g-docweb-display Portlet

Parere al Consiglio di Stato in ordine alla pubblicazione di atti dell'ANAC contenenti dati personali - 26 febbraio 2020 [9303645]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9303645]

Parere al Consiglio di Stato in ordine alla pubblicazione di atti dell'ANAC contenenti dati personali - 26 febbraio 2020

Registro dei provvedimenti
n. 38 del  26 febbraio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d. lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il d. lgs. n. 33 del 14 marzo 2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTO il provvedimento n. 243 del 15 maggio 2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. n. 134 del 12 giugno 2014 e in www.gpdp.it, doc. web n. 3134436, di seguito “Linee guida in materia di trasparenza”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota dell’8 ottobre 2019 l’Autorità Nazionale Anticorruzione (di seguito “ANAC”) si è rivolta al Consiglio di Stato per chiedere un parere in ordine al «corretto regime normativo concernente la pubblicazione “degli atti inerenti la propria attività istituzionale”» alla luce dell’art. 12, comma 1, secondo periodo, del d. lgs. n. 33/2013 anche in relazione «alla normativa da applicare in tema di tutela dei dati personali».

Con parere interlocutorio n. 01484/2019 il Consiglio di Stato, sez. I, ha sospeso l’emissione del predetto parere, «invita[ndo] il Garante per la protezione dei dati personali ad esprimere il proprio avviso» sulla questione.

RILEVATO

Il parere richiesto da ANAC al Consiglio di Stato riguarda il problema della diffusione di dati personali online e l’individuazione dei casi e delle condizioni nei quali ciò può essere considerato conforme alla normativa in materia di protezione dei dati personali.

Al riguardo, il Codice prevede che i soggetti pubblici (come ANAC) possono diffondere dati personali «trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri» unicamente se ciò è previsto «esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3).

In ogni caso, il RGPD sancisce il necessario rispetto dei principi di «limitazione della finalità» e di «minimizzazione», alla luce dei quali – rispettivamente – i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

In aderenza a tali principi, contenuti nella Direttiva 95/46/CE e nel Codice già prima dell’approvazione del RGPD, il Garante, nelle proprie Linee guida in materia di trasparenza, fin dal 2014 ha evidenziato (cfr. parte prima, par. 2), fra l’altro, che:

-  anche «Laddove l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni»;

- «I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità»;

- «È, quindi, consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto (cd. "principio di pertinenza e non eccedenza" di cui all´art. 11, comma 1, lett. d, del Codice [oggi «principio di minimizzazione» di cui all’art. 5, par. 1, lett. c, del RGPD]). Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione online. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultano eccedenti o non pertinenti».

Per completezza, è opportuno ricordare che tanto la violazione dell’art. 2-ter, commi 1 e 3, del Codice (diffusione di dati personali in assenza di una idonea base normativa), quanto dell’art. 5, par. 1, lett. b) e c), del RGPD (violazione dei principi di “limitazione della finalità” e di “minimizzazione”) è soggetta all’applicazione, da parte del Garante, della sanzione amministrativa prevista dall’art. 83, par. 5, del RGPD (cfr. anche art. 166, comma 2, del Codice).

RITENUTO

Nel quadro normativo descritto le disposizioni contenute nel d. lgs. n. 33/2013 che prevedono obblighi di pubblicazione in materia di trasparenza, costituiscono sicuramente una base giuridica idonea anche per diffusione di dati personali online, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice.

Il dubbio avanzato dall’ANAC riguarda tuttavia l’interpretazione da dare all’art. 12 del d. lgs. n. 33/2013, con particolare riferimento alla tipologia di atti da pubblicare obbligatoriamente online e alla legittima diffusione dei dati personali eventualmente in essi contenuti.

Al riguardo, occorre evidenziare che il predetto articolo, come si ricava dal relativo titolo, riguarda esclusivamente obblighi di pubblicazione di atti normativi o di atti amministrativi “di carattere generale”, in esso elencati, come: direttive, circolari, programmi, istruzioni, di organizzazione, sul funzionamento, sugli obiettivi, sui procedimenti, interpretativi, codici di condotta, misure integrative di prevenzione della corruzione, documenti di programmazione strategico-gestionale, atti degli organismi indipendenti di valutazione.

Si tratta di atti, che per loro caratteristiche e contenuto, non dovrebbero contenere dati personali (considerando che in linea di massima non dovrebbero essere rivolti a soggetti determinati), salvo ipotesi – laddove esistenti – evidentemente residuali, per i quali risulterebbero comunque applicabili i principi di limitazione della finalità e di minimizzazione, secondo le indicazioni contenute nelle Linee guida del Garante in materia di trasparenza prima riportate.

Quanto al quesito sottoposto dall’ANAC, in relazione alla «domanda se le delibere ed i provvedimenti “che scaturiscono da attività e procedimenti svolti dall’Autorità nell’esercizio dei propri compiti istituzionali, in particolare quelli afferenti alle funzioni consultive e di vigilanza” rientrino o meno nell’ambito di applicazione dell’articolo 12, comma 1, del decreto legislativo 14 marzo 2013, n. 33», si ritiene che spetti alla predetta Autorità valutare i casi in cui le citate delibere e provvedimenti, siano da ricondurre agli atti da pubblicare obbligatoriamente ai sensi dell’art. 12, verificando – sotto il profilo del contenuto sostanziale – se possano essere considerati «atti di carattere normativo e amministrativo generale».

Per i casi in cui non sia applicabile l’art. 12, comma 1, del d. lgs. 33/2013, attualmente il regime di pubblicità delle delibere dell’ANAC è in ogni caso assicurato da disposizioni diverse da quelle contenute nel predetto decreto e, in particolare, in quelle contenute nel «Regolamento concernente l’organizzazione e il funzionamento dell’Autorità nazionale anticorruzione» (approvato con delibera dell’ANAC n. 919 del 16 ottobre 2019) che, all’art. 33, prevede come «Tutte le deliberazioni adottate dal Consiglio sono pubblicate in una apposita sezione del sito istituzionale, denominata “Albo delle deliberazioni del Consiglio”, fatto salvo quanto stabilito dalla legge o dai regolamenti per specifici procedimenti» e che «Sono sottratti alla pubblicazione i dati personali non pertinenti o eccedenti rispetto al fine di rendere conoscibili le deliberazioni suddette».

In tale contesto, in relazione a eventuali dati personali pubblicati online sarebbe opportuno valutare anche l’assunzione di ulteriori cautele per assicurare il rispetto del principio proporzionalità e di minimizzazione dei dati (art. 5, par. 1, lett. c, del RGPD), come l’adozione, tenuto conto delle tecnologie disponibili, di misure volte a impedire ai motori di ricerca generalisti (es. Google) di indicizzarli ed effettuare ricerche rispetto a essi, trascorso un adeguato numero di anni dall’adozione della deliberazione.

Per ogni altro caso, ai sensi della normativa vigente in materia di trasparenza, l’ANAC può comunque disporre la pubblicazione nel proprio sito web istituzionale di tutti gli ulteriori dati, informazioni e documenti che non ha l’obbligo di pubblicare ai sensi del d. lgs. n. 33/2013 o sulla base di specifica previsione di legge o regolamento, ma in tal caso, deve «procede[re] alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33/2013), pena l’applicazione delle sanzioni previste dal RGPD per violazione dell’art. 2-ter, commi 1 e 3, del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta di parere della I Sezione del Consiglio di Stato, ai sensi dell’art. 58, par 3, lett. b), del RGPD.

Roma, 26 febbraio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia