Indicazioni per il contemperamento tra disposizioni sulla “trasparenza” e disposizioni sulla protezione dei dati personali.
Base giuridica della diffusione on line di dati personali da parte delle Università
A seguito dell’entrata in vigore definitiva, dal 25.05.2018, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito GDPR o Regolamento) e, dal 19.09.2018, del D. Lgs. n. 10.08.2018, n. 101 che adegua il Codice in materia di protezione dei dati personali, D. Lgs. n. 30.06.2003, n. 196, alle disposizioni del GDPR, l’Università è tenuta a contemperare la nuova disciplina con gli obblighi di pubblicazione (rectius: diffusione on line) previsti dal D. Lgs. n. 33/2013.
Secondo quanto sancito dall’art. 2-ter del D.Lgs. n. 196/2003, segnatamente al comma 1, la base giuridica prevista per il trattamento di dati personali, effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (art. 6, paragrafo 3, lettera b) del GDPR), trova fondamento esclusivamente in una norma di legge o, nei casi previsti dalla legge, di regolamento. Inoltre, il comma 2 del medesimo articolo prevede che «La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o
connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati».
Il comma 3 del medesimo articolo stabilisce che «la diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1». Il regime normativo per il trattamento di dati personali da parte dei soggetti pubblici - qualora si intenda utilizzare la base giuridica ai sensi dell’art. 6, paragrafo 3, lett. b) [rectius: art. 6, par. 1, lett. c) ed e)] del GDPR - è, quindi, rimasto sostanzialmente inalterato.
Va, in proposito, tenuto conto anche della circostanza che il considerando 43) del GDPR prevede che “per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento, specie quando il titolare del trattamento è un'autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”.
Indicazioni per il trattamento di dati ai sensi del D. Lgs. 33/2013
Devono essere osservate le specifiche indicazioni fornite nel 2014 dal Garante per la protezione dei dati personali (provvedimento n. 243 del 15.05.2014 pubblicato in data 25.06.2014, recante “Linee guida per il trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”).
Obblighi di diffusione on line per finalità di trasparenza
Devono intendersi obblighi di diffusione on line di dati (si usa tale espressione in luogo di “pubblicazione”, in quanto maggiormente appropriata ai sensi del GDPR) per “finalità di trasparenza", quelli indicati nel D. Lgs. n. 33/2013, in quanto aventi ad oggetto "informazioni concernenti l'organizzazione e l'attività dell’Amministrazione, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche".
Divieti di diffusione e rispetto dei principi di adeguatezza, pertinenza e necessità del trattamento
Non possono essere diffusi on line, per “finalità di trasparenza”, dati personali ulteriori non individuati dal D. Lgs. n. 33/2013 o da altra specifica norma di legge o di regolamento in materia.
L'eventuale diffusione on line di dati, informazioni e documenti, che non si abbia l'obbligo di diffondere, è perciò legittima solo "procedendo alla anonimizzazione dei dati personali eventualmente presenti" (art. 7-bis, comma 3, D. Lgs. n. 33/2013).
L’attività di diffusione on line dei dati sui siti web per finalità di trasparenza, anche se effettuata in presenza di idoneo presupposto normativo, deve inoltre avvenire nel rispetto di tutti i principi applicabili al trattamento dei dati personali
contenuti all’art. 5 del GDPR, quali quelli di liceità, correttezza e trasparenza; necessità e minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza tenendo anche conto del principio di “responsabilizzazione” del titolare del trattamento.
In particolare, assumono rilievo i principi di adeguatezza, pertinenza e limitazione a quanto necessario rispetto alle finalità per le quali i dati personali sono trattati («minimizzazione dei dati») (art. 5, par. 1, lett. c) del GDPR) e quelli di esattezza e aggiornamento dei dati, con il conseguente dovere di adottare tutte le misure ragionevoli per cancellare o
rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. d) del GDPR). Di conseguenza, laddove l’Amministrazione riscontri l'esistenza di un obbligo normativo che imponga la diffusione on line dell'atto o del documento sul sito istituzionale, è tenuta a selezionare i dati personali da diffondere, contenuti in tali atti e documenti, verificando caso per caso se ricorrono i presupposti per l'oscuramento di determinate informazioni.
