martedì 12 febbraio 2013

Trasparenza Pa: Garante privacy, servono piu' garanzie a tutela delle persone

Sì condizionato del Garante per la privacy allo schema di decreto legislativo del Ministro per la pubblica amministrazione e la semplificazione relativo agli obblighi di trasparenza della Pa. Nel dare il suo parere favorevole, il Garante ha infatti posto una serie di “paletti” chiedendo che alcune norme vengano modificate, introducendo maggiori garanzie a tutela delle persone


Trasparenza Pa: Garante privacy, servono piu' garanzie a tutela delle persone
Sì al controllo diffuso sull'attività della Pa, ma non a forme sproporzionate di diffusione dei dati
Sì condizionato del Garante per la privacy allo schema di decreto legislativo del Ministro per la pubblica amministrazione e la semplificazione relativo agli obblighi di trasparenza della Pa. Nel dare il suo parere favorevole [doc. web n. 2243168], il Garante ha infatti posto una serie di "paletti" chiedendo che alcune norme vengano modificate, introducendo maggiori garanzie a tutela delle persone. La necessità di realizzare un controllo diffuso sull'attività della Pubblica amministrazione non deve condurre a forme sproporzionate di diffusione di informazioni che possono finire per ledere i diritti dei cittadini, specialmente di quelli in condizioni più disagiate.
L'Authority condivide le ragioni sottese al provvedimento e l'obiettivo di garantire la trasparenza nell'attività della Pa, ma ritiene che un tale valore debba essere comunque bilanciato con un diritto di pari rango costituzionale come quello della riservatezza e della protezione dei dati che trova la sua matrice nella normativa europea.
Per questi motivi valuta con preoccupazione i possibili rischi che alcune disposizioni contenute nel provvedimento potrebbero determinare. Rischi ancora più forti se si tiene conto della particolare delicatezza  di alcune  informazioni che verrebbero messe on line e della loro facile reperibilità e riutilizzabilità incontrollata grazie ai motori di ricerca. Si pensi soltanto ai dati sensibili o in grado di rivelare condizioni di disagio economico e sociale di anziani, disabili o altri soggetti deboli che beneficiano di sussidi (es. social card), la cui diffusione potrebbe comportare irreversibili danni per la dignità degli interessati, anche considerate le difficoltà oggettive di cancellare tali informazioni una volta in rete.
Sono già numerosi, in questo senso, i casi sottoposti in questi ultimi anni all'Autorità.
Nell'esprimere il suo parere, l'Autorità ha anche tenuto conto di quanto previsto dalla normativa europea, di quanto stabilito dalla stessa Corte di Giustizia e del fatto che nella stragrande maggioranza dei Paesi europei non esistono forme di diffusione paragonabili a quelle che si intendono realizzare nel nostro.
Queste le richieste avanzate dal Garante.
Dati personali
Sui siti web della Pa non dovranno mai essere diffusi dati sulla salute e sulla vita sessuale.
Vanno esclusi dalla pubblicazione i dati identificativi dei destinatari dei provvedimenti dai quali si possano ricavare dati sullo stato di salute o di uno stato economico-sociale degli interessati: si pensi al riconoscimento di agevolazioni economiche, alla fruizione di prestazioni sociali collegate al reddito, come l'esenzione dal contributo per le refezione scolastica o dal ticket sanitario, i benefici per portatori di handicap, il riconoscimento di sussidi ad anziani non autosufficienti, i contributi erogati per la cura di particolari malattie o per le vittime di violenza sessuale.
Così come non appare giustificata la diffusione di dati non pertinenti rispetto alle finalità perseguite, quali ad esempio l'indirizzo di casa, il codice fiscale, le coordinate bancarie, la ripartizione degli assegnatari secondo le fasce ISEE, informazioni sulle condizioni di indigenza.
Più in generale, le pubbliche amministrazioni nel pubblicare atti o documenti dovranno rendere inintelligibili i dati personali non pertinenti o, se sensibili e giudiziari,  non indispensabili rispetto alle finalità di trasparenza che si intendono perseguire nel caso concreto. Potranno inoltre pubblicare sui propri siti web informazioni e documenti per i quali non vi è l'obbligo di pubblicazione, ma solo una volta che avranno reso anonimi i dati personali in essi contenuti.
Motori di ricerca
I documenti pubblicati dovranno essere rintracciabili solo mediante i motori di ricerca interna al sito del soggetto pubblico e non attraverso i comuni motori di ricerca generalisti, garantendo così la conoscibilità dei dati senza che essi vengano estrapolati dal contesto nei quali sono inseriti.
Durata della pubblicazione
Dovranno essere stabiliti periodi differenziati di permanenza on line dei documenti, e si dovrà prevedere una accessibilità selettiva una volta scaduto il termine di pubblicazione.
Dipendenti pubblici
Per quanto riguarda i dipendenti pubblici, lo schema di decreto legislativo dovrà essere modificato circoscrivendo la pubblicazione dei dati ad un ambito più ristretto di informazioni personali, strettamente pertinenti, sia riguardo ai curricula sia ai compensi corrisposti, individuando anche modalità di diffusione meno invasive di quelle previste.
Incarichi politici e cariche elettive
Per quanto riguarda gli obblighi di trasparenza relativi ai titolari di incarichi politici o di  carattere elettivo il Garante ha richiamato l'attenzione del Governo sull'opportunità di una riflessione generale sull'impianto della disciplina, richiedendo una graduazione degli obblighi di pubblicazione sia sotto il profilo della platea dei soggetti coinvolti che del contenuto degli atti da pubblicare.
In particolare, occorre circoscrivere il contenuto delle dichiarazioni dei redditi da pubblicare alle sole notizie risultanti dal quadro riepilogativo della dichiarazioni stesse, allo scopo di evitare la diffusione di dati anche sensibili (come la scelta del contribuente sulla destinazione del "5 per mille"). Lo stesso vale per soggetti estranei all'incarico pubblico, come coniugi, figli, parenti, ai quali è comunque necessario chiedere il consenso alla pubblicazione dei dati. Tale consenso dovrà essere libero e non condizionato e non dovranno comunque essere resi noti i nomi degli interessati che non intendessero fornirlo.
Roma, 8 febbraio 2013

Fonte: http://www.garanteprivacy.it

[doc web. n. 2243168]
Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa - 7 febbraio 2013
Registro dei provvedimenti
n. 49 del 7 febbraio 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere del Ministro per la pubblica amministrazione e la semplificazione;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
PREMESSO
Il Ministro per la pubblica amministrazione e la semplificazione ha richiesto il parere del Garante in ordine a uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.
L'odierno provvedimento è adottato ai sensi dell'articolo 1, commi 35 e 36 della legge 6 novembre 2012, n. 190, recante disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione.
In base a tali disposizioni il Governo è delegato ad adottare un  decreto volto al riordino della disciplina riguardante gli  obblighi  di  pubblicità, trasparenza e diffusione di informazioni da  parte  delle  pubbliche amministrazioni,  mediante  la  modifica   o  l'integrazione   delle disposizioni vigenti, ovvero mediante la previsione di nuove forme di pubblicità secondo, fra l'altro, i seguenti criteri direttivi:
a) ricognizione e coordinamento delle disposizioni che  prevedono obblighi di pubblicità a carico delle amministrazioni pubbliche;
b) precisazione degli obblighi di pubblicità di dati relativi ai titolari di incarichi politici, di carattere elettivo o  comunque  di esercizio di  poteri  di  indirizzo  politico,  di  livello  statale, regionale  e  locale.  Le  dichiarazioni  oggetto  di   pubblicazione obbligatoria devono  concernere  almeno  la situazione  patrimoniale  complessiva   del   titolare   al   momento dell'assunzione  della  carica,  la  titolarità  di   imprese,   le partecipazioni azionarie proprie, del coniuge e dei parenti entro  il secondo grado di parentela, nonché tutti i compensi cui dà diritto l'assunzione della carica;
c) il comma 3 dell'articolo 4 sia sostituito dal seguente: "Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto, procedendo alla anonimizzazione dei dati personali eventualmente presenti, fermo restando quanto previsto dall'articolo 19, comma 3 del decreto legislativo 30 giugno 2003, n. 196." (punto 1.2);
d)   ampliamento   delle   ipotesi   di   pubblicità,   mediante pubblicazione nei siti web istituzionali, di informazioni relative ai titolari degli incarichi dirigenziali nelle pubbliche amministrazioni di cui all'articolo 1, comma 2,  del  decreto  legislativo  n. 165 del 2001, con riferimento sia a quelli che comportano funzioni di amministrazione e gestione, sia agli incarichi di responsabilità degli uffici di diretta collaborazione;
e) definizione di categorie di informazioni che le amministrazioni devono pubblicare;
f) obbligo di  pubblicare  tutti  gli  atti,  i  documenti  e  le informazioni anche  in  formato  elettronico elaborabile e in formati di dati aperti. Per formati di  dati aperti si devono intendere almeno i dati resi disponibili e fruibili on line in formati non proprietari, a condizioni tali da permetterne il  più ampio riutilizzo anche a fini statistici e la  ridistribuzione  senza ulteriori  restrizioni  d'uso,  di  riuso  o  di  diffusione  diverse dall'obbligo di citare la fonte e di rispettarne l'integrità;
g) individuazione, anche mediante  integrazione  e  coordinamento della disciplina vigente, della durata e dei termini di aggiornamento per ciascuna pubblicazione obbligatoria;
h) individuazione, anche mediante revisione e integrazione  della disciplina vigente, delle responsabilità e  delle  sanzioni  per  il mancato,  ritardato  o  inesatto  adempimento   degli   obblighi   di pubblicazione.
Lo schema di decreto legislativo si compone di una parte meramente ricognitiva di norme già vigenti che prevedono obblighi di pubblicazione, per la pubblica amministrazione, di atti, documenti, dati e informazioni.
Diverse sono poi le disposizioni innovative, volte a coordinare nel testo unico all'esame quelle già esistenti e a stabilire principi e regole utili ad assicurare piena attuazione al principio della trasparenza.
L'esame del Garante verterà principalmente (ma non solo) su queste ultime, e in particolare su quelle applicabili a "dati personali", al fine di valutarne la compatibilità con la disciplina anche comunitaria in materia di protezione dei dati personali.
RILEVATO
Il tema della trasparenza (o comunque della diffusione di informazioni) riveste grande importanza per il Garante e per le Autorità di garanzia sulla protezione dei dati personali degli altri Paesi europei, in particolare per quanto riguarda il contemperamento di tale principio con la disciplina in materia di protezione dei dati personali (direttiva del Parlamento europeo e del Consiglio 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali) come interpretata ed applicata dalla giurisprudenza della Corte di giustizia dell'Unione europea (cfr., in particolare, Corte di Giustizia 9 novembre 2010, cause riunite C-92/09 e C-93/09).
L'odierno decreto legislativo si pone quale completamento di un percorso normativo del Parlamento e del Governo in relazione al quale l'Autorità non sempre è stata messa in condizione di esprimere agevolmente le proprie valutazioni a garanzia del diritto alla protezione dei dati personali, come invece nel caso del presente schema di decreto. L'espressione dell'odierno parere è, quindi, un'occasione preziosa per il Garante per valutare la conformità dell'intervento normativo alla disciplina comunitaria e nazionale in materia di protezione dei dati personali e per contribuire in maniera sistematica al bilanciamento di valori costituzionali così importanti, come la trasparenza, la riservatezza degli individui e la protezione dei loro dati personali.
Ciò, peraltro, assume particolare importanza alla luce dell'ambito di applicazione del decreto legislativo, che disciplina in maniera organica i casi di  pubblicazione di dati mediante inserzione sui siti istituzionali, cioè, in definitiva, mediante diffusione sul web, che è, per definizione, la forma più ampia e più invasiva di diffusione di dati.
I rischi connessi al trattamento dei dati personali sulla rete emergono ancora di più ove si consideri la delicatezza di talune informazioni e la loro facile reperibilità una volta pubblicate, grazie anche ai motori di ricerca.
Sotto il primo profilo, si pensi ai dati idonei a rivelare condizioni di disagio economico-sociale di anziani, disabili, o altri soggetti deboli, la cui diffusione potrebbe comportare irreversibili  danni  per la dignità degli interessati. Sotto l'altro aspetto, si consideri anche il rischio di "cristallizzazione" delle informazioni sul web, a fronte di oggettive difficoltà pratiche (oltre che giuridiche, a volte) nell'ottenere la loro cancellazione una volta decorso il termine di pubblicazione e, soprattutto, laddove un termine non sia fissato o comunque i dati non siano cancellati dopo il raggiungimento dello scopo perseguito, in violazione del cd. "diritto all'oblio".
Di tutti questi rischi si terrà conto nella disamina dell'articolato, in relazione al quale il Garante svolge le osservazioni di seguito riportate.
RITENUTO
PARTE  I – PRINCIPI GENERALI
1.  La trasparenza e la pubblicazione di dati personali.
1.1. Le norme del decreto individuano, ai sensi dell'articolo 117, secondo comma, lettera m), della Costituzione, il livello essenziale delle prestazioni erogate dalle amministrazioni pubbliche a fini di trasparenza, prevenzione, contrasto della corruzione e della cattiva amministrazione.
Nel preambolo del provvedimento, inoltre, la trasparenza è correlata al principio di uguaglianza sostanziale di cui all'articolo 3, comma secondo, della Costituzione ed al principio di buon andamento dell'azione amministrativa. Viceversa, non sono richiamati né la disciplina in materia di protezione dei dati personali, né i principi costituzionali dei quali la stessa costituisce attuazione, che rappresentano, invece, i ‘limiti esterni' alla trasparenza e che con essa devono essere necessariamente  bilanciati.
Si ritiene, pertanto, necessario che il preambolo sia integrato con il riferimento ai parametri costituzionali di cui all'articolo 2 della Costituzione, essendo l'articolo 117 già richiamato nel suo complesso e dunque anche con riferimento all'articolo 8 della Carta dei diritti fondamentali dell'Unione europea come richiamato dall'articolo 6 del Trattato di Lisbona, nonché al Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 (di seguito "Codice").
1.2. Lo schema di decreto individua gli "obblighi di trasparenza" posti a carico delle "pubbliche amministrazioni" come definite dall'articolo 11. Inoltre esso definisce la "pubblicazione" come la "pubblicazione ……..nei siti istituzionali delle pubbliche amministrazioni dei documenti, delle informazioni e dei dati" (art. 2).
Lo schema sembra prevedere due forme di pubblicazione: quella obbligatoria, in quanto stabilita dalla "normativa vigente", come prevede espressamente l'articolo 3,  e quella non obbligatoria (art. 4, comma 3). I documenti, le informazioni e i dati personali oggetto di pubblicazione obbligatoria sono definiti dallo schema "pubblici", così che tutti hanno il diritto di conoscerli, di utilizzarli e riutilizzarli ai sensi dell'articolo 7.
In generale, la pubblicazione di atti o documenti o di specifiche informazioni o dati, anche personali, prevista da norme di legge o di regolamento (cioè "dalla normativa vigente" come prevede lo schema) è coerente con la disciplina comunitaria in materia di protezione dei dati personali (art. 7, primo paragrafo, lett. c), dir. 95/46/CE; artt. 19, comma 3, 20, 21 e 22 del Codice), fermo restando il rispetto degli altri principi in materia (sui quali si tornerà più avanti).
Non sarebbe, di converso, in linea con i medesimi principi rimettere la scelta in ordine alla pubblicazione di dati e documenti alla mera discrezionalità amministrativa delle singole pubbliche amministrazioni, con il rischio, peraltro - in assenza di una specifica norma (di legge o di regolamento) che autorizzi la diffusione dei dati - di decisioni differenziate da parte delle pubbliche amministrazioni, a fronte della necessità di garantire il diritto alla protezione dei dati personali in maniera omogenea su tutto il territorio nazionale.
Al riguardo, lo stesso articolo 4, comma 3, prevede che la pubblicazione di informazioni che le pubbliche amministrazioni non hanno l'obbligo di pubblicare avvenga "anche ricorrendo a forme di anonimizzazione in presenza di dati personali". La formulazione della norma suscita tuttavia perplessità in quanto sembra costituire un'autorizzazione permanente alla diffusione da parte di un soggetto pubblico di dati personali anche in assenza della previsione legislativa o regolamentare di cui all'articolo 19, comma 3, del Codice. Pertanto, la norma in questione deve essere modificata prevedendo la salvaguardia della predetta disposizione e prescrivendo come necessaria, e non meramente facoltativa, l'anonimizzazione in presenza di dati personali.
Il comma 3 dell'articolo 4 potrebbe, pertanto, essere sostituito dal seguente: "Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto, procedendo alla anonimizzazione dei dati personali eventualmente presenti, fermo restando quanto previsto dall'articolo 19, comma 3, del decreto legislativo 30 giugno 2003, n. 196.".
2. Il principio di pertinenza e di indispensabilità dei dati.
Il diritto alla protezione dei dati personali trova il suo pieno ed effettivo riconoscimento solo se sono rispettati tutti i principi e le regole alla base delle garanzie previste dalla normativa comunitaria e dal Codice a tutela dell'individuo, della sua riservatezza e della sua dignità. Fra questi assumono particolare importanza il principio di necessità, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l'utilizzazione di dati personali (art. 3 del Codice), il principio di pertinenza e non eccedenza dei dati personali  e quello di indispensabilità del trattamento di dati sensibili e giudiziari, tutti di derivazione comunitaria  (artt. 3, 11, comma 1, lett. d), e 22, comma 3, del Codice; art. 6 direttiva 96/45/CE). Tali principi devono trovare applicazione anche in presenza di norme di legge e di regolamento che impongano la pubblicazione di atti o documenti. In tal caso, deve essere rimessa alla cura dell'amministrazione la selezione, all'interno dell'atto o documento in via di pubblicazione, dei dati personali da oscurare o comunque da espungere.
Come ha ricordato il Garante nelle Linee guida citate, prima di intraprendere un'attività che comporta una diffusione di dati personali, l'ente pubblico deve valutare se la finalità di trasparenza e di comunicazione può essere perseguita senza divulgare tali dati, oppure rendendo pubblici atti e documenti senza indicare dati identificativi adottando modalità che permettano di identificare gli interessati solo quando è necessario. Ad esempio, nel caso degli enti locali, la circostanza secondo la quale tutte le deliberazioni sono pubblicate deve indurre l'amministrazione comunale a valutare con estrema attenzione le stesse tecniche di redazione delle deliberazioni e dei loro allegati. Ciò, soprattutto quando vengano in considerazione informazioni sensibili (si pensi ad esempio agli atti adottati nel quadro dell'attività di assistenza e beneficenza, che comportano spesso la valutazione di circostanze e requisiti personali che attengono a situazioni di particolare disagio). In proposito, può risultare utile menzionare tali dati solo negli atti a disposizione negli uffici (richiamati quale presupposto della deliberazione e consultabili solo da interessati e controinteressati), come pure menzionare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici.
Lo schema di decreto sembra tener conto di tali esigenze (art. 4, comma 4), ma con una formulazione che lascia qualche dubbio interpretativo circa la obbligatorietà della selezione preventiva dei dati personali da sottrarre alla pubblicazione. Si ritiene necessario, pertanto, integrare il medesimo articolo 4 con una disposizione che richiami l'applicazione doverosa dei predetti principi nei termini appena descritti.
Tale osservazione potrebbe essere recepita aggiungendo al comma 4, il seguente periodo o altro di analogo tenore: "Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a  rendere comunque non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.".
Applicazione concreta dei principi di pertinenza e di indispensabilità si rinviene – fra l'altro – nel successivo paragrafo 10.
3.  Dati sensibili e giudiziari. Dati idonei a rivelare lo stato di salute.
Com'è noto le categorie dei dati sensibili e giudiziari sono assoggettate ad una disciplina di maggior rigore e con più ampie garanzie a tutela dei diritti dell'interessato.
Opportunamente quindi lo schema di decreto prevede una differenziazione delle modalità di diffusione dei dati (art. 4, comma 1). La disposizione però deve essere perfezionata, chiarendo, innanzitutto, se si intenda escludere del tutto dall'ambito di applicazione del presente decreto e quindi dalla diffusione (rectius dalla "pubblicazione", come definita all'articolo 2) i dati sensibili e giudiziari o, in caso contrario, precisando quali siano le modalità di diffusione consentite per tali categorie di dati.
Quanto ai dati idonei a rivelare lo stato di salute, si rammenta che per previsione normativa nazionale, di derivazione comunitaria, quale presidio della riservatezza e dignità della persona, è previsto il divieto assoluto di diffusione (quindi di pubblicazione con mezzi che ne consentano una fruizione generalizzata) di dati idonei a rivelare lo stato di salute degli individui (art. 22, comma 8, del Codice; art. 8 dir. 95/46/CE).
In tal senso è opportuno che lo schema di decreto sia integrato prevedendo espressamente che la pubblicazione di dati personali non può riguardare dati idonei a rivelare lo stato di salute delle persone, nonché – dato il particolare contesto normativo – quelli idonei a rivelare la vita sessuale degli individui (la previsione potrebbe essere inserita, ad esempio, nel comma 6 dell'articolo 4, concernente appunto i limiti alla diffusione delle informazioni). Ciò, sul presupposto che le due categorie di dati appena descritte sono assoggettate dalla normativa vigente ad eguali garanzie, particolarmente elevate, in particolare rispetto all'applicazione della normativa sul diritto di accesso a dati e documenti ai sensi della legge n. 241 del 1990 (artt. 59 e 60 del Codice).
4. La conoscibilità dei dati "pubblici".
4.1. Motori di ricerca e indicizzazione
L'articolo 4, comma 1, stabilisce che la pubblicazione dei dati personali avvenga attraverso i siti istituzionali e secondo modalità che ne consentano l'indicizzazione e la rintracciabilità mediante motori di ricerca.
Al riguardo, l'Autorità richiama l'attenzione del Governo sulla opportunità di rendere rintracciabili i dati oggetto di pubblicazione solo con motori di ricerca interni ai siti, posto che un obbligo indifferenziato e ampio, come quello previsto dalla norma, appare contrario al principio di proporzionalità nel trattamento dei dati personali rispetto alle specifiche finalità di trasparenza di volta in volta perseguite (art. 11, comma 1, lett. b) del Codice), e incide negativamente sull'esigenza di avere dati esatti, aggiornati e contestualizzati.
In proposito si rammenta che nelle Linee guida citate il Garante ha ritenuto preferibile le funzionalità di ricerca interne ai siti in quanto assicurano accessi maggiormente selettivi e coerenti con le finalità di volta in volta sottese alla pubblicazione, garantendo nel contempo la conoscibilità sui siti istituzionali delle informazioni che si intende mettere a disposizione del pubblico.
