Tra trasparenza e minimizzazione, la ricetta della compliance al Gdpr nella p.a. è nella governance dei dati
L’applicazione del D.Lgs. 196/03 prima e del GDPR poi in realtà altamente critiche quali la Pubblica Amministrazione e la Sanità, ha da sempre incontrato delle difficoltà dettate dalle peculiarità proprie di questi settori. Non ci si riferisce, in particolare, alla ben nota difficoltà di spesa e di investimenti che ha come effetto quello di rendere estremamente complesso disegnare un modello di governance che comprenda misure effettivamente adeguate di protezione dei dati, bensì alla difficoltà di combinare norme specifiche di settore con la disciplina generale della protezione dei dati.
Un classico, ed apparente, conflitto è quello ad esempio tra la trasparenza amministrativa e il diritto alla protezione dei dati. Abbiamo letto di recente la pubblicazione dei novemila indirizzi di posta elettronica degli innovation manager messi in rete dal MISE (con anche altri dettagli quali il numero di telefono cellulare e il codice fiscale) in nome di una male interpretata trasparenza amministrativa, così come il Garante è dovuto intervenire negli anni passati per altre ipotesi di mal-trattamento dei dati personali dei cittadini quando, ad esempio, ha dovuto provvedere contro alcuni comuni che avevano pubblicato i dati delle graduatorie riservate a soggetti disabili con tanto di nome e cognome dei beneficiari (v. Provvedimento n. 109 del 6 marzo 2014) o contro un comune che aveva pubblicato su internet le ordinanze del sindaco aventi ad oggetti i trattamenti sanitari obbligatori, con tanto di dati personali dei soggetti destinatari dei TSO (v. Provvedimento n. 94 del 7 marzo 2013).
Ciò che emerge è soprattutto la difficoltà, per le amministrazioni, di combinare le norme che disciplinano il settore e di applicare correttamente quel fondamentale principio di accountability che obbliga il titolare a fare delle valutazioni e dei bilanciamenti tra obblighi di trasparenza e obblighi di protezione dei dati.
Se, infatti, da un lato l’accesso ai documenti amministrativi costituisce un principio generale della Pubblica Amministrazione, mediante il quale i cittadini possono partecipare all’attività amministrativa verificandone l’imparzialità e la trasparenza, dall’altro lato i principi fondamentali di limitazione delle finalità e minimizzazione dei dati contenuti nell’art. 5 del GDPR devono sempre essere tenuti presenti.
Questo ci induce a pensare che non esiste, quindi, una “ricetta” che possa essere applicata a tutti i casi ma che solo una politica di governance dei dati, che passa attraverso una specifica formazione degli operatori e la scelta di DPO qualificati, possa risolvere questi problemi di apparente conflitto di norme nel momento in cui vengono a manifestarsi.
Non bisogna dimenticare, infatti, che la P.A. è per definizione un “big data” di alcuni tra i dati più sensibili dei cittadini, proprio perché tali dati sono necessari per l’erogazione di servizi o di benefici.
Dinanzi a un patrimonio così vasto di dati personali, diventa fondamentale studiare delle adeguate politiche di protezione per tentare di scongiurare le devastanti conseguenze che potrebbe avere una violazione di dati e identificare degli elementi che possano guidare gli operatori nell’applicazione del GDPR che sia coerente, però, con l’attività propria dell’apparato amministrativo.