Il rapporto tra due diritti per così dire antitetici, quali riservatezza e trasparenza, entrambi finalizzati a realizzare valori costituzionali, deve trovare nella legislazione un suo bilanciamento, in coerenza sia con il principio di legalità dell’azione amministrativa, sia con l’impianto della normativa europea avente ad oggetto la protezione dei dati personali delle persone fisiche. Per approfondire il tema, abbiamo organizzato il corso Data Act – Guida alle nuove regole per l’accesso e l’uso dei dati
Indice
1. La necessità di accesso e trasparenza
Tale rapporto viene evidentemente semplificato dal legislatore che nel Decreto Trasparenza ha previsto ex ante gli obblighi di pubblicazione, andando a costituire una disciplina nazionale omogenea, rafforzata poi dalla disposizione dell’articolo 3, comma 1-bis, del decreto legislativo del 14 marzo 2013, n. 33, che affida all’Anac il compito di, anche in relazione alla riduzione degli oneri gravanti sulle amministrazioni, identificare “i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della disciplina vigente per i quali la pubblicazione in forma integrale è sostituita con quella di informazioni riassuntive”. Sempre tale disposizione prevede che, nel caso in cui siano coinvolti dati personali, l’Anac dovrà acquisire il parere del Garante della protezione dei dati personali[1].
Ora, nel definire un regime di conoscibilità aperto[2] e ispirato a criteri e principi di qualità[3], il Decreto Trasparenza dedica un’attenzione importante al rapporto tra riservatezza e trasparenza e, difatti, nello stesso testo del decreto si possono trovare alcuni punti fermi e risolutivi, seppure alcune problematiche in relazione a tale rapporto rimangano. In particolare, l’articolo 7-bis[4], comma 1, del decreto legislativo del 14 marzo 2013, n. 33, prevede che gli obblighi di pubblicazione dei dati personali diversi da quelli sensibili e giudiziari[5] comportano la possibilità di una diffusione dei dati medesimi attraverso i siti istituzionali, nonché il loro trattamento con modalità di indicizzazione, la rintracciabilità e il loro riutilizzo “nel rispetto dei principi sul trattamento dei dati personali”.
Vi è da dire, però, che il regime di piena conoscibilità relativo alla “libertà di accesso di chiunque ai dati e ai documenti detenuti dalle pubbliche amministrazioni e dagli altri soggetti di cui all’articolo 2-bis”[6] può comportare una compressione della tutela dei dati personali se non letta in combinato disposto con il Codice della privacy, come recentemente rinnovato, il quale, in coerenza soprattutto con il principio di legittimo trattamento dei dati personali, ci fornisce una previsione finale che richiama il diritto alla piena conoscibilità attraverso anche gli obblighi di pubblicazione, tutelando però i dati personali che possono recare un pregiudizio concreto ai controinteressati[7].
Pertanto, soprattutto nelle fattispecie che richiamano la pubblicazione dei dati nei siti istituzionali, che potremmo ricollegare alla “diffusione[8]” di cui all’articolo 2-ter, comma 3, del decreto legislativo del 30 giugno 2003, n. 196, l’amministrazione deve rispettare l’obbligo di pubblicazione bilanciando tale principio della conoscibilità con il principio della riservatezza, ovvero pubblicando i dati, le informazioni e i documenti omettendo con accorgimenti tecnici quanto risulta non indispensabile al rispetto dell’obbligo di pubblicità[9].
Sempre in ambito di pubblicazione obbligatoria, vi è da considerare che un ulteriore criterio per ridurre le situazioni di conflitto tra riservatezza e trasparenza riguarda le tipologie dei dati oggetto di trattamento. In particolare, in coerenza con il Codice della privacy, possiamo operare una distinzione tra dati “comuni” e dati “sensibili”.
Potrebbero interessarti anche:
2. Il mantenimento della riservatezza
L’articolo 7-bis del Decreto Trasparenza, già citato, ha chiarito che i dati sensibili sono assistiti da maggiori cautele e, pertanto, da un regime “ridotto” di trasparenza. Pertanto, nel momento in cui siamo dinanzi a dati sensibili e a dati giudiziari, i singoli obblighi di pubblicazione vanno letti in termini tassativi e di indispensabilità. Il Decreto Trasparenza, dunque, consente la pubblicazione anche dei dati sensibili e giudiziari, ma con una rigorosa valutazione che impone che tale pubblicazione sia correlata all’indispensabilità della conoscenza dei suddetti dati[10].
Per quanto concerne, invece, i dati personali categorizzati come “comuni”, vi è da dire che l’amministrazione deve comunque porre le sue valutazioni relativamente alla loro pubblicazione ma anche che, in relazione alla tempestività e completa pubblicazione di cui all’articolo 6 del decreto legislativo del 14 marzo 2013, n. 33, può provvedere con una pubblicazione di dati pertinenti e non eccedenti, anonimizzandoli. Questa operazione è delicata soprattutto perché, anche come fa notare il Garante della protezione dei dati personali, in un regime di open data collegato alla conoscibilità, l’amministrazione deve valutare anche la questione relativa alla “riutilizzabilità” del dato pubblicato, da cui ne può derivare una “diffusione” senza limiti[11].
In base alla formulazione dell’articolo 7-bis, comma 4, del decreto legislativo del 14 marzo 2013, n. 33, risulta chiaro che ricade sulle amministrazioni l’obbligo di rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili e raggiungere la finalità della trasparenza della pubblicazione[12].
Sotto questo profilo, si rileva il problema del bilanciamento tra il profilo appena menzionato e la “completezza” e “qualità” della pubblicazione e, tale problematica, va affrontata già dalla formazione di quanto sarà pubblicato nel rispetto dell’adempimento normativo, riducendo il più possibile l’inserimento delle informazioni personali, attraverso quindi un’analisi preventiva e di valutazione del rischio, nel pieno rispetto del principio privacy by design[13].
Alla luce di tale analisi, si rileva come la trasparenza non termina come l’adempimento della pubblicazione perché, una volta avvenuta tale pubblicazione, in realtà proprio la possibilità di riutilizzare tali dati può comportare dei rischi di diffusione evidenti che l’amministrazione, nel momento della formazione di quanto oggetto di pubblicazione obbligatoria, non può non trascurare, valutandone ex ante i possibili rischi.
Per ultimo, la chiara dimostrazione di un equilibrio instabile tra riservatezza e trasparenza la si rinviene anche dal diverso bilanciamento operato dal legislatore in materia di accesso civico, disciplinato all’articolo 5 e all’articolo 5-bis del Decreto Trasparenza.
In particolare, l’accesso civico generalizzato risulta oggetto di particolare attenzione anche da parte del Garante, soprattutto alla luce delle esclusioni c.d. parziali disciplinate all’articolo 5-bis, comma 2, lettera a), ovvero ai limiti relativi alla protezione dei dati personali, in conformità con la disciplina legislativa in materia.
Pertanto, con tale disposizione, è legittimo il diniego dell’amministrazione dinanzi ad un’istanza di accesso civico generalizzato qualora si richiami il limite relativo alla protezione dei dati personali, sempre che dalla conoscenza di tali dati derivi un pregiudizio “concreto” all’esito della valutazione operata attraverso la tecnica del bilanciamento degli interessi contrapposti[14].
Risulta, alla luce di ciò, difficile concretizzare tutte una serie di situazioni che possono venire a crearsi relativamente a tale limitazione, perché in presenza di documenti facilmente anonimizzabili o anonimi, il diritto di accesso sarà riconosciuto mentre, al contrario, l’amministrazione dovrà realizzare le sue attente valutazioni prima di negare l’accesso civico all’istante.
Vi è da dire, per ultimo, che sia i pareri del Garante della protezione dei dati personali, nonché le linee guida[15] del Garante stesso, sia la possibilità di verificare il modus operandi delle altre amministrazioni sulle singole fattispecie costruito in questi anni di operatività, ha permesso nel tempo di creare una sorta di regola del caso concreto e di facilitare il lavoro dell’amministrazione, mettendo in atto un comportamento conforme a quanto già delineato dal caso simile. Il principio generale, comunque, rimane l’accoglimento dell’istanza di accesso, nel rispetto del principio di trasparenza, con l’utilizzo di accorgimenti tecnici in grado di massimizzare la tutela di entrambi gli interessi contrapposti, ovvero l’informazione completa e la protezione dei dati personali[16].
Formazione in materia
Data Act – Guida alle nuove regole per l’accesso e l’uso dei dati
Entro il 12 settembre 2025 tutti i fornitori di servizi di trattamento dati dovranno adeguare le loro condizioni contrattuali e i loro processi operativi alle norme dettate dal Regolamento (UE) 2023/2854 (cd. Data Act).
Il Data Act ha introdotto nuove regole sull’accesso ai dati per i prodotti connessi (internet of things) ed i servizi correlati, incluso l’accesso da parte di enti pubblici per finalità eccezionali. Il Regolamento prevede inoltre norme per la portabilità e lo switching nel caso di servizi di trattamento dati.
Entro la data di applicazione della nuova normativa, le aziende dovranno apportare modifiche alle proprie procedure operative, tenendo conto del loro ruolo di titolari o destinatari dei dati e, nel caso di servizi di trattamento dati e cloud computing, dovranno essere integrate le condizioni contrattuali.
>>>Per info ed iscrizioni<<<
Note
[1] Carloni E., Il bilanciamento tra trasparenza e privacy, in La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33 (a cura di) Ponti B., Maggioli Editore, Rimini, 2013, 115 ss.
[2] Articolo 7 del decreto legislativo del 14 marzo 2013, n. 33.
[3] Articolo 6 del decreto legislativo del 14 marzo 2013, n. 33.
[4] Introdotto dall’art. 7 del decreto legislativo 25 maggio 2016, n. 97.
[5] Di cui all’articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196.
[6] Ai sensi dell’articolo 2 del decreto legislativo del 14 marzo 2013, n. 33.
[7] Coppola S., Trasparenza e privacy, due diritti in equilibrio: ecco le norme italiane, www.agendadigitale.eu, 2021.
[8] Definita dal codice della privacy come “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.
[9] Carloni E., Il bilanciamento tra trasparenza e privacy, in La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33 (a cura di) Ponti B., Maggioli Editore, Rimini, 2013, 115 ss.
[10] Filosa F., E’ possibile un bilanciamento tra trasparenza amministrativa e privacy?, www.privacy.it, 2018.
[11] Carloni E., Il bilanciamento tra trasparenza e privacy, in La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33 (a cura di) Ponti B., Maggioli Editore, Rimini, 2013, 115 ss.
[12] Difatti, l’articolo 7-bis, comma 4, del Decreto Trasparenza, recita “le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”.
[13] Carloni E., Il bilanciamento tra trasparenza e privacy, in La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33 (a cura di) Ponti B., Maggioli Editore, Rimini, 2013, 115 ss.
[14] Filosa F., È possibile un bilanciamento tra trasparenza amministrativa e privacy?, www.privacy.it, 2018.
[15] provvedimento del Garante della privacy n. 243 del 15 maggio 2014, recante “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati“.
[16] Carloni E., Il bilanciamento tra trasparenza e privacy, in La trasparenza amministrativa dopo il d.lgs. 14 marzo 2013, n. 33 (a cura di) Ponti B., Maggioli Editore, Rimini, 2013, 115 ss.
Scrivi un commento
Accedi per poter inserire un commento