Pubblica amministrazione: il trattamento dei dati sensibili


Con l'entrata in vigore del GDPR ritorna viva una problematica mai sopita tra due interessi di rango primario: quello all’informazione e quello alla riservatezza dei soggetti terzi

Tempo di lettura: 17 minuti



All’approssimarsi dell’entrata in vigore del nuovo Regolamento Europeo 2016/679 (GDPR - General Data Protection Regulation) ritorna viva una problematica mai sopita relativa al possibile conflitto tra due interessi di rango primario.

Quello all’informazione, che la Legge n. 241/90 ha garantito attraverso l’esercizio del diritto di accesso alla documentazione amministrativa, volto ad assicurare la trasparenza e l’imparzialità dell’attività amministrativa;

quello alla riservatezza dei soggetti terzi, che consiste nel garantire la segretezza dei dati personali e sensibili che vengono raccolti, tutelando quindi l’interessato da eventuali divulgazioni degli stessi.

Pubblica amministrazione: la Giurisprudenza sul bilanciamento dei contrapposti interessi

Pubblica amministrazione: la Giurisprudenza sul bilanciamento dei contrapposti interessi

Nelle più recenti pronunce del Consiglio di Stato, si evidenzia un indirizzo giurisprudenziale che privilegia il diritto di accesso, ritenendo di poter limitare il contrapposto interesse alla riservatezza quando l’accesso stesso sia esercitato per la difesa di un interesse giuridico, nei limiti in cui esso sia necessario alla difesa di quell’interesse (Cons. Stato, Sez. VI, 20 aprile 2006, n. 2223).

Tuttavia, è necessario essere cauti e tentare di trovare sempre un punto di equilibrio tra gli opposti interessi in gioco che tuteli e garantisca l’interesse giuridicamente rilevante, di cui è titolare il soggetto che esercita il diritto di accesso, ma che salvaguardi anche l’interesse alla riservatezza dei terzi e l’esigenza di stabilità delle situazioni giuridiche e di certezza delle posizioni dei controinteressati, che sono pertinenti ai rapporti amministrativi scaturenti dai principi di pubblicità e trasparenza dell’azione amministrativa (cfr. Cons. Stato, A.P., 18 aprile 2006, n. 6).

Non si può, pertanto, operare una scelta generica e astratta, ma bisogna valutare caso per caso le situazioni giuridiche che vengono in considerazione: verificando l’effettività e la concretezza del collegamento dell’accesso al documento con la dichiarata esigenza di tutela (Cons. Stato, Sez. V, 2 ottobre 2006, n. 5718), in quanto il diritto alla riservatezza può essere sacrificato solo qualora estremamente necessari. 

Restando altrimenti possibile assicurare un ampio esercizio del diritto di accesso, pur salvaguardando l’interesse alla riservatezza mediante modalità, alternative alla limitazione o al diniego dell’accesso, che utilizzino, ad esempio, la schermatura dei nomi dei soggetti menzionati nei documenti, che si dichiarino fermamente intenzionati a mantenere l’anonimato, o che, invece, si avvalgano dell’assenso delle persone di volta in volta indicate nei documenti in questione (Cons. Stato, Sez. VI, 22 novembre 2005, n. 6524).

LEGGI ANCHE: GDPR: quali le regole per i soggetti pubblici?

Freedom of Information Act (FOIA)

Con il D.lgs. n. 97 del 2016, anche nel nostro ordinamento sono stati introdotti i principi del Freedom of Information Act (FOIA), termine che fa riferimento ad una legge che tutela la libertà di informazione e il diritto di accesso agli atti amministrativi.

Con la normativa FOIA, l’ordinamento italiano riconosce la libertà di accedere alle informazioni in possesso delle pubbliche amministrazioni come diritto fondamentale.

Il principio che guida l’intera normativa è la tutela preferenziale dell’interesse conoscitivo di tutti i soggetti della società civile: in assenza di ostacoli riconducibili ai limiti previsti dalla legge, le amministrazioni devono dare prevalenza al diritto di chiunque di conoscere e di accedere alle informazioni possedute dalla pubblica amministrazione.

Questo principio se da un lato favorisce un controllo sull’operato della pubblica amministrazione, dall’altro presenta inevitabili punti di contrasto con la riservatezza.

L’art. 7-bis del cd. “D.lgs. Trasparenza” (n. 33/2013) nel disciplinare il riutilizzo dei dati pubblicati stabilisce che:

“gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali"

Precisa inoltre che:

“la pubblicazione nei siti istituzionali, in attuazione del presente decreto, di dati relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonché a dirigenti titolari degli organi amministrativi è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico nel rispetto della disciplina in materia di protezione dei dati personali”

Inoltre:

“le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall'articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”

La norma ancora prevede che:

“nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”

Sempre nella prospettiva di un bilanciamento tra opposte esigenze, la norma stabilisce che:

“le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall'amministrazione di appartenenza”.

