Ecco i limiti privacy alla pubblicazione di atti delle PA
18 Dicembre 2015
Stefano Ricci, Università degli Studi dell’Insubria
Nel maggio del 2014 il Garante per la protezione dei dati personali ha emanato le Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (provv. n. 243 del 15 maggio 2014 ).
Due giorni prima, con sentenza 13 maggio 2014, la Corte di Giustizia Europea aveva riconosciuto il diritto all’oblio di un imprenditore spagnolo nei confronti di un motore di ricerca, affermando in sostanza che un trattamento svolto da un operatore in modo legittimo, può divenire illegittimo se svolto da altro operatore e/o con altre modalità e finalità.
Si tratta di provvedimenti che si possono leggere in modo congiunto per delineare un approccio “privacy by default” nella pubblicazione di atti o documenti amministrativi per finalità di trasparenza, una sorta di contraddizione in termini che si risolve in un processo in due step: anzitutto valutazione dei dati personali concretamente pubblicabili; il secondo step riguardante l’ulteriore valutazione sulle modalità tecniche di pubblicazione on line. Prima valuto cosa pubblicare, poi come pubblicarlo.
Il primo step è articolato. In primo luogo, trova applicazione anche con riferimento ai soggetti pubblici ed anche in relazione alla finalità di rendere trasparente l’agire amministrativo, il principio di limitare il più possibile l’uso di dati personali relativi a persone fisiche (ricordiamo sempre che le persone giuridiche ricevono tutela nel Codice della Privacy solo con riferimento alle finalità promozionali).
Anzitutto, deve essere individuata sempre la base legale del trattamento che, in questo caso, è la specifica norma di legge o di regolamento che impone la pubblicazione.
Successivamente, anche in presenza degli obblighi di pubblicazione di atti o documenti contenuti nel d. lgs. n. 33/2013 , il soggetto pubblico deve pubblicare solo i dati rispondenti al principio di necessità, ossia quelli indispensabili per raggiungere le specifiche finalità di trasparenza perseguita con la pubblicazione on line dei documenti e degli atti amministrativi. Quelli non indispensabili, ossia quelli eccedenti o non pertinenti la predetta finalità, devono essere oscurati.
La norma di legge c’è, i dati personali contenuti nell’atto o nel documento sono indispensabili per raggiungere la finalità della norma: occorre ancora ricordare che vi sono alcuni dati personali che devono essere presi in considerazioni: si tratta dei dati cd. super-sensibili, di quelli sensibili e di quelli giudiziari.
Si tratta, è bene ricordarlo, di un elenco “chiuso” di informazioni, ossia il legislatore si preoccupa di individuare le informazioni appartenenti a queste categorie. Riguardo la prima categoria, occorre ricordare che è vietata la diffusione di dati idonei a rivelare, direttamente o indirettamente, lo “stato di salute” – quindi condizioni di invalidità, disabilità, handicap fisico e psichico – (art. 22, comma 8, del Codice) e “la vita sessuale ” (art. 4, comma 6, del d. lgs. n. 33/2013) degli interessati. Riguardo la seconda e terza categoria, invece, deve essere prevista una espressa disposizione normativa che ne autorizzi il trattamento. La seconda categoria comprende informazioni idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale (“dati sensibili”). La terza categoria comprende le informazioni riguardanti procedimenti penali, definiti o in corso.
Effettuata questa complessa valutazione sul “cosa” è legittimo pubblicare, non ci si può fermare qui. Il secondo step, infatti, richiede di valutare anche il “come” pubblicare questi dati e, oltre al provvedimento del Garante che contiene già indicazioni precise, dobbiamo richiamare la sentenza della Corte di Giustizia.
