Albo on-line e privacy: commento alla Deliberazione del Garante 2 marzo 2011, n. 88
È recentissima l’approvazione da parte del Garante per la protezione dei dati personali della deliberazione 2 marzo 2011, n. 88 contenente le Linee guida, in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione (GU 19.03.2011, n. 64).
Si tratta di un provvedimento particolarmente atteso, soprattutto alla luce dell’entrata in vigore dal 1° gennaio 2011 dell’art. 32 della legge 18 giugno 2009, n. 69 che, com’è noto, ha imposto l’obbligo di pubblicazione all’albo on–line per gli effetti di pubblicità legale. Ciò ha decretato la sostanziale fine – per gli aspetti giuridico probatori – del tradizionale albo cartaceo, che potrà “sopravvivere” solo in determinati contesti, principalmente al fine di evitare il digital divide.
La ratio che ha spinto il Garante a intervenire è chiara. Se da un lato è vero che non esiste incompatibilità tra la protezione dei dati personali e la trasparenza dell’azione amministrativa, soprattutto dopo l’art. 11 del D.Lgs. 150/2009, dall’altro è stato opportuno ribadire che «la diffusione indiscriminata di dati personali basata su un malinteso e dilatato principio di trasparenza può determinare conseguenze gravi e pregiudizievoli tanto della dignità delle persone quanto della stessa convivenza sociale. Pericoli questi che si dilatano ulteriormente quando la diffusione dei dati e la loro messa a disposizione avvenga on line» (§ 5). Anche perché «Il perseguimento della finalità di trasparenza dell’attività delle pubbliche amministrazioni può avvenire anche senza l’utilizzo di dati personali» (§ 6.A.1.1).
La pubblicazione on–line, infatti, è irta di rischi per la dignità delle persone soprattutto a causa della diffusione esponenziale e incontrollata alla quale possono essere assoggettati i dati personali, rischi che le amministrazioni pubbliche sono chiamate, se non a eliminare, quantomeno a ridurre.
La regola da seguire, di norma, è che i dati devono essere esposti in forma aggregata, perché i dati disaggregati sono potenzialmente fonte di responsabilità penale.
Va da sé che la diffusione persistente on–line di dati personali relativi a una persona in contesti e situazioni differenti da quelli originari comporta un inevitabile pregiudizio, in particolare nel caso in cui si tratta di informazioni non aggiornate. Infatti, trovare on–line atti e documenti amministrativi che hanno già raggiunto gli scopi per i quali si era resa necessaria la loro pubblicazione viola il principio di non eccedenza e di pertinenza.
Recuperando un passo manzoniano e contemperando due diritti tra loro – come abbiamo visto – non conflittuali, come quelli del diritto alla trasparenza e del diritto all’oblio, si potrebbe dire che il Garante affermi riguardo alla trasparenza quello che affermava il gran cancelliere Antonio Ferrer: «adelante, presto, con juicio»[1].
2. La consultazione pubblica fino al 31 gennaio 2011
Correttamente, il Garante aveva messo in consultazione pubblica la prima bozza del provvedimento fino al 31 gennaio 2011. Oggi il risultato che ne scaturisce è ampiamente rivisto e perfezionato grazie ad alcuni interventi, non ultimo quello di due associazioni professionali che, per l’occasione, hanno riunito le forze per uno strumento delicatissimo come le Linee guida qui in commento. Si tratta dell’Associazione nazionale archivistica italiana – ANAI e dell’Associazione nazionale degli operatori della conservazione digitale – ANORC che hanno congiuntamente suggerito alcune modifiche e integrazioni al provvedimento, di fatto pressoché complessivamente accolte e disponibili nei rispettivi siti[2].
Da ultimo, giova in questa sede richiamare anche la proposta di regole tecniche per l’albo on–line di ANORC, frutto del lavoro del gruppo nazionale interistituzionale per la predisposizione della bozza di DPCM, con lo scopo di colmare un’evidente lacuna del sistema giuridico italiano, a tutt’oggi purtroppo perdurante e foriera di comportamenti a dir poco incomprensibili da parte delle amministrazioni pubbliche, obbligate alla pubblicazione on–line dei propri atti e documenti amministrativi con valore di pubblicità legale. Si tratta di casistica che affronteremo in questa sede e segnatamente ai paragrafi 7, 8, 10, 13 e 14.
3. La deliberazione del Garante 17/2007 e la nuova deliberazione 88/2011
Si tratta del secondo intervento del Garante in materia di pubblicazione di documenti amministrativi on–line. Il primo, com’è noto, risale alla Deliberazione 19 aprile 2007, n. 17, Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali. Tale deliberazione, per certi aspetti ormai superata, avrebbe ora presentato due limiti evidenti: da un lato la perimetrata efficacia agli enti locali e non, più correttamente, a tutte le amministrazioni pubbliche; dall’altro il seriore intervento del legislatore sull’obbligatorietà della pubblicazione on–line previsto dalla legge 69/2009.
Bene ha fatto, dunque, il Garante a deliberare in materia, sopperendo, anche se solo in parte, alla totale assenza di regole tecniche per l’albo on–line, che il Ministro per la funzione pubblica tarda, diciamo così, a emanare, proponendo ex se un quadro di riferimento ancora privo di organicità e di sistematicità e, pertanto, potenzialmente aperto al contenzioso inerente all’efficacia degli oggetti digitali pubblicati.
In ogni caso, l’obbligo della pubblicità on–line ha comunque indotto il Garante a pronunciarsi nuovamente su alcune problematiche già prese in esame su sollecitazione delle amministrazioni locali all’indomani della ormai famosa (nonché discussa e, soprattutto, discutibile) sentenza del Consiglio di Stato, sez. V, 15 marzo 2006 n 1370.
Proprio a seguito a tale pronuncia, infatti, molti comuni e province avevano ritenuto obbligatoria anche la pubblicazione all’albo on–line delle determinazioni (rectius degli atti dirigenziali e delle determinazioni) con un grave pericolo di vulnus alla tutela della riservatezza, soprattutto in relazione alla copiosità dei dati personali frequentemente presenti in tali tipologie di atti gestionali, che non trovavano nel D.Lgs. 30 giugno 2003, n. 196 (“Codice della privacy”) una tutela diretta.
La nuova deliberazione, come abbiamo visto, gode di una portata più ampia, in quanto non si rivolge più unicamente agli enti locali, ma prende in esame gli obblighi di pubblicazione sui siti web che gravano su tutte le amministrazioni pubbliche. Il tenore assunto è certamente più generale rispetto alla precedente, ma si è forse perduta, al contempo, l’occasione per fornire una sintesi della casistica affrontata nella deliberazione n. 17/2007, soprattutto in riferimento alle nuove esigenze conseguenti ai recenti interventi normativi.
In questo senso si fa fronte al temuto pericolo di una diffusione di dati attuata attraverso il web, riprendendo i principi di necessità, di proporzionalità (pertinenza e non eccedenza) e la tutela del “diritto all’oblio”, a loro volta già presenti nel Codice della privacy. Per questo, si definiscono alcuni principi e il rapporto tra essi intercorrente, anche grazie all’individuazione di casistiche e si analizzano i relativi obblighi di pubblicazione.
Viene riaffermata, innanzitutto, la necessità, ora più che mai, dell’adozione di un regolamento sull’“informazione”, distinto dal regolamento sull’accesso e dal regolamento sulla privacy, sulla falsariga di quello da adottare per gli enti locali ai sensi dell’art. 10 del D.lgs. 267/2000 e caldeggiato nella delibera 17/2007, quando la pubblicazione su internet era “rara”. Servono, dunque, regole chiare all’interno di ogni singola amministrazione.
Ciononostante, il provvedimento del Garante fornisce solo in parte quell’auspicato aiuto che le amministrazioni pubbliche attendevano sia sotto il profilo giuridico, vista l’esigenza di avere un quadro di sintesi rispetto ai precedenti provvedimenti, sia – soprattutto – sotto il profilo tecnico. In altre parole, non si tratta di