4.2. Pubblicità dei dati ed accesso civico.
Correlata alla configurazione della trasparenza quale strumento per il controllo diffuso sull'esercizio delle pubbliche funzioni è la espressa previsione (art. 3) del diritto di ciascuno "alla conoscibilità", ovvero del diritto a conoscere, utilizzare e riutilizzare (alle condizioni descritte) i dati, i documenti e le informazioni "pubblici" in quanto oggetto "di pubblicazione obbligatoria".
Rispetto a dati  e documenti pubblici l'articolo 5 riconosce a ciascuno il diritto di "accesso civico", così introducendo, tra l'altro, un istituto non previsto dalla legge delega. Si tratta, in particolare, di un istituto diverso ed ulteriore rispetto al diritto di accesso ad atti e documenti amministrativi disciplinato dalla legge n. 241 del 1990. Diversamente da quest'ultimo, infatti, non presuppone un interesse qualificato in capo al soggetto e si estrinseca nel chiedere e ottenere che le pubbliche amministrazioni pubblichino gli atti, i documenti e le informazioni (appunto a pubblicazione obbligatoria) da queste detenute ma che, per qualsiasi motivo, non abbiano provveduto a rendere pubbliche sui propri siti istituzionali.
Pubblici ai fini in esame, e dunque soggetti a libero accesso da parte di ciascuno sono pertanto non già dati e documenti qualificati espressamente come pubblici dalla normativa vigente, ma solo quelli per i quali si prescrive la pubblicazione obbligatoria. Proprio per questo, però, all'articolo 5, comma 5, oggetto del diritto di accesso civico dovrebbero essere non già i documenti o dati qualificati come "pubblici" ma quelli di cui sia invece prevista la pubblicazione obbligatoria.
5. Finalità di rilevante interesse pubblico.
L'articolo 4, comma 2, sembra voler individuare nella trasparenza una nuova "finalità di rilevante interesse pubblico" legittimante il trattamento di dati sensibili o giudiziari, ai sensi della normativa in materia di protezione dei dati personali (artt. 20 e 59 del Codice).
Al riguardo, si suggerisce di perfezionare la disposizione chiarendo che la finalità di rilevante interesse pubblico è la "realizzazione della trasparenza pubblica" (cui faceva riferimento una precedente versione dello schema di decreto) e non la pubblicazione nei siti istituzionali dei dati relativi agli  interessati (questa è l'attività consentita, unitamente al relativo trattamento dei dati). Tale osservazione potrebbe essere recepita sostituendo le parole da "integra" sino alla fine del comma con le seguenti: "è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico, nel rispetto della disciplina in materia di protezione dei dati personali.".
Inoltre è necessario che la disposizione sia raccordata con gli articoli 65 ("diritti politici e pubblicità dell'attività di organi") e 68 ("benefici economici ed abilitazioni") del Codice che già prevedono vari trattamenti legittimamente effettuabili per finalità di rilevante interesse pubblico in materie affini a quella oggetto del presente decreto, ricorrendo alla salvaguardia di tali norme (ad es.: "Fatto salvo quanto previsto da…..").
Al riguardo si richiama l'attenzione della Presidenza del Consiglio dei ministri sul fatto che, sul piano applicativo, le singole amministrazioni saranno tenute a valutare la necessità di individuare, con regolamento, i tipi di dati sensibili e giudiziari e di operazioni eseguibili per il trattamento dei dati effettuati per la suesposta finalità di rilevante interesse pubblico, ai sensi dell'articolo 20, comma 2, del Codice.
6. Riutilizzo dei dati.
Profili di criticità emergono anche in relazione all'articolo 7, secondo il quale i dati resi pubblici in conformità al regolamento "sono liberamente riutilizzabili secondo la normativa vigente, senza ulteriori restrizioni diverse dall'obbligo di citare la fonte e di rispettarne l'integrità". Tale previsione pare porsi in contrasto con il principio di finalità, anch'esso di matrice europea, in base al quale i dati personali, legittimamente raccolti, possono essere utilizzati in altre operazioni del trattamento solo "in termini compatibili" con gli scopi per i quali sono stati raccolti e registrati (art. 11, comma 1, lett. b), del Codice; art. 6 direttiva 95/46/CE).
La materia del riutilizzo dei documenti nel settore pubblico è disciplinata, com'è noto, dalla direttiva 2003/98/CE e dal decreto legislativo 24 gennaio 2006, n. 36, che prevede limiti e condizioni al riutilizzo dei documenti e fa salva espressamente la disciplina sulla protezione dei dati personali, obbligando gli Stati membri a non pregiudicare "in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto comunitario e nazionale e non modifica, in particolare, i diritti e gli obblighi previsti" dalla disciplina di protezione dei dati personali (cfr. considerando 21 e art. 1, comma 4, dir.; art. 4, comma 1, d.lg. n. 36/2006).
Al predetto decreto legislativo n. 36/2006 fa riferimento anche l'articolo 52 del CAD, il quale stabilisce, più in generale, che il riutilizzo dei dati e dei documenti delle pubbliche amministrazioni deve avvenire nel rispetto della normativa vigente. Infine al medesimo decreto legislativo n. 36/2006 rinvia anche l'articolo 68, comma 3, del CAD, a proposito dei dati di tipo aperto.
In tale quadro, mentre la definizione di "riutilizzo" contenuta nel decreto legislativo n. 36/2006 consente l'uso del documento e del dato a fini diversi dallo scopo iniziale per il quale il documento è stato prodotto nell'ambito dei fini istituzionali, ai sensi del Codice, in base al principio di finalità, i dati personali  possono essere riutilizzati solo in termini di compatibilità con gli scopi originari.
La preoccupazione che tale principio finalistico non sia tenuto nella dovuta considerazione dall'odierno decreto è avvalorata dalla Relazione illustrativa nella quale si specifica che "la trasparenza consente […] di attivare anche un'economia legata a dati pubblicati in formato aperto e rielaborabili. Le aziende e i privati potranno, infatti, utilizzare i dati pubblici per realizzare servizi a valore aggiunto e per migliorare la qualità della vita dei cittadini".
In proposito, è opportuno richiamare il parere del Garante europeo della protezione dei dati sul «pacchetto dati aperti» della Commissione europea, costituito da una proposta di direttiva che modifica la predetta direttiva 2003/98/CE, da una comunicazione sui dati aperti e dalla decisione 2011/833/UE della Commissione relativa al riutilizzo dei documenti della Commissione che, nelle proprie conclusioni, pur evidenziando i notevoli benefici che il riutilizzo delle informazioni del settore pubblico contenenti dati personali può arrecare, richiama l'attenzione sui rischi considerevoli che esso può comportare per la protezione dei dati personali. Alla luce di tali rischi, il GEPD "raccomanda che la proposta definisca più chiaramente in quali situazioni e fatte salve quali salvaguardie le informazioni contenenti dati personali possono dovere essere messe a disposizione per il riutilizzo. In particolare, la proposta deve:
- definire più chiaramente il campo di applicabilità della direttiva PSI ai dati personali (sezione 3.1),
- prevedere che venga svolta una valutazione dall'ente pubblico interessato prima che qualsivoglia informazione del settore pubblico contenente dati personali sia messa a disposizione per il riutilizzo (sezione 3.1),
- ove opportuno, imporre che i dati siano resi completamente o parzialmente anonimi e che le condizioni di concessione delle licenze vietino espressamente la reidentificazione delle persone e il riutilizzo di dati personali per scopi che potrebbero riguardare individualmente gli interessati (sezioni 3.2 e 3.3),
- disporre che i termini della licenza per il riutilizzo dell'informazione del settore pubblico contengano una clausola di protezione dei dati ogniqualvolta si trattino dati personali (sezione 3.3),
- ove necessario, considerando i rischi per la protezione dei dati personali, imporre a chi chiede il riutilizzo di dimostrare (attraverso una valutazione d'impatto sulla protezione dei dati o mediante altre modalità) che eventuali rischi per la protezione dei dati personali vengano adeguatamente presi in considerazione e che chi chiede il riutilizzo tratterà i dati in conformità della legislazione applicabile in materia di protezione dei dati (sezione 3.3),
- chiarire che il riutilizzo può essere subordinato allo scopo per cui viene effettuato, in deroga alla regola generale che autorizza il riutilizzo per fini commerciali e non commerciali (sezione 3.3)".
