La pubblicazione di informazioni personali e sanitarie da parte della PA non è detto che consegua direttamente dagli obblighi di trasparenza. Ma deve fare i conti con il Gdpr, il nuovo regolamento europeo. Ecco lo scenario in cui muoversi, a partire dal “caso” del Comune di Messina.
Il 12 aprile scorso il Garante per la Protezione dei Dati Personali ha emesso un provvedimento nei confronti del Comune di Messina per le rilevanti criticità evidenziate dalla pubblicazione sul sito web istituzionale di dati identificativi di persone fisiche destinatarie di benefici economici. Sulla base di questi dati era infatti possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale dei cittadini.
Come si conciliano trasparenza e pubblicità della pubblica amministrazione con la protezione dei dati personali? Quale effetto ha la piena applicazione del GDPR sul precedente quadro normativo? Ecco cosa c’è da sapere.
Il provvedimento inibitorio nei confronti del Comune
In base alla normativa sulla trasparenza e al Codice privacy (poco prima della piena applicazione del GDPR e dell’entrata in vigore del D.Lgs. 101/2018), il Garante con il provvedimento inibitorio n. 213 ha ritenuto illecito il trattamento messo in atto dal Comune di Messina e ha vietato la diffusione sul sito web istituzionale dei dati sullo stato di salute e sulle situazioni di disagio economico e sociale dei beneficiari.
L’Autorità per la protezione dei dati personali ha accertato che due graduatorie, consultabili e scaricabili liberamente dal sito web del comune, riportavano dati e informazioni di 3447 persone fisiche destinatarie di benefici economici, da cui era possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale. Più in particolare, erano indicati nome, cognome, data di nascita, codice fiscale, numero dei componenti del nucleo familiare, importo ISEE, nonché i dati di persone invalide.
Il Garante ha prescritto al comune di adottare cautele nella pubblicazione on line di atti e documenti, al fine di rispettare il divieto stabilito dalla normativa di diffondere questo tipo di dati, riservandosi di valutare (con un separato procedimento) gli estremi per contestare all’ente la sanzione prevista per l’illecita diffusione di dati.
Il quadro normativo precedente al Gdpr
In Italia, la materia della protezione dei dati personali era regolamentata dal D.Lgs. 196/2003 (c.d.: Codice Privacy) e l’introduzione del D.Lgs. n. 33/2013 in materia di trasparenza e pubblicità della pubblica amministrazione ha reso necessario l’intervento del Garante al fine di assicurare l’osservanza del codice privacy nell’adempimento degli obblighi di pubblicazione sul web.
Nell’ottica di un bilanciamento tra esigenze di pubblicità e trasparenza e rispetto dei principi sul trattamento dei dati personali il Garante Privacy con il provvedimento n. 243 del 15/05/2014 ha rinnovato le “Linee Guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”. In particolare, tali Linee Guida hanno introdotto una serie di disposizioni per armonizzare il quadro regolamentare e hanno indicato modalità e accorgimenti che i soggetti pubblici sono tenuti ad applicare quando “diffondono” dati personali sui propri siti web istituzionali per finalità di trasparenza o per garantire altri obblighi di pubblicità degli atti amministrativi.
E’ necessario distinguere le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (es.: pubblicità legale, pubblicità integrativa dell’efficacia, pubblicità dichiarativa o notizia).
Lo stesso legislatore nazionale nel D.Lgs. 33/2013 definisce “pubblicazione” l’inserimento nei siti istituzionali delle P.A. di documenti, informazioni e dati “concernenti l’organizzazione e l’attività delle pubbliche amministrazioni” (art. 2, comma 2); da ciò si deduce che tutte le volte in cui nel decreto è utilizzata la locuzione “pubblicazione obbligatoria ai sensi della normativa vigente” il riferimento è limitato alla pubblicazione che concerne l’organizzazione e l’attività delle P.A. Per tale motivo, tutte le ipotesi di pubblicità “non” riconducibili a finalità di trasparenza, qualora comportino una diffusione di dati personali, sono escluse dall’applicazione del D.Lgs. 33/2013.
Il Gdpr cambia il quadro normativo in materia di pubblicità della PA
Le disposizioni contenute nel Regolamento (UE) 2016/679 (c.d. GDPR) sono direttamente applicabili e non possono essere derogate dalla disciplina nazionale in virtù del primato del diritto europeo; da tale principio discende l’obbligo di interpretare il diritto nazionale in maniera conforme al diritto europeo. Pertanto, anche la pubblicazione di dati personali è soggetta al rispetto dei principi del GDPR (v. art. 5) ed è consentita soltanto quando ricorre una delle condizioni di cui all’art. 6 che rendono lecito il trattamento (consenso, contratto, obbligo di legge, interesse vitale, interesse pubblico, legittimo interesse).
