Privacy vs. Trasparenza: qual è la soluzione?
Nell’ambito della P.A. assume grande rilevanza la delicata problematica rappresentata dal possibile conflitto tra due interessi di rango primario che, in quanto tali, devono ritenersi entrambi meritevoli di costante ed adeguata tutela da parte dell’ordinamento giuridico:
quello all’informazione, che si realizza attraverso l’esercizio del diritto di accesso alla documentazione amministrativa e riposa sull’esigenza di trasparenza ed imparzialità dell’azione amministrativa; e quello alla riservatezza dei soggetti terzi, che inerisce alla sfera degli assetti privatistici e si traduce, in ultima analisi, nella necessità di garantire la segretezza di quelle particolari categorie di dati disciplinate dagli artt. 9 e 10 del GDPR.
La giurisprudenza amministrativa ha elaborato un indirizzo interpretativo che privilegia il diritto di accesso, considerando per converso recessivo l’interesse alla riservatezza dei terzi, quando l’accesso stesso sia esercitato per la difesa di un interesse giuridico, nei limiti in cui esso sia necessario alla difesa di quell’interesse (cfr. Cons. Stato, Sez. VI, 20 aprile 2006, n. 2223).
Ma nella Pubblica Amministrazione l’atteggiamento rispetto al trattamento dei dati e delle banche dati è molto cambiato negli ultimi 20 anni, da mero adempimento si è passati ad una dimensione molto più proattiva, perché i dati e talora anche i dati personali escono sempre di più dagli uffici attraverso processi legislativi che tengono conto del loro valore economico. La PA, che fino a qualche tempo fa, gestiva passivamente i dati, oggi vuole renderli sempre più disponibili e trasparenti.
Ciò determina spesso inevitabili conflitti fra privacy e trasparenza specialmente alla luce di quanto prescritto dal d.lgs. n. 33/2013 che nel disciplinare il riutilizzo dei dati pubblicati regola necessariamente i rapporti con la normativa in materia di protezione dei dati personali chiarendo che gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali.
L’art. 7-bis del d.lgs n. 33/2013 nel disciplinare il riutilizzo dei dati pubblicati regola necessariamente i rapporti con la normativa in materia di protezione dei dati personali chiarendo che gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196 (norma ormai abrogata), comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali.
Si precisa, inoltre, che la pubblicazione nei siti istituzionali di dati relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonché a dirigenti titolari degli organi amministrativi è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico nel rispetto della disciplina in materia di protezione dei dati personali sebbene la Corte Costituzionale con sentenza 23 gennaio - 21 febbraio 2019, n. 20 abbia dichiarato l’illegittimità costituzionale della disposizione dell’art. 14, comma 1-bis, del d.lgs. n. 14 marzo 2013, n. 33 nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione.
La norma ancora prevede che nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.
Di conseguenza anche alla luce del GDPR sono ancora da ritenere illuminanti le Linee guida (provvedimento del 15 maggio 2014), con cui il Garante privacy è intervenuto proprio per assicurare l'osservanza della disciplina in materia di protezione dei dati personali nell'adempimento degli obblighi di pubblicazione sul web di atti e documenti.
In particolare prima di procedere alla pubblicazione sul proprio sito web la P.A. deve:
- individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
- verificare, caso per caso, se ricorrono i presupposti per l'oscuramento di determinate informazioni;
- sottrarre all'indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari.