Privacy e tutela dei dati personali
Come rispettare il diritto alla protezione dei dati personali
Il diritto alla privacy è riconosciuto come un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, ed è sancito anche dalla Carta dei diritti fondamentali dell’Unione Europea.
Il concetto di privacy, parola inglese traducibile in italiano con "riservatezza" o "privatezza”, con il tempo si è evoluto: dal diritto “di essere lasciati in pace o di proteggere la propria sfera privata”, oggi nella società dell’informazione, si riferisce soprattutto al diritto di accedere e controllare l’uso e la circolazione dei propri dati personali.
Per dato personale si intende “qualsiasi informazione che riguardi persone, società, enti, associazioni identificati o che possano essere identificati anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo. Sono dati personali: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale”. [1]Particolare attenzione, e una maggiore protezione, sono rivolte ai dati sensibili, cioè ai dati personali che “possono rivelare l’origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale delle persone”.
Con la legge n. 675 del 31 dicembre 1996 – confluita nel decreto legislativo n°196/2003 recante il Codice in materia di protezione dei dati personali - che rappresenta il primo sistematico intervento normativo nazionale in materia, e che riprende la direttiva comunitaria 95/46/CE, è istituito il Garante per la protezione dei dati personali, più comunemente conosciuto come Garante per la privacy.
Il Garante è un’autorità indipendente, che ha il compito di assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il rispetto della dignità della persona. Il Garante esamina i reclami e le segnalazioni dei cittadini, decide sui ricorsi presentati, vigila sul rispetto delle norme che tutelano la vita privata e vieta, anche d’ufficio, i trattamenti illeciti o non corretti. Compie ispezioni, commina sanzioni amministrative ed emette pareri nei casi previsti, diffonde annualmente una relazione sulla situazione generale in materia e affrontando alcuni aspetti ritenuti particolarmente rilevanti. Ha inoltre funzioni propositive su possibili interventi normativi in materia di protezione dei dati personali.
Per le pubbliche amministrazioni, che sono considerate in maniera specifica da alcune disposizioni normative e da alcuni interventi del Garante, gli ambiti in materia di privacy riguardano essenzialmente due ambiti: il rispetto dei dati personali dei cittadini nella comunicazione e nella diffusione di documenti e informazioni a fini istituzionali, e il rispetto dei dati personali dei propri dipendenti.
La tutela dei dati personali dei cittadini nella PA
Nel Codice in materia di protezione dei dati personali, sono individuate delle regole specifiche per i soggetti pubblici (ad esclusione degli enti pubblici economici): all’art.18 è stabilito che “qualunque trattamento dei dati da parte dei soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali” e che nel “trattare i dati il soggetto pubblico osserva i presupposti ed i limiti stabiliti” dal codice.
I soggetti pubblici, fatta eccezione per le istituzioni che operano in ambito sanitario, “non devono richiedere il consenso dell’interessato” (art.18 co4) e possono trattare dati diversi da quelli sensibili e giudiziali, “anche in mancanza di una norma di legge o di regolamento” che preveda il trattamento (art.19 co1).
Per quanto riguarda la diffusione dei dati, i soggetti pubblici possono comunicare ad altri soggetti pubblici, i dati anche in mancanza di una norma di legge o di regolamento, se tale comunicazione è necessaria allo svolgimento di funzioni istituzionali (art.19 co2), mentre la comunicazione a soggetti privati è possibile solo se prevista da norma di legge o regolamento (art.19 co3).
In sintesi nel Codice per i soggetti pubblici si individua specificatamente che:
- il trattamento dei dati e la diffusione ad altri soggetti pubblici sono subordinati alle finalità e necessità di svolgimento di funzioni istituzionali;
- i soggetti pubblici possono operare anche in mancanza di regolamento o norma di legge
- i soggetti pubblici non sono tenuti a richiedere il consenso dell’interessato.
Per quanto riguarda invece i dati sensibili e giudiziari, gli enti pubblici sono chiamati a valutare se il trattamento è realmente indispensabile, e a emanare un regolamento in materia.
Il Titolo IV della parte II del Codice è poi interamente dedicato al trattamento dei dati in ambito pubblico. In questa parte del Codice, si evidenzia che il trattamento dei dati personali da parte dei soggetti istituzionali, è connesso al “rilevante interesso pubblico”.
In merito all’accesso agli atti e ai documenti amministrativi, anche concernenti dati personali, nel Codice si rimanda a quanto stabilito nella legge n°241/90 e seguenti, poiché l’accesso agli atti è espressamente considerato attività di rilevante interesse pubblico. Si precisa però che quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se “la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile” (art.60).
Nel codice sono poi esaminati in maniera più specifica il trattamento dei dati in ambito sanitario e in ambito giudiziario, il trattamento dei dati da parte delle forze di polizia e i trattamenti per finalità di difesa o sicurezza delle Stato.
In merito al trattamento dei dati da parte dei soggetti pubblici, il Garante ha poi pubblicato nell’aprile 2007 le linee guida in materia di trattamento dei dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali, riprese ed aggiornate, anche in seguito alla diffusione di nuovi strumenti di comunicazione e di archiviazione dei dati e ad alcune più recenti disposizioni normative, con deliberazione del 2 marzo 2011 recante le linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web.
I cambiamenti in atto nella pubblica amministrazione, hanno spinto il Garante a pronunciarsi con più chiarezza su alcuni aspetti riguardanti il rispetto del diritto dei cittadini alla protezione dei propri dati personali, la cui tutela, come espressamente indicato nelle linee guida del 2007 “non ostacola una piena trasparenza della attività amministrativa”. Tale tutela non “preclude la valorizzazione delle attività di comunicazione istituzionale e alla partecipazione dei cittadini alla vita democratica”.
Si tratta di effettuare un bilanciamento tra i principi di trasparenza, accesso e partecipazione e il principio del rispetto della privacy, e di promuovere un attento utilizzo delle nuove tecnologie in ambito pubblico che possa garantire ai cittadini nuovi canali di informazione e partecipazione e al tempo stesso la tutela dei propri dati personali.
Nel trattamento dei dati personali, le amministrazioni pubbliche sono chiamate a rispettare in particolare i principi di necessità (il trattamento deve configurarsi come indispensabile per lo svolgimento delle funzioni istituzionali) e di proporzionalità (i dati devono essere pertinenti e non eccedenti rispetto alle finalità perseguite). Per quanto riguarda invece i dati sensibili e giudiziari, gli enti pubblici sono chiamati a valutare se il trattamento è realmente indispensabile, e a emanare un regolamento in materia, come stabilito dal Codice.
Nelle linee guida, si invitano poi gli enti locali a definire in modo organico la propria politica di trasparenza tenendo conto del diritto alla privacy dei cittadini e ad alcuni casi specifici e particolari, che sono definiti nelle linee guida stesse. A norma dell’art.10 del decreto legislativo 267/2000 recante il Testo Unico - gli Enti Locali, infatti, sono chiamati a regolamentare il diritto di accesso agli atti e ai documenti, che sono tutti pubblici, “ad eccezione di quelli riservati per espressa indicazione di legge o per effetto di una temporanea e motivata dichiarazione che ne vieti l’esibizione, in quanto la loro diffusione possa pregiudicare il diritto alla riservatezza delle persone, dei gruppi o delle imprese”.
Per quanto riguarda in particolare la pubblicazione di atti, documenti e informazioni sul sito istituzionale, le indicazioni contenute nelle linee guida del 2007 sono riviste aggiornate con le già citate linee guida del 2011, rivolte in questo caso a tutti i soggetti pubblici. A fronte delle recenti disposizioni normative – in particolare con le disposizioni contenute nella legge n°69 del 2009 che introduce l’obbligo dell’albo pretorio on line e obbliga le PA a pubblicare il proprio sito alcune informazioni relative ai dei dipendenti e il Codice dell’Amministrazione digitale che individua il contenuto minimo dei siti delle PA, ma anche in seguito alla crescente diffusione delle nuove tecnologie, l’intervento del Garante tende a chiarire alcune ambiguità, tentando di definire “un primo quadro unitario di misure e accorgimenti” che i soggetti pubblici dovrebbero seguire per tutelare i cittadini, quando “effettuano attività di comunicazione o diffusione dei dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità dell’azione amministrativa nonché di consultazione di atti di singoli soggetti”.
In sintesi con le linee guida si chiarisce che la pubblicazione on line dei dati personali:
- deve rispettare i principi di necessità, proporzionalità e pertinenza
- è possibile solo sulla base di una norma di legge o di regolamento che la preveda
- riguardi solo dati esatti, aggiornati e proporzionati agli scopi per i quali sono messi on line
- deve prevedere tempi congrui e certi, stabiliti dalle norme di settore o in assenza di queste dalle amministrazioni
- rimane fermo il generale divieto di diffondere dati sulla salute.
Le pubbliche amministrazioni, oltre a garantire l’esattezza e l’aggiornamento dei dati, devono quindi adottare misure in grado di ridurre “il rischio di cancellazioni, modifiche, estrapolazioni delle informazioni”. A tale scopo i file dovranno riportare "dati di contesto" (data di aggiornamento, periodo di validità, amministrazione, numero di protocollo).
Le amministrazione devono inoltre adottare adeguate misure per rendere i dati rintracciabili preferibilmente solo nei motori interni del sito istituzionale, limitando quindi l’indicizzazione da parte dei motori di ricerca esterni, in modo tale da assicurare “un accesso coerente con la finalità per la quale i dati sono stati resi pubblici” e limitare il rischio di manipolazione e di "decontestualizzazione" dei dati. Secondo l’autorità garante in materia, infatti “nell’adempimento degli obblighi di pubblicazione on line di atti e provvedimenti amministrativi aventi effetto di pubblicità legale di cui alla legge n. 69/2009, risulta sproporzionato, rispetto alla finalità perseguita, consentirne l’indiscriminata reperibilità tramite i comuni motori di ricerca, essendo invece ragionevole delimitarne la pubblicazione in una sezione del sito istituzionale, limitando l’indicizzazione dei documenti e il tempo di mantenimento della diffusione dei dati”.
Le amministrazioni devono poi ridurre “i rischi di riproduzione e riutilizzo dei file contenenti dati personali” utilizzando software e sistemi che consentono di riconoscere e segnalare accessi anomali al fine di mettere in atto adeguate contromisure. Le amministrazioni possono stabilire la diffusione delle informazioni personali nell’ambito del Piano triennale per la trasparenza.
In merito all’accesso agli atti e alla pubblicità degli atti tramite albo pretorio on line, si invitano le amministrazioni a valutare se i dati personali contenuti in atti e documenti messi a disposizione sul sito istituzionale debbano “essere resi conoscibili all’intera collettività dei consociati (quindi liberamente reperibili da chiunque sul sito istituzionale)”, oppure “ai soli utenti che hanno richiesto un servizio, ovvero agli interessati o ai contro interessati in un procedimento amministrativo (utilizzando in tale caso regole per garantire un’accessibilità selezionata)”.
Nel provvedimento sono poi specificate più precisamente le misure da adottare per la pubblicazione on line di alcune informazioni particolari (individuate anche nelle precedenti linee guida per le pubblicazioni cartacee), quali quelle relative ai beneficiari di contributi economici, concorsi e selezioni pubbliche, graduatorie ed elenchi professionali, collocamento dei disabili.
Un aspetto interessante di questo nuovo provvedimento, riguarda la distinzione tra le finalità, perseguite con la pubblicazione on line di atti e documenti amministrativi, contenenti dati personali:
- trasparenza: garantire una conoscenza generalizzata delle informazioni concernenti aspetti dell’organizzazione dell’amministrazione al fine di assicurare un ampio controllo sulle capacità delle pubbliche amministrazioni di raggiungere gli obiettivi, nonché sulle modalità adottate per la valutazione del lavoro svolto dai dipendenti pubblici;
- pubblicità: far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, e garantire che gli atti amministrativi producano effetti legali al fine di favorire eventuali comportamenti conseguenti da parte degli interessati. Può configurarsi anche come uno strumento della trasparenza poiché funzionale a rendere conoscibile l’attività delle pubbliche amministrazioni;
- consultabilità: consentire la messa a disposizione degli stessi solo a soggetti determinati -anche per categorie- al fine di garantire in maniera agevole la partecipazione alle attività e ai procedimenti amministrativi.
Il Garante, inoltre, si è espresso in più occasioni in merito ai pericoli insiti nell’uso delle nuove tecnologie, richiamando l’attenzione dei diversi soggetti ad un uso consapevole e sicuro dei nuovi mezzi di comunicazione (ad esempio con la breve guida Social Network: attenzione agli effetti collaterali o con le linee guida su posta elettronica e internet del marzo 2007). Anche le PA, sono ovviamente chiamate, oltre a quanto già individuato, a prestare la massima attenzione alla tutela dei dati personali dei cittadini, anche nell’utilizzo a fini istituzionali, dei nuovi strumenti, come social network, forum, sms, PEC, ecc. Infine, le amministrazioni pubbliche competenti in materia, sono tenute a rispettare le specifiche disposizioni riguardanti l’ambito sanitario e l’ambito giudiziario, e a osservare le diverse linee guida e indicazioni diffuse dal Garante per la protezione dei dati personali, alcune anche recenti che riguardano la diffusione dei dati sensibili attraverso internet (come per esempio le Linee guida in tema di referti on line o Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario) o altri strumenti utilizzati dalle PA (come le Linee guida per lo svolgimento di indagini di customer satisfaction in ambito sanitario).