Condividi su

Normative: Privacy

10/11/2014
PRIVACY - Privacy e trasparenza on-line per le PA: le linee guida individuate dal Garante

A cura del Dott. Juri Torreggiani - Consulente privacy

Premessa

Al fine di armonizzare le esigenze di pubblicità e trasparenza con i diritti, la dignità e le libertà fondamentali delle persone, il “Garante per la protezione dei dati personali”, così detto Garante Privacy, ha recentemente fornito un quadro organico e unitario di indicazioni e misure (linee guida), che le Pubbliche Amministrazioni (dette in seguito, per brevità, PA), devono adottare quando procedono a diffondere sui loro siti web dei dati personali dei cittadini.

 

Oggetto delle linee guida

Le linee guida di cui sopra, emanate anche alla luce del Decreto Legislativo n. 33/2013, riguardano sia la pubblicazione di dati e documenti che le PA devono mettere on-line per assolvere a finalità di “trasparenza”, sia la pubblicazione di dati finalizzati a garantire altri obblighi di pubblicità degli atti amministrativi (si citano, a titolo puramente esemplificativo, avviso di deposito delle cartelle esattoriali, pubblicazioni matrimoniali, deliberazioni sull’albo pretorio on-line, ecc.).

 

Le principali misure

Si riepilogano quindi di seguito, in modo schematico, le principali misure indicate dal Garante Pivacy e rivolte alle Pubbliche Amministrazioni:

1) anzitutto esse devono fare estrema attenzione a pubblicare solo dati esatti, aggiornati e contestualizzati;

2) prima di mettere on-line sui propri siti web, atti e documenti amministrativi contenenti dati personali, devono verificare che esista una norma di legge o di regolamento che ne preveda l’obbligo;

3) devono evidenziare on-line solo dati la cui pubblicazione risulti realmente necessaria;

4) è sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale;

5) i dati sensibili (quali la religione, le idee politiche, l’etnia, ecc.), possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico;

6) è necessario adottare idonee misure per impedire l’indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro successivo riutilizzo;

7) se le PA intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel Decreto Legislativo n. 33/2013, devono procedere prima a rendere anonimi i dati stessi, impedendo procedure che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

 

Altre misure specifiche

Il Garante Privacy specifica inoltre che:

-   è legittimo indicare il compenso complessivo percepito dai singoli dipendenti (determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione);

-   in linea generale, non è invece ammesso evidenziare on-line le dichiarazioni dei redditi o la versione integrale dei cedolini degli stipendi;

-   vi è viceversa l’obbligo di pubblicare le dichiarazioni dei redditi di politici e amministratori, con l’esclusione di dati non pertinenti (quali stato civile, codice fiscale, ecc.) o altri dati sensibili (spese mediche, erogazioni di denaro ad enti senza finalità di lucro, ecc.);

-   per tutelare persone disagiate, invalide, disabili, ecc., destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati  identificativi.

 

Utilizzo dei dati da parte dei terzi

È importante sottolineare che i dati pubblicati on-line non sono liberamente utilizzabili da chiunque e per qualunque finalità. L’obbligo previsto dalla normativa in materia di trasparenza on-line della PA di pubblicare dati in “formato aperto”, non implica che tali dati siano illimitatamente fruibili. Le PA dovranno quindi provvedere a inserire nella sezione denominata “Amministrazione trasparente” dei propri siti web un idoneo avviso con cui si informa il pubblico che i dati personali sono riutilizzabili in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto del norme sulla protezione dei dati personali.

In linea generale i dati sensibili e giudiziari non possono essere riutilizzati dai terzi.

 

Periodo di pubblicazione dei dati

Il Decreto Legislativo n. 33/2013 fissa, in linea generale, il periodo di mantenimento on-line dei dati in 5 anni.

In ogni caso, quando sono stati raggiunti gli scopi per i quali i dati sono stati resi pubblici e gli atti hanno prodotto i loro effetti, i dati personali devono essere oscurati anche prima che sia trascorso il termine dei 5 anni.

 

Obblighi di pubblicità degli atti per finalità diverse dalla trasparenza

Il Garante Privacy evidenzia inoltre che il rispetto dei principi di esattezza, necessità, pertinenza, non eccedenza, permanenza on-line limitata nel tempo dei dati personali, vale anche per la pubblicazione di atti aventi finalità diverse dalla “trasparenza” (es. albo pretorio on-line degli enti locali, graduatorie di concorsi, ecc.).

 

I dati di contesto

Al fine di ridurre i rischi di uso non conforme dei dati personali e la riorganizzazione delle informazioni secondo parametri non conosciuti dall’utente, il Garante Privacy enuncia anche che risulta necessario prevedere l’inserimento, all’interno dei documenti, di cosiddetti “dati di contesto” (quali, ad esempio, la data di aggiornamento, il periodo di validità, l’amministrazione di riferimento, il numero di protocollo, ecc.), ed evitare l’indicizzazione tramite motori di ricerca generalisti, privilegiando invece funzionalità di ricerca interne ai siti web delle amministrazioni.

 

Autorità coinvolte

In conclusione, si ritiene utile ricordare che per l’elaborazione delle dettagliate linee guida di cui sopra, il Garante Privacy  ha opportunamente consultato il Dipartimento della funzione pubblica, l’Autorità nazionale anticorruzione (Anac) e l’Agenzia digitale. 

Torna alle normative