PNRR e transizione digitale

Beni culturali, come proteggere i dati nella trasformazione digitale

Le linee guida ministeriali per la redazione del Data Management Plan sulle attività di digitalizzazione sono il primo passo per riflettere su Data Protection e beni culturali: quali sono i limiti previsti dalla legge e cosa si può ancora migliorare a favore della privacy dei cittadini

Pubblicato il 15 Set 2022

Cesare Costi

Staff privacy

Daniela Guarenghi

Esperta privacy

Filomena Polito

Responsabile Protezione Dati in ambito sanitario - Valutatore Privacy

nft uffizi tondo_doni_

La digitalizzazione consente di migliorare la gestione, la conservazione e la divulgazione del patrimonio culturale nonché di aprire a nuovi spazi di business nel settore artistico.

Non tutti, però, darebbero per scontato che in questo processo occorre fare attenzione anche alla protezione dei dati personali. Eppure, è fondamentale.

Come cambia la cultura col digitale: i tre fattori che fanno la differenza

Beni culturali, il Piano Nazionale della Digitalizzazione

I documenti relativi al Piano Nazionale della Digitalizzazione sono stati aperti alla consultazione pubblica dall’Istituto Centrale per la Digitalizzazione del Patrimonio Culturale del Ministero della Cultura.

Il 15 giugno scorso la consultazione si è chiusa e il 30 giugno gli esiti sono stati pubblicati, con la condivisione delle 103 risposte fornite dai 106 partecipanti (enti pubblici, privati e singoli individui), interessati a fornire il proprio contributo nella definizione di un documento strategico per la realizzazione degli obiettivi del PNRR, Investimento M1C3 1.1 “Strategia digitale e piattaforme per il patrimonio culturale”.

Questo percorso ha portato all’emanazione del Decreto del Ministero della Cultura 25 luglio 2022 in materia di “Assegnazione delle risorse alle Regioni e alle Province Autonome per la Missione 1 – Digitalizzazione, innovazione, competitività e cultura, Componente 3 – Cultura 4.0 (M1C3), Misura 1 ‘Patrimonio culturale per la prossima generazione’, Investimento 1.1 ‘Strategie e piattaforme digitali per il patrimonio culturale’ Sub-investimento 1.1.5 ‘Digitalizzazione del patrimonio culturale’, del PNRR”.

Tra i documenti relativi risultano di interesse, anche per quanti si occupano della protezione dei dati personali, le “Linee guida per la redazione del piano di gestione dei dati” (Data Management Plan, abbreviato DMP), con le quali è stata posta attenzione sulla base giuridica e sulle misure di sicurezza applicabili alle attività di digitalizzazione e archiviazione delle informazioni e sono stati forniti i primi, ma forse non sufficienti, riferimenti alle implicazioni della Data Protection sul processo di digitalizzazione (s.v. par. 7.6.1).

Digitalizzare i beni culturali: l’importanza della privacy

Un interprete poco attento potrebbe essere portato a ritenere, infatti, che le attività di digitalizzazione del patrimonio culturale non presentino profili di interesse per la normativa in materia di protezione dei dati personali: quale rilievo potrebbe avere la privacy nella digitalizzazione, in modalità NFT, del Tondo Doni conservato nel complesso degli Uffizi, avviata a maggio 2022 e poi bruscamente interrotta da parte del MiC per questioni contrattuali?

A che pro pensare alla privacy in rapporto alla digitalizzazione (come nel gennaio 2022) di tre quadri di Boccioni al Museo del Novecento di Milano?

La risposta a questi quesiti è più complessa di quanto possa sembrare se si considera l’ampiezza della definizione di “patrimonio culturale” custodita nel Codice dei beni culturali e del paesaggio (art. 2, D.lgs. 22 gennaio 2004, n. 42 e ss.mm.ii.): “[…] sono beni culturali le cose immobili e mobili che, ai sensi degli articoli 10 e 11, presentano interesse artistico, storico, archeologico, etnoantropologico, archivistico e bibliografico e le altre cose individuate dalla legge o in base alla legge quali testimonianze aventi valore di civiltà”.

Tale definizione è dunque così ampia da accogliere tanto le lapidi greco romane di Palazzo Pitti (in corso di digitalizzazione dal 2016) quanto la documentazione sanitaria conservata negli archivi dei nosocomi e i documenti contenuti nelle anagrafi dei Comuni o negli archivi delle regioni e degli Enti territoriali (artt. 10-11 del Codice dei beni culturali e del paesaggio).