Tuttavia:

non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l'astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l'amministrazione, idonee a rivelare taluna delle informazioni di cui all'articolo 4, comma 1, lettera d), del decreto legislativo 30 giugno 2003, n. 196”.

Linee guida del Garante su privacy e trasparenza nei rapporti con la Pubblica Amministrazione

Linee guida del Garante su privacy e trasparenza nei rapporti con la Pubblica Amministrazione

Proprio per la delicatezza dell’argomento in questione, già con un provvedimento del 15 maggio 2014, il Garante per la privacy è intervenuto con apposite Linee guida, ha individuato gli accorgimenti a cui sono tenuti i soggetti pubblici che effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.

Se sussiste un obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto; e se si tratta di dati sensibili o giudiziari, questi possono essere trattati solo qualora la medesima finalità di trasparenza non possa essere conseguita con dati anonimi o dati personali di natura diversa

Prima di procedere alla pubblicazione sul proprio sito web la P.A. deve:

  • individuare se esiste una normativa che legittimi la diffusione del documento o del dato personale.
  • verificare se sia possibile l’oscuramento di determinate informazioni.
  • sottrarre all’indicizzazione i dati sensibili e giudiziari.

È comunque vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

Il Garante, poi, ha voluto approfondire aspetti relativi a determinate informazioni pubblicabili sui siti istituzionali della p.a.:

  • i curricula professionali possono essere inseriti nei limiti dei dati pertinenti alle finalità di trasparenza perseguite.
  • le dichiarazioni dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari, nel rispetto dei principi di pertinenza e non eccedenza e delle previsioni a tutela dei dati sensibili.
  • i compensi di alcuni soggetti, evitando di pubblicare la versione integrale dei documenti contabili e fiscali o altri dati eccedenti.
  • gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e l’elenco dei soggetti beneficiari, nel limiti di quanto effettivamente necessario.
  • Le informazioni, anche per una questione di chiarezza e più facile comprensione, devono essere sempre quelle necessarie ad assicurare la trasparenza e l’operato delle attività amministrative.

Con queste regole il Garante tende a rimodulare l’attuale disciplina sulla trasparenza, prevedendo che qualora l’accesso coinvolga dati personali di terzi, esso possa essere effettuato solo previo accertamento della prevalenza dell’interesse perseguito dall’accesso o previo oscuramento dei dati personali presenti.

LEGGI ANCHE: La notifica della sentenza al Domicilio Digitale altrimenti è nulla

Regolamento Europeo (GDPR)

In realtà, il nuovo Regolamento europeo, non indica delle differenze tra il trattamento dei dati personali effettuato dai soggetti pubblici e da soggetti privati, né tantomeno prevede delle norme specifiche dedicate al settore privato e pubblico.

Il GDPR, non si focalizza sul titolare del trattamento, ma sulla modalità di trattamento, che deve adeguarsi alle nuove condizioni di liceità dettate dalla normativa comunitaria, anche se poi alcune di esse riguardano esclusivamente lo svolgimento di attività pubbliche.

Questa è sicuramente una differenza rispetto al Codice Privacy (D.lgs. n. 196/2003), che prevedeva al Capo II, una distinzione tra condizioni di liceità applicabili a soggetti privati e condizioni valide per i soggetti pubblici, dove, l’istituto del consenso costituiva l’elemento distintivo tra titolari privati e titolari pubblici.

In effetti il GDPR all’art.6, lett. e), considera presupposto per il trattamento dei dati personali, la necessarietà del trattamento stesso per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

L’art. 9, poi, indica quali eccezioni al divieto generale di trattare dati personali sensibili:

  • il trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali.
  • il trattamento necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
  • il trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, o comunque necessario per motivi di interesse pubblico nel settore della sanità pubblica.
  • il trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

L’art. 10 del GDPR, poi, con riferimento al trattamento dei dati giudiziari chiarisce che lo stesso deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Anche un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.

Altra norma di sicuro interesse per l’indubbia rilevanza in materia pubblicistica è rappresentata dall’art. 23 del GDPR, dove si prevede che il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante specifiche misure legislative, la portata di alcuni fondamentali obblighi e diritti degli interessati qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata per salvaguardare tra gli altri:

  • la sicurezza nazionale.
  • la difesa.
  • la sicurezza pubblica.
  • la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
  • altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale.
  • la salvaguardia dell'indipendenza della magistratura e dei procedimenti giudiziari.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.