LA PRIVACY NELLE PUBBLICHE AMMINISTRAZIONI
Limiti alla pubblicazione dei dati personali e la loro applicazione in epoca di Covid-19?
Ogni qual volta l’amministrazione, pubblichi on-line informazioni e/o documenti, riguardanti dati personali, deve vagliare tutte le esigenze meritevoli di tutela, dal diritto di pubblicità e trasparenza al diritto di accesso, senza tralasciare un altro importantissimo aspetto: la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Quest’eterna contrapposizione tra situazioni meritevoli di tutela, è stata oggetto di un nostro recente post, redatto a seguito della pubblicazione di una lista di nomi di pazienti affetti da Covid-19. In quel caso, nel valutare i diritti fondamentali contrapposti, ci chiedevamo: “Bisogna preservare i pazienti dalla gogna mediatica o tutelare l’interesse alla salute pubblica, anche in violazione della privacy?” A tal proposito, avevamo citato un precedente del Garante della privacy del 1999, in cui la massima autorità amministrativa in materia, in un caso di diffusione di dati relativi alla salute di una prostituta affetta da AIDS, ha sottolineato che, “anche per finalità di “salute pubblica” la diffusione di dati relativi alla salute deve essere effettuata con tutte le cautele necessarie, affinché vengano allertate le persone che hanno avuto contatti con la medesima, senza per questo che essa sia identificabile da tutti”.
Oggi, invece, valutiamo il caso in cui l’Amministrazione voglia pubblicare i nomi di tutti quei cittadini che percepiscono un sussidio, una sovvenzione o un contributo.
ESEMPIO. E’ notizia di pochi giorni fa, lo stanziamento da parte del Governo di 400 milioni di euro, per l’emergenza Covid-19, che saranno gestiti direttamente dai Comuni con l’ausilio degli enti del terzo settore, per l’assegnazione di “buoni d’acquisto” per le persone più in difficoltà, che potranno utilizzarli per comprare alimenti e beni di prima necessità. Si attende ancora la pubblicazione del Decreto in cui verranno enunciate le modalità e il funzionamento di tali buoni, tuttavia, come accennato,saranno le stesse amministrazioni comunali a decidere chi e come si potrà richiedere i buoni pasto finanziati dal Governo.
In tema di privacy, potrebbero essere pubblicati i destinatari di tali strumenti di ausilio finanziario?
Anche in questo caso, è importante bilanciare le situazioni meritevoli di tutela, da una parte la trasparenza tipica degli atti amministrativi, utilizzabile anche come un’ulteriore strumento di controllo della regolarità degli atti e dall’altra la tutela alla dignità umana, soprattutto se, da tali dati identificativi delle persone fisiche destinatari dei provvedimenti in questione, sia possibile ricavare informazioni circa lo stato di disagio economico-sociale degli interessati.
La normativa di riferimento è l’ormai famoso GDPR (General Data Protection Regulation) approvato con Regolamento UE 2016/679 e applicabile in Italia a decorrere dal 25 maggio 2018 che ha armonizzato la normativa nazionale esistente, composta dal Codice della privacy e dalla normativa settoriale, come il Decreto legislativo n. 33 del 14 marzo 2013, intitolato “Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”.Il GDPR 679/2016 all’art. 4 punto 1), definisce il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, mentre nel successivo art. 5, elenca i principi applicabili al trattamento di tali dati, vale a dire: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
In questo quadro normativo, laddove l´amministrazione riscontri l´esistenza di un obbligo normativo che imponga la pubblicazione dell´atto o del documento nel proprio sito web istituzionale, è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l´oscuramento di determinate informazioni. Il cosiddetto “principio di minimizzazione dei dati” specifica che i soggetti titolari del trattamento, sono tenuti a ridurre al minimo l´utilizzazione di dati personali e di dati identificativi, adeguandoli alle finalità per le quali sono trattati,implementando ove necessario l’utilizzo di dati anonimi o altre modalità che permettano di identificare l´interessato solo in caso di necessità. Anche la prassi seguita da alcune P.A. di sostituire il nome e cognome dell’interessato con le sole iniziali è evidentemente insufficiente, in quanto il rischio di identificare il cittadino è tanto più probabile quando vi sono ulteriori informazioni di contesto. In tali casi, sarà utile menzionare i predetti dati solo negli atti a disposizione negli uffici o meglio sostituirli con codici o ancora prevedere l’accesso per mezzo di codice alfanumerico solo ad interessati e controinteressati per l’esercizio dei loro diritti.
In tale quadro normativo, lo stesso d. lgs. n. 33/2013 individuava una serie di limiti all´obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati, specificando che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari: a) di importo complessivo inferiore a mille euro nel corso dell´anno solare a favore del medesimo beneficiario; b) di importo superiore a mille euro nel corso dell´anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute” (art. 26, comma 4, d. lgs. n. 33/2013); c) di importo superiore a mille euro nel corso dell´anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013). Questi sono da intendersi sia se l’importo è erogato con un unico atto, sia se è erogato con atti diversi che, nel corso dell’anno solare, comportano il superamento del tetto di 1.000 euro nei confronti di un unico beneficiario.
CONCLUSIONE. Il legislatore ha voluto, quindi, escludere la pubblicazione dei dati identificativi delle persone fisiche, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati. L’obiettivo è quello di limitare la diffusione dei dati personali, a favore della dignità, dei diritti e delle libertà fondamentali dell´interessato, al fine di evitare che soggetti che si trovino in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale. Lo stesso Garante, tuttavia, ha evidenziato che spetterà agli enti destinatari degli obblighi di pubblicazione online, in quanto titolari del trattamento, verificare, preliminarmente l’esistenza di una norma di legge che prescriva tale obbligo, ridurre al minimo i dati personali necessari per ogni specifica finalità e di conseguenza valutare, caso per caso, quando le informazioni contenute nei provvedimenti rivelino l´esistenza di una situazione di disagio economico o sociale in cui versa il destinatario del beneficio o se vi siano riferimenti a dati relativi alla salute, prevedere misure appropriate e specifiche.
Tale decisione rimane comunque sindacabile da parte dell’Autorità Garante per la protezione dei dati personali che assicura il rispetto dei predetti principi in materia e irroga le corrispondenti sanzioni.
Nell’ambito dell’Amministrazione Comunale, il Titolare del trattamento (cioè il Sindaco o suo delegato) dei dati personali raccolti o meno in banche dati, automatizzate o cartacee, è responsabile del rispetto dei principi applicabili al trattamento di dati personali. Si precisa che, per le violazioni di cui all’art. 83 GDPR, sono previste sanzioni amministrative pecuniarie, per gli enti pubblici, che possono arrivare fino a 20.000,00 euro.
Avv. Fabio Lucà
Fonti: Regolamento UE 679/2016 (GDPR) – Decreto legislativo 14 marzo 2013, n. 33 – Linee guida in materia di trattamento di dati personali, Pubblicate sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014.
No Comments