In particolare, gli uffici dovranno ridurre al minimo l'utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità sottese agli obblighi di trasparenza possono essere realizzate pubblicando dati anonimi o adottando altri accorgimenti che permettano di identificare l'interessato solo in caso di necessità (cd. "principio di necessità" di cui all'art. 6, comma 1, lett. f) del GDPR).
Per rendere effettivamente "anonimi" i dati diffusi on line occorre oscurare del tutto il nominativo e le altre informazioni riferite all'interessato che ne possano consentire l'identificazione anche a posteriori. Il D. Lgs. n. 33/2013 all’art. 7-bis, co. 4, dispone inoltre che «Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della
pubblicazione».
È, quindi, consentita la diffusione on line dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata, o indispensabile se trattasi di dati sensibili e giudiziari, alla “finalità di trasparenza” perseguita nel caso concreto.
I dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti che formeranno oggetto di diffusione on line; in caso contrario, occorre provvedere, comunque, prima della diffusione on line, all'oscuramento delle informazioni che risultano eccedenti o non pertinenti, ovvero non indispensabili se si tratti di informazioni sensibili e giudiziarie.
Pertanto, è necessario porre in essere la massima attenzione nella selezione dei dati personali, “sensibili” e “giudiziari”, da utilizzare, sin dalla fase di redazione degli atti e documenti soggetti a diffusione on line. Gli obblighi di diffusione on line di cui al D. Lgs. n. 33/2013 riguardano dati personali diversi dalle categorie di dati particolari di cui all’art. 9 e all’art. 10 del GDPR (dati “sensibili” e “giudiziari”), fermi restando i limiti alla diffusione ed all’accesso alle informazioni di cui all’art. 24, cc. 1 e 6 della legge 241/1990 e di ulteriori vigenti norme imperative.
I dati “sensibili” e “giudiziari” sono protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità per i soggetti pubblici di diffondere on line tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto necessari per svolgere l'attività istituzionale che non può essere adempiuta, caso per caso, mediante l'utilizzo di dati anonimi o di dati personali di natura diversa (art. 2-sexies
del D. Lgs. n. 196/2003).
Resta, invece, del tutto vietata la diffusione on line di dati genetici, biometrici e relativi alla salute (art. 2-septies, comma 8, del D. Lgs. n. 196/2003).
L’art. 26, ultimo comma, D. Lgs. n. 33/2013, inoltre, così recita: “E' esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati”.
Ad integrazione delle previsioni esplicite di cui agli articoli di legge citati, inoltre, non può ritenersi legittimo diffondere on line informazioni quali, ad esempio, l’indirizzo del domicilio privato, il numero di telefono e l’indirizzo di posta elettronica personale (diversi da quelli ad uso professionale), o altri dati, sia pure non sensibili o giudiziari, ma comunque eccedenti la legittima e specifica finalità di trasparenza perseguita. Pertanto, con particolare riferimento ai procedimenti per il conferimento degli incarichi di collaborazione e consulenza ed ai procedimenti preordinati alle concessioni sopra accennati, in relazione ai quali è stato introdotto l’obbligo di diffondere on line, tra l’altro, i curricula dei destinatari nonché, ove previsto, anche le dichiarazioni dei medesimi ai sensi dell’art. 15, co. 1, lett. c), D. Lgs. n. 33/2013, l’Università è tenuta a:
- verificare che gli atti procedimentali preordinati (ad es. bandi di procedure selettive), rientranti nelle rispettive competenze, contengano o abbiano contenuto una specifica idonea informativa agli interessati, ai sensi dell’art. 13 del GDPR, circa il trattamento dei dati conferiti dagli stessi interessati nei curricula o nelle dichiarazioni sostitutive ai fini della diffusione on line; ove l’informativa non sia stata a suo tempo introdotta in tali atti, perché trattasi di procedimenti incardinati in epoca antecedente all’introduzione dell’obbligo di pubblicazione in oggetto, la stessa potrà essere fornita all’atto della richiesta all’interessato volta all’acquisizione del curriculum da pubblicare o della dichiarazione di cui sopra, all’uopo anche utilizzando una formulazione analoga alla seguente che si propone: “Ai
sensi dell’art. 13 del Regolamento (UE) 2016/679, si informa la S.V. che questa Università è titolare del trattamento dei dati personali dalla S.V. conferiti e che il trattamento stesso sarà effettuato nel rispetto del citato regolamento europeo ai fini dell’assolvimento degli obblighi di pubblicazione di cui all’art. XX del D. Lgs. n. 33/2013. I dati potranno essere utilizzati e conservati esclusivamente per gli adempimenti di legge correlati all’affidamento dell’incarico. Il conferimento dei dati è obbligatorio a tali fini. I dati saranno trattati dall’Università, in qualità di titolare, nel rispetto delle disposizioni del Regolamento (UE) 2016/679 con le modalità previste nell’informativa completa pubblicata sul sito dell’Università. La S.V. è informata che potrà comunque ed in qualsiasi momento, ai sensi degli artt. 15 ss. del Regolamento (UE) 2016/679, verificare i propri dati personali raccolti dal Titolare e farli correggere, aggiornare o cancellare rivolgendosi al Responsabile/Designato della protezione dei dati (inserire dati di contatto del DPO). La
S.V. è informata che in caso di inosservanza del Regolamento (UE) 2016/679 potrà rivolgere reclamo al Garante per la protezione dei dati personali";
- valutare - ove si tratti di procedimenti già conclusi, per i quali non sia acquisito un curriculum vitae dell’interessato conforme a quanto prescritto dall’art. 4 e dall’art. 5 del GDPR e dall’art. 26 D. Lgs. n. 33/2013 al fine della diffusione on line - l’opportunità di diffondere il curriculum acquisito agli atti della procedura, omettendovi d’ufficio le
informazioni eccedenti e non pertinenti eventualmente ivi riportate, ovvero a richiedere all’interessato di produrre tempestivamente all’amministrazione un curriculum conforme ai predetti requisiti; si tenga conto, in proposito, che in ogni caso la produzione di un curriculum vitae da parte dell’interessato per la finalità di diffusione on line non
esime l’amministrazione dalla verifica dei predetti requisiti di conformità, in quanto non si verte in ipotesi di trattamento dei dati personali basato sul consenso scriminante dell’interessato; si deve pertanto comunque procedere prima della diffusione ad oscurare, ove presenti, tutti i dati eccedenti (es.: residenza, indirizzo di posta elettronica personale, telefono personale, firma autografa, foto, etc.);
- introdurre, per quanto concerne le nuove procedure, nei rispettivi bandi una clausola apposita in virtù della quale agli interessati sia richiesto di far pervenire, oltre al curriculum vitae richiesto per la partecipazione, una seconda versione del curriculum vitae, redatta in modo da garantire la conformità del medesimo a quanto prescritto dall’art. 4 e dall’art. 5 del GDPR e dall’art. 26 D. Lgs. n. 33/2013 al fine della diffusione on line, e contrassegnando tale curriculum per la destinazione “ai fini della diffusione on line”; anche in questa ipotesi, si tenga conto che in ogni caso la produzione di un curriculum vitae da parte dell’interessato per la finalità di diffusione on line non esime l’Amministrazione dalla verifica dei predetti requisiti di conformità, in quanto non si verte in ipotesi di trattamento dei
dati personali basato sul consenso scriminante dell’interessato; si deve pertanto comunque procedere prima della diffusione ad oscurare, ove presenti, tutti i dati eccedenti (es.: residenza, indirizzo di posta elettronica personale,
telefono personale, firma autografa, foto, etc.);
- verificare l’avvenuto adeguamento, ai fini degli adempimenti di cui al D. Lgs. n. 33/2013, della apposita modulistica resa eventualmente disponibile agli interessati per la produzione dei curricula e per le suesposte dichiarazioni (modello di dichiarazione sostitutiva di atto di notorietà), in modo da rendere non intellegibili i dati personali non pertinenti e non ostensibili i dati sensibili o giudiziari, eventualmente inclusi in antecedente documentazione
correlata al procedimento (riportando nella suddetta modulistica anche una sintetica informativa ai fini dell’art. 13 del GDPR e ivi richiamando la più estesa informativa presentata nel bando). La diffusione on line di dati personali effettuata in mancanza di idonei presupposti è sanzionata ai sensi degli artt. 166 e 167 del D. Lgs. n. 196/2003.
Indicizzazione nei motori di ricerca
L'art. 9 del D. Lgs. n. 33/2013 stabilisce che "Le amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione "Amministrazione trasparente".
L'obbligo di indicizzazione nei motori generalisti durante il periodo di diffusione on line obbligatoria è limitato ai soli dati tassativamente individuati ai sensi delle disposizioni in materia di trasparenza da collocarsi nella "sezione "Amministrazione trasparente", con esclusione di altri dati che si ha l'obbligo di diffondere per altre finalità di pubblicità diverse da quelle di "trasparenza".
Occorre evitare, quindi, la reperibilità dei dati personali da parte dei motori di ricerca esterni, stante il pericolo di decontestualizzazione del dato personale e la riorganizzazione delle informazioni restituite dal motore di ricerca secondo una logica di priorità di importanza del tutto sconosciuta, non conoscibile e non modificabile dall'utente. Pertanto, è opportuno privilegiare funzionalità di ricerca interne al sito web, poiché in tal modo si assicurano accessi maggiormente selettivi e coerenti con le finalità di volta in volta sottese alla diffusione on line, garantendo, al contempo,
la conoscibilità sul sito istituzionale delle informazioni che si intende mettere a disposizione.
Qualità dei dati diffusi
L'art. 6 del D. Lgs. n. 33/2013 sancisce che "Le pubbliche amministrazioni garantiscono la qualità delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l'integrità, il costante aggiornamento, la completezza, la tempestività, la semplicità di consultazione, la comprensibilità, l'omogeneità, la facile accessibilità, nonché la conformità ai documenti originali in possesso dell'amministrazione, l'indicazione della loro provenienza e la riutilizzabilità" e che "L'esigenza di assicurare adeguata qualità delle
informazioni diffuse non può, in ogni caso, costituire motivo per l'omessa o ritardata pubblicazione dei dati, delle informazioni e dei documenti".
Tale previsione deve essere interpretata anche alla luce dei principi in materia di protezione dei dati personali, per cui si devono diffondere on line soltanto dati personali esatti, aggiornati e contestualizzati (art. 5 del GDPR). L’Amministrazione deve, quindi, non solo controllare l'attualità delle informazioni diffuse, ma anche modificarle o aggiornarle opportunamente, quando sia necessario all'esito di tale controllo e ogni volta che l'interessato ne richieda l'aggiornamento, la rettificazione oppure, quando vi abbia interesse, l'integrazione (artt. 12 e 16 del GDPR).
Periodo di diffusione dei dati
I dati, le informazioni e i documenti oggetto di diffusione on line obbligatoria ai sensi del D. Lgs. n. 33/2013 sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorre l'obbligo di diffusione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatto salvo quanto previsto dagli articoli 14, comma 2, e 15, comma 4, dello stesso D. Lgs. n. 33/2013, ai sensi del quale i dati di cui ai commi 1 e 2 sono pubblicati entro tre mesi dal conferimento dell'incarico e per i tre anni successivi alla cessazione dell'incarico.
Decorsi detti termini, i relativi dati possono essere oggetto di accesso generalizzato (art. 5 D. Lgs. n. 33/2013). Per l’elenco esaustivo delle informazioni oggetto di diffusione on line obbligatoria e dei rispettivi periodi di diffusione si fa rinvio all’Allegato 1 alla Delibera ANAC n. 1310/2016.
Accessibilità e riutilizzo dei dati
L'art. 7 del D. Lgs. n. 33/2013 prevede che "I documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria ai sensi della normativa vigente, resi disponibili anche a seguito dell'accesso civico di cui all'articolo 5, sono pubblicati in formato di tipo aperto ai sensi dell'articolo 68 del Codice dell'amministrazione digitale, di cui al D. Lgs. 7 marzo 2005, n. 82, e sono riutilizzabili ai sensi del D. Lgs. 24 gennaio 2006, n. 36, del D. Lgs. 7 marzo 2005, n. 82, e del D. Lgs. 30 giugno 2003, n. 196, senza ulteriori restrizioni diverse dall'obbligo di citare la fonte e di rispettarne l'integrità"