Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di decreto legislativo concernente la revisione e semplificazione delle disposizioni di prevenzione della corruzione, pubblicità e trasparenza - 3 marzo 2016 [4772830]

Vedi anche comunicato stampa dell'11 marzo 2016

[doc. web n. 4772830]

Parere su uno schema di decreto legislativo concernente la revisione e semplificazione delle disposizioni di prevenzione della corruzione, pubblicità e trasparenza - 3 marzo 2016

Registro dei provvedimenti
n. 92 del 3 marzo 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore  il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante in ordine a uno schema di decreto legislativo concernente la revisione e semplificazione delle disposizioni di prevenzione della corruzione, pubblicità e trasparenza.

Il provvedimento si pone come correttivo del decreto legislativo 14 marzo 2013, n.33, ai sensi dell'articolo 7 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche.

Lo schema di decreto legislativo si articola in tre Capi, per un totale di 44 articoli, di cui il I – che comprende gli articoli da 1 a 40- dedicato alle modifiche al decreto legislativo n. 33 del 2013 in materia di trasparenza, il II consistente nel solo l'articolo 41, che apporta modifiche alla legge n. 109 del 2012 in materia di anticorruzione ed il III recante disposizioni finali e transitorie, che include abrogazioni e clausola di invarianza finanziaria.

L'esame del Garante verterà principalmente (ma non solo) sulle disposizioni contenute al Capo I e in particolare su quelle applicabili a "dati personali", al fine di valutarne la compatibilità con la disciplina, anche comunitaria, in materia di protezione dei dati personali, tenuto conto delle osservazioni già formulate nel parere relativo allo schema di decreto legislativo 14 marzo 2013, n.33 (Provv. del 7 febbraio 2013 n. 49, in www.garanteprivacy.it, doc. web n. 2243168).

RILEVATO

Il tema dell'applicazione delle disposizioni sulla c.d. "trasparenza" è particolarmente delicato e necessita di un approccio equilibrato per evitare che i diritti fondamentali alla riservatezza e alla protezione dei dati personali, nonché la dignità dell'individuo (art. 2 del d. lgs. 30/6/2003, n. 196 intitolato "Codice in materia di protezione dei dati personali", attuativo della direttiva comunitaria 95/46/CE, di seguito «Codice») possano essere gravemente pregiudicati da una indiscriminata diffusione di documenti riportanti dati personali.

Occorre, infatti, tenere in adeguata considerazione le conseguenze e i rischi per la vita privata e per la dignità della persone interessate derivanti dal crescente e generalizzato obbligo di pubblicazione delle informazioni del settore pubblico, previsto anche dal suddetto intervento normativo mediante la diffusione di dati personali sul web che è, per definizione, la forma più ampia e più invasiva di diffusione di dati.

I rischi connessi al trattamento dei dati personali sulla rete emergono ancora di più ove si consideri la delicatezza di talune informazioni e la loro facile reperibilità una volta pubblicate, grazie anche ai motori di ricerca.

Si consideri anche il rischio di "cristallizzazione" delle informazioni sul web, a fronte di oggettive difficoltà pratiche (oltre che giuridiche, a volte) nell'ottenere la loro cancellazione una volta decorso il termine di pubblicazione e, soprattutto, laddove un termine non sia fissato o comunque i dati non siano cancellati dopo il raggiungimento dello scopo perseguito, in violazione del cd. "diritto all'oblio.

L'Autorità -come si ricordava supra- ha già espresso un parere condizionato sulla bozza di decreto legislativo n. 33/2013, a fronte del quale occorre far presente che mentre alcune indicazioni sono state recepite dal Governo in maniera integrale, altre non sono state accolte o lo sono state solo parzialmente e  restano quindi  pienamente valide e riproducibili in relazione allo schema di decreto in esame.

Dal momento che lo schema di decreto non ha pienamente attuato il criterio di delega volto alla rimodulazione degli obblighi di pubblicazione,  appare necessario modificare le disposizioni del d. lgs. n. 33/2013 la cui formulazione ingenera dubbi interpretativi , rischiando oltretutto di violare l'art. 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, gli artt. 7 e 8 della Carta dei diritti fondamentali dell'Unione europea, nonché la disciplina europea e nazionale in materia di protezione dei dati personali (dir. 95/46/CE; d. lgs. 30 giugno 2003, n. 196).

L'intervento appare necessario anche considerando, in prospettiva, gli effetti negativi che potrebbero prodursi a causa dell'aumento del contenzioso di fronte ai giudici, dei possibili futuri contrasti giurisprudenziali, della proposizione di eventuali ricorsi alla Corte costituzionale e alla Corte di giustizia UE.

Appare al riguardo opportuno sottolineare che l'eventuale violazione di disposizioni contenute in fonti dell'Unione europea direttamente applicabili genera, infatti, in capo a qualsiasi operatore del diritto l'obbligo di disapplicazione delle norme interne con esse in contrasto(1) e che il mancato rispetto di tale obbligo è fonte di responsabilità civile (2).

Di quanto rappresentato si terrà conto nella disamina dell'articolato, in relazione al quale il Garante svolge le osservazioni di seguito riportate, evidenziando le criticità rilevate e contestualmente suggerendo per ciascuna di esse le possibili soluzioni.

RITENUTO

1. Razionalizzazione degli obblighi di pubblicazione

La delega di cui all'art. 7 l. 124/2015 prevedeva, tra i principi e criteri direttivi, la razionalizzazione degli obblighi di pubblicazione, "ai fini di eliminare le duplicazioni e di consentire che tali obblighi siano assolti attraverso la pubblicità totale o parziale di banche dati detenute da pubbliche amministrazioni"; la "ridefinizione e precisazione dell'ambito soggettivo di applicazione degli obblighi e delle misure in materia di trasparenza" e la "riduzione e concentrazione degli oneri gravanti in capo alle amministrazioni pubbliche".

Tali criteri di delega – idonei a valorizzare l'efficacia degli obblighi di pubblicazione - non sembrano essere stati sufficientemente sviluppati dallo schema di decreto, tenuto altresì conto che l'intervento novellatore, per quello che qui interessa, non sembra aver contemperato adeguatamente le esigenze di trasparenza con il principio (di matrice europea) di proporzionalità dei dati personali rispetto gli scopi perseguiti. Esso si limita infatti, essenzialmente: a) a ridefinire (ma in maniera complessivamente estensiva) l'ambito di applicazione soggettivo degli obblighi di pubblicità, includendovi ad esempio gli enti pubblici economici, le autorità portuali, gli ordini professionali, le società in controllo pubblico, associazioni, fondazioni, enti di diritto privato anche privi di personalità giuridica; b) introdurre una clausola di "flessibilità" che demanda ad Anac la precisazione, in sede di piano nazionale anticorruzione, degli obblighi di pubblicazione e delle relative modalità di attuazione in relazione alla natura dei soggetti, alla loro dimensione organizzativa e alle attività svolte; 3) demandare ad Anac la previsione, con propria delibera su parere del Garante, dei casi nei quali la pubblicazione in forma integrale possa essere sostituita da quella in forma riassuntiva, elaborata per aggregazione.

Tali modifiche non concorrono ancora, di per sé sole, a sviluppare adeguatamente le potenzialità proprie dei suddetti criteri di delega, che se attuati in ogni loro parte consentirebbero invece di razionalizzare e più efficacemente rimodulare gli obblighi di pubblicazione in funzione del grado di esposizione del singolo organo al rischio corruttivo, della funzionalità del dato da pubblicare rispetto alla effettiva conoscibilità, da parte dei cittadini, delle modalità e delle caratteristiche dell'agire amministrativo, nonché del bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati personali degli interessati.

Diritto che viene, peraltro, significativamente compresso anche in ragione del nuovo istituto dell'accesso civico introdotto al comma 2 dell'articolo 5, che estende, in misura rilevante e con pochissimi limiti, i casi di ostensione di dati personali a terzi. Tale innovazione rende, pertanto, ancor più necessario un complessivo ripensamento, in funzione riequilibratrice, della disciplina generale degli obblighi di pubblicazione, tale da renderla maggiormente compatibile con il doveroso rispetto del diritto alla protezione dei dati personali  dei cittadini.

La disciplina legislativa, così modificata, dovrà poi trovare più compiuta attuazione con un apposito regolamento, emanato su proposta del Ministro delegato per la semplificazione e la pubblica amministrazione  volto a individuare, con un maggior grado di dettaglio e con una fonte suscettibile di più agevoli novelle, le tipologie di informazioni soggette al regime di trasparenza, nonché le modalità e le caratteristiche dell'eventuale pubblicazione.

Si voglia, pertanto, modificare in tal senso lo schema di decreto in esame, tanto sotto il profilo delle previsioni generali degli obblighi di pubblicazione, quanto relativamente alle singole disposizioni di settore.