Come noto, i dati di salute non possono essere oggetto di diffusione (art. 2-septies comma 8 del Decreto Legislativo 196 del 2003, più noto come Codice privacy), e pertanto la documentazione che li riporta non può essere pubblicata, nemmeno nell’ipotesi in cui questa sia digitalizzata, mentre la loro mera consultazione, quindi l’accesso (e non la diffusione tramite pubblicazione) è consentita nei limiti di cui all’art. 122 del Codice dei beni culturali e del paesaggio.

Esistono comunque altri aspetti meno immediati che devono essere considerati sul piano della protezione dei dati personali.

Senza soffermarsi sulle conseguenze irreparabili di eventuali pubblicazioni di atti o documentazione contenenti dati personali che potrebbero recare pregiudizio agli individui[1], si pensi ai rischi derivanti dalla digitalizzazione e pubblicazione dei cataloghi dei beni culturali, taluni dei quali beni mobili, conservati presso privati.

Il catalogo, contenente, ad esempio, la descrizione di un’opera di Caravaggio e l’indicazione del luogo della sua conservazione, esporrebbe il proprietario al rischio di furti o, al rischio meno grave, ma forse altrettanto sgradito, di visite di curiosi appassionati delle opere del Merisi ad ogni ora del giorno e della notte.

Vale poi la pena rammentare che anche i dati personali dei soggetti deceduti sono tutelati dall’ordinamento in virtù dell’apertura contenuta al Considerando n. 27 del Regolamento UE 2016/679 (c.d. GDPR) e delle disposizioni dell’art. 2-terdecies del Codice privacy e pertanto la pubblicazione di informazioni loro riferite non può avvenire con leggerezza.

Queste ipotesi evidenziano la necessità di adottare un approccio “privacy-by-design” nel processo di digitalizzazione del patrimonio culturale, avendo come guida il principio consacrato implicitamente nel GDPR che la circolazione dei dati personali è possibile soltanto se i dati stessi sono adeguatamente protetti e quindi adottando misure idonee a prevenire l´eventuale distruzione, dispersione o accesso non autorizzato ai documenti e adottare, in presenza di specifici rischi, particolari cautele sia organizzative sia tecnologiche.

Ben venga, dunque, il richiamo contenuto nel Capitolo B delle “Linee guida per la digitalizzazione del patrimonio culturale”, che recita: “A seconda delle finalità del progetto di digitalizzazione, qualora quest’ultimo preveda la pubblicazione, una delle condizioni dovrà essere che i beni siano liberi da diritto d’autore o che l’Istituto disponga delle liberatorie e autorizzazioni necessarie per la divulgazione pubblica e il riuso dei beni (nel rispetto della protezione dei dati personali, ai sensi del D.Lgs. 196/2003 e s.m.i. e del GDPR -Regolamento 2016/679)”.

La digitalizzazione è diversa dall’archiviazione

A tal proposito è da precisare che l’archiviazione del patrimonio culturale è un’attività di trattamento del tutto lecita, in quanto prevista in virtù del perseguimento di un pubblico interesse (art. 6, par. 1 lett. e GDPR; art. 89, par. 1 GDPR; artt. 2—ter del Codice privacy) come declinato dalle disposizioni settoriali in materia, e quindi in assenza del consenso dell’interessato, ma la digitalizzazione a fini di pubblicazione è certamente un trattamento nuovo e ulteriore rispetto all’archiviazione, e pertanto necessita di una diversa base giuridica.

Sulla base del succitato Capitolo B, il fondamento di liceità della digitalizzazione, volta alla pubblicazione di documenti che riportano informazioni personali riconducibili ai proprietari dei beni (es. nominativo, ubicazione), sembra sia da individuarsi nel solo consenso (ai sensi dell’art. 6, par. 1, lett. a) del GDPR), dichiarazione di volontà che, per essere considerata valida, deve essere comunque accompagnata dalla somministrazione di una specifica informativa sul trattamento dei dati personali, predisposta ai sensi degli articoli 13 e 14 del GDPR.

Nel caso in cui i documenti che riportano informazioni personali siano riferibili a Pubbliche Amministrazioni è tuttavia necessario ricordare che queste devono osservare le disposizioni del Decreto legislativo 14 marzo 2013, n. 33, “Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”, onere a cui sono sottoposti anche gli altri soggetti indicati dall’articolo 2-bis dello stesso Decreto, per individuare i documenti che possono essere oggetto di diffusione, anche a seguito di digitalizzazione.

Queste ipotesi sono disciplinate, almeno per quanto riguarda la pubblicazione in “formato aperto” (open data), anche in base al Data Management Plan del Piano, che prevede: «10.7 In questo caso i dati non vanno pubblicati in formato aperto, a meno che non sia possibile procedere all’anonimizzazione del dato. I dati possono essere considerati anonimi quando le persone non sono più identificabili. Infatti, esistono molte altre informazioni che consentono a un individuo di essere collegato ai suoi dati personali e che ne consentono pertanto la reidentificazione. Il GDPR, però, non prescrive alcuna tecnica particolare per l’anonimizzazione; spetta quindi ai singoli responsabili del trattamento garantire che qualunque processo di anonimizzazione scelto sia sufficientemente solido».

Una disposizione normativa da cui potrebbe derivare invece una base giuridica diversa dal consenso, e, nella fattispecie, un pubblico interesse nella indicazione dell’ubicazione delle opere, potrebbe essere quella custodita nell’art. 4 del Decreto 8 aprile 1994 dell’allora Ministero per i Beni Culturali e Ambientali (Tariffario per la determinazione di canoni, corrispettivi e modalità per le concessioni relative all’uso strumentale e precario dei beni in consegna al Ministero), ma si riferisce alle riproduzioni di “beni in consegna al Ministero” oggetto di concessione, e non a quelli di privati.

Data Management Plan: non sono enfatizzate le misure di sicurezza

Probabilmente, in modo più incisivo, oltre al richiamo al fondamento di liceità del trattamento e alla normativa applicabile, sarebbe stato opportuno enfatizzare, nel Data Management Plan, anche la necessità di ricorrere, a prescindere dal consenso, a misure di sicurezza, quali la pseudonimizzazione o altre tecniche di anonimizzazione, per proteggere l’identità degli interessati custodi o proprietari di beni culturali digitalizzati e di rispettare sia il principio di minimizzazione dei dati personali (art. 5, par. 1, lett. c GDPR) sia quello di limitazione temporale del trattamento e quindi della conservazione dei dati personali (art. 5, par. 1, lett. e GDPR). Quindi, anche per il caso dei dati non detenuti dalla Pubblica Amministrazione, sarebbe stata auspicabile una disposizione analoga a quella del succitato punto 10.7.

Come prevede l’art. 89 del GDPR, la realizzazione di un interesse pubblico nell’archiviazione è infatti “soggetto a garanzie adeguate per i diritti e le libertà dell’interessato” e quindi al rispetto dei principi generali in materia di protezione dei dati personali e alle condizioni di liceità del trattamento di cui agli articoli 5 e 6.

Lo stesso articolo prevede che siano adottate “[…] misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati”.

Le stesse “Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 – 19 dicembre 2018” (adottate dal Garante per la Protezione dei dati personali con Provvedimento n. 513 del 19 dicembre 2018 e pubblicate sulla Gazzetta Ufficiale n. 12 del 15 gennaio 2019), in tema di accesso agli archivi pubblici, individuano misure e accorgimenti che devono essere adottati, con particolare attenzione al principio della pertinenza e all’indicazione di fatti o circostanze che possono rendere facilmente individuabili gli interessati.

Tali accorgimenti possono consistere, a seconda degli obiettivi della ricerca desumibili dal progetto, anche nell’obbligo di non diffondere i nomi delle persone, nell’uso delle sole iniziali dei nominativi degli interessati, ad esempio con l’oscuramento dei nomi in una banca dati, con la sottrazione temporanea di singoli documenti dai fascicoli o con il divieto di riproduzione dei documenti.

Conclusioni

In conclusione, comprendere e analizzare la versione definitiva del Piano di digitalizzazione sarà una sfida di grande interesse per gli addetti ai lavori, non solo nell’ambito artistico ma anche in quello della protezione dei dati personali.

Sarà comunque ancor più stimolante approfondire come le singole Amministrazioni declineranno i contenuti delle Linee Guida, nella consapevolezza che, ogniqualvolta si apra a nuove possibilità di circolazione e sfruttamento dei dati personali degli interessati, è indispensabile avere a riferimento i vincoli e le tutele derivanti dalla disciplina in materia di protezione dei dati personali.

_________________________________________________________________________________________

Note

  1. Di seguito si analizzeranno diverse ipotesi in questo senso, e, in particolare l’ipotesi della pubblicazione di dati personali detenuti dalle PA, attività per la quale il Data Management Plan, del Piano nazionale di digitalizzazione del patrimonio culturale (vers. N.1.0 – giugno 2022) prevede specifiche disposizioni.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati