Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Le nuove Linee guida del Garante privacy sulla trasparenza nella PA - Relazione Prof.ssa Licia Califano al ForumPA 2014

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
3236215
Data:
27/06/14
Argomenti:
Trasparenza amministrativa , Pubblica Amministrazione , Pubblicazioni online
Tipologia:
Documenti

ForumPa 2014 – Roma, 28 maggio 2014

Le nuove Linee guida del Garante privacy sulla trasparenza nella PA
Relazione Prof.ssa Licia Califano
Componente del Garante per la protezione dei dati personali

La trasparenza dell'azione amministrativa rappresenta oggi uno dei temi all'ordine del giorno del dibattito pubblico: la invoca la pubblica opinione e l'afferma con forza (o quantomeno tenta di praticarla) il mondo della politica e delle istituzioni.

Ormai quotidianamente, sfogliando un qualsiasi giornale, molte inchieste e notizie hanno a che fare più o meno direttamente con questo tema: a quanto ammonta l'indennità dei parlamentari, dei consiglieri regionali o la retribuzione dei grandi manager pubblici; quanti favoritismi si annidano tra le pieghe delle procedure di reclutamento presso amministrazioni, università o strutture sanitarie; se, come e quanto gli appalti pubblici sono "truccati"; quanto spreco di denaro pubblico viene prodotto per mantenere viva e operante l'elefantiaca macchina burocratica (un elefante lento o, soprattutto, furbo?).

Se la conoscenza di questo tipo di informazioni (favorita dallo sviluppo delle nuove tecnologie) è diventata oggi un'esigenza primaria per la collettività intera, non è meno vero che l'esigenza della trasparenza e la sua progressiva positivizzazione quale principio giuridico è l'ultimo passo di un lungo percorso intrapreso dallo Stato moderno che, costruito sul verticismo, sulla gerarchia e sul segreto degli arcana imperii, si è progressivamente aperto al dialogo e alla partecipazione dei e con i consociati. Si tratta di un cammino svolto all'insegna della piena affermazione del principio democratico, nonché degli altri principi e regole costituzionali.

Nell'ordinamento costituzionale italiano il principio di pubblicità dell'agire istituzionale, con riferimento all'esercizio della funzione amministrativa, si fonda sull'interpretazione dei principi sanciti dall'art.97 Cost.: legalità, buon andamento, responsabilità e imparzialità della p.a.

Ma, in termini più ampi, è possibile fondare un principio generale di conoscibilità dell'azione amministrativa sulla interpretazione sistematica degli stessi principi fondamentali della nostra forma di Stato: democrazia, eguaglianza e rappresentanza.

Per altro verso, il progetto politico della modernità si radica sul concetto di libertà individuale e di garanzia della stessa; alla base dell'evoluzione dello Stato moderno vi è l'affermazione e la tutela costituzionale dei diritti e delle libertà individuali fondamentali, prima fra tutti la dignità dell'uomo.

Compito dell'Autorità Garante è tutelare i diritti e le libertà fondamentali (con particolare riferimento alla riservatezza, all'identità personale, e al diritto alla protezione dei dati personali), e contribuire a declinare con equilibrio il rapporto fra esigenze di trasparenza dell'amministrazione e garanzie poste a tutela dei diritti, affinchè nessuna delle esigenze che di volta in volta emergono siano aprioristicamente dequalificate o, al contrario, enfatizzate.

Oggi la scommessa è la ricerca di un corretto bilanciamento (di un ragionevole equilibrio) fra attuazione del principio di trasparenza e tutela della riservatezza in funzione di garanzia. E proprio a questa scommessa rispondono le nuove Linee guida sulla trasparenza.

Il passaggio verso una più moderna e dinamica forma di "amministrazione aperta" è stato graduale, ed ha preso seriamente le mosse con la nota l. 241/1990 sul procedimento amministrativo e sul diritto di accesso ai documenti amministrativi. Si tratta di una legge che ha subìto numerose modifiche in questi due decenni – significative quelle introdotte a partire dal 2005 –, ma non è stato l'unico momento degno di nota: tra gli altri, mi limito a ricordarvi la l. 150/2000 sulla comunicazione istituzionale, il Codice dell'amministrazione digitale (Cad, d.lgs. 82/2005), la digitalizzazione dell'albo pretorio (art. 32 della l. 69/2009); nonché il Testo unico sul pubblico impiego (d.lgs. 165/2001), il quale nel corso del tempo ha profondamente cambiato i propri connotati nella direzione di una maggiore pubblicità, anche e soprattutto a seguito della riforma avviata nel 2009 con ild.lgs. 150/2009.

Proprio quest'ultimo – il cd. decreto Brunetta – ha fornito una prima concettualizzazione nel nostro ordinamento del concetto di trasparenza.

Ma il salto di qualità si realizza, con la cd. legge anticorruzione, la l. 190/2012, che ha dato il via ad un'operazione di risistemazione complessiva dell'intero quadro normativo concernente gli "obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni": il comma 35 dell'art. 1 ha delegato il Governo ad adottare un testo unico che non si limitasse al riordino della disciplina già vigente, ma che introducesse anche "la previsione di nuove forme di pubblicità".

Una "trasparenza amministrativa" che, nata sul versante prevalente della valutazione delle performance delle amministrazioni (e della lotta ai "fannulloni"), evolve gradualmente nella duplice prospettiva della piena accessibilità delle informazioni in ragione del controllo sociale che può così realizzarsi (in funzione di prevenzione ai fenomeni di corruzione, pratiche abusive, clientelismi e conflitti di interesse che da ormai troppo tempo inquinano e affliggono l'azione dei pubblici poteri), ma anche di una amministrazione quale organizzazione aperta e al servizio dei cittadini (che deve operare con efficacia ed efficienza, garantendo così una "buona amministrazione").

In questa dimensione l'accessibilità alle informazioni diviene partecipazione e, dunque, strumentale alla costruzione di un corretto rapporto fra amministrazione e cittadino.

Sono, evidentemente, le due facce di una stessa medaglia che nella loro realizzazione pratica richiedono, però, differenti modalità di intervento.   

Trasparenza, quindi, come mezzo attraverso cui le amministrazioni rendono conto delle proprie azioni di fronte alla collettività. Trasparenza che, a sua volta, diventa finalità cui è preordinata la pubblicità di atti, documenti, informazioni e dati propri di ogni pubblica amministrazione. Pubblicità che, al giorno d'oggi, inevitabilmente può avvalersi dei benefici apportati dalle innovazioni intervenute nel settore delle comunicazioni elettroniche, e quindi dalla circolazione delle informazioni sulla rete a partire dalla pubblicazione sui siti internet istituzionali delle amministrazioni: è facilmente intuibile come il web sia diventato ormai il principale veicolo delle informazioni, poiché consente di raggiungere il maggior numero di persone con i minori costi (non solo in termini economici) e con migliori risultati in termini di efficacia.

Se questi sono i presupposti su cui si è costruito il d.lgs. 33/2013, cd. decreto trasparenza, vediamone in estrema sintesi i principi base:

· la trasparenza consiste nell'"accessibilità totale" alle informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, a fini di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche (art. 1, comma 1);

· essa si sostanzia nella pubblicazione nei siti internet istituzionali delle  pubbliche amministrazioni di documenti, informazioni e dati (art. 2, comma 2),  cui corrisponde uno speculare diritto alla conoscibilità da parte di tutti i cittadini/utenti (art. 3), diritto che prende forma anche tramite il nuovo istituto dell'accesso civico (art. 5);

· tale pubblicazione può essere obbligatoria, qualora disposta da un preciso obbligo di legge (art. 4, comma 1), oppure facoltativa, nel qual caso saranno le amministrazioni stesse a decidere se e quali documenti mettere online (art. 4, comma 3);

· la diffusione online di tali informazioni – in veste di dati in formato di tipo aperto – non si deve limitare al solo sito istituzionale, ma devono altresì essere garantite l'indicizzazione e la rintracciabilità tramite i motori di ricerca web, nonché il riutilizzo (artt. 4, comma 1, e 7);

· i documenti pubblicati sui siti istituzionali devono sempre essere aggiornati e mantenuti in via generale per 5 anni sulla pagina "Amministrazione trasparente", e comunque fino a che non abbiano cessato di produrre i loro effetti, dopodiché trasferiti nelle sezioni di archivio dei medesimi siti (artt. 8 e 9).

A seguire (artt. 13 ss.) il decreto si concentra su singole fattispecie di pubblicazione obbligatoria, tra le quali mi limito a ricordarvi le informazioni concernenti i titolari di incarichi politici (compresi compensi a vario titolo e dichiarazioni reddituali e patrimoniali) (art. 14) e quelle riguardanti dirigenti, consulenti e collaboratori delle pubbliche amministrazioni (art. 15).

Torniamo così al difficile punto di equilibrio fra una trasparenza che deve essere perseguita e la dignità dell'individuo che non può essere travolta. E uno dei rischi maggiori è che sia proprio il diritto alla privacy a farne lo spese, o meglio, il diritto alla protezione dei dati personali. La diffusione indiscriminata online di informazioni minano uno dei fondamenti ontologici su cui si costruisce l'architettura di principi e norme, di matrice costituzionale ma prima ancora europea, del diritto fondamentale in questione: ossia l'habeas data, il potere di autodeterminazione informativa riconosciuto in capo a ognuno, il pieno controllo sulla circolazione delle informazioni che ci riguardano.

Non bisogna dimenticare che la pubblica amministrazione rappresenta certamente il più importante settore di trattamento dati del nostro Paese (come la stessa Autorità garante aveva rilevato diverso tempo fa). È infatti evidente che le attività messe in campo dalla p.a. in genere riguardano anche le persone: quelle che la compongono stabilmente (i dipendenti e collaboratori a vario titolo); quelle che si trovano a guidarla (i titolari di incarichi politici e i dirigenti amministrativi); coloro che comunque sono destinatari di atti e provvedimenti (tutti i cittadini, indistintamente).

La trasparenza delle informazioni chiama dunque in causa anche le persone: e non tutte le notizie che riguardano le persone coinvolte (sicuramente una larghissima fetta di popolazione, ma potenzialmente tutti i consociati) sono necessarie a soddisfare il bisogno della collettività di sapere come la macchina burocratica opera; e comunque ci sono categorie di informazioni che devono in ogni caso essere protette, poiché concernono strettamente, appunto, la dignità degli individui. Parafrasando quanto si dice ormai da più parti, l'amministrazione deve essere una casa di vetro: ma – voglio sottolineare – i suoi abitanti devono comunque rimanere vestiti!

Per questo serve un ragionevole bilanciamento tra le finalità sottese alla pubblicazione delle notizie sull'attività amministrativa ed il diritto alla riservatezza dei soggetti coinvolti: perché individuare strumenti di pubblicità rispettosi della privacy degli individui significa modellare in maniera soddisfacente il potere pubblico nell'equilibrio tra conoscenza (dell'attività) e riservatezza (delle persone). La Corte di giustizia dell'Unione europea è infatti più volte intervenuta a presidio di un principio, quello di proporzionalità, in base al quale deroghe e limitazioni alla protezione dei dati personali devono operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino lesioni meno gravi del suddetto diritto fondamentale per le persone fisiche ma nel contempo contribuiscano in maniera efficace agli obiettivi sottesi.

Il rapporto che si instaura tra privacy e trasparenza, nel momento in cui si vuole andare a ridefinire le modalità di svolgimento dell'azione amministrativa, va pertanto attentamente pesato. Occorre invero individuare il ragionevole punto di equilibrio tra queste due istanze, parimenti apprezzabili ma non facilmente conciliabili.

Il compito, tanto difficile, quanto centrale dell'Autorità Garante per la protezione dei dati personali diviene:

· consentire la circolazione delle informazioni necessarie a che la pubblica opinione possa controllare l'operato dei pubblici poteri;

· garantire un elevato livello di protezione dei dati riguardanti le singole persone, in modo da evitare che vengano messi "in piazza" dati personali inutili a fini di trasparenza, ma che abbiano implicazioni afflittive sulla dignità degli interessati.

Questo ruolo il Garante lo ha assolto l'anno scorso, quando, il 7 febbraio 2013 (doc web. n. 2243168), ha reso il proprio parere allo schema di decreto legislativo in vista della sua emanazione da parte del Governo. Alcune delle criticità rilevate dal Garante sono state positivamente risolte nel testo finale del decreto: si pensi all'esclusione dell'obbligo di pubblicazione dei dati identificativi delle persone fisiche destinatarie di sovvenzioni e benefici economici, dai quali sia possibile evincere informazioni sul loro stato di salute o sul loro stato economico-sociale disagiato. Al contrario, altre osservazioni su punti altrettanto fondamentali non sono state recepite, con l'effetto di lasciare irrisolte alcune problematiche: si pensi all'indicizzazione e rintracciabilità dei dati personali pubblicati sui siti istituzionali delle pp.aa. mediante motori di ricerca generalisti, foriera di rischi in termini di decontestualizzazione dell'informazione e di svuotamento del diritto all'oblio, all'ampia facoltà di riutilizzo del dato da parte dell'utente, nonché alla durata sostanzialmente illimitata della pubblicazione che le disposizioni del decreto fanno presagire.

Ma il ruolo del Garante non si è affatto fermato qui, anzi. Com'è ovvio, numerose sono state le segnalazioni e le richieste di chiarimenti giunte all'Autorità, da parte di amministrazioni (in quanto destinatarie degli obblighi di pubblicazione), ma anche cittadini comuni (in quanto interessati), preoccupati dell'impatto che le nuove norme sulla trasparenza effettivamente producono in termini di privacy.

Per quanto riguarda profili diversi altre istituzioni si sono pronunciate: si vedano le numerose delibere approvate dalla preposta Autorità anticorruzione (Anac, ex Civit), cui il d.lgs. 33/2013 affida compiti di vigilanza; ma si vedano altresì le circolari interpretative prodotte dal Dipartimento della Funzione pubblica presso la Presidenza del Consiglio dei Ministri, o i documenti redatti dall'Agenzia per l'Italia digitale (Agid, ex DigitPa).

È quindi in risposta a queste esigenze che vengono dall'alto (la tutela della dignità delle persone tramite la protezione dei dati personali, come sancita in Europa) e dal basso (le richieste di chiarimenti provenienti da amministrazioni e cittadini) che il Garante, lo scorso 15 maggio, ha emanato le sue "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati".

Queste Linee guida – che sostituiscono quelle adottate nel 2011, superate com'è ovvio dalla novella legislativa – sono state costruite in una logica di leale collaborazione e massima condivisione con gli altri organismi che, nell'ambito delle rispettive competenze, rappresentano le principali autorità nazionali chiamate ad interpretare ed attuare gli obblighi di trasparenza, cioè le citate Dfp, Agid e, soprattutto, Anac. Questa cooperazione si è manifestata durante i tavoli tecnici per la stesura del testo e con la consultazione a loro riservata sullo schema di documento finale. Inoltre, con Anac e il suo presidente dott. Raffaele Cantone il Garante ha dimostrato un notevole livello di dialogo e leale collaborazione.

Veniamo così all'analisi dell'impostazione metodologica di questo provvedimento, che ha lo scopo di definire un quadro unitario di misure e accorgimenti volti a individuare opportune cautele che i soggetti pubblici, e gli altri soggetti parimenti destinatari delle norme vigenti, sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell'azione amministrativa.

Nel tentativo di sintetizzare un provvedimento lungo e complesso, mi soffermerò solo sui passaggi che ritengo di maggiore portata innovativa.

Il punto fondamentale su cui sono costruite le Linee guida risiede nella netta distinzione tra due fattispecie: in altre parole, in presenza di una norma che dispone un obbligo di pubblicazione, occorre ricostruirne esattamente la ratio; fatta questa operazione ermeneutica, si procede con l'applicazione della disciplina corrispondente. Le due tipologie sono le seguenti:

· obblighi di pubblicità per finalità di trasparenza: come abbiamo già detto, la trasparenza rappresenta l'accessibilità totale alle informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, a fini di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche. Questa forma di pubblicità va perciò inserita nel contesto più generale di prevenzione e lotta a corruzione e malaffare, ma anche di controllo sociale su come viene effettuata la spesa pubblica: diventa pertanto immediatamente intuitivo che rientrano in questa fattispecie tutto il settore degli appalti, ma anche le procedure di nomina negli enti pubblici, oppure gli stipendi di chi opera nei pubblici poteri, ovvero i percettori di benefici economici di vario tipo. Ecco, in questi casi si applicano le norme del d.lgs. 33/2013 – ovviamente con le indicazioni fornite dalle autorità preposte, in particolare con le accortezze che il Garante privacy ha predisposto nelle sue Linee guida, in particolare nella parte I;

· obblighi di pubblicità per altre finalità: è noto infatti che nell'ordinamento ci sono anche altre ipotesi di pubblicazione di documenti amministrativi, che sono ispirate a obiettivi diversi. Si pensi alla pubblicazione dei nomi della coppia che si sta per sposare, che deve avvenire per una durata di 8 giorni: è chiaro che la ratio non è quella di combattere la corruzione o di verificare che i soldi del Comune siano spesi bene, ma solo quella di consentire l'eventuale conoscenza di impedimenti al matrimonio. Ne consegue che, ogni volta che una norma di legge dispone la diffusione di atti amministrativi per finalità di pubblicità legale, pubblicità integrativa dell'efficacia, pubblicità dichiarativa o pubblicità notizia, non si deve fare riferimento al d.lgs. 33/2013, poiché nulla hanno a che vedere con esigenze di trasparenza. Dunque, la pubblicazione avviene secondo il regime di volta in volta stabilito – ovviamente, anche in questo caso tenendo in ferma considerazione la disciplina sulla protezione dei dati personali, cui le nuove Linee guida dedicano la parte II.

Può tuttavia capitare che un documento debba essere pubblicato sia per finalità di pubblicità legale che per finalità di trasparenza: è il caso emblematico dell'albo pretorio online degli enti locali. Infatti, ci sono tante delibere o determine di un Comune che devono finire sull'albo pretorio in ossequio all'art. 124 del Tuel (d.lgs. 267/2000), ma che contemporaneamente insistono su ambiti trattati nel decreto trasparenza: si pensi ai provvedimenti con i quali vengono erogati sussidi economici a favore di alcune fasce di popolazione, come previsto dall'art. 26 del d.lgs. 33/2013. In tale ipotesi il Comune dovrà soddisfare due obblighi di pubblicità diversi, rispondenti a finalità diverse, e quindi procederà a due distinte pubblicazioni: nell'albo pretorio diffonderà il documento nei termini e per il tempo indicato dalla disciplina di settore; nella sezione "Amministrazione trasparente" invece provvederà a riportare i dati richiesti, nei modi e alle condizioni disposte dalla normativa sulla trasparenza. Distinzione tra i due ambiti significa pertanto autonomia tra i due regimi, senza incorrere nell'errore di confonderli, sovrapporli o riunirli.

Questo premesso si trattava di definire correttamente (e allo scopo di evitare solo gli effetti lesivi della dignità del singolo) i limiti alla pubblicazione obbligatoria chiarendo come l'esistenza di un obbligo legislativo di pubblicazione non esonera le pp.aa., caso per caso, dal selezionare i dati personali pubblicabili e dall'oscurare quelli non pubblicabili, in base ai principi generali del Codice.

Dunque:

· rispetto del principio di necessità, di pertinenza e non eccedenza per i dati comuni;

· rispetto del principio di indispensabilità per quanto riguarda la pubblicazione di dati personali sensibili e giudiziari, pur rimanendo salva l'esclusione da indicizzazione e rintracciabilità tramite i motori di ricerca esterni;

· divieto assoluto di diffusione per quanto riguarda la pubblicazione di dati idonei a rivelare lo stato di salute e la vita sessuale.

In tutti i casi di pubblicazione facoltativa  le "Linee guida" ricordano che devono sempre essere espunti tutti i dati personali attraverso l'anonimizzazione, che significa oscurare del tutto il nominativo – non basta sostituirlo con le iniziali di nome e cognome – e le altre informazioni di contesto (data di nascita, sesso, residenza, domicilio, cap, luogo di lavoro, telefono, vicenda connessa) che consentono di identificare l'interessato, anche a posteriori, nonchè mediante il collegamento con informazioni detenute da terzi o ricavabili da altre fonti.

Per altro verso una serie di punti importanti sono stati fissati dal Garante in merito ad alcuni aspetti, apparentemente tecnici ma, in realtà, densi di aspetti e ricadute di carattere sostanziale.

Uno dei temi cruciali nella dialettica tra privacy e trasparenza e, forse, la principale sfida che abbiamo dinanzi è quella relativa ai cd. open data. Con questo termine si fa riferimento alla possibilità per gli utenti di accedere ad un grande flusso di dati e informazioni online, liberamente accessibili a tutti, senza limitazioni alcune, con particolare riguardo a copyright, licenze o brevetti. Il concetto applicato alla pubblica amministrazione comporta che i cittadini possano accedere ai dati relativi alle attività e all'organizzazione delle pp.aa. senza particolari restrizioni.

È importante tuttavia specificare che i termini di "dati aperti" e di "dati personali" non sono tra loro pienamente sovrapponibili. In altre partole non tutti i dati aperti messi a disposizione dei cittadini contengono anche dati personali, ovvero dati in grado di identificare un individuo. È il caso, per esempio, delle statistiche relative all'iscrizione agli asili comunali in un determinato anno oppure le statistiche relative agli incidenti stradali verificatisi in una determinata area. In altre parole, si tratta di dati aggregati, o di dati anonimi, o addirittura di dati riferiti a persone giuridiche (che non godono più della tutela offerta dal Codice privacy).

Questa accessibilità ovviamente agevola anche il riutilizzo da parte degli utenti dei medesimi dati, anche per finalità differenti da quelle per cui tali dati erano stati pubblicati; su questo si innesta uno dei principali aspetti trattati nelle Linee guida. Infatti è possibile che dati aperti contengano al loro interno dati personali che sono stati comunque pubblicati perché soggetti ad un obbligo di trasparenza: in questi casi occorre apportare delle cautele al riutilizzo, per evitare un abuso nella ulteriore diffusione di quei dati personali. In altre parole, il principio generale del libero riutilizzo di documenti contenenti dati pubblici, stabilito dalla disciplina nazionale ed europea, riguarda essenzialmente documenti che non contengono dati personali, oppure riguarda dati personali opportunamente aggregati e resi anonimi.

Così, ancora ed in particolare, per l'obbligo di indicizzazione tramite i comuni motori di ricerca generalisti, senza possibilità di inserire filtri, con l'unica esclusione concernente i dati sensibili e giudiziari. Fondamentale in tal senso l'indicazione, contenuta nelle Linee guida, delle tecniche di deindicizzazione conosciute.