In conclusione, il mero rinvio presente nello schema all'osservanza delle "disposizioni di protezione dei dati personali" (cfr. art. 1, comma 2 dello schema) non appare sufficiente a garantire il rispetto del principio di finalità, dovendo la disciplina che si intende introdurre essa stessa incorporare i principi di protezione dei dati personali contenuti nella direttiva 95/46 nonché nella direttiva 2003/98.
Si ritiene necessario, pertanto, integrare l'articolo 7 con il seguente comma o con altro di analogo tenore: "In caso di pubblicazione di dati personali, il loro utilizzo in altre operazioni di trattamento è consentito solo in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, ai sensi dell'articolo 11, comma 1, lett. b) del decreto legislativo 30 giugno 2003, n. 196, e comunque nel rispetto delle disposizioni del medesimo decreto legislativo n. 196 del 2003.".
7. Durata della pubblicazione e accesso alle informazioni pubblicate nei siti
L'articolo  8, comma 3, stabilisce in 5 anni, per tutti i dati e i documenti, il periodo di pubblicazione obbligatoria, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorre l'obbligo di pubblicazione; inoltre, prevede che i dati e documenti restino comunque pubblicati "fino a che gli atti non producono i loro effetti". La previsione di un unico termine generalizzato per tutti i dati non rispetta il principio di proporzionalità nella conservazione dei dati personali rispetto alle finalità perseguite (art. 11, comma 1, lett. e) del Codice). Né al riguardo può valere la salvaguardia –che la norma contiene- dei "diversi termini previsti dalla normativa in materia di trattamento dei dati personali", poiché il Codice non contiene tali termini, ma solo il principio di conservazione dei dati  per un periodo di tempo proporzionato, appunto, cioè non superiore a quello necessario agli specifici scopi per i quali sono stati raccolti.
Si rimette quindi al Governo la valutazione circa una rimodulazione della norma con l'indicazione di termini differenziati, in ragione delle categorie di dati e delle specifiche finalità della pubblicazione (cfr. criterio di delega sub. lettera g)).
Inoltre, tale disposizione confligge con i diversi termini temporali previsti da altre norme di settore (es. art. 124 d.lg. n.127/2000 per gli enti locali). E' opportuno quindi che siano fatti salvi i diversi termini previsti dalla normativa vigente e non solo quelli di cui agli articoli 14, comma 2, e 15, comma 4, dell'odierno schema di decreto (come prevede ora la norma).
E' importante, infine, che lo schema di decreto chiarisca, anche a beneficio dei soggetti pubblici interessati all'applicazione del decreto, quali adempimenti devono mettere in opera le amministrazioni alla scadenza del termine. Dal tenore dell'articolo 9, comma 2, sembra evincersi che alla scadenza del termine i dati e documenti debbano essere conservati in altre sezioni del sito e resi comunque disponibili. Tale generica previsione vanifica di fatto la pubblicazione temporanea delle informazioni stabilita al precedente articolo 8 con l'apposizione di un termine. Per quanto riguarda i dati personali, ciò si tradurrebbe in una loro permanenza, sul web, sine die, per giunta indicizzati e reperibili mediante motori di ricerca, magari senza alcuna ragione dipendente dal perseguimento della specifica finalità di trasparenza e in violazione del "diritto all'oblio"  (cfr. Corte di Giustizia 9 novembre 2010, cause riunite C-92/09 e C-93/09).
Valuti quindi l'Amministrazione di prevedere una disciplina più articolata al riguardo, anche stabilendo una conservazione separata ad accesso selettivo e mirato dei documenti e dei dati dopo la scadenza del termine di pubblicazione, e comunque sancendo la cancellazione dei dati personali. Una più puntuale disciplina degli adempimenti a carico della p.a., decorso il periodo di pubblicazione obbligatoria, dovrà essere stabilita anche per i dati indicati agli articoli 14, comma 2, e 15, comma 4.
PARTE II - NORME DI  SETTORE CONCERNENTI OBBLIGHI DI PUBBLICAZIONE.
8. Obblighi di pubblicazione concernenti i componenti di organi di indirizzo politico
Lo schema di decreto disciplina all'articolo 14 gli obblighi di pubblicazione concernenti i componenti degli organi di indirizzo politico, con riferimento ai titolari di incarichi politici, di carattere elettivo o comunque di esercizio di poteri di indirizzo politico, prevedendo la pubblicazione, fra l'altro, delle dichiarazioni e delle attestazioni di cui agli articoli 2, 3 e 4 della legge 5 luglio 1982, n. 441 (recante norme per la pubblicità della situazione patrimoniale di titolari di cariche elettive e di cariche direttive di alcuni enti), come modificata dall'odierno schema (art. 14 comma 1, lett. f)).
Per meglio comprendere la portata dell'intervento normativo, è utile una breve descrizione dell'attuale assetto normativo della materia previsto dalla legge n. 441/1982 (al netto, cioè, delle modifiche ad essa apportate dallo stesso schema di decreto, su cui si tornerà più avanti).
Il decreto fa riferimento  alle seguenti dichiarazioni previste dalla predetta legge:
1) una dichiarazione concernente i diritti reali su beni immobili e su beni mobili iscritti in pubblici registri; le azioni di società; le quote di partecipazione a società; l'esercizio di funzioni di amministratore o di sindaco di società, con l'apposizione della formula «sul mio onore affermo che la dichiarazione corrisponde al vero»;
2) copia dell'ultima dichiarazione dei redditi soggetti all'imposta sui redditi delle persone fisiche;
3) una dichiarazione concernente le spese sostenute e le obbligazioni assunte per la propaganda elettorale ovvero l'attestazione di essersi avvalsi esclusivamente di materiali e di mezzi propagandistici predisposti e messi a disposizione dal partito o dalla formazione politica della cui lista hanno fatto parte, con l'apposizione della formula «sul mio onore affermo che la dichiarazione corrisponde al vero».
4) la situazione patrimoniale sopra descritta e la dichiarazione dei redditi del coniuge non separato e dei figli conviventi, se gli stessi vi consentono;
5) entro un mese dalla scadenza del termine utile per la presentazione della dichiarazione dei redditi, un'attestazione concernente le variazioni della situazione patrimoniale intervenute nell'anno precedente e copia della dichiarazione dei redditi, anche rispetto al coniuge e ai figli consenzienti;
6) entro tre mesi successivi alla cessazione dall'ufficio,  una dichiarazione concernente le variazioni della situazione patrimoniale intervenute dopo l'ultima attestazione nonché, entro un mese successivo alla scadenza del relativo termine, una copia della dichiarazione annuale dei redditi, anche rispetto al coniuge e ai figli conviventi.
Tali adempimenti sono previsti, nel testo vigente, per i parlamentari, per il Presidente del Consiglio dei Ministri, i Ministri, i Sottosegretari di Stato e, "secondo le modalità stabilite dai rispettivi consigli", per i seguenti altri soggetti: consiglieri regionali; consiglieri provinciali; i consiglieri di comuni capoluogo di provincia o con popolazione superiore ai 50.000 abitanti;  membri del Parlamento europeo spettanti all'Italia.
Tali soggetti devono depositare la documentazione sopra descritta presso l'ufficio di presidenza della Camera di appartenenza, se parlamentari, presso quello del Senato, se componenti del Governo, o presso l'analogo organo di "vertice" negli altri casi (artt. 2, 10 e 11, primo comma, l. n. 441/1982).
La documentazione descritta, ivi comprese le dichiarazioni del coniuge non separato e dei figli conviventi, ove prodotte, è pubblicata in appositi bollettini dei vari organi (artt. 9 e 11, secondo comma; ad esempio, per quanto riguarda le regioni, sul bollettino previsto dagli statuti per la pubblicazione delle leggi). La documentazione è pubblicata integralmente, salvo per quanto riguarda la dichiarazione dei redditi della quale si pubblicano solo "le notizie risultanti dal quadro riepilogativo".
Il presente decreto modifica, con interventi mirati, la legge n. 441/1982 (art. 52, comma 1, dello schema). In particolare si estende la platea dei soggetti titolari di incarichi pubblici cui è rimesso l'obbligo di trasparenza, sino a ricomprendervi anche: i vice ministri, i componenti della giunta regionale e provinciale, i consiglieri dei comuni con popolazione superiore a 15000 abitanti (rispetto ai 50000 attuali), fermi restando in ogni caso i capoluoghi di provincia.
Quanto ai soggetti diversi dal titolare dell'incarico pubblico, l'articolo 2, secondo comma, della legge è modificato con il riferimento al coniuge non separato, ai figli e ai parenti entro il secondo grado di parentela. Da questo punto di vista quindi l'ambito di applicazione della legge è esteso ai figli non conviventi, ai fratelli e ai genitori del titolare dell'incarico pubblico.
La legge n. 441/1982 è modificata dallo schema di decreto solo nei termini sopra esposti: ne consegue che, di essa rimangono applicabili le disposizioni che prevedono la pubblicazione della descritta documentazione nei bollettini di settore.
Oltre alle modifiche alla legge n. 441/1982 lo schema di decreto reca un'importante previsione normativa: stabilisce cioè, come anticipato sopra, la pubblicazione delle dichiarazioni e delle attestazioni di cui agli articoli 2, 3 e 4 della ripetuta legge n. 441/1982, "limitatamente al soggetto, al coniuge non separato e ai parenti entro il secondo grado, ove gli stessi vi consentano".
Sotto questo profilo, poiché restano applicabili le disposizioni della legge n. 441/1982 che prevedono la pubblicazione delle dichiarazioni sui bollettini, il quid novi della norma è rappresentato dalla pubblicazione sui siti istituzionali delle stesse informazioni diffuse mediante il bollettino.
Tutto ciò premesso, l'Autorità osserva che la disciplina complessiva introdotta in materia dallo schema di decreto appare sproporzionata rispetto alle finalità di trasparenza che lo stesso provvedimento normativo intende perseguire.
Si consideri, infatti, l'invasività della pubblicazione mediante diffusione sul web, rispetto, peraltro, a una massa enorme di informazioni che in alcuni casi possono rivelare aspetti, anche intimi, della vita privata delle persone, soprattutto se ci si riferisce al coniuge, ai figli e ai parenti, che sono estranei all'incarico pubblico (si pensi ai possibili risvolti sociali di una lettura mirata, se non tendenziosa, del reddito e della consistenza patrimoniale dei soggetti, specie in ambiti territoriali ristretti, e ai connessi rischi di discriminazione sociale).
Per quanto riguarda i soggetti "terzi" rispetto all'incarico pubblico, è necessario circoscrivere il contenuto delle dichiarazioni sulla situazione patrimoniale ed assicurare che il consenso alla pubblicazione dei dati sia un consenso effettivamente libero e reso in assenza di condizionamenti. Infatti, poiché si prevede che venga data "evidenza al mancato consenso" alla pubblicazione delle dichiarazioni, vi è il rischio concreto che, in sede di applicazione, la norma  non persegua, di fatto, la finalità di trasparenza cui tende, ma esponga, di converso, tali soggetti a pericolose stigmatizzazioni ove non esprimano il consenso alla pubblicazione. In  tal senso si ritiene doveroso sopprimere la disposizione in base alla quale deve essere data evidenza al mancato consenso, peraltro non prevista dall'articolo 1, comma 35, lett. c), della legge n. 190/2012.
In ragione delle considerazioni sopra esposte, l'Autorità, per assicurare un equo bilanciamento fra i valori costituzionali in gioco e il rispetto della normativa comunitaria in materia di protezione dei dati personali, richiama l'attenzione del Governo sull'opportunità di una riflessione generale sull'impianto della disciplina in esame, auspicando modifiche allo schema di decreto che introducano, selettivamente, una graduazione degli obblighi di pubblicazione, sia sotto il profilo della platea dei  soggetti coinvolti, che del contenuto degli atti da pubblicare.
Ciò, peraltro, a fronte di un criterio di delega (art. 1, comma 35, lett. c)) che, per un verso, non sembra consentire interventi significativamente modificativi della disciplina ("precisazione" degli obblighi di pubblicità; rinvio alle norme che già prevedono obblighi di pubblicità, oggetto di sola ricognizione e coordinamento; riferimento alla situazione patrimoniale complessiva del titolare dell'incarico), ma, per altro verso, appare già ampiamente "rispettato" dal legislatore delegato con l'ampliamento della platea dei soggetti pubblici cui si devono riferire gli obblighi di trasparenza.
In particolare, per quanto riguarda i titolari degli incarichi, potrebbero essere previste differenziazioni fra organi locali e nazionali oppure, per quanto riguarda le autonomie, fra le cariche elettive e i livelli di governo (consiglieri e assessori).
Inoltre, della dichiarazione dei redditi siano pubblicate sul web, al massimo, le sole "notizie risultanti dal quadro riepilogativo della dichiarazione dei redditi", come stabilito dall'articolo 9 della predetta l. n. 441/1982, non abrogato dallo schema di decreto. La previsione è dettata al fine di evitare la  diffusione di dati, anche sensibili - contenuti nelle dichiarazioni dei redditi - non strettamente pertinenti rispetto alle finalità della legge (come, ad esempio, talune detrazioni fiscali o, probabilmente, anche la scelta del contribuente circa la destinazione del "5 per mille").
Infine la disciplina sanzionatoria prevista all'articolo 47, comma 1, deve essere meglio coordinata con quanto previsto dall'articolo 14 e dalla legge n. 441/1982, in quanto non è chiaro a quale "comunicazione" si faccia riferimento.
9. La pubblicazione di dati relativi al personale delle pubbliche amministrazioni.
Particolare attenzione meritano le disposizioni dello schema che prevedono la pubblicazione di dati riferiti ai dirigenti e agli altri dipendenti pubblici, che investono delicati profili anche "lavoristici", tenuto conto che lo schema di decreto legislativo (ed invero già la legge di delega) focalizza  il proprio "raggio d'azione" scorrendo dalla trasparenza dell'amministrazione e dell'attività amministrativa – strumentale al buon andamento della medesima – alla trasparenza dell'attività dei singoli che, a vario titolo, nell'interesse della stessa operano o che dall'amministrazione percepiscono (a vario titolo) emolumenti.
Al riguardo, non risulta che nei lavori preparatori dell'odierno decreto sia stata effettuata una adeguata valutazione di impatto sui diritti fondamentali (in particolare il diritto alla protezione dei dati personali), sulla dignità e riservatezza dell'ampia platea dei soggetti interessati dal regime di pubblicità (indicati in particolare agli articoli 15, 16, 18 e 22, commi 4 e 5).