E’ opportuno premettere, altresì, che con l’entrata in vigore il 19 settembre u.s. del D.Lgs. 101/2018, la normativa nazionale si è adeguata alle disposizioni del GDPR. In particolare, per quanto qui di interesse, sono stati abrogati gli artt. 22 e 65 del D.Lgs. 196/2003 ove era stabilito (rispettivamente ai commi 8 e 5) che nel trattamento effettuato da soggetti pubblici i “dati idonei a rivelare lo stato di salute non possono essere diffusi”.
Pertanto, le novità normative e l’abrogazione/ridefinizione del Codice Privacy che hanno definito il quadro giuridico in materia, obbligano Garante e operatori a valutare la compatibilità di norme (primarie e secondarie), provvedimenti del garante e giurisprudenza europea/italiana precedenti con il GDPR.
Il Gdpr sui dati personali relativi alla salute
L’art. 4, n. 1, GDPR intende per “«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Ancora l’art. 4, n. 15, prevede che i “«dati relativi alla salute» sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.” Più in particolare, il Considerando 35 GDPR stabilisce che “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono […] qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato”.
Il legislatore europeo, inoltre, prestando particolare attenzione al trattamento di categorie particolari di dati personali (prima erano c.d. dati sensibili), all’art. 9, par. 1, GDPR stabilisce che “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” Al par. 2, relativamente alla casistica che ci occupa, tale divieto non si applica se si verifica che “g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
La diffusione, una tra le altre operazioni previste dal GDPR nella definizione di “trattamento” (art. 4, n. 2), è specificata dall’art. 2-ter del D.Lgs. 101/2018 come “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” e dovrebbe essere ammessa da parte delle P.A. unicamente quando è prevista da una specifica norma di legge (conformemente all’art. 6, par. 1, lett. c, GDPR). Pertanto, prima di mettere on line sui siti istituzionali informazioni, atti, documenti amministrativi e allegati contenenti dati personali le P.A. dovrebbero verificare che la normativa in materia di pubblicità preveda tale obbligo.
Il GDPR non contiene una bipartizione tra titolari pubblici e titolari privati e non contiene norme specifiche dedicate al settore privato e pubblico in quanto il regolamento si sofferma piuttosto sulla tipologia del trattamento che scaturisce dall’attività svolta dal titolare.
Ebbene anche le P.A., come previsto all’art. 25 GDPR, sono tenute ad adottare la pseudonimizzazione e la minimizzazione, misure tecniche e organizzative da adottare fin dalla progettazione dei trattamenti (secondo il principio della privacy by design).
La pseudonimizzazione richiede che il trattamento sia effettuato in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive; queste ultime dovranno essere conservate separatamente e soggette a misure intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (art. 5 GDPR e cons. 28).
La minimizzazione è tesa a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento e di conseguenza anche i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali.
Pubblicazione per finalità di trasparenza
Il D.Lgs. n. 33 del 14/3/2013 riordina la disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni.
Con particolare riferimento agli obblighi di pubblicazione on line di dati e informazioni sull’organizzazione e l’attività delle P.A. per finalità di trasparenza, è bene precisare che questi hanno lo scopo di favorire il controllo diffuso sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche; tuttavia anche in questi casi devono essere rispettati i principi e la disciplina di protezione dei dati personali, come peraltro previsto dall’art. 1, comma 2, D.Lgs. 33/2013 (v. altresì art. 8, comma 3).
E’ opportuno evidenziare che in materia di trasparenza, la pubblicazione di dati sullo stato di salute è sempre vietata (art. 7-bis, comma 6, D.Lgs. 33/2013) e con specifico riferimento agli obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati è in ogni caso “esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, D.Lgs. 33/2013).
Di conseguenza, è vietata anche la diffusione di qualsiasi dato o informazione da cui si possa desumere lo stato di malattia, l’esistenza di patologie, condizioni di invalidità, disabilità o handicap fisici e/o psichici degli interessati. Si pensi, a fini esemplificativi, che vanno evitate indicazioni come: “erogazione ai sensi della legge 104/1992”; “soggetto portatore di handicap”; “anziano non autosufficiente”; “indici di autosufficienza nelle attività della vita quotidiana”; “contributo per ricovero in struttura sanitaria” o per “assistenza sanitaria”.
E’ un divieto che intende tutelare la dignità, i diritti e le libertà fondamentali dell’interessato, ed evitare che persone che si trovano in condizioni economiche/sociali disagiate soffrano l’imbarazzo della diffusione di tali informazioni, o possano essere sottoposte a conseguenze indesiderate a causa della conoscenza da parte di terzi della particolare situazione personale.
Pertanto, gli enti pubblici devono porre la massima attenzione nella selezione dei dati personali da utilizzare, sin dalla fase di redazione degli atti e documenti soggetti a pubblicazione.
Per completezza espositiva, si segnala che l’assolvimento degli obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici deve essere coordinato con le disposizioni che regolano la predisposizione dell’albo dei beneficiari di provvidenze di natura economica di cui agli artt. 1 e 2 del D.P.R. n. 118 del 7 aprile 2000.
Pubblicità per altre finalità
Esistono specifiche disposizioni di settore, diverse da quelle previste in materia di trasparenza, che prevedono casi e obblighi di pubblicità online di dati, informazioni e documenti della P.A. come quelli volti a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza o quelli necessari a garantire la pubblicità legale degli atti amministrativi (es.: pubblicità integrativa dell’efficacia, dichiarativa, notizia). A titolo esemplificativo, si pensi alle pubblicazioni di: Stato; deliberazioni, ordinanze e determinazioni sull’albo pretorio online degli enti; matrimonio, atti concernenti il cambiamento del nome; comunicazione di avviso deposito delle cartelle esattoriali a persone irreperibili; ruoli annuali tributari dei consorzi di bonifica; elenco dei giudici popolari di corte d’assise, etc.
Anche per tali fattispecie, come per gli obblighi di pubblicità di dati personali per finalità di trasparenza, occorre che i soggetti pubblici prima di mettere a disposizione sui propri siti web istituzionali atti, documenti e allegati contenenti dati personali, verifichino se la normativa di settore preveda espressamente tale obbligo (in conformità agli artt. 6, par. 1, lett. c, e 9, par. 2, lett. g, GDPR).
Laddove l’ente riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni.
In qualunque caso, in base al principio di minimizzazione, i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante altre modalità che permettano di identificare l’interessato (c.d. pseudonimizzazione). Si pensi, ad esempio, ai dati particolari che vengono trattati nel quadro dell’attività di assistenza e beneficenza e che comportano la valutazione di circostanze e requisiti personali che attengono a situazioni di particolare disagio. Ebbene, in tali casi risulterà utile menzionare i predetti dati solo negli atti a disposizione negli uffici o meglio sostituirli con codici numerici; o ancora prevedere l’accesso per mezzo di codice alfanumerico solo ad interessati e controinteressati per l’esercizio dei loro diritti.
Albo pretorio online degli enti locali
Il T.U. sull’ordinamento degli enti locali stabilisce che tutte le deliberazioni del comune e della provincia, nonché degli altri enti locali, sono pubblicate per quindici giorni consecutivi mediante affissione all’albo pretorio nella sede dell’ente (art. 124, commi 1 e 2, D.Lgs. 267/2000).
Nel tempo, l’adozione di ulteriori disposizioni di natura statale, regionale e locale hanno prescritto a carico delle amministrazioni locali ulteriori obblighi di pubblicazione di atti e documenti nella bacheca dell’albo pretorio che ha prodotto una frammentazione della disciplina in materia.
In particolare, con l’entrata in vigore della L. n. 69/2009, senza abrogare le precedenti disposizioni in materia, gli enti locali hanno provveduto all’istituzione dell’albo pretorio sui propri siti informatici al fine di assolvere agli obblighi di pubblicità legale di atti e provvedimenti amministrativi (art. 32, comma 1).
Pertanto, l’ente che ha intenzione di pubblicare sull’albo pretorio online un atto contenente dati personali è tenuto a:
- verificare, preliminarmente, l’esistenza di una norma di legge che prescriva tale obbligo;
- ridurre al minimo i dati personali necessari per ogni specifica finalità;
- con riferimento ai dati relativi alla salute, prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g, GDPR).
Infine, si fa solo rilevare che l’accesso civico di cui al D.Lgs. 33/2013 può essere rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali (artt. 5 e 5-bis) ed è, invece, permesso l’accesso ai documenti amministrativi previsto dalla L. n. 241/1990, artt. 22 e ss. da parte di colui che abbia un interesse qualificato ad accedervi.
Conclusioni
Sempre e indipendentemente dalla finalità perseguita, laddove la pubblicazione on line di dati, informazioni e documenti comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di trasparenza e di pubblicità con la protezione dei dati delle persone fisiche come previsto dal GDPR.
Anche la prassi seguita da alcune P.A. di sostituire il nome e cognome dell’interessato con le sole iniziali è evidentemente insufficiente in quanto il rischio di identificare il cittadino è tanto più probabile quando vi sono ulteriori informazioni di contesto. Ad esempio, per campioni di popolazioni di ridotte dimensioni la pubblicazione online anche solo di alcuni dati (o collegandoli con informazioni disponibili da altre fonti) è sufficiente a rendere tale soggetto identificabile.
Di conseguenza, le violazioni di cui all’art. 83 GDPR comportano per gli enti pubblici l’inflizione di sanzioni amministrative pecuniarie fino a 20.000,00 di euro.
In conclusione, in attuazione degli obblighi di trasparenza e di pubblicità, è opportuno che le P.A. effettuino una valutazione rigorosa rispetto alla materia sulla protezione dei dati al fine di evitare di perdere il controllo sui dati personali pubblicati online e di dover far fronte a richieste di risarcimento del danno da parte degli interessati. Infatti, il cittadino che ritenga di aver subito un danno materiale o immateriale per effetto della diffusione di dati personali in violazione del GDPR, potrà far valere le proprie pretese risarcitorie davanti all’autorità giudiziaria ordinaria (art. 82 GDPR).
