Cade l’obbligo di pubblicare online i dati personali sul reddito e sul patrimonio dei dirigenti pubblici diversi da quelli che ricoprono incarichi apicali. Con la sentenza n. 20 depositata oggi (relatore Nicolò Zanon), la Corte costituzionale ha infatti dichiarato illegittima la disposizione che estendeva a tutti i dirigenti pubblici gli stessi obblighi di pubblicazione previsti per i titolari di incarichi politici.
Il decreto Trasparenza (Dlgs 104/2022) contiene un adempimento che, a distanza di quasi un mese dalla sua entrata in vigore, sta generando tanti dubbi interpretativi negli uffici del personale: l’informativa relativa ai «sistemi decisionali e di monitoraggio automatizzati». Questa definizione viene direttamente dal diritto comunitario, dove viene già utilizzata per altri fini; ad esempio, nel Gdpr (regolamento 2016/679) è previsto il divieto di assoggettare un singolo individuo a una decisione generata «unicamente» da sistemi automatizzati, a meno che non siano previste adeguate misure di tutela dei diritti della persona.
La trasparenza consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull’azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi. (Vedi sezione Faq sul sito istituzionale dell’Autorità Garante).
Mentre pende la causa di divorzio, una delle parti può conoscere dal Fisco i rapporti che l'altra intrattiene con banche e finanziarie senza che sia il giudice civile a dover ordinare all'amministrazione di esibire i documenti custoditi dall'anagrafe tributaria. E ciò perché la modalità di ricerca telematica dei beni da pignorare serve soltanto ad ampliare i poteri istruttori del giudice e non esclude l'accesso in base alla legge sulla trasparenza amministrativa, la 241/90.
Nei giorni scorsi la Corte Suprema del Massachusetts, negli Stati Uniti, ha messo nero su bianco un principio tanto semplice quanto dirompente: Uber non può opporre ai propri utenti le obbligazioni presenti nelle proprie condizioni generali di contratto semplicemente perché ha dato loro la possibilità di accedervi attraverso un apposito link nell’ambito del processo di registrazione ai propri servizi.
Secondo l’ultimo rapporto rilasciato da OpSec sul barometro delle abitudini di consumo che ha coinvolto 2.600 utenti nel mondo, nel 2020 il 64% dei clienti che hanno subìto una violazione dei propri dati personali affermano di aver perso la fiducia nel brand da cui avevano comprato, e nel 28% dei casi non vogliono più fare acquisti da quell’azienda, mentre il 55% dei consumatori intervistati sono convinti che le società di e-commerce non stanno facendo abbastanza per proteggere i dati personali dei clienti. Secondo l’osservatorio di Federprivacy, una delle principali cause della crescente diffidenza nei confronti del mercato digitale è la scarsa trasparenza di siti web ed app, che spesso ricorrono a vari espedienti e ai cosiddetti “dark pattern” per indurre gli utenti a rinunciare alla loro privacy.
Sui siti web www.facebook.com e www.google.fr, nonché su www.youtube.com agli utenti non è consentito rifiutare i cookie con la stessa semplicità con cui li accettano, e questo significa che di fatto sono indotti (o forse rassegnati) a essere tracciati e profilati nei loro comportamenti online, dovendosi quindi sorbire pubblicità mirata in base ai loro gusti e alle loro preferenze, e anche “consentire” non proprio volontariamente che i loro dati personali vengano condivisi con agenzie di marketing e altre terze parti. Questi sono i motivi per cui l’autorità di controllo francese (CNIL) ha inflitto sanzioni da record a Google e a Facebook, rispettivamente 150 milioni di euro, e 100 milioni di euro.
Il messaggio con il quale Whatsapp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio - in particolare riguardo alla condivisione dei dati con altre società del gruppo - e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy. A renderlo noto con un comunicato stampa è la stessa Autorità per la protezione dei dati personali.
Profilazione più trasparente, no a decisioni completamente automatizzate che possono produrre effetti giuridici per la persona o che incidano su di essa in modo significativo, pieno riconoscimento e tutela dei diritti e delle libertà degli utenti. Questi in sintesi i principi che ispirano le Linee guida su profilazione e decisioni automatizzate adottate di recente dalle Autorità di protezione dati europee alla luce del Regolamento europeo in materia di protezione dei dati personali.
Non tutto si può pubblicare. Nemmeno da parte della pubblica amministrazione. E il parere del Responsabile della protezione dei dati (Dpo) non basta. Così una regione non può pubblicare sul proprio sito un documento riguardante l'esecuzione di una sentenza civile relativa a un debito maturato dall'ente (provvedimento del Garante n. 120 del 2 luglio 2020). Un comune e una unione comunale non possono pubblicare sui rispettivi siti web, nella sezione amministrazione trasparente o nell'albo online, atti amministrativi contenenti dati personali relativi a condanne penali e a reati (newsletter del Garante n. 467 del 27 luglio 2020).
