GDPR: Trasparenza amministrativa e tutela dei dati personali

Il Regolamento UE 679/2016 opera una mediazione tra la tutela dei dati personali delle persone fisiche che operano e collaborano nell’esercizio dell’azione amministrativa degli Stati nazionali o ne sono coinvolti, e la necessità di rendere trasparente l’agire delle amministrazioni nazionali al fine di assicurare ai cittadini una corretta ed etica gestione della cosa pubblica.

Il legislatore Europeo nel definire i principi e i criteri per una disciplina della tutela dei dati personali che fosse in linea con l’evoluzione tecnologica e le nuove dinamiche dell’economia contemporanea, ha dovuto anche compiere una non semplice mediazione alla ricerca di un punto di equilibrio che permettesse una corretta tutela degli interessati, senza trascurare le esigenze di conoscibilità e accesso da parte dei cittadini alla documentazione amministrativa al fine di assicurare la corretta trasparenza dell’azione amministrativa.

L’art. 86 del GDPR recita: “i dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico possono essere comunicati da tale autorità o organismo, conformemente al diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti, al fine di conciliare l’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali ai sensi del presente regolamento”.

Appare chiaro come il legislatore europeo operi un rinvio alle specifiche normative nazionali ribadendo però la regola fondamentale del bilanciamento di interessi tra la tutela dei dati personali e la trasparenza amministrativa considerata un aspetto di interesse pubblico meritevole di tutela; così come ulteriormente specificato nel considerando 154 del GDPR: “L’accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un’autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell’Unione o degli Stati membri cui l’autorità pubblica o l’organismo pubblico sono soggetti. Tali disposizioni legislative dovrebbero conciliare l’accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali e possono quindi prevedere la necessaria conciliazione con il diritto alla protezione dei dati personali, in conformità del presente regolamento”.

Tali affermazioni, lette alla luce di quanto affermato nel considerando 7 “… richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno.”, permettono di comprendere come la responsabilità del Titolare del trattamento (intesa di termini di accountability) sia la chiave di volta del delicato equilibrio che si è cercato di raggiungere tra questi due interessi apparentemente contrapposti.

La libertà di accesso di chiunque ai dati e ai documenti detenuti dalle pubbliche amministrazioni tramite l’accesso civico e/o la pubblicazione di informazioni (entrambe modalità previste e disciplinate nel nostro ordinamento dal D. lgs. 33/2013 e successive modifiche e integrazioni) deve, infatti, necessariamente trovare un equilibrio con il diritto alla riservatezza dei soggetti a cui i dati si riferiscono relativamente a quanto previsto in relazione alla tutela dei dati personali.

Nel merito si è espressa anche l’Autorità Garante Italiana con l’adozione di apposite linee guida (provvedimento del 15 maggio 2014), per “assicurare l’osservanza della disciplina in materia di protezione di dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti” da parte dei soggetti pubblici che sono tenuti alla pubblicazione per finalità di trasparenza o che rendano noti i dati per altre finalità di pubblicità dell’azione amministrativa.

Sulla base di quanto contenuto in questo documento, i soggetti pubblici possono diffondere i dati personali solo se tale attività è prevista da una specifica disposizione di legge o regolamentare. Nel fare ciò, inoltre, gli stessi soggetti devono limitarsi a includere nei documenti oggetto di pubblicazione e/o diffusione solo i dati personali che siano strettamente necessari, proporzionati e congruenti con l’obbligo normativo o di regolamento in cui trova giustificazione l’attività di pubblicazione e/o diffusione.

Il che equivale, in altre parole, ha sottolineare, se mai ci fosse bisogno di farlo, come il principio della c.d. minimizzazione sia da considerare un elemento fondante delle azioni poste in essere in ambito di trasparenza della Pubblica Amministrazione al quale il Titolare dovrà fare costantemente riferimento per verificare la liceità dei comportamenti tenuti nel corso del trattamento e dell’eventuale pubblicazione o comunicazione di dati personali contenuti in atti e/o documenti.

In ogni caso è vietata la pubblicazione di dati inerenti lo stato di salute dell’interessato o dai quali questo si possa desumere, includendo in questa accezione anche qualsiasi riferimento a stati di “invalidità, disabilità o handicap fisici e/o psichici.

È ugualmente non ammessa la pubblicazione di dati ulteriori a quelli per i quali è prevista una pubblicazione obbligatoria, a meno che tali dati non siano resi “effettivamente” anonimi così che da questi, dopo tale operazione, non sia più possibile risalire all’identità degli interessati.

Il soggetto pubblico, pertanto, prima di procedere alla diffusione tramite il proprio sito internet deve:

  • effettuare una verifica preventiva dei presupposti normativi o regolamentari che rendano legittima la pubblicazione del documento o del dato;
  • effettuare una verifica puntuale sui documenti per i quali è richiesta la pubblicazione al fine di valutare la presenza di dati da rendere intellegibili;
  • mettere in atto quanto necessario perché gli eventuali dati particolari e/o giudiziari contenuti nei documenti da pubblicare non siano resi disponibili all’indicizzazione sul web.

Il Garante ribadisce anche che il termine generale per il mantenimento delle informazioni pubblicate on-line è di 5 anni, tranne alcune eccezioni specificatamente previste:

  • atti che continuano a produrre effetti anche dopo la scadenza dei cinque anni (tipicamente le informazioni relative ai dirigenti della Pubblica Amministrazione che, mantenuti aggiornati, devono rimanere on-line fino alla scadenza del mandato se superiore al termine di 5 anni);
  • le informazioni relative i titolari di incarichi politici, dirigenziali, di consulenza e di collaborazione che resteranno on-line per i 3 anni successivi alla scadenza dell’incarico);
  • quei dati per i quali è previsto un termine diverso da norme specifiche.

Renato Carafa

Richiedi una consulenza

Fiscolexnews oltre ad offrire ai propri lettori informazioni e aggiornamenti sui principali argomenti in materia fiscale, legale e del mondo dell’impresa, implementa il proprio servizio offrendo la sezione “Richiedi una consulenza”. Sarai messo in contatto diretto con i nostri esperti nelle varie materie, che saranno pronti a fornire consulenze mirate e specifiche su quesiti ad hoc.