Il 25 maggio del 2018, a due anni dalla sua pubblicazione sulla Gazzetta Ufficiale europea, il nuovo regolamento europeo in materia di protezione dei dati personali (in inglese GDPR) che pure è già in vigore sarà interamente applicabile. Questo porterà a una più intensa armonizzazione delle norme nazionali in tutti gli Stati membri, considerata la natura giuridica del regolamento che non richiede –e non ammette- una trasposizione negli ordinamenti nazionali.
Tra le molte novità, il GDPR ha le carte in regola per aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza, anche in riferimento all’attività dei soggetti privati che svolgono funzioni di pubblico interesse.
In questo contesto, è importante sottolineare come il nuovo regolamento non modifichi direttamente le norme nazionali in materia di accesso ai documenti amministrativi, né quelle attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i valori di “trasparenza” e di “tutela efficace della riservatezza” sono considerati entrambi meritevoli di efficace protezione. Tali valori trovano una diversa applicazione a seconda del contesto: mentre l’accesso ai documenti amministrativi, la privacy e la protezione dei dati personali sono riconosciuti come diritti sanciti nella Carta dei diritti fondamentali dell’Unione europea, lo stesso non avviene a livello nazionale. In particolare, vi è una differenza di approccio riguardo a un altro profilo della trasparenza, ovvero quello della diffusione di dati e documenti pubblicati dalla pubblica amministrazione.
Il GDPR pone però un “paletto” più netto rispetto al passato sull’esigenza di rispettare pienamente il principio di finalità. Per questa ragione, il trattamento dei dati personali dovrà essere non solo necessario, ma più scrupolosamente proporzionato agli scopi del trattamento, che devono essere definiti meglio e accuratamente. Una migliore delle finalità sottese alle varie diffusioni di dati e documenti quindi, aiuterà a distinguere meglio ciò che è superfluo da quanto è invece veramente necessario e indispensabile rispetto al perseguimento dello scopo.
Troppe attività della pubblica amministrazione sono infatti basate su una non precisa identificazione degli scopi da perseguire, rendendo più critica l’analisi di ciò che è appropriato o meno.
Un caso in cui mi sono imbattuto durante la mia attività al Garante privacy italiano riguarda la pubblicazione sul sito web di alcuni comuni di dati relativi a cittadini trovati in violazione delle norme sui rifiuti organici degli animali di cortesia a passeggio. Ispirandosi al fenomeno del “naming and shaming”, la pubblicità indifferenziata delle generalità dei soggetti sanzionati avrebbe dovuto sortire un effetto dissuasivo e di gogna mediatica. Ma questo tipo di finalità, per quanto comprensibile, non rientrava affatto nelle attribuzioni dei comuni. Lo stesso, per le foto inviate a domicilio ai soggetti multati per transito nelle zone a ‘luce rossa’.
Nell’ambito dell’Unione europea si configurano due tipologie di approcci riguardo all’accesso ai documenti amministrativi: coloro che consentono l’accesso tout court senza richiedere la dimostrazione dell’esistenza di un interesse concreto e giuridicamente rilevante alla conoscenza del documento, e l’esatto contrario, ovvero Stati membri che prevedono l’accesso solo in caso di interesse qualificato. Non vi è, quindi, un approccio unificato a livello europeo e il regolamento GDPR, sotto questo profilo, non aggiunge granché. Esso avrà invece un effetto più incisivo per quanto riguarda la pubblicazione di dati che le amministrazioni ritengono necessari per assicurare maggiore trasparenza.
La Corte europea di giustizia è intervenuta più volte per chiarire che non è in discussione la necessità di favorire un maggiore controllo democratico sull’attività della pubblica amministrazione, la quale deve trovare la legittimità del suo operato nella correttezza delle attività amministrative.
Tuttavia, le attività di controllo devono basarsi anzitutto su regolari verifiche sul piano del diritto amministrativo, del diritto contabile, della normativa anti-corruzione e sulla base dei vari audit stabiliti in chiave di buon andamento. Quindi, fermo restando l’interesse generale del pubblico, non è stato ancora configurato a livello europeo un diritto ad avere tout court un’informazione dettagliata su qualunque aspetto dell’operato della pubblica amministrazione che, incidendo su posizioni soggettive, abbia controinteressati. È necessario capire lo scopo per individuarne correlativamente i limiti. Poniamo l’esempio dell’assegnazione di una casa popolare o di una procedura concorsuale: in questo caso ci saranno cointeressati o controinteressati che avranno un diritto di accesso più ampio. Questo sottolinea la maggiore o minore profondità e granularità delle informazioni accessibili o pubblicate
La storia recente ci ha mostrato ondate di tendenza opposte: siamo passati da situazioni di opacità assoluta a frenesie impulsive in cui è stata richiesta, anche attraverso la legge, la pubblicità di alcuni dati senza che questi fossero effettivamente indispensabili al tipo di scopo perseguito. Se il controllo sulla situazione patrimoniale di persone di vertice, ad esempio persone che svolgono un ruolo centrale in nodi critici dell’amministrazione dello Stato – pensiamo ai componenti di un organismo in materia finanziaria – può essere ritenuto accettabile, lo stesso potrebbe non accadere per quanto riguarda un funzionario amministrativo solo perché in possesso di una qualifica semi-apicale.
In questo senso, sono di insegnamento le sentenze della Corte europea di giustizia che, rispetto alla pubblicazione obbligatoria di dati che riguardavano i beneficiari di contributi agricoli (ndr sentenza Volker und Markus Schecke), hanno rilevato l’eccesso di dettagli pur ammettendo la legittimità di questo tipo di informazione.
A questo contesto si aggiunge l’evoluzione delle nuove tecnologie. Mentre in passato la linea di demarcazione era segnata da: a) documenti non accessibili (e quindi soggetti a confidenzialità), b) documenti accessibili solo al portatore di un interesse giuridicamente rilevante e c) documenti considerati di pubblico interesse, ora, lo sviluppo delle nuove tecnologie e della comunicazione complica il contesto offrendo, al tempo stesso, soluzioni per assicurare questa selettività.
È anacronistico pensare di dover raggiungere fisicamente le singole amministrazioni per avere accesso ai dati, ed è una prospettiva sicuramente da abbandonare. Per questa ragione, le amministrazioni dovrebbero munirsi di strumenti tecnologici per una migliore tutela della privacy, ad esempio attraverso registrazioni degli utenti presso i singoli siti web, possibilmente con l’autenticazione in due step, oppure utilizzando sistemi in grado di non far indicizzare determinati documenti sui motori esterni di ricerca.
Uno dei temi che non rimane direttamente affrontato dal GDPR riguarda l’accesso alle informazioni da parte dei giornalisti. Fermo restando il diritto all’informazione e il diritto a essere informati, rimane in alcuni Paesi controversa la legittimazione di soggetti non portatori di specifici interessi ad avere accesso indifferenziato al tipo di informazione.
Al netto di tutto ciò, si pone anche il problema del riuso delle informazioni. L’amministrazione italiana è in affanno rispetto alla piena applicazione della normativa europea sul riuso delle informazioni in mano pubblica a fini economici, commerciali ecc. Un uso sapiente di questi strumenti potrebbe favorire la circolazione meditata di informazioni al posto di un semi-caos che lascia insoddisfatti molti interlocutori.
