione dei dati personali, sicché si rende necessario
integrare l'articolo 50 con il seguente periodo: "Resta ferma la
giurisdizione dell'autorità giudiziaria ordinaria rispetto a
controversie che riguardano comunque l'applicazione delle disposizioni
del decreto legislativo 30 giugno 2003, n. 196."
12. Norme di attuazione e transitorie
12.1
Si valuti l'opportunità di prevedere espressamente che sia acquisito il
parere del Garante sugli schemi di dPCM che dovranno individuare
criteri, modelli e schemi standard per la codificazione e la
rappresentazione dei documenti e dei dati oggetto di pubblicazione (art.
48, comma 3).
12.2
L'articolo 49, comma 2, stabilisce che con dPCM siano determinate le
modalità di applicazione delle disposizioni del presente decreto alla
Presidenza del Consiglio dei ministri.
Al
di là delle specifiche ragioni che hanno condotto alla previsione di
tale regime particolare, si valuti l'opportunità di prevedere la
possibilità di specifiche modalità applicative delle disposizioni
dell'odierno decreto anche rispetto agli ordinamenti di altre
istituzioni o amministrazioni che presentino peculiarità o specificità
degne di essere salvaguardate, con particolare riferimento ai
trattamenti di dati sensibili o comunque idonei a rivelare lo stato
economico-sociale disagiato delle persone.
13. Modifiche formali.
Sotto
il profilo meramente formale, all'articolo 45, comma 4, si suggerisce
di sostituire le parole "soggetti titolari dei dati" con "soggetti
interessati".
IL GARANTE
esprime
parere favorevole sullo schema di decreto legislativo recante il
riordino della disciplina riguardante gli obblighi di pubblicità,
trasparenza e diffusione di informazioni da parte delle pubbliche
amministrazioni, con le seguenti condizioni:
a)
il preambolo sia integrato con il riferimento all'articolo 2 della
Costituzione e al Codice in materia di protezione dei dati personali di
cui al decreto legislativo 30 giugno 2003, n. 196 (punto 1.1);
b)
all'articolo 4, comma 1, si chiarisca se si intenda escludere del tutto
dall'ambito di applicazione del presente decreto i dati sensibili e
giudiziari o, in caso contrario, si precisi quali siano le modalità di
diffusione consentite per tali categorie di dati (punto 3); inoltre, al
medesimo comma 1, si precisi che la rintracciabilità dei dati è ammessa
solo con motori di ricerca interni ai siti istituzionali (punto 4.1);
c)
il comma 3 dell'articolo 4 sia sostituito dal seguente: "Le pubbliche
amministrazioni possono disporre la pubblicazione nel proprio sito
istituzionale di dati, informazioni e documenti che non hanno l'obbligo
di pubblicare ai sensi del presente decreto, procedendo alla
anonimizzazione dei dati personali eventualmente presenti, fermo
restando quanto previsto dall'articolo 19, comma 3 del decreto
legislativo 30 giugno 2003, n. 196." (punto 1.2);
d)
all'articolo 4, comma 4, si aggiunga il seguente periodo o altro di
analogo tenore: "Nei casi in cui norme di legge o di regolamento
prevedano la pubblicazione di atti o documenti, le pubbliche
amministrazioni provvedono a rendere comunque non intelligibili i dati
personali non pertinenti o, se sensibili o giudiziari, non
indispensabili rispetto alle specifiche finalità di trasparenza della
pubblicazione" (punto 2);
e)
sia previsto espressamente nello schema (ad esempio al comma 6
dell'articolo 4) il divieto assoluto di diffusione di dati idonei a
rivelare lo stato di salute e la vita sessuale degli individui (punto
3);
f)
all'articolo 4, comma 2, le parole da "integra" sino alla fine del
comma siano sostituite dalle seguenti: "è finalizzata alla realizzazione
della trasparenza pubblica, che integra una finalità di rilevante
interesse pubblico, nel rispetto della disciplina in materia di
protezione dei dati personali." (punto 5);
g)
all'articolo 5, comma 5, si chiarisca che oggetto del diritto di
accesso civico sono non già i documenti o dati qualificati come
"pubblici" ma quelli di cui sia prevista la pubblicazione obbligatoria
(punto 4.2);
h)
l'articolo 7 sia integrato con il seguente comma o con altro di analogo
tenore: "In caso di pubblicazione di dati personali, il loro utilizzo
in altre operazioni di trattamento è consentito solo in termini
compatibili con gli scopi per i quali sono stati raccolti e registrati,
ai sensi dell'articolo 11, comma 1, lett. b) del decreto legislativo 30
giugno 2003, n. 196 e comunque nel rispetto delle disposizioni del
medesimo decreto legislativo n. 196 del 2003." (punto 6);
i)
il comma 3 dell'articolo 8 sia rimodulato con l'indicazione di termini
differenziati in ragione delle categorie di dati e delle specifiche
finalità della pubblicazione, facendo salvi i diversi termini previsti
dalla normativa vigente e non solo quelli di cui agli articoli 14, comma
2, e 15, comma 4, dell'odierno schema di decreto (punto 7);
j)
all'articolo 9, comma 2, si preveda una disciplina più articolata al
riguardo, anche stabilendo un'accessibilità selettiva e mirata dei
documenti e dei dati dopo la scadenza del termine di pubblicazione, e
comunque sancendo la cancellazione dei dati personali, anche
relativamente ai dati indicati agli articoli 14, comma 2, e 15, comma 4
(punto 7);
k)
all'articolo 14 siano apportate modifiche che introducano,
selettivamente, una graduazione degli obblighi di pubblicazione, sia
sotto il profilo della platea dei soggetti coinvolti, che del contenuto
degli atti da pubblicare, nei termini di cui in motivazione, prevedendo
in ogni caso la soppressione della disposizione in base alla quale deve
essere data evidenza al mancato consenso, e che della dichiarazione dei
redditi siano pubblicate sul web, al massimo, le sole "notizie
risultanti dal quadro riepilogativo della dichiarazione dei redditi"
(punto 8);
l)
lo schema di decreto sia modificato circoscrivendo la pubblicazione
obbligatoria dei dati relativi a dipendenti pubblici a un novero più
ristretto di informazioni personali, strettamente pertinenti, e
individuando modalità di diffusione dei dati meno invasive della sfera
personale, nei termini di cui al punto 9;
m)
con riferimento agli articolo 23, 26 e 27 lo schema sia perfezionato
escludendo espressamente dall'obbligo di pubblicazione, nei termini di
cui in motivazione, i dati identificativi dei destinatari di
provvedimenti riguardanti persone fisiche dai quali sia possibile
evincere informazioni relative allo stato di salute degli interessati ,
ovvero lo stato economico-sociale disagiato degli stessi (punto 10);
n)
con riferimento all'articolo 48, comma 3, si preveda espressamente che
sia acquisito il parere del Garante sugli schemi di dPCM ivi indicati
(punto 12.1)
o)
si integri l'articolo 50 con il seguente periodo: "Resta ferma la
giurisdizione dell'autorità giudiziaria ordinaria rispetto a
controversie che riguardano comunque l'applicazione delle disposizioni
del decreto legislativo 30 giugno 2003, n. 196." (punto 11);
e con le seguenti osservazioni:
p)
l'articolo 4, comma 2, sia raccordato con gli articoli 65 ("diritti
politici e pubblicità dell'attività di organi") e 68 ("benefici
economici ed abilitazioni") del Codice nei termini ivi descritti (punto
5);
q) l'articolo 47, comma 1, sia coordinato con l'articolo 14 (punto 8);
r)
all'articolo 45, comma 4, valuti l'Amministrazione di sostituire le
parole "soggetti titolari dei dati" con "soggetti interessati" (punto
13);
s)
all'articolo 49, si valuti l'opportunità di prevedere la possibilità di
particolari modalità applicative delle disposizioni dell'odierno
decreto anche con riferimento a istituzioni o amministrazioni diverse
dalla Presidenza del Consiglio dei ministri i cui ordinamenti presentino
specifiche peculiarità, nei termini di cui in motivazione (punto 12.2).
Roma, 7 febbraio 2013
IL PRESIDENTE
Soro
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALEIannini
Busia