Obblighi di trasparenza PA e protezione dati personali: l’orientamento del Garante
29/11/2021 2021-11-29 9:25Obblighi di trasparenza PA e protezione dati personali: l’orientamento del Garante
Obblighi di trasparenza PA e protezione dati personali: l’orientamento del Garante
Nell’annoso dibattito incentrato sulla ricerca di un (non facile) equilibrio tra adempimenti legati alla trasparenza amministrativa e tutela dei dati personali, si inseriscono due interessanti pronunce del Garante Privacy con cui rispettivamente 2 Enti, Regione Lombardia e Comune di Napoli, sono stati sanzionati per aver violato i principi espressi dal GDPR oltre che i riferimenti contenuti nelle Linee Guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (G.U. n. 134 del 12 giugno 2014)emanate dall’Autorità a seguito dell’entrata in vigore del D.Lgs. n. 33/2013 sugli obblighi, appunto, di trasparenza e recentemente arricchite da interessanti FAQ sull’argomento.
Passiamo ad esaminare nel dettaglio i provvedimenti.
1. Ordinanza ingiunzione nei confronti di Regione Lombardia – 22 luglio 2021 (Doc-Web 9697724)
Il procedimento che ha condotto all’ordinanza nei confronti della Regione Lombardia nasceva a seguito di una segnalazione con cui si lamentava la violazione della normativa in materia di protezione dei dati personali da parte dell’Ente, determinata dalla pubblicazione, sul proprio sito web istituzionale, degli elenchi relativi alla selezione per l’erogazione di contributi economici finalizzati all’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica, ovvero per l’erogazione di borse di studio, in favore di studenti residenti in Lombardia.
Requisito di accesso al beneficioera la dimostrazione da parte dell’interessato di un ISEE (Indicatore della Situazione Economica Equivalente) non superiore a circa 15.000,00 euro, il che avrebbe determinato l’erogazione, per il richiedente, di una somma di denaro compresa tra 200 euro fino a un massimo di 500 euro.
La questione portata all’attenzione del Garante riguardava, in particolare, l’illecita diffusione sul portale della Regione Lombardia dei dati e delle informazioni riferiti a studenti beneficiari e non beneficiari dei suddetti contributi.
Avviata l’istruttoria, la Regione confermava nelle proprie memorie difensive l’avvenuta pubblicazione online dei dati personali descritti, giustificando il proprio operato “dall’assoluta convinzione che il trattamento effettuato non abbia evidenziato alcuna situazione di c.d. “disagio economico-sociale degli interessati” destinatari dei provvedimenti di concessione”, avendo ritenuto che il valore ISEE, richiesto per l’ammissione ai benefici (pari a euro 15.748,78) “fosse una mera soglia di accesso al beneficio medesimo e non identificativa di un effettivo stato di disagio sociale e/o economico”.
Nella sua decisione, invero, l’Autorità – oltre ad aver ricordato che l’ISEE rappresenta un dato utile a “valutare e confrontare la situazione economica delle famiglie” – ha poi focalizzato l’attenzione sull’art. 26, comma 4, del D. Lgs. n. 33/2013, il quale contiene l’espresso divieto di diffondere per finalità di trasparenza dati identificativi di soggetti beneficiari di contributi economici da cui si possa desumere informazioni relative “alla situazione di disagio economico-sociale degli interessati”.
Trattasi – come evidenziato dallo stesso Garante nelle Linee Guida sulla trasparenza succitate – di “un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale” (cfr. parte prima, par. 9.e).
Sotto tale profilo, nelle medesime Linee guida è stato anche precisato che in ogni caso – alla luce del principio di necessità, pertinenza e non eccedenza (oggi tutti confluiti nel più generale principio di “minimizzazione” dei dati di cui all’art. 5, part. 1, lett. c, del RGPD) – non appare “giustificato diffondere, fra l’altro, dati quali, ad esempio, […] la ripartizione degli assegnatari secondo le fasce dell’Indicatore della situazione economica equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno […], etc.” (ivi).
Per le suddette ragioni l’Autorità ha ritenuto che “la diffusione dei dati identificativi di studenti beneficiari di contributi economici unitamente alla circostanza che gli stessi siano possessori di un ISEE non superiore a euro 15.748,78 non sia conforme al divieto” di cui all’appena visto art. 26, comma 4, del d. lgs. n. 33/2013, in quanto idonea in ogni caso a far conoscere a un pubblico generalizzato una situazione economica della famiglia dello studente non particolarmente agiata con conseguente possibile pregiudizio nei suoi confronti.
Inoltre, “la diffusione delle informazioni relative all’Indicatore della situazione economica equivalente-Isee dei soggetti interessati è del tutto sproporzionata rispetto alla finalità di trasparenza prevista dalla disciplina di settore, in quanto i dati diffusi non sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati in violazione del principio di minimizzazione” (art. 5, par. 1, lett. c, del RGPD; Linee guida, parte prima, par. 9.e).
Anche in merito alla diffusione dei dati personali dei soggetti non risultati beneficiari di alcun contributo economico, l’Autorità ha ritenuto non fondata l’eccezione della Regione per cui la pubblicazione sarebbe stata necessaria a “tutelare l’interesse dei non beneficiari di poter prendere visione degli atti (risultati del bando) [e] consentire anche ai partecipanti non beneficiari l’accesso agli atti”.
Tanto sul presupposto, a parere del Garante, della mancanza di una previsione normativa legittimante simile determinazione da parte dell’Ente e che assecondi le modalità diffusive di fatto poste in essere dalla Regione.
2.Ordinanza contro il Comune di Napoli- 22 luglio 2021 (Doc-Web 9696764).
Relativamente all’altra decisione esaminata, la segnalazione che ha dato avvio all’istruttoria del Garante concerneva una presunta violazione del GDPR da parte del Comune di Napoli, per aver questo pubblicato sul proprio albo pretorio online la graduatoria degli aventi diritto al sostegno economico per il fitto delle abitazioni principali connesso a situazioni di emergenza socio-economica.
Nella graduatoria, in particolare, erano riportati i dati degli interessati, quali nome, cognome, codice fiscale, indirizzo, importo del canone, indicazione dell’importo erogabile e relativa posizione.
L’elenco, poi, veniva reso accessibile mediante pubblicazione sul sito web dell’Ente, all’url https://www.comune.napoli.it/…, ove attraverso una “maschera di ricerca” era possibile a chiunque visualizzare, senza una previa autenticazione e con l’inserimento del solo codice fiscale dell’interessato, i dati personali sia dei soggetti ammessi che di quelli non ammessi al contributo con la relativa motivazione.
V’è di più, perché nella medesima pagina web comparivano in visualizzazione contemporaneamente i dati e le informazioni di due soggetti diversi.
Nell’argomentare la propria decisione il Garante Privacy ha, innanzi tutto, preso le mosse dal concetto di dato personale, rappresentato da “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”, considerandosi, peraltro, “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, /genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del RGPD).
In secondo luogo, ha richiamato i principi contenuti nell’art.5 del GDPR, specificatamente quello di “limitazione della finalità” nonché di “minimizzazione dei dati”, chiarendo che “i dati personali devono essere – rispettivamente – “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. b e c)”.
Ancora, l’Autorità ha sottolineato che “la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismorispetto alla diffusione online di dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di “minimizzazione”, in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo “adeguati” e “pertinenti”, ma anche “limitati” a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c)”.
Ciò posto, dunque, secondo il provvedimento in esame la diffusione da parte dell’Ente locale delle informazioni riferite e riconducibili ai soggetti che avevano concorso al contributo economico in questione assumeva i caratteri dell’illegittimità poiché avrebbe consentito la libera consultabilità dei dati personali degli interessati, in chiaro ed in totale assenza di un sistema di autenticazione dell’utente.
In particolare, il trattamento in questione:
- Era stato intrapreso in assenza di idonei presupposti normativi e, pertanto, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
- Si poneva in contrasto con la disciplina statale in materia di trasparenza laddove che vieta la pubblicazione di dati identificativi delle persone fisiche destinatarie di benefici economici «qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, d. lgs. n. 33/2013);
- Non rispettava il “principio di «minimizzazione dei dati», di cui all’art. 5, par. 1, c), del RGPD, in quanto i dati non sono risultati «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».”
3. Considerazioni Finali
Le ordinanze esaminate dimostrano come, strette tra obblighi di pubblicità degli atti amministrativi e necessaria tutela dei dati di coloro cui quegli atti si riferiscono, le pubbliche amministrazioni talvolta perdano l’orientamento cadendo nell’errore – certamente incolpevole – di un’esposizione eccessiva delle informazioni personali riportate nei provvedimenti soggetti a trasparenza.
Accade così che in tali casi la doverosa pubblicazione dei provvedimenti da parte della PA assuma, sotto il profilo della protezione dei dati personali, i connotati di un trattamento non conforme al GDPR.
Orientarsi in un simile contesto non è certamente facile.
Un supporto irrinunciabile in quest’ottica è senz’altro offerto dalle Linee guida del Garante e dalle recenti FAQ in materia di trasparenza le quali rappresentano un valido punto di riferimento per le Pubbliche Amministrazioni sul tema in oggetto.
Esse, infatti, contengono gli indirizzi ed i principi che le PAsono tenute ad osservare per garantire il giusto contemperamento degli obblighi di pubblicità con il diritto alla protezione dei dati personali che giocoforza – come visto – entrano in competizione nel particolare ambito che qui ci occupa.
L’esperienza, invero, ci dice che non esiste una soluzione univoca rispetto a simile conflitto, stante l’estrema varietà di situazioni che possono verificarsi nel caso concreto.
Tuttavia, quel che è importante è lo sforzo che ogni ente deve concretamente mettere in atto nella specifica situazione verso una soluzione che ogni volta assicuri, da un lato, l’esigenza di conoscibilità da parte dei cittadini delle decisioni della pubblica amministrazione e, dall’altro, la tutela dei dati di coloro i quali da quelle decisioni sono direttamente o indirettamente interessati.
Come, del resto, lo stesso Garante ricorda nella FAQ n. 8, da questo punto di vista il soggetto pubblico, “Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, […] deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto”. In ipotesi di dati particolari o giudiziari, poi, “possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa”.
Un orientamento, questo, per certi versi confermato nella pronuncia in commento del 22 luglio 2021 allorché – con specifico riguardo agli atti di concessione di benefici economici –, l’Autorità ha affermato che “in tale quadro – pur comprendendo il difficile bilanciamento tra esigenze di trasparenza e protezione dei dati personali” si rende necessaria ogni volta una “valutazione, caso per caso, da parte del titolare del trattamento soprattutto in relazione all’identificazione di fattispecie in cui provvedimenti […] rivelino l’esistenza di una situazione di disagio economico o sociale in cui versa il soggetto interessato che non ne consente la divulgazione” (Ordinanza ingiunzione nei confronti di Regione Lombardia – 22 luglio 2021 [9697724] – par. 6).
Avv. Adamo Brunetti