In ogni caso, la complessità dei nuovi e ulteriori adempimenti sanciti in capo alle amministrazioni suggerisce l'opportunità di prevedere un congruo termine di adeguamento agli obblighi imposti, al fine di evitare che l'applicazione, non sufficientemente preparata, delle nuove misure possa arrecare pregiudizio ai dati personali dei numerosi interessati coinvolti.

2. La trasparenza e la pubblicazione di dati personali.

2.1 Definizione di "trasparenza"

La trasparenza, affinché sia effettiva «garanzia delle libertà individuali e collettive, nonché dei diritti civili, politici e sociali», integrando «il diritto ad una buona amministrazione e concorrendo alla realizzazione di una amministrazione aperta, al servizio del cittadino» (art. 1, comma 2, del d. lgs. n. 33/2013), non può essere realizzata violando la dignità e i diritti fondamentali della persona, come il diritto alla riservatezza e il diritto alla protezione dei dati personali, costituzionalmente garantiti e previsti anche dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (artt. 7 e 8) nonché della Carta dei diritti fondamentali dell'Unione europea.

Il necessario contemperamento tra l'esigenza di trasparenza e i diritti sopra menzionati che lo Stato ha l'obbligo di promuovere e proteggere deve, quindi, orientare il legislatore e le amministrazioni nel processo di selezione dei dati personali che devono essere resi pubblicamente accessibili (nonché disponibili per il riuso), e nella definizione delle misure e degli accorgimenti che devono essere adottati per salvaguardare i predetti diritti.

Il ruolo del Garante nella fase di predisposizione e di controllo dell'applicazione delle disposizioni ed atti emanati sulla base del predetto decreto dovrebbe pertanto essere adeguatamente riconosciuto nell'articolato.

In particolare laddove concernenti dati personali, tali disposizioni /atti dovrebbero essere adottati "d'intesa" con il Garante e non solo "sentito" il Garante (v. art. 4 dello schema che modifica l'art.3, comma 1 bis ).

Pertanto, all'articolo 4 dello schema di decreto, capoverso 1-bis, si vogliano sostituire le parole da: "sentito" a: "adottata", con le seguenti: ", con delibera adottata d'intesa con il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali"

2.1.1. Va innanzi tutto osservato che la definizione di trasparenza contenuta nello schema di decreto è equivoca visto che non tutti gli atti della P.A. sono effettivamente pubblici e accessibili, anche dopo la riforma introdotta (come indirettamente desumibile dall'art. 1, comma 2, prima parte). Per prevenire problemi interpretativi si propone di far riferimento alle ipotesi regolate dalla disciplina in oggetto.

Inoltre, in coerenza con quanto osservato e considerando le limitazioni effettivamente previste dalle disposizioni del decreto (cfr., fra l'altro, la modifica proposta all'art. 5-bis del d.lgs. n. 33 del 2013), si propone di eliminare dal testo l'aggettivo «totale» riferito alla definizione di «accessibilità». Il permanere di tale definizione, infatti, oltre a essere incoerente con il sistema delineato dal legislatore delegato, potrebbe indurre i funzionari pubblici, che saranno chiamati a prendere decisioni in merito all'accoglimento (o meno) delle istanze di «accesso civico», a ritenere –erroneamente- che il legislatore esprima una incondizionata preferenza per l'accesso rispetto ai casi di esclusione indicati negli articoli successivi (sul punto si tornerà più diffusamente al punto 3 in relazione al nuovo accesso civico).

La definizione contenuta nell'art. 1, comma 1, del d.lgs n. 33 del 2013 andrebbe modificata nel modo seguente:

«La trasparenza è intesa come accessibilità dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti  fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, nei limiti del presente decreto».

2.2. La "pubblicazione ai sensi della normativa vigente"

L'art. 3 del nuovo testo dispone che «tutti i documenti, le informazioni e i dati oggetto di accesso civico e di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell'articolo 7».

In proposito, si evidenzia che – come ampiamente noto – la «normativa vigente» prevede già molteplici obblighi di pubblicazione obbligatoria di dati a carico delle pubbliche amministrazioni. Tali obblighi sono contenuti in diverse normative di settore di livello nazionale, regionale o locale che disciplinano analiticamente modalità e tempi di pubblicazione diversi a seconda della fattispecie considerata.

Solo per rappresentare l'eterogeneità del fenomeno, si pensi ai seguenti esempi di pubblicazioni obbligatorie ai sensi della normativa vigente: pubblicazioni ufficiali dello Stato (in cui rientra per esempio la pubblicazione delle ordinanze del giudice dell'udienza preliminare di rimessione degli atti alla Corte Costituzionale con indicazione del nominativo dell'imputato e dei relativi capi di imputazione), pubblicazioni matrimoniali (8 gg.), atti di cambiamento del nome (gg. 30), comunicazione di avviso deposito di atti giudiziari e cartelle esattoriali a persone irreperibili (1 gg.); elenco dei giudici popolari, graduatorie dei concorsi pubblici, pubblicazione di deliberazioni, ordinanze e "determine" contenenti dati personali sull'albo pretorio deli enti locali (15 gg.) etc.

Occorre preliminarmente segnalare l'irragionevolezza dell'estensione automatica degli obblighi previsti dal d. lgs. n. 33/2013 (quali il mantenimento sul web per cinque anni, l'obbligo di indicizzazione, il riutilizzo, la vigilanza dell'Anac e la responsabilità disciplinare in caso di inadempimento prevista dall'art. 45, comma 4, dello stesso decreto) a tutti i dati, documenti e informazioni rese pubbliche sulla base degli obblighi giuridici più eterogenei (di cui quelli elencati costituiscono solo degli esempi).

Tale criticità, già presente nel testo normativo vigente, diventa tuttavia ulteriormente rilevante per effetto delle revisioni introdotte con il decreto legislativo in corso di approvazione, in particolare con riferimento alle modifiche apportate all'istituto dell'accesso civico, con l'estensione dell'accessibilità «ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto», con ciò quindi ricomprendendo anche un volume enorme di dati che non sono, di per sé, oggetto di pubblicazione.

Il sistema di trasparenza del d. lgs. n. 33/2013 che si vuole creare e l'introduzione del nuovo «accesso civico», se non viene chiarito che gli obblighi di pubblicazione ai sensi della normativa vigente sono solo quelli specificamente previsti dal decreto stesso, potrebbero determinare conseguenze addirittura paradossali. Si pensi al caso in cui un Comune, dopo aver rimosso le pubblicazioni matrimoniali dei nubendi dal sito web istituzionale dopo il periodo di 8 gg. previsto dall'art. 55 del d.P.R. n. 396 del 3/11/2000, riceva una richiesta di accesso civico all'atto. Ai sensi del nuovo art. 5, poiché la pubblicazione matrimoniale costituisce un obbligo di pubblicazione previsto dalla disciplina vigente, il Comune anziché limitarsi a dare accesso al documento al richiedente, sarebbe anche obbligato a ripubblicare sul sito web istituzionale la vecchia pubblicazione matrimoniale.

Proprio per evitare applicazioni distorte della norma, il Garante è intervenuto sul problema già con le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» del 15 maggio 2014 (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436) (di seguito «Linee guida»), formulando proprie indicazioni circa la necessità di interpretare la locuzione «pubblicazione obbligatoria ai sensi della normativa vigente» alla luce di un criterio logico-sistematico, distinguendo il regime giuridico delle pubblicazioni obbligatorie ai sensi della normativa vigente in materia di «trasparenza» contenute nel d. lgs. n. 33/2013, dal regime giuridico previsto per altri tipi di pubblicità online (es.: pubblicazioni matrimoniali, pubblicazioni in G.U., pubblicazioni sull'albo pretorio degli enti locali o di altri enti etc.).

Appare però necessario, considerato quanto già rilevato circa il non compiuto utilizzo dello spazio offerto dallo stesso criterio di delega per consentire la rimodulazione degli obblighi di pubblicazione,  e cogliendo l' occasione della revisione normativa in corso, quanto meno apportare le modifiche necessarie a superare i dubbi interpretativi sopra segnalati.

Tali modifiche di seguito espressamente riportate, dovrebbero riguardare non solo l'art. 3, ma anche le altre norme a esso collegate ( Art. 5, comma 1; 8, comma 1-3; 9, comma 1; 43, comma 1; 45, comma 1 e 3; 46, comma 1; 48, comma 2 e 5 del d.lgs. n. 33 del 2013).

La modifiche proposte sono le seguenti:

a) sostituire nel testo del decreto legislativo la locuzione relativa ai dati oggetto di pubblicazione obbligatoria «ai sensi della normativa vigente», con altra locuzione che limiti più chiaramente l'applicazione della disciplina prevista dal decreto legislativo n. 33/2013 ai soli dati oggetto di pubblicazione obbligatoria ai sensi della normativa in materia di trasparenza e, segnatamente, del medesimo d. lgs. n. 33/2013;

b) sostituire le parole: "normativa vigente" con le seguenti: «presente decreto» negli artt. 3, comma 1 del d.lgs. 33, invariato in parte qua (sulla definizione di dato pubblico); 5, comma 1 (sull'accesso civico); 7, comma 1 (sul riutilizzo); 8, commi 1-3 (sulla durata obblighi pubblicazione); 9, comma 1 (sulla sezione "Amministrazione trasparente"); 43, comma 1 (sul responsabile della trasparenza); 45, commi 1 e 3; 46, comma 1 (sui poteri dell'ANAC); 48, commi 1, 2 e 5 (sull'attuazione degli obblighi di pubblicità e trasparenza). Sostituire altresì le parole: "disciplina vigente»" con le seguenti: "presente decreto", all'art. 3, commi 1 e 1-bis (sulla definizione di dato pubblico).

3. La conoscibilità dei dati. Pubblicità dei "soldi pubblici"

La bozza del nuovo decreto legislativo 33/2013 prevede all'art. 5 l'introduzione di un nuovo art. 4-bis, intitolato «Trasparenza nell'utilizzo delle risorse pubbliche», che prevede:

«1. L'Agenzia per l'Italia digitale, al fine di promuovere l'accesso e migliorare la comprensione dei dati relativi all'utilizzo delle risorse pubbliche, gestisce un sito internet denominato "Soldi pubblici" che consente l'accesso ai dati dei pagamenti delle pubbliche amministrazioni e ne permette la consultazione in relazione alla tipologia di spesa sostenuta e alle amministrazioni che l'hanno effettuata, nonché all'ambito temporale di riferimento.

2. Ciascuna amministrazione pubblica sul proprio sito istituzionale, in una parte chiaramente identificabile della sezione "Amministrazione trasparente", i dati sui propri pagamenti e ne permette la consultazione in relazione alla tipologia di spesa sostenuta, all'ambito temporale di riferimento e ai beneficiari.

3. Per le spese in materia di personale si applica quanto previsto dagli articoli da 15 a 20».

Occorre, precisare meglio e distinguere l'onere di pubblicità a carico dell'AGID e quello ricadente sulle singole amministrazioni. In tal senso, appare opportuno prevedere espressamente che sono pubblici i "dati aggregati" e che i dati pubblicati dalla singola amministrazione fanno riferimento alle "categorie di beneficiari" a cui si riferiscono e non «ai beneficiari» la cui diffusione soggiace, invece, trattandosi di dati personali, ai limiti previsti espressamente dal successivo art. 26 del d. lgs. 33/2013.

All'articolo 5, comma 1, lettera b), capoverso "Art. 4-bis", vanno apportate le seguenti modificazioni:

a) al comma 1, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata";

b) al comma 2, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata" e sostituire le parole: "e ai beneficiari" con le seguenti: "e alle categorie di beneficiari".

4. Pubblicità dei dati ed accesso civico.

4.1. Nuovo accesso civico

L'art. 6 dello schema di decreto, che sostituisce integralmente l'art. 5 del d.lgs. n. 33 del 2013, modifica profondamente l'istituto dell'accesso civico. Si prevede infatti che, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, chiunque «ha diritto di accedere ai dati e documenti detenuti dalle pubbliche amministrazioni», senza alcuna limitazione quanto alla legittimazione soggettiva del richiedente e senza motivazione, salvo le eccezioni previste dall'art. 5-bis (che prevedono ipotesi in cui l'accesso civico debba essere rifiutato perché reca pregiudizi a interessi pubblici e privati).

È previsto, inoltre, l'obbligo per l'amministrazione cui è indirizzata la richiesta di accesso di dare comunicazione della predetta richiesta a eventuali soggetti controinteressati, che, entro dieci giorni, possono presentare una motivata opposizione (art. 5, comma 4). Nel caso di accoglimento della richiesta, l'amministrazione competente «provvede tempestivamente, e comunque non oltre trenta giorni dalla presentazione dell'istanza, a trasmettere al richiedente i dati o i documenti richiesti […]» (art. 5, comma 5).

L'intento dell'accesso civico –che la relazione illustrativa dichiara non solo essere ispirato ma anche "equivalente a quella che nei sistemi anglosassoni è definita Freedom of information act (FOIA)"- sarebbe quello di consentire ai cittadini di verificare la correttezza dell'azione amministrativa dotandoli di uno strumento ulteriore rispetto a quelli tradizionalmente forniti dall'ordinamento ai portatori di interessi "qualificati":  tuttavia, a differenza del testo vigente, il nuovo accesso civico riguarda non solo i dati oggetto di un obbligo di pubblicazione previsto dalla disciplina vigente, ma ogni dato e documento ulteriore comunque detenuto da qualunque soggetto cui la legislazione si applica.

Con specifico riferimento ai dati personali, è previsto che la richiesta di accesso civico possa essere negata se il diniego è necessario per evitare un pregiudizio alla tutela della «protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a).

E' in primo luogo lecito domandarsi, come i soggetti pubblici, che detengono grandi banche di dati, anche sensibili, dei cittadini decideranno se accogliere o meno le istanze di accesso al documento contenente dati personali, in assenza di un parametro per effettuare il bilanciamento fra la protezione dei dati personali e l'interesse del richiedente, dal momento che l'istanza non è  motivata ed è dunque carente dell'indicazione della finalità perseguita, che costituisce elemento determinante ai fini della valutazione della legittimità del trattamento.

Interpretazioni difformi potrebbero infatti determinare, oltretutto, un diverso grado di tutela del diritto alla protezione dei dati personali dei controinteressati, con conseguenze anche paradossali.

Si pensi a una richiesta di accesso civico avente a oggetto la lista dei nominativi dei minori iscritti a una scuola, corredata da tutte le ulteriori informazioni nella disponibilità dell'amministrazione (dall'indirizzo di residenza alla composizione o allo stato reddituale della famiglia, a eventuali disabilità).

O si consideri, ancora, a quali conseguenze potrebbero essere esposti i contribuenti ove l'istanza di accesso civico venisse avanzata nei confronti dell'anagrafe tributaria, ove confluiscono, tra gli altri, tutti i dati detenuti da ogni istituto di credito con riferimento a saldi, movimenti e giacenza media di tutti i conti correnti.

Per non citare l'impatto, in termini estremamente negativi, suscettibile di derivare dall'ostensione, a chiunque ne faccia richiesta, di informazioni sulla salute o la vita sessuale dei singoli, detenuti da strutture ospedaliere e di cura.

Al riguardo si osserva quanto segue:

1) L'eccezione contenuta nell'art. 5-bis fa salva la disciplina in materia di protezione dei dati personali in base alla quale la comunicazione di dati personali da parte di soggetti pubblici ad altri soggetti privati o a enti pubblici economici è ammessa solo se prevista da una norma di legge o di regolamento (art. 19, comma 2, del Codice). Nella medesima disciplina è previsto un regime speciale per l'accesso ai documenti amministrativi (artt. 59 e 60) che rimanda esplicitamente alla normativa contenuta nella legge n. 241 del 7/8/1990 e ai regolamenti di attuazione, stabilendo – e tale disciplina resta ferma – che è possibile accordare l'accesso anche a documenti contenenti dati personali, con precise precauzioni per i dati sensibili e giudiziari, nonché per quelli idonei a rivelare lo stato di salute o la vita sessuale (principio del pari rango).

Una deroga o una modifica di tale disciplina, attraverso il decreto legislativo che modifica il d. lgs. 33/2013, deve pertanto ritenersi esclusa. Secondo, infatti, l'art. 7 della legge delega (l. n. 124/2015), il governo può procedere solo alla modifica del d. lgs. n. 33/2013 e all'istituzione del diritto di accesso civico, nei limiti dei divieti di divulgazione previsti dall'ordinamento e della tutela degli interessi pubblici e privati (la delega, quindi, non comprende una deroga al Codice, né ovviamente la sua indiretta abrogazione).

Sarebbe del tutto illogico se i limiti al diritto di accesso ai documenti amministrativi contenuti nella l. n. 241/1990 (che valgono nei confronti di un interessato che dimostri un interesse qualificato all'accesso), venissero meno quando l'istanza è presentata secondo la procedura dell'«accesso civico».

Per tali motivi, appare coerente con il sistema che i limiti imposti dal rispetto della protezione dei dati personali per l'accesso agli atti amministrativi ai sensi della l. n. 241/1990, siano pienamente efficaci anche per coloro che inoltrano richieste di accesso civico ai sensi del d. lgs. n. 33/2013.

Il nuovo accesso civico, inoltre, disciplina le richieste di accesso non solo a documenti, ma anche a dati. Al riguardo, occorre tenere presente che, ove i dati a cui si chiede l'accesso siano dati personali del richiedente (interessato), tale accesso resta disciplinato nel Codice (artt. 7 e 8) secondo il procedimento e i tempi ivi stabiliti e con i rimedi, in caso di omesso o ritardato riscontro da parte del titolare del trattamento, espressamente previsti dal Codice (artt. 145 ss.), che non possono essere derogati in questa sede (con competenza del giudice ordinario anziché di quello amministrativo).

2) La Direttiva comunitaria 95/46/CE «relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati» prevede la necessità del rispetto del principio di finalità in base al quale «Gli Stati membri dispongono che i dati personali devono essere: […] b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità» (art. 6).

Tale articolo è stato recepito nel Codice che prevede come «I dati personali oggetto di trattamento sono: […] b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi» (art. 11). Ciò vuol dire che una P.A. può effettuare un trattamento di dati personali ulteriore – come la comunicazione di dati personali a terzi a seguito di una richiesta di «accesso civico» – solo se la finalità dell'ulteriore trattamento è compatibile con gli scopi originari del trattamento stesso. Per valutare la predetta compatibilità si può fare riferimento anche ai criteri indicati dal Gruppo Art. 29 nel Parere n. 3/2013 sul principio di limitazione della finalità.

È bene ricordare, altresì, che il testo finale di compromesso adottato dal Consiglio Ue in data 18 dicembre 2015 a seguito dell'accordo politico con il Parlamento europeo sul «Regolamento (Ue) 2016/… del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati), e che abroga la direttiva 95/46/CE» (non ancora pubblicato in GUUE) , prevede all'art. 6, comma 3-bis, identici criteri per la valutazione della compatibilità di trattamenti ulteriori, come la ragionevole aspettativa dell'interessato, il contesto del trattamento, le connessioni esistenti fra le singole finalità .

Appare evidente che il sistema copre, attraverso obblighi di pubblicazione e/o «accesso civico», la totalità dei dati trattati dalla P.A. con un'ampiezza che, se non accompagnata dalla individuazione delle categorie di atti da ritenersi ricompresi nella definizione e dalla contestuale individuazione di limiti precisi a detto accesso, determinerà conseguenze patologicamente rilevanti e tra le più varie.

L'assenza di una motivazione da parte del richiedente, nel privare l'amministrazione destinataria delle istanze di ostensione dei necessari elementi di ponderazione in ordine al fine così perseguito, può determinare, alternativamente, una eccessiva rigidità interpretativa, per cui l'amministrazione medesima tenderà a rigettare le richieste depauperando di ogni utilità lo strumento dell'accesso civico, oppure, al contrario, una dilatazione ingiustificata della nozione di trasparenza, per cui verranno trasmessi al richiedente dati e documenti senza alcun ragionevole criterio selettivo.

Ciò che appare fuor di dubbio è che la mancata previsione, per le richieste di accesso civico, dell'obbligo di motivazione - che, pur non arrivando ad assumere i contorni ben definiti di una "situazione giuridicamente rilevante", fornisca elementi di valutazione idonei a legittimare l'istanza – rischia di comportare un'applicazione della disposizione diseguale da ufficio a ufficio.

Infatti, la decisione in ordine all'ostensibilità dell'atto o del documento, essendo affidata unicamente alla valutazione del funzionario pubblico senza aver fornito a quest'ultimo alcun parametro di valutazione, rischia altresì di essere talmente discrezionale da sfociare nell'arbitrarietà, conseguenza del tutto paradossale ove si consideri che il legislatore delegato ha voluto rafforzare l'istituto "al fine di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche".

La disciplina in esame andrebbe pertanto significativamente rimodulata, prevedendo che laddove l'accoglimento dell'istanza di accesso possa determinare la comunicazione al richiedente di dati personali di terzi, l'ostensione del documento può essere effettuata soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso ovvero, previo oscuramento dei dati personali presenti.

L'accertamento in questione terrà ovviamente conto di quanto manifestato dal controinteressato, al quale deve essere sempre data comunicazione della richiesta di accesso.

Tale previsione va poi completata con un generale divieto di comunicazione di dati sensibili o giudiziari nonché di dati personali di minorenni, in osservanza della tutela rafforzata accordata dall'ordinamento interno e dal diritto dell'Unione europea a tali categorie di dati personali.

L'opportunità delle suddette modifiche è, del resto, avvalorata da un'analisi di diritto comparato, con particolare riguardo alla disciplina del Freedom of Information Act di cui alla Section 552 dell'U.S. Code. Essa, infatti, sancisce il diniego dell'ostensione non solo di "documenti medici" ma anche di altre tipologie di documenti, qualora possa derivarne un'ingiustificata ingerenza nella sfera di riservatezza individuale.

Tale disciplina prevede anche la possibilità di oscurare i dati personali eventualmente presenti in atti, a carattere prevalentemente generale, ai quali il cittadino richieda di accedere.

Le suddette modifiche legislative dovrebbero comunque essere completate con un regolamento attuativo volto a individuare nel dettaglio le categorie di dati e di documenti suscettibili di accesso ai sensi dell'art. 5, comma 2, nonché i casi di rigetto dell'istanza a fini di tutela degli interessi di cui all'art. 5-bis. In assenza di una normativa regolamentare di attuazione che declini con maggiore dettaglio oggetto e limiti dell'accesso, nella nuova forma prevista, vi è, infatti, il concreto rischio di interpretazioni irragionevolmente diverse tra le varie amministrazioni e, al loro interno, tra i vari uffici, con un'ingiustificata disparità di trattamento, per i cittadini, che ne deriverebbe.

Pertanto, all'articolo 6, comma 2, capoverso "Art. 5-bis", si voglia apportare la seguente modifica:

a) dopo il comma 3 inserire il seguente: "3-bis. Qualora dall'accesso di cui all'art. 5, comma 2, possa derivare la comunicazione di dati personali, esso è accolto soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso rispetto al diritto del controinteressato alla protezione dei propri dati personali, ovvero previo oscuramento dei dati personali presenti. L'accesso è in ogni caso rifiutato qualora esso comporti la comunicazione di dati sensibili o giudiziari o, comunque, di dati personali di minorenni.";

b) dopo il comma 5 aggiungere, in fine, il seguente: "5-bis. Il Governo adotta, su proposta del Ministro delegato per la semplificazione e la pubblica amministrazione, un regolamento ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, e successive modificazioni, per l'attuazione delle disposizioni di cui all'articolo 5 e al presente articolo e, in particolare, per l'individuazione delle categorie di dati e di documenti suscettibili di accesso, nonché dei casi di diniego a fini di tutela degli interessi di cui al presente articolo."

4.1.1. In relazione, infine, ai termini procedurali previsti per l'accesso civico è opportuno modificare le relative disposizioni anche al fine di consentire alle pp.aa. di valutare eventuali opposizioni formulate da possibili controinteressati come previsto dell'art. 5, comma 4.

Infatti, la disciplina in oggetto prevede che, entro trenta giorni dalla presentazione della richiesta, l'amministrazione non solo deve adottare il provvedimento conclusivo del procedimento relativo all'istanza di accesso civico, ma deve provvedere alla immediata trasmissione al richiedente dei dati o dei documenti oggetto di accesso civico.

Ciò significa che il soggetto controinteressato non è effettivamente tutelato. Per come sono formulati i commi 4 e 5 del nuovo art. 5 del d.lgs. n. 33/013, la p.a. che esamina una richiesta di accesso civico ha trenta giorni dalla presentazione dell'istanza per valutare o meno se dare un riscontro positivo alla richiesta di accesso civico.

In questo arco di tempo deve, in primo luogo, verificare se la richiesta viola uno dei limiti previsti dal comma 5-bis.

Effettuata questa valutazione, se individua controinteressati, deve inviare a questi ultimi la comunicazione della richiesta di accesso e dalla ricezione della stessa decorrono ulteriori dieci giorni in cui il controinteressato può opporsi.      Non è previsto che la comunicazione al controinteressato sospenda i termini del procedimento per cui il tempo materiale a disposizione della p.a. per valutare le eventuali deduzioni dei controinteressati (che in linea di principio potrebbero essere anche molto numerosi, nel caso in cui, ad esempio, la richiesta attenga ai dati contenuti all'interno di una banca dati) ed emettere il provvedimento, motivato, di accettazione o diniego della richiesta di accesso, potrebbe essere veramente esiguo.

Infine, poiché allo scadere dei trenta giorni è previsto non solo che la p.a. emetta il provvedimento finale – come nel procedimento dell'accesso ai documenti amministrativi ai sensi della l. n. 241/1990 –, ma che fornisca proprio l'accesso al dato o al documento oggetto di «accesso civico», non è fornita alcuna tutela al controinteressato che, al contrario, voglia opporsi al provvedimento della p.a., mediante impugnazione del provvedimento finale di fronte all'autorità competente ed eventuale richiesta di un provvedimento cautelare per negare l'ostensione dei dati.

In materia di protezione dei dati personali, infatti, il danno derivante dalla semplice conoscenza di un'informazione è in re ipsa e non c'è risarcimento che possa riparare al danno effettuato (si pensi ad esempio alla rivelazione di dati idonei a rivelare lo stato di salute).

Al fine di consentire ai controinteressati di fare un'effettiva opposizione al diritto di accesso civico ai propri dati personali da parte di terzi, vanno modificati i termini procedimentali, omologando il procedimento a quello previsto per l'accesso agli atti amministrativi dalla l. n. 241/1990.

Per le ragioni su esposte è pertanto necessario apportare le seguenti modifiche all'articolo 6 dello schema:

a) al capoverso "Art. 5":

1) Al comma 5, al primo periodo, sostituire le parole: "L'amministrazione competente provvede tempestivamente e comunque non oltre trenta giorni dalla presentazione dell'istanza" con le seguenti: "Il procedimento di accesso civico deve concludersi nel termine di trenta giorni dalla presentazione dell'istanza all'ufficio competente, con la comunicazione al richiedente e all'eventuale controinteressato, al fine di consentirgli di fare opposizione al provvedimento. In caso di accoglimento della richiesta di accesso civico l'amministrazione competente provvede a trasmettere entro un congruo periodo di tempo, comunque non prima di quindici giorni," e, dopo la parola: "indicando", inserire la seguente: "al richiedente";

2) al comma  2, sostituire le parole: "interessi pubblici e privati giuridicamente rilevanti", con le seguenti: "interessi giuridicamente rilevanti, secondo quanto previsto dall'articolo 5-bis del presente decreto";

b) al Capoverso "Art. 5-bis", al comma 1, all'alinea, sopprimere la parola: "pubblici" e, al comma 2, alinea, sopprimere la parola: "privati".

4.2. Al fine di armonizzare con le disposizioni del Codice la previsione sulla giurisdizione competente a conoscere le controversie in materia di accesso civico, nel rispetto del riparto di giurisdizione sancito in linea generale, va poi precisato al comma 7 dell'art. 5, che qualora le controversie abbiano ad oggetto il diritto alla protezione dei dati personali, è competente il giudice ordinario e si applica il procedimento sancito dall'art. 152 del Codice.

5. Introduzione del Capo I bis intitolato "dati pubblici aperti" e dell'art. 7 intitolato "dati aperti e riutilizzo"

La bozza del nuovo decreto legislativo 33/2013 prevede l'introduzione di un nuovo capo I-bis intitolato «Dati pubblici aperti». La locuzione utilizzata è equivoca, anche perché all'interno del capo sono collocati gli artt. 5 «accesso civico a dati e documenti», 5-bis «limiti all'accesso civico», 5-ter «accesso per fini scientifici ai dati elementari raccolti per finalità statistiche» che non disciplinano quindi il tema dei dati pubblici «aperti» riportato nel titolo del capo (contenuto invece nell'art. 7, all'interno del successivo capo 1-ter «Pubblicazione dei dati, delle informazioni e dei documenti»).

Occorre poi evidenziare che i dati oggetto di pubblicazione obbligatoria, ai sensi dell'art. 7 d. lgs. n. 33/2013, non possono essere considerati «dati di tipo aperto». Tali dati sono, infatti, ai sensi del Codice dell'amministrazione digitale-CAD (D.Lgs. 7/3/2005, n. 82), quelli utilizzabili da parte di chiunque, anche per finalità commerciali, in formato disaggregato secondo i termini di una licenza d'uso (art. art. 68, comma 3, lett. b, del CAD).(3)

L'art. 7 del d. lgs. n. 33/2013, che prevede che i dati e i documenti oggetto di pubblicazione obbligatoria sono pubblicati in «formato di tipo aperto» che, ai sensi dell'art. 68 del CAD, è «un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi» (art. 68, comma 3, lett. a, del CAD). La disposizione citata persegue correttamente lo scopo di non obbligare gli utenti a dotarsi di programmi proprietari o a pagamento per la fruizione – e, quindi, per la visualizzazione – dei file contenenti i dati oggetto di pubblicazione obbligatoria.

Sempre ai sensi del citato art. 7, i dati e i documenti oggetto di pubblicazione obbligatoria possono essere riutilizzati, ma solo ai sensi della normativa in materia di riutilizzo dei documenti nel settore pubblico (d. lgs. n. 36/2006) e della normativa in materia di protezione dei dati personali (d. lgs. n. 196/2003). Al riguardo si propone di rinominare- laddove ritenuto necessario il mantenimento di un apposito capo- il capo I-bis in maniera più coerente con il sistema, come ad esempio, «Accesso ai dati», e di sostituire il titolo dell'art. 7 con «Riutilizzo dei dati pubblicati»

6. Durata degli obblighi di pubblicazione

L'art. 8, comma 3, del decreto n. 33 prevede che «I dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorre l'obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatti salvi i diversi termini previsti dalla normativa in materia di trattamento dei dati personali e quanto previsto dagli articoli 14, comma 2, e 15, comma 4». Il nuovo comma 3-bis, inserito dall'art. 8, c.1, lett.b) dello schema, prevede, inoltre, che «L'Autorità nazionale anticorruzione, sulla base di una valutazione del rischio corruttivo, delle esigenze di semplificazione e delle richieste di accesso, determina i casi in cui la durata della pubblicazione del dato e del documento può essere inferiore a 5 anni».

La formulazione dell'art. 8 è suscettibile di ingenerare dubbi in sede applicativa, rimettendo all'interprete la valutazione, in concreto, del limite temporale della pubblicazione sul web da ritenere applicabile per ciascuna fattispecie, con il rischio di interpretazioni irragionevolmente differenti e, quindi, di ingiustificate disparità di trattamento.

In particolare, l'art. 8 prevede un limite generale di cinque anni, a cui si accompagnano tre deroghe:

a) nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;

b) nel caso di alcuni dati e informazioni riguardanti i titolari «di incarichi politici, anche se non di carattere elettivo, di livello statale regionale e locale» (art. 14, comma 2) e i «titolari di cariche di governo e di incarichi amministrativi di vertice, nonché di incarichi di collaborazione o consulenza» che devono rimanere pubblicati online per i tre anni successivi dalla cessazione del mandato o dell'incarico dei soggetti (art. 15, comma 4);

c) nel caso in cui siano previsti «diversi termini» dalla normativa in materia di trattamento dei dati personali.

Con riferimento a quanto previsto nel d. lgs. n. 33/2013 in ordine ai «diversi termini» (che sarebbero) contenuti nella normativa in materia di trattamento dei dati personali, si rappresenta che – come già evidenziato criticamente dal Garante nel parere del 7 febbraio 2013 (par. 7) – il Codice non prevede limiti temporali espliciti, ma solo che i dati personali devono essere «conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati» e che l'interessato ha diritto di ottenere la cancellazione dei dati personali «di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati»(4). Tali previsioni recepiscono, peraltro, le identiche disposizioni contenute nella direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali(5) le quali, in quanto tali, non possono essere derogate in virtù del principio del primato del diritto europeo. Da tale principio, inoltre, discende l'obbligo di interpretare il diritto nazionale in maniera conforme al diritto europeo(6) e, nello specifico, alle disposizioni direttamente applicabili che impongono il rispetto dei principi di pertinenza, necessità e proporzionalità, in base ai quali la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all'obiettivo perseguito e, in particolare, quando tale obiettivo non può essere realizzato in modo ugualmente efficace con modalità meno pregiudizievoli per la riservatezza degli interessati.(7)

La previsione dell'ampio e generalizzato arco temporale quinquennale non sembra rispettosa del principio di proporzionalità di matrice europea che impone la commisurazione dei termini alla luce della finalità del trattamento.

Nel dettaglio, la predetta disposizione sembra infatti porsi in contrasto con:

- l'art. 6, par. 1, lett. e), della direttiva 95/46/CE, laddove prevede espressamente che i dati siano conservati per un periodo di tempo «non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati»;

- l'art. 12, par. 1, lett. b) della direttiva 95/46/CE, laddove prevede il diritto dell'interessato di ottenere la cancellazione di dati personali che lo riguardano quando il loro «trattamento non è conforme alle disposizioni della stessa direttiva», incluso appunto il caso in cui questi siano conservati per un periodo di tempo «non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati» (art. 6, par. 1, lett. e, dir. 95/46/CE cit.);

- i principi affermati nella sentenza della Corte di Giustizia UE 9 novembre 2010, cause riunite C-92/09 e C-93/09 che ha dichiarato l'invalidità di un regolamento comunitario nella parte in cui imponeva la pubblicazione di dati personali di beneficiari di finanziamenti di fondi strutturali senza prevedere, fra l'altro, un limite temporale per la durata della stessa, commisurato ai periodi nel corso dei quali gli interessati hanno percepito gli aiuti (punto n. 1 del dispositivo).

Inoltre, la previsione relativa alla durata quinquennale del periodo di pubblicazione online è suscettibile di generare antinomie anche rispetto alla disciplina nazionale di recepimento della direttiva 95/46/CE, in particolare con l'art. 11, comma 1, lett. d) ed e) e l'art. 7, comma 3, lett. b), del Codice che prevedono, rispettivamente, che i dati personali devono essere «conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati» e che l'interessato ha diritto di ottenere la cancellazione dei dati «di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati».

Per tale motivo, il Garante nelle citate Linee guida del 2014 ha già evidenziato alle pubbliche amministrazioni che «laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza, contengano dati personali, questi ultimi devono essere oscurati, anche prima del termine di cinque anni, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti».

Tutte queste considerazioni inducono pertanto a promuovere un intervento correttivo del testo dell'articolo volto ad attenuare l'attuale difformità della disciplina sulla trasparenza dal quadro normativo europeo e nazionale in materia di protezione dei dati personali.

Al fine di sopperire alle criticità evidenziate appare opportuno attribuire al Garante un potere di proposta rispetto alla determinazione con cui Anac identifica i casi nei quali la pubblicazione del dato e del documento può essere inferiore a cinque anni All'art. 8, comma 1, lettera b),  si richiede pertanto di riformulare il comma 3-bis, ivi richiamato, nel modo seguente, inserendo, dopo le parole:  «L'Autorità nazionale anticorruzione", le seguenti: ", anche su proposta del Garante per la protezione dei dati personali, "».

7. La conoscibilità dei dati "pubblici". Motori di ricerca e indicizzazione

L'art. 9, comma 1, prevede che le «amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione "Amministrazione trasparente"» (cfr. anche art. 7-bis, comma 1).

Come già evidenziato nel parere del Garante del 7 febbraio 2013, un obbligo così ampio e indifferenziato di indicizzare la documentazione pubblicata è contrario al principio di proporzionalità nel trattamento dei dati personali rispetto alle specifiche finalità di trasparenza di volta in volta perseguite e non tiene in considerazione le esigenze di avere dati esatti, aggiornati e contestualizzati (art. 6, par. 1, lett. d. dir. 95/46/CE. Cfr. anche art. 7, par.1, lett. c e d, della medesima direttiva). In base al citato principio di proporzionalità, la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all'obiettivo perseguito e, in particolare, quando tale obiettivo non può essere realizzato in modo ugualmente efficace con modalità meno pregiudizievoli per la riservatezza degli interessati.(8)

Se la trasparenza, ai sensi dell'art. 1, comma 1, del decreto legislativo 33/2013, deve essere intesa come «accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni allo scopo di tutelare i diritti fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche», la stessa può essere adeguatamente garantita mediante la messa a disposizione delle relative informazioni sui siti web istituzionali senza necessità di indicizzazione. La reperibilità, senza distinzioni, dei dati personali mediante i comuni motori di ricerca espone, infatti, la vita privata alla generale curiosità del pubblico, determinando conseguenze ultronee rispetto agli obiettivi di trasparenza già efficacemente raggiunti attraverso la pubblicazione dei medesimi dati sui siti web istituzionali delle amministrazioni.

Un malinteso (e dilatato) principio di trasparenza può infatti determinare conseguenze gravi e pregiudizievoli tanto della dignità delle persone quanto della stessa convivenza sociale. Deve infatti essere tenuto presente che i motori di ricerca "decontestualizzano" i dati personali disponibili on ine, estrapolandoli dal sito in cui sono contenuti e trasformandoli in una parte – non controllata e non controllabile – secondo una "logica" di priorità di importanza del tutto sconosciuta e non conoscibile all'utente. Inoltre, una volta che i dati personali sono resi accessibili in maniera indifferenziata su Internet può risultare velleitario limitarne l'uso effettivo e assicurare il rispetto dei principi di protezione dei dati.

Un intervento normativo rispettoso del principio di proporzionalità dovrebbe prevedere, pertanto, una graduazione delle modalità di reperibilità in rete delle informazioni, oggetto degli obblighi di trasparenza, tramite i motori di ricerca. In questo quadro, potrebbe essere ritenuta giustificata l'indicizzazione da parte dei comuni motori di ricerca dei dati personali riferiti a soggetti che ricoprono cariche politiche per la rilevanza pubblica del ruolo ricoperto o della funzione esercitata. Tale obiettivo non giustifica, invece, che la trasparenza dell'amministrazione si trasformi nella "trasparenza delle persone" (per esempio nell'indicizzazione dei redditi dei dirigenti, dei dati personali dei soggetti beneficiari di sovvenzioni e aiuti economici sopra i mille euro nell'anno solare, etc.).

È, inoltre, necessario adeguare il testo normativo all'applicazione del diritto europeo e alla sentenza della Corte di Giustizia UE del 13 maggio 2014, causa C-131/12, Google Spain SL, Google Inc/Agencia Española de Protección de Datos, dando comunque la possibilità al richiedente di chiedere al titolare del trattamento la deindicizzazione dei propri dati identificativi.

Peraltro, anche l'Autorità nazionale anticorruzione-ANAC, nella propria relazione annuale 2014 al Parlamento, ha evidenziato che «ad avviso dell'Autorità il regime applicabile alle informazioni oggetto di pubblicazione e diffusione via web potrebbe essere articolato e graduato anche con riferimento al periodo di pubblicazione, alle modalità di conservazione, alla indicizzazione dei contenuti da parte dei motori di ricerca esterni».(9)

Si suggerisce pertanto di sopprimere, all'interno dell'art. 9, comma 1, l'intero periodo: «Le amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione "Amministrazione trasparente"».

8. Obblighi di pubblicazione relativi ai "Titolari di incarichi politici", "Dirigenti" titolari di "Cariche di Governo" e di "Incarichi amministrativi di vertice"

L'art. 14 d.lgs. n. 33 del 2013,disciplina gli obblighi di pubblicazione dei dati reddituali e patrimoniali dei «titolari di incarichi politici» anche non elettivi, nonché degli incarichi dirigenziali a qualsiasi titolo conferiti.

Nel successivo articolo 15, invece, sono disciplinati gli oneri di trasparenza di titolari di «cariche di governo» e di «incarichi amministrativi di vertice».

Le modifiche sul punto innovano profondamente il precedente bilanciamento effettuato dal legislatore delegato, equiparando completamente gli obblighi di trasparenza dei dirigenti delle amministrazioni pubbliche e degli altri soggetti cui il decreto si applica a quelli previsti per i titolari di incarichi politici. Tale previsione, oltre ad assimilare condizioni  non del tutto equiparabili fra loro ( quali quelle dei titolari di incarichi dirigenziali e dei titolari di incarichi politici) impone la pubblicazione della propria situazione patrimoniale ad un notevolissimo numero di soggetti: secondo le elaborazioni dell'Aran, infatti, i dirigenti pubblici ai quali si applicherebbero tali nuove disposizioni sarebbero oltre 140.000, senza contare coniugi né parenti fino al secondo grado.

Inoltre, il predetto personale dirigenziale sarebbe assoggettato ad importanti obblighi di trasparenza (e quindi ad un trattamento giuridico limitativo della riservatezza individuale) a prescindere dall'effettivo rischio corruttivo insito nella funzione svolta, così come altri soggetti pubblici risulterebbero invece inspiegabilmente esclusi dai medesimi obblighi pur potendo ricoprire incarichi di analogo rilievo (si pensi ai soggetti di cui all'articolo 17, comma 22, della legge 127/1997, tenuti alla mera comunicazione dei propri dati patrimoniali, senza che in relazione agli stessi sussista alcun obbligo di pubblicazione sul sito dell'amministrazione di appartenenza ).

Al riguardo, si sottolinea peraltro che non è facilmente individuabile la categoria degli incarichi politici e se vadano intesi con i soli vertici politico-rappresentativi delle amministrazioni statali, regionali e locali (es.: Ministri, consiglieri, assessori) o con organi diversi, come presidenti e collegi degli enti (es: presidente INPS, organi delle Camere di commercio, Senato accademico degli atenei, etc.). Nel testo del decreto, inoltre, in alcuni casi si utilizza il termine «incarichi politici» e in altri organi «di indirizzo politico» (cfr. artt. 7-bis, 13, 14, 15, 16, 17, 23, 43, 45) presente nella precedente versione dell'art. 14 del d. lgs. 33/2013. Non si comprende, però, se si tratta o meno della stessa categoria.

A ciò si aggiunge che il nuovo art. 14 non specifica se gli obblighi di pubblicazione della situazione patrimoniale si applichino a tutti, oppure solo ai soggetti tenuti a fare le dichiarazioni previste dalla l. n. 441 del 5/7/1982.

La questione non è di poco conto, considerando che ad esempio l'Anac ha ritenuto che la disposizione si applicasse ai  membri del Senato accademico dell'Università di cui fanno parte anche studenti e personale tecnico amministrativo, ma non ai sindaci, consiglieri e assessori con popolazione inferiore a 15.000 abitanti (cfr. delibera Anac 7/10/2014 n. 144). La conseguenza è che uno studente che fa parte di un Senato accademico sarebbe tenuto a pubblicare la propria dichiarazione dei redditi, mentre un sindaco di un comune di 14.999 abitanti non sarebbe obbligato.

È estremamente importante che vengano chiaramente definite le categorie ed i tipi di incarichi che si intendono ricomprendere nella locuzione e quindi quali siano i soggetti tenuti agli obblighi di pubblicazione indicati all'art. 14 del decreto, posto che la relativa violazione è soggetta a sanzione (art. 41, comma 1, del d. lgs. 33/2013).

Alla luce della disposizione contenuta nell'art. 15, non è poi dato capire cosa si intenda effettivamente per soggetti titolari di «cariche di governo» (solo quelli nominati dal Consiglio dei ministri, da Ministri o anche quelli nominati dal Parlamento e da Commissioni parlamentari, oppure ancora da consigli o assessori di regioni ed enti locali?) e di «incarichi amministrativi di vertice».

Più in generale, si sottolinea in questa materia l'importanza di un approccio rispettoso del principio di proporzionalità di derivazione europea (art. 6, par. 1, lett. c, dir. 95/46/CE), che tenga in considerazione l'orientamento espresso dalla Corte di giustizia nelle sentenze del 20 maggio 2003 (Cause riunite C-465/00, C-138/01 E C-139/01, Rechnungshof e al.), del 9 novembre 2010 (Cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR e al.) e del 29 giugno 2010 (Causa C-28/08P, Commissione/Bavarian Lager). Secondo tale orientamento, le istituzioni pubbliche, prima di divulgare informazioni riguardanti una persona fisica, devono soppesare l'interesse dell'Unione a garantire la trasparenza delle proprie azioni con la lesione dei diritti riconosciuti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell'UE, senza che possa riconoscersi alcuna automatica prevalenza dell'obiettivo di trasparenza sul diritto alla protezione dei dati personali, anche qualora siano coinvolti rilevanti interessi economici (par. 85, sentenza Volker und Markus Schecke GbR e al.).

In questo quadro, va messa in luce la necessità di adottare una graduazione degli obblighi di pubblicazione di dati personali sotto il profilo della platea dei soggetti coinvolti, del contenuto degli atti da pubblicare e delle modalità di assolvimento di tali oneri Andrebbero dunque previsti livelli differenziati di trasparenza del personale pubblico, tali da modulare la conoscibilità delle informazioni a seconda del ruolo e della carica ricoperta, in modo da evitare interferenze sproporzionate sulla sfera privata degli interessati.

Al riguardo si ritiene necessario quantomeno definire, possibilmente all'inizio del decreto legislativo, l'ambito di riferimento delle categorie dei titolari di «incarichi politici», delle «cariche di governo» e degli «incarichi amministrativi di vertice»; in subordine, indicare quali siano i criteri per identificarli.

9. Obblighi di pubblicazione concernenti le spese ed i pagamenti effettuati dalle pp.aa.

Il comma 1-bis, inserito all'art. 41 dall'art. 33, comma 1, lettera a) dello schema di decreto, prevede che «Le amministrazioni di cui al comma 1 pubblicano altresì, nei loro siti istituzionali, i dati relativi a tutte le spese e a tutti i pagamenti effettuati, distinti per tipologia di lavoro, bene o servizio, e ne permettono la consultazione, in forma sintetica e aggregata. in relazione alla tipologia di spesa sostenuta, all'ambito temporale di riferimento e ai beneficiari».

La disposizione si potrebbe prestare a interpretazioni difformi con riferimento alla pubblicazione dei dati dei beneficiari di spese sanitarie che potrebbero rivelare dati sul relativo stato di salute.

Al fine di evitare equivoci si propone di precisare il testo dell'art. 41, comma 1-bis sostituendo alle parole: "ai beneficiari" con le seguenti: "alle categorie dei beneficiari»

10. Tutela giurisdizionale

L'art. 50 del d.lgs. 33, invariato in parte qua, devolve alla giurisdizione  amministrativa le controversie relative agli obblighi di pubblicazione previsti dalla normativa vigente. Tale articolo, come già segnalato in passato (cfr. Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa del 7 febbraio 2013, doc web. n. 2243168), si pone in contrasto con l'art. 152 del Codice, che prevede la competenza del G.O. per le controversie in materia di protezione di dati personali. Sul punto c'è già contrasto giurisprudenziale (cfr. T.A.R. Milano, Lombardia, sez. III, n. 615 del 3/3/2015 che ha previsto la competenza del G.O. per le controversie sulle pubblicazioni previste dal del d. lgs. 33/2013 concernenti dati personali).

Al riguardo, come già proposto in relazione al riparto di giurisdizione per le controversie inerenti l'accesso civico, si rappresenta la necessità di modificare l'articolo  50 sostituendo, al primo periodo, le parole: "dalla normativa vigente" con le seguenti: "dal presente decreto" e aggiungendo, in fine, il seguente periodo: "Resta ferma la giurisdizione dell'autorità giudiziaria ordinaria rispetto a controversie che riguardano comunque l'applicazione delle disposizioni del decreto legislativo 30 giugno 2003, n. 196".

In alternativa si propone di concentrare innanzi al giudice ordinario la giurisdizione per tutte le controversie relative agli obblighi di trasparenza.

IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, con le seguenti condizioni:

a) modificare il presente schema sviluppando in maniera più pregnante i criteri di delega di cui all'art. 7, comma 1, lettere a), c) ed e), della l. 124 del 2015, in particolare razionalizzando e più efficacemente rimodulando gli obblighi di pubblicazione in funzione del grado di esposizione del singolo organo al rischio corruttivo, della funzionalità del dato da pubblicare rispetto alla effettiva necessità, da parte dei cittadini, di conoscere le modalità e le caratteristiche dell'agire amministrativo, nonché del bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati personali degli interessati. Demandare altresì ad un regolamento di attuazione la disciplina, nel dettaglio, delle tipologie di informazioni soggette al regime di trasparenza, nonché delle modalità e delle caratteristiche dell'eventuale pubblicazione (§ 1);

b) all'articolo 2, comma 1, del presente schema, si valuti l'opportunità di modificare l'art. 1, comma 1, del d.lgs n. 33 del 2013, nel modo seguente:

«La trasparenza è intesa come accessibilità dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti  fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, nei limiti del presente decreto» (§ 2.1.1.);

c) all'articolo 4, comma 1, lettera b)dello schema di decreto, capoverso 1-bis, si vogliano sostituire le parole da: "sentito" a: "adottata", con le seguenti: ", con delibera adottata d'intesa con il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali" (§ 2.1)

d) sostituire, nel testo del decreto legislativo, la locuzione relativa ai dati oggetto di pubblicazione obbligatoria «ai sensi della normativa vigente», con altra che limiti più chiaramente l'applicazione della disciplina prevista dal decreto legislativo n. 33/2013 ai soli dati oggetto di pubblicazione obbligatoria ai sensi della normativa in materia di trasparenza e, segnatamente, del medesimo d. lgs. n. 33/2013 (§ 2.2.a.);

e) sostituire le parole: "normativa vigente" con le seguenti: «presente decreto» negli artt. 3, comma 1 del d.lgs. 33, invariato in parte qua (sulla definizione di dato pubblico); 5, comma 1 (sull'accesso civico); 7, comma 1 (sul riutilizzo); 8, commi 1-3 (sulla durata obblighi pubblicazione); 9, comma 1 (sulla sezione "Amministrazione trasparente"); 43, comma 1 (sul responsabile della trasparenza); 45, commi 1 e 3; 46, comma 1 (sui poteri dell'ANAC); 48, commi 1, 2 e 5 (sull'attuazione degli obblighi di pubblicità e trasparenza). Sostituire altresì le parole: "disciplina vigente»" con le seguenti: "presente decreto", all'art. 3, commi 1 e 1-bis (sulla definizione di dato pubblico) (§ 2.2.b);

f) all'articolo 5, comma 1, lettera b), capoverso "Art. 4-bis", si apportino le seguenti modificazioni:

a) al comma 1, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata";

b) al comma 2, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata" e sostituire le parole: "e ai beneficiari" con le seguenti: "e alle categorie di beneficiari" (§ 3);

g) modificare l'articolo 5 del d.lgs. 33 come novellato dall'art. 6 dello schema, prevedendo che - ove l'accoglimento dell'istanza di accesso possa determinare la comunicazione al richiedente di dati personali di terzi- il documento possa essere osteso soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso ovvero, previo oscuramento dei dati personali presenti (§ 4.1);

g.1) prevedere, all'art. 5-bis, introdotto dall'art. 6 dello schema, un generale divieto di comunicazione di dati sensibili o giudiziari, nonché di dati personali di minorenni (§ 4.1);

g.2) demandare a un regolamento attuativo l'individuazione, nel dettaglio, delle categorie di dati e documenti suscettibili di accesso ai sensi dell'art. 5, comma 2, nonché i casi di rigetto dell'istanza a fini di tutela degli interessi di cui all'art. 5-bis (§ 4.1);

h) all'articolo 6 dello schema siano apportate le seguenti modificazioni:

1) al comma 1, capoverso "Art. 5", al comma  2, sostituire le parole: "interessi pubblici e privati giuridicamente rilevanti", con le seguenti: "interessi giuridicamente rilevanti, secondo quanto previsto dall'articolo 5-bis del presente decreto" (§ 4.1.1);

2) al comma 1, capoverso "Art. 5", al comma 5, al primo periodo, sostituire le parole: "L'amministrazione competente provvede tempestivamente e comunque non oltre trenta giorni dalla presentazione dell'istanza" con le seguenti: "Il procedimento di accesso civico deve concludersi nel termine di trenta giorni dalla presentazione dell'istanza all'ufficio competente, con la comunicazione al richiedente e all'eventuale controinteressato, al fine di consentirgli di fare opposizione al provvedimento. In caso di accoglimento della richiesta di accesso civico l'amministrazione competente provvede a trasmettere entro un congruo periodo di tempo, comunque non prima di quindici giorni," e, dopo la parola: "indicando", inserire la seguente: "al richiedente" (§ 4.1.1);

3) al comma 1, capoverso "Art. 5", al comma 7 aggiungere, in fine, il seguente periodo: "Per le controversie aventi ad oggetto il diritto alla protezione dei dati personali si applica il disposto di cui all'art. 152 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003 e successive modificazioni (4.2);

4) al comma 2, Capoverso "Art. 5-bis", apportare le seguenti modificazioni:

4.a) al comma 1, all'alinea, sopprimere la parola: "pubblici" e, al comma 2 del medesimo capoverso, alinea, sopprimere la parola: "privati" (§ 4.1.1)

4.b) dopo il comma 3 inserire il seguente: "3-bis. Qualora dall'accesso di cui all'art. 5, comma 2, possa derivare la comunicazione di dati personali, esso è accolto soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso rispetto al diritto del controinteressato alla protezione dei propri dati personali, ovvero previo oscuramento dei dati personali presenti. L'accesso è in ogni caso rifiutato qualora esso comporti la comunicazione di dati sensibili o giudiziari o, comunque, di dati personali di minorenni." (§ 4.1);

4.c) dopo il comma 5 aggiungere, in fine, il seguente: "5-bis. Il Governo adotta, su proposta del Ministro delegato per la semplificazione e la pubblica amministrazione, un regolamento ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, e successive modificazioni, per l'attuazione delle disposizioni di cui all'articolo 5 e al presente articolo e, in particolare, per l'individuazione delle categorie di dati e di documenti suscettibili di accesso, nonché dei casi di diniego a fini di tutela degli interessi di cui al presente articolo." (§ 4.1);

i) all'art. 8, comma 1, lettera b),  si riformuli il comma 3-bis, ivi richiamato, nel modo seguente, inserendo, dopo le parole:  «L'Autorità nazionale anticorruzione", le seguenti: ", anche su proposta del Garante per la protezione dei dati personali"  (§ 6);

l) all'art. 9, comma 1, del decreto n. 33, nel testo vigente, si sopprima il secondo  periodo (§ 7);

m) in relazione all'articolo 14, definire, possibilmente all'inizio del decreto legislativo, quali sono i titolari di «incarichi politici», le «cariche di governo» e gli «incarichi amministrativi di vertice»; in subordine, indicare quali siano i criteri per identificarli (§ 8);

n) all'art. 33, comma 1, lettera a) dello schema di decreto, al comma 1-bis, ivi inserito, si valuti di sostituire le parole: "ai beneficiari" con le seguenti: "alle categorie di beneficiari » (§ 9);

o) modificare l'articolo  50 del d.lgs. 33 sostituendo, al primo periodo, le parole: "dalla normativa vigente" con le seguenti: "dal presente decreto" e aggiungendo, in fine, il seguente periodo: "Resta ferma la giurisdizione del giudice  ordinario rispetto a controversie che riguardano comunque l'applicazione delle disposizioni del decreto legislativo 30 giugno 2003, n. 196».  In alternativa, si preveda la concentrazione innanzi al giudice ordinario della giurisdizione per tutte le controversie relative agli obblighi di trasparenza (§ 10);

e con la seguente osservazione:

si valuti l'opportunità di rinominare- laddove ritenuto necessario il mantenimento di un' apposita sezione- il capo I-bis del decreto n. 33, introdotto dall'articolo 5, comma 1, lettera a), del presente decreto, in maniera più coerente con il sistema, come ad esempio, «Accesso ai dati», e di sostituire il titolo dell'art. 7 con «Riutilizzo dei dati pubblicati» (§ 5).

Roma, 3 marzo 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

___________________________________

NOTE

(1) Cfr. ex plurimis, Corte cost. 11 luglio 1989 n. 389; Corte cost. 8 giugno 1984 n. 170.

(2) Corte di Cassazione, sentenza n. 29736/2012.

(3) 9. Ai sensi dell'art. 68, comma 3, lett. b), del CAD sono "dati di tipo aperto" quei dati che presentano le seguenti tre caratteristiche:

"1)  sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di chiunque, anche per finalità commerciali, in formato disaggregato;

2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a), sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti dei relativi metadati;

3) sono resi disponibili gratuitamente attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione. L'Agenzia per l'Italia digitale deve stabilire, con propria deliberazione, i casi eccezionali, individuati secondo criteri oggettivi, trasparenti e verificabili, in cui essi sono resi disponibili a tariffe superiori ai costi marginali. In ogni caso, l'Agenzia, nel trattamento dei casi eccezionali individuati, si attiene alle indicazioni fornite dalla direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003, sul riutilizzo dell'informazione del settore pubblico, recepita con il decreto legislativo 24 gennaio 2006, n. 36".

(4) Artt. 11, comma 1, lett. e, e 7, comma 3, lett. b, del Codice.

(5) Art. 6, par. 1, lett. e, e art. 12, par. 1, lett. b, dir. 95/46/CE.

(6) Cfr., ex pluribus, le sentenze della Corte di Giustizia CE, 10 aprile 1984, causa 14/83, Von Colson e Kamann, punto 26; 13 novembre 1990, C-106/89, Marleasing, punto 8; 16 dicembre 1993, causa C-334/92, Wagner Miret, punto 20; 25 febbraio 1999, causa C-131/97, Carbonari, punto 48; 5 ottobre 2004, C-397/01, Pfeiffer, punto 114; Corte di Giustizia CE, 29/1/2008, C-275/06, Productores de Música de España-Promusicae, punto 70.

(7) Art. 6, par. 1, lett. c, e art. 7, par.1, lett. c e d, dir. 95/46/CE; artt. 3 e 11 del Codice. V. inoltre, Corte di Giustizia CE, 20/5/2003, cause riunite C-465/00, C-138/01 e C-139/01 e Corte Costituzionale austriaca 28 novembre 2003, KR 1/00-33, in http://www.vfgh.at/cms/vfgh-site/attachments/3/8/6/CH0006/CMS1108403943433/kr1-33-00.pdf.

(8) Cfr. Corte di Giustizia CE, 20 maggio 2003, cause riunite C-465/00, C-138/01 e C-139/01 e Corte Costituzionale austriaca 28 novembre 2003, KR 1/00-33, in www.vfgh.at/cms/vfgh-site/attachments/3/8/6/CH0006/CMS1108403943433/kr1-33-00.pdf.

(9) Relazione disponibile in http://www.anticorruzione.it/portal/rest/jcr/repository/collaboration/Digital%20Assets/anacdocs/Attivita/Pubblicazioni/RelazioniAnnuali/2015/ANAC.Relazione.2014.02.07.15.pdf (cfr., in particolare, p. 326 ss.).