Premettiamo che la Corte aveva deciso su tre questioni pregiudiziali sollevate dall’Audiencia Nacional spagnola in un caso che vedeva coinvolti Google Inc. e Google Spain, da una parte, e l’Autorità Garante spagnola (AEPD) dall’altra. Anzitutto, i Giudici avevano chiarito la nozione di “stabilimento”, applicando all’Internet Service Provider basato negli Stati Uniti la legislazione europea sulla data protection nel momento in cui l’attività di trattamento di dati personali si intreccia con l’attività economica dell’operatore (nella specie: vendita spazi pubblicitari) svolta in Europa. Quindi avevano affermato che nell’indicizzare, organizzare e rendere disponibili i contenuti presenti su Internet, il gestore del motore di ricerca effettua un vero e proprio trattamento di dati personali ulteriore e diverso rispetto a quello del soggetto che immette i contenuti (content provider). Da queste premesse, le logiche conseguenze sono che l’Internet service provider è titolare di questo ulteriore e diverso trattamento e ciascun interessato si può rivolgere direttamente al titolare per ottenere il riconoscimento del diritto all’oblio, anche se il trattamento “a monte” è lecito ed anzi, come nel caso spagnolo, è imposto dalla legge.
Nel caso di specie si parlava della pubblicazione di annunci su una testata giornalistica on line relativi alla vendita all’asta di beni pignorati nell’ambito di una procedura espropriativa attivata per mancato pagamento di contributi previdenziali. Quindi un trattamento legittimo (ed anzi doveroso) diventa illegittimo nel momento in cui, tramite l’indicizzazione dei dati personali, le informazioni vengono trattate da altro titolare e/o con differenti modalità e/o per differenti finalità.
Ecco perché, anche nel provvedimento del Garante, il principio è quello di adottare le misure tecniche utili a limitare l’indicizzazione delle informazioni personali che vengono pubblicate . Occorre quindi prestare la massima attenzione non solo a selezionare quali informazioni pubblicare e quali oscurare, ma anche prevedere forme di pubblicazione differenziate : potremo avere dati non indicizzati oppure sezioni riservate del sito oppure atti a disposizione solo presso gli uffici e consultabili solo da interessati e controinteressati.
Queste indicazioni sono perfettamente in linea sia con quanto previsto dal Garante sia con quanto deciso dalla Corte di Giustizia Europea. Nella sentenza citata, infatti, la Corte conclude dettando le regole – per la verità poche e vaghe – per la modalità di esercizio di quello che viene definito diritto all’oblio.
Il punto più interessante, come abbiamo detto, può essere così sintetizzato: in base alla legislazione europea, non è la sola illiceità “originaria” del trattamento a dover essere valutata dal data controller (privato o pubblico) poiché, anche quando il trattamento effettuato dal sito di “provenienza” sia lecito, il dato personale trattato va rimosso quando sia inadeguato, non pertinente o non più pertinente o eccessivo rispetto alle finalità e/o al tempo trascorso (punti da 89 a 99 della sentenza).
Il diritto all’oblio discende direttamente dal principio di liceità e finalità del trattamento nella loro dimensione dinamica: posto che il valore in gioco è la dignità dell’individuo, liceità e finalità devono essere valutate nel momento in cui viene esercitato il diritto. Il punto centrale, ovviamente, sono i parametri per considerare l’adeguatezza e la pertinenza delle informazioni. La Corte non ne fornisce, eccezion fatta per il parametro molto ampio che vede il personaggio pubblico, ossia colui che riveste un ruolo pubblico, avere una tutela estremamente ridotta. Per il resto i Giudici non fissano alcuna regola di carattere generale, privilegiando una valutazione discrezionale case by case.
Riguardo ogni altro trattamento, dunque, riguardante anche la pubblica amministrazione, varrebbe quanto stabilito dalla Corte in tema di diritto ad opporsi a trattamenti di dati inadeguati, non pertinenti o non più pertinenti o eccessivi rispetto alle finalità e/o al tempo trascorso, in coerenza con quanto già previsto ai sensi dell’art. 11 lett. e) del Codice Privacy a norma del quale i dati personali oggetto di trattamento sono “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”.