I paletti del Garante della Privacy al Decreto sulla Trasparenza

Dopo il Consiglio di Stato, che aveva già manifestato le sue perplessità, adesso a esprimere un parere molto critico sullo schema di decreto legislativo in materia di prevenzione della corruzione, pubblicità e trasparenza [1] è stata l’Autorità garante per la protezione dei dati personali , che con il provvedimento n. 92 del 3 marzo 2016 ha dato il suo via libera al testo, ma a determinate condizioni, chiedendo soprattutto maggiori tutele per i dati dei cittadini.

Il tema della trasparenza è particolarmente delicato, essendo necessario trovare un corretto bilanciamento tra i diritti fondamentali dell’individuo alla riservatezza e alla protezione dei dati personali e il perseguimento della trasparenza amministrativa e della lotta alla corruzione mediante la diffusione dei documenti in possesso della Pubblica Amministrazione. Secondo il Garante, infatti, occorre considerare “i rischi per la vita privata e per la dignità delle persone interessate che possono derivare da obblighi di pubblicazione sul web di dati personali non sempre indispensabili a fini di trasparenza” .

I rilievi critici espressi dal Garante privacy risultano molto severi: l’Autorità ha infatti osservato che “ dal momento che lo schema di decreto non ha pienamente attuato il criterio di delega volto alla rimodulazione degli obblighi di pubblicazione, appare necessario modificare le disposizioni del d. lgs. n. 33/2013 la cui formulazione ingenera dubbi interpretativi, rischiando oltretutto di violare l’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, gli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, nonché la disciplina europea e nazionale in materia di protezione dei dati personali ( dir. 95/46/CE; d. lgs. 30 giugno 2003, n. 196)”.

Il Garante ha aggiunto che tali modifiche sono necessarie anche considerando, in prospettiva, gli effetti negativi che potrebbero prodursi a causa dell’ aumento del contenzioso di fronte ai giudici, dei possibili futuri contrasti giurisprudenziali, della proposizione di eventuali ricorsi alla Corte costituzionale e alla Corte di giustizia dell’UE.

In particolare, l’Autorità ritiene che sia necessario sviluppare alcuni criteri di delega non articolati, razionalizzando e rimodulando gli obblighi di pubblicazione secondo alcuni principi essenziali:

• grado di esposizione dei singoli titolari di funzioni pubbliche al rischio corruttivo;
• funzionalità del dato da pubblicare rispetto alla effettiva necessità di conoscenza da parte dei cittadini;
• bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati.

Infatti, affinché la trasparenza sia effettiva “ garanzia delle libertà individuali e collettive, nonché dei diritti civili, politici e sociali ”, in grado di integrare “ il diritto ad una buona amministrazione e concorrendo alla realizzazione di una amministrazione aperta, al servizio del cittadino ” (art. 1, comma 2, del d. lgs. n. 33/2013), essa non può essere realizzata ledendo la dignità della persona e violando i suoi diritti fondamentali, come, appunto, il diritto alla riservatezza e il diritto alla protezione dei dati personali, i quali non solo sono costituzionalmente garantiti, ma anche previsti dai tesi richiamati dal Garante, ovvero la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (artt. 7 e 8), nonché la Carta dei diritti fondamentali dell’Unione europea.

Nel parere in commento si legge che la definizione di trasparenza contenuta nello schema di decreto è equivoca in quanto non tutti gli atti della PA sono effettivamente pubblici e accessibili, anche in seguito alla riforma introdotta. L’Autorità, pertanto, ha suggerito di intendere la trasparenza come “ accessibilità dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche ”.

In più, il Garante si è soffermato sull’art. 3 del nuovo testo, il quale dispone che “tutti i documenti, le informazioni e i dati oggetto di accesso civico e di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ”. In relazione a tale disposizione è necessario, come si legge nel parere del Garante, che sia precisata adeguatamente l’estensione degli obblighi di trasparenza, definendoli in maniera puntuale e non con un generico e indeterminato rinvio alla “normativa vigente”, così come ad oggi previsto.

Secondo l’Autorità, inoltre, è irragionevole l’estensione automatica degli obblighi previsti dal D.Lgs. n. 33/2013 (quali il mantenimento sul web dei dati pubblicati per cinque anni, l’obbligo di indicizzazione e il riutilizzo degli stessi, la vigilanza dell’Anac e la responsabilità disciplinare in caso di inadempimento di tali obblighi prevista dall’art. 45, comma 4, dello stesso decreto), nonché delle relative sanzioni anche agli obblighi di pubblicazione dettati per tutti i dati, documenti e informazioni resi pubblici sulla base di obblighi giuridici regolati da specifiche norme di settore, le quali, spesso, hanno finalità notevolmente diverse (pensiamo, ad esempio, alle pubblicazioni matrimoniali).

Tale criticità diventa ulteriormente rilevante, in particolare, con riferimento alle modifiche apportate all’istituto dell’ accesso civico : è prevista, infatti, l’estensione dell’accessibilità “ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ”, ricomprendendo, così, anche dati che non sono, di per sé, oggetto di pubblicazione obbligatoria.

Lo scopo delle nuove disposizioni dell’accesso ispirate al FOIA, infatti, è quello di “favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche” : in quest’ottica chiunque “ha diritto di accedere ai dati e documenti detenuti dalle pubbliche amministrazioni ”. Non è prevista, così, nessuna limitazione in merito alla legittimazione soggettiva del richiedente e nessuna motivazione, salvo, però, le eccezioni previste dall’art. 5-bis, le quali contemplano le ipotesi di negazione dell’accesso per possibili pregiudizi a interessi pubblici e privati . Inoltre, la PA verso cui è indirizzata la richiesta di accesso ha l’obbligo di dare comunicazione della predetta richiesta a eventuali soggetti controinteressati, che, entro dieci giorni, possono presentare una motivata opposizione (art. 5, comma 4). Nel caso di accoglimento della richiesta, l’amministrazione competente “ provvede tempestivamente, e comunque non oltre trenta giorni dalla presentazione dell’istanza, a trasmettere al richiedente i dati o i documenti richiesti ” (art. 5, comma 5).

La nuova disciplina, appena descritta, pone dei seri dubbi. Innanzitutto, sorge spontanea una riflessione: secondo quali criteri i soggetti pubblici decideranno di accogliere o meno una richiesta di accesso ai documenti? La legge non si è ancora espressa in merito ai precisi parametri che l’operatore della PA dovrà considerare per concedere l’accoglimento dell’istanza o rigettare la stessa e il rischio ovviamente è quello di lasciare spazio a un’eccessiva discrezionalità, che potrebbe portare anche a disparità di trattamento in relazione a richieste di accesso ai dati di analoga natura. In effetti, senza parametri di valutazione ben delineati, la decisione in ordine all’ostensibilità dell’atto o del documento, essendo affidata unicamente alla valutazione e discrezionalità del funzionario pubblico, rischia di sfociare nell’arbitrarietà, conseguenza paradossale se si considera che l’obiettivo del legislatore delegato è quello di rafforzare l’istituto “ al fine di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche ”.

I parametri da utilizzare, così come dichiarato dal Garante privacy, servirebbero per mettere in atto un corretto bilanciamento tra la protezione dei dati personali e l’interesse del richiedente, considerando, altresì, che l’istanza non è motivata e, pertanto, non è presente alcuna indicazione circa la finalità perseguita, la quale si configurerebbe come un elemento determinante ai fini della valutazione della legittimità del trattamento.

Queste carenze, come si legge nel parere, porterebbero a interpretazioni difformi, determinando “ diversi gradi di tutela del diritto alla protezione dei dati personali dei controinteressati, con conseguenze anche paradossali ”.

Per cui, come dichiarato dal Garante, ove si richieda di accedere a dati personali, l’istanza dovrà essere accolta solo se funzionale a un interesse ritenuto prevalente rispetto al diritto alla riservatezza, ovvero oscurando i dati personali presenti. Pertanto, l’Autorità propone anche di escludere l’accesso a dati sensibili, giudiziari o di minori, in ragione della tutela rafforzata che l’ordinamento riconosce a tali dati. Suggerisce, poi, di demandare a un regolamento attuativo l’individuazione, nel dettaglio, delle categorie di dati e documenti suscettibili di accesso e dei casi di rigetto dell’istanza a fini di tutela delle persone interessate.

Il Garante si è espresso anche in merito alla durata degli obblighi di pubblicazione : la formulazione dell’art. 8 dello schema di decreto potrebbe generare perplessità in sede applicativa, in quanto rimette all’interprete la valutazione del limite temporale della pubblicazione sul web da ritenere applicabile per ciascuna fattispecie; ciò potrebbe comportare interpretazioni irragionevolmente differenti e, dunque, ingiustificate disparità di trattamento.

In particolare, l’art. 8 prevede un limite generale di cinque anni, ma tale previsione non sembra rispettosa del principio di proporzionalità di matrice europea che impone la commisurazione dei termini alla luce della finalità del trattamento.

Per tale motivo, il Garante, già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014, ha evidenziato alle pubbliche amministrazioni che “ laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza, contengano dati personali, questi ultimi devono essere oscurati, anche prima del termine di cinque anni, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti ”.

Pertanto risulta necessario una correzione del testo dell’articolo in commento volto ad attenuare l’attuale difformità della disciplina sulla trasparenza dal quadro normativo europeo e nazionale in materia di protezione dei dati personali.

Infine, lo schema di decreto, all’art. 9, comma 1, prevede che “ le amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione «Amministrazione trasparente» ”.

In realtà, nella pronuncia dell’Autorità si legge che, come già evidenziato nel parere del Garante del 7 febbraio 2013, “un obbligo così ampio e indifferenziato di indicizzare la documentazione pubblicata è contrario al principio di proporzionalità nel trattamento dei dati personali rispetto alle specifiche finalità di trasparenza di volta in volta perseguite e non tiene in considerazione le esigenze di avere dati esatti, aggiornati e contestualizzati ( art. 6, par. 1, lett. d. dir. 95/46/CE. Cfr. anche art. 7, par.1, lett. c e d, della medesima direttiva)” . Pertanto, alla luce del citato principio di proporzionalità, la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all’obiettivo perseguito e, specificamente, quando tale obiettivo non può essere realizzato in modo ugualmente efficace con modalità meno pregiudizievoli per la riservatezza degli interessati.

È necessario, come stabilito dal Garante, che il testo normativo venga adeguato all’applicazione del diritto europeo e alla sentenza della Corte di Giustizia UE del 13 maggio 2014 ( Causa C-131/12, Google Spain SL, Google Inc/Agencia Española de Protección de Datos), dando comunque la possibilità al richiedente di chiedere al titolare del trattamento la deindicizzazione dei propri dati identificativi; tenuto conto, inoltre, che anche l’Autorità nazionale anticorruzione (ANAC), nella propria relazione annuale 2014 al Parlamento, ha evidenziato che “ il regime applicabile alle informazioni oggetto di pubblicazione e diffusione via web potrebbe essere articolato e graduato anche con riferimento al periodo di pubblicazione, alle modalità di conservazione, alla indicizzazione dei contenuti da parte dei motori di ricerca esterni”.

L’Autorità garante per la protezione dei dati personali ha, quindi, espresso un parere favorevole sullo schema di decreto legislativo, ma non ha di certo omesso di indicare tutte le criticità del testo di legge e le condizioni su cui il Governo dovrà lavorare per garantire la trasparenza della PA senza alcuna compromissione della tutela alla protezione dei dati personali dei cittadini.

[1] “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza, correttivo della legge n.190/2012 e del D.Lgs. n. 33/2013, ai sensi dell’art. 7 della legge n. 124/2015 in materia di riorganizzazione delle amministrazioni pubbliche”.