Con specifico riferimento ai profili di conformità al diritto alla protezione dei dati personali della pubblicazione di informazioni relative agli emolumenti o salari percepiti da quanti operano nelle pubbliche amministrazioni, la materia ha altresì formato oggetto di vaglio della Corte di giustizia delle Comunità europee (CGCE) (C-465/00, C-138/01 e C-139/01 riunite; C-92/09 e 93/09, riunite), che ha enunciato – fra gli altri – il principio generale secondo cui "le istituzioni, prima di divulgare informazioni riguardanti una persona fisica, devono soppesare l'interesse dell'Unione a garantire la trasparenza delle proprie azioni con la lesione dei diritti riconosciuti dagli artt. 7 e 8 della Carta", non potendosi postulare "alcuna automatica prevalenza dell'obiettivo di trasparenza sul diritto alla protezione dei dati personali, anche qualora siano coinvolti rilevanti interessi economici.".
L'attività di ponderazione che la Corte di giustizia ha richiesto nei casi sottoposti alla sua valutazione, non risulta essere stata effettuata con riguardo alle previsioni contenute nello schema di decreto legislativo.
Sotto altro profilo, è importante sottolineare che, alla luce di una indagine ricognitiva della normativa in materia vigente negli altri Paesi europei (e non solo), la situazione italiana (prefigurata in relazione al livello di trasparenza dei pubblici dipendenti risultante dall'applicazione della disciplina in esame) risulterebbe quasi unica, anche prendendo a termine di paragone il modello del Freedom of Information Act statunitense (richiamato nella relazione di accompagnamento allo schema di decreto, p. 3), atteso che lo stesso assicura un ampio regime di accessibilità ai dati (anche personali e, specificamente, alle informazioni relative ai compensi versati ai civil servants), ma non la loro pubblicazione on line con le modalità previste dallo schema di decreto.
In conclusione, l'Autorità ritiene che la disciplina complessiva introdotta in questo specifico settore sia sproporzionata rispetto alle finalità di trasparenza che lo stesso provvedimento normativo intende perseguire, attesa anche l'invasività della pubblicazione dei dati mediante diffusione sul web.
In ragione delle considerazioni sopra esposte, il Garante, per assicurare il rispetto della normativa comunitaria in materia di protezione dei dati personali, richiama l'attenzione del Governo sull'opportunità di una riflessione generale sull'impianto della disciplina in esame, auspicando modifiche allo schema di decreto che, da un lato, circoscrivano la pubblicazione obbligatoria a un novero più ristretto di informazioni personali, strettamente pertinenti, che consentano comunque un controllo diffuso sull'attività della pubblica amministrazione per assicurarne il buon andamento e, dall'altro, individuino modalità di diffusione dei dati meno invasive della sfera personale.
10. Obblighi di pubblicazione concernenti atti e provvedimenti amministrativi
Gli articoli 23, 26 e 27 disciplinano la pubblicazione di atti e provvedimenti amministrativi (la pubblicazione di "procedimenti" amministrativi resta disciplinata, invece, nei commi 15 e 16 dell'articolo 1 della legge n. 190 del 2012, cd. legge anticorruzione, non abrogati dall'odierno schema).
In particolare, l'articolo 23 prevede la pubblicazione degli "elenchi dei provvedimenti adottati" e in particolare di quelli di natura autorizzatoria, concessoria, relativi a concorsi, ovvero anche concernenti sovvenzioni, contributi, sussidi e altri vantaggi economici. La disciplina più specifica di questi ultimi è demandata agli articoli 26 e 27.
Di ogni provvedimento contenuto nell'elenco devono essere pubblicati il contenuto, l'oggetto e gli estremi relativi ai principali documenti contenuti nel fascicolo: la pubblicazione deve avvenire nella forma di una "scheda sintetica" (art. 23, comma 2). La  norma non chiarisce con quale livello di dettaglio debbano essere riportate le informazioni, né se in tale scheda possano confluire anche dati personali, o comunque identificativi del destinatario del provvedimento, che in alcuni casi potrebbe essere il beneficiario di un sussidio a altro vantaggio economico particolarmente delicato.
L'articolo 26, a sua volta, riproduce in parte l'articolo 18 del decreto-legge 22 giugno 2012, n. 83, la cui applicazione è stata oggetto di numerosissimi quesiti e segnalazioni pervenuti al Garante che lamentavano la pubblicazione anche di dati sensibili o comunque lesivi della dignità della persona. Per altro verso esso riproduce testualmente una previsione già contenuta nell'articolo 1, comma 16 della stessa legge n. 190 del 2012 (non abrogato dallo schema di decreto) in base alla quale è disposta la pubblicazione di "vantaggi economici di qualunque genere a persone….".
Anche alla luce del contesto normativo da cui proviene la norma (contrasto della corruzione, in particolare per quanto riguarda le concessioni di appalti o l'affidamento di lavori e forniture) essa non dovrebbe trovare applicazione per ogni forma di sussidio, contributo o vantaggio economico previsto per il cittadino, come ad esempio quelli nel campo della solidarietà sociale (si pensi alla social card) i cui procedimenti sono spesso idonei a rivelare lo stato di salute dei beneficiari del contributo o comunque situazioni di particolare bisogno o disagio sociale (in tal senso si pensi al riconoscimento di agevolazioni economiche, nella fruizione di prestazioni sociali, collegate alla situazione reddituale come l'esenzione dal contributo per la refezione scolastica o l'esenzione dal pagamento del cd. ticket sanitario). Fermo restando che deve essere comunque rispettato il divieto di pubblicare dati idonei a rivelare lo stato di salute (art. 22, comma 8, del Codice), l'eventuale diffusione sul web di altre informazioni sensibili o comunque idonee ad esporre l'interessato a discriminazioni, presenta rischi specifici per la dignità degli interessati, che spesso versano in condizioni di disagio economico-sociale.
In tale quadro, non sarebbe giustificato diffondere dati particolarmente delicati, che non appaiono pertinenti rispetto alle finalità perseguite, quali l'indirizzo di abitazione, il codice fiscale, le coordinate bancarie dove sono accreditati i contributi, la ripartizione degli assegnatari secondo le fasce dell'Indicatore della situazione economica equivalente-ISEE ovvero informazioni che descrivano le condizioni di indigenza in cui versa l'interessato.
Non dovrebbero inoltre essere riportati, in particolare: i titoli dell'erogazione dei benefici (es. attribuzione di borse di studio a "soggetto portatore di handicap", o riconoscimento di buono sociale a favore di "anziano non autosufficiente" o con l'indicazione, insieme al dato anagrafico, delle specifiche patologie sofferte dal beneficiario); i criteri di attribuzione (es. punteggi attribuiti con l'indicazione degli "indici di autosufficienza nelle attività della vita quotidiana" ); nonché, la destinazione dei contributi erogati (es. contributo per "ricovero in struttura sanitaria oncologica", o contributo per donne che hanno subito violenze).»
L'individuazione in dettaglio dei dati da escludere dalla pubblicazione potrebbe essere demandata ad uno dei decreti del Presidente del Consiglio dei ministri di cui all'articolo 48.
In conclusione, in ossequio ai principi di necessità, pertinenza e proporzionalità nel trattamento dei dati, si ritiene necessario perfezionare lo schema al riguardo, escludendo espressamente dall'obbligo di pubblicazione i dati identificativi dei destinatari di provvedimenti riguardanti persone fisiche dai quali sia possibile evincere informazioni relative allo stato di salute degli interessati, ovvero lo stato economico-sociale disagiato degli stessi, nei termini appena descritti.
11. Tutela giurisdizionale.
L'articolo 50 dello schema stabilisce che "le controversie relative agli obblighi di trasparenza previsti dalla normativa vigente sono disciplinate dal decreto legislativo 2 luglio 2010, n. 104" concernente la giurisdizione amministrativa.
Com'è noto, il diritto alla protezione dei dati personali trova la propria tutela innanzi all'autorità giudiziaria ordinaria (art. 152 del Codice; art. 10 d.lg. 1° settembre 2011, n. 150).
Poiché le controversie cui si riferisce il presente articolo possono riguardare il trattamento di dati personali, è evidente che per questa parte esse sarebbero comunque sottoposte alla giurisdizione del giudice ordinario. Il rinvio del presente schema all'osservanza delle "disposizioni di protezione dei dati personali" (cfr. art. 1, comma 2 dello schema) non appare in questo caso sufficiente a salvaguardare con certezza l'applicazione della descritta disciplina processuale del diritto alla protezione dei dati personali, sicché si rende necessario integrare l'articolo 50 con il seguente periodo: "Resta ferma la giurisdizione dell'autorità giudiziaria ordinaria rispetto a controversie che riguardano comunque l'applicazione delle disposizioni del decreto legislativo 30 giugno 2003, n. 196."
12. Norme di attuazione e transitorie
12.1 Si valuti l'opportunità di prevedere espressamente che sia acquisito il parere del Garante sugli schemi di dPCM che dovranno individuare criteri, modelli e schemi standard per la codificazione e la rappresentazione dei documenti e dei dati oggetto di pubblicazione (art. 48, comma 3).
12.2 L'articolo 49, comma 2, stabilisce che con dPCM siano determinate le modalità di applicazione delle disposizioni del presente decreto alla Presidenza del Consiglio dei ministri.
Al di là delle specifiche ragioni che hanno condotto alla previsione di tale regime particolare, si valuti l'opportunità di prevedere la possibilità di specifiche modalità applicative delle disposizioni dell'odierno decreto anche rispetto agli ordinamenti di altre istituzioni o amministrazioni che presentino peculiarità o specificità degne di essere salvaguardate, con particolare riferimento ai trattamenti di dati sensibili o comunque idonei a rivelare lo stato economico-sociale disagiato delle persone.
13. Modifiche formali.
Sotto il profilo meramente formale, all'articolo 45, comma 4, si suggerisce di sostituire le parole "soggetti titolari dei dati" con "soggetti interessati".
IL GARANTE
esprime parere favorevole sullo schema di decreto legislativo recante il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, con le seguenti condizioni:
a) il preambolo sia integrato con il riferimento all'articolo 2 della Costituzione e al Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 (punto 1.1);
b) all'articolo 4, comma 1, si chiarisca se si intenda escludere del tutto dall'ambito di applicazione del presente decreto i dati sensibili e giudiziari o, in caso contrario, si precisi quali siano le modalità di diffusione consentite per tali categorie di dati (punto 3); inoltre, al medesimo comma 1, si precisi che la rintracciabilità dei dati è ammessa solo con motori di ricerca interni ai siti istituzionali (punto 4.1);
c) il comma 3 dell'articolo 4 sia sostituito dal seguente: "Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto, procedendo alla anonimizzazione dei dati personali eventualmente presenti, fermo restando quanto previsto dall'articolo 19, comma 3 del decreto legislativo 30 giugno 2003, n. 196." (punto 1.2);
d) all'articolo 4, comma 4, si aggiunga il seguente periodo o altro di analogo tenore: "Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono  a rendere comunque non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione" (punto 2);
e) sia previsto espressamente nello schema (ad esempio al comma 6 dell'articolo 4) il divieto assoluto di diffusione di dati idonei a rivelare lo stato di salute e la vita sessuale degli individui (punto 3);
f) all'articolo 4, comma 2, le parole da "integra" sino alla fine del comma siano sostituite dalle seguenti: "è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico, nel rispetto della disciplina in materia di protezione dei dati personali." (punto 5);
g) all'articolo 5, comma 5, si chiarisca che oggetto del diritto di accesso civico sono non già i documenti o dati qualificati come "pubblici" ma quelli di cui sia prevista la pubblicazione obbligatoria (punto 4.2);
h) l'articolo 7 sia integrato con il seguente comma o con altro di analogo tenore: "In caso di pubblicazione di dati personali, il loro utilizzo in altre operazioni di trattamento è consentito solo in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, ai sensi dell'articolo 11, comma 1, lett. b) del decreto legislativo 30 giugno 2003, n. 196 e comunque nel rispetto delle disposizioni del medesimo decreto legislativo n. 196 del 2003." (punto 6);
i) il comma 3 dell'articolo 8 sia rimodulato con l'indicazione di termini differenziati in ragione delle categorie di dati e delle specifiche finalità della pubblicazione, facendo salvi i diversi termini previsti dalla normativa vigente e non solo quelli di cui agli articoli 14, comma 2, e 15, comma 4, dell'odierno schema di decreto (punto 7);
j) all'articolo 9, comma 2, si preveda una disciplina più articolata al riguardo, anche stabilendo un'accessibilità selettiva e mirata dei documenti e dei dati dopo la scadenza del termine di pubblicazione, e comunque sancendo la cancellazione dei dati personali, anche relativamente ai dati indicati agli articoli 14, comma 2, e 15, comma 4 (punto 7);
k) all'articolo 14 siano apportate modifiche che introducano, selettivamente, una graduazione degli obblighi di pubblicazione, sia sotto il profilo della platea dei  soggetti coinvolti, che del contenuto degli atti da pubblicare, nei termini di cui in motivazione, prevedendo in ogni caso la soppressione della disposizione in base alla quale deve essere data evidenza al mancato consenso, e che della dichiarazione dei redditi siano pubblicate sul web, al massimo, le sole "notizie risultanti dal quadro riepilogativo della dichiarazione dei redditi" (punto 8);
l) lo schema di decreto sia modificato circoscrivendo la pubblicazione obbligatoria dei dati relativi a dipendenti pubblici a un novero più ristretto di informazioni personali, strettamente pertinenti, e individuando modalità di diffusione dei dati meno invasive della sfera personale, nei termini di cui al punto 9;
m) con riferimento agli articolo 23, 26 e 27 lo schema sia perfezionato escludendo espressamente dall'obbligo di pubblicazione, nei termini di cui in motivazione, i dati identificativi dei destinatari di provvedimenti riguardanti persone fisiche dai quali sia possibile evincere informazioni relative allo stato di salute degli interessati , ovvero lo stato economico-sociale disagiato degli stessi (punto 10);
n) con riferimento all'articolo 48, comma 3, si preveda espressamente che sia acquisito il parere del Garante sugli schemi di dPCM ivi indicati (punto 12.1)
o) si integri l'articolo 50 con il seguente periodo: "Resta ferma la giurisdizione dell'autorità giudiziaria ordinaria rispetto a controversie che riguardano comunque l'applicazione delle disposizioni del decreto legislativo 30 giugno 2003, n. 196." (punto 11);
e con le seguenti osservazioni:
p) l'articolo 4, comma 2, sia raccordato con gli articoli 65 ("diritti politici e pubblicità dell'attività di organi") e 68 ("benefici economici ed abilitazioni") del Codice nei termini ivi descritti (punto 5);
q) l'articolo 47, comma 1, sia coordinato con l'articolo 14 (punto 8);
r) all'articolo 45, comma 4, valuti l'Amministrazione di sostituire le parole "soggetti titolari dei dati" con "soggetti interessati" (punto 13);
s) all'articolo 49, si valuti l'opportunità di prevedere la possibilità di particolari modalità applicative delle disposizioni dell'odierno decreto anche con riferimento a istituzioni o amministrazioni diverse dalla Presidenza del Consiglio dei ministri i cui ordinamenti presentino specifiche peculiarità, nei termini di cui in motivazione (punto 12.2).
Roma, 7 febbraio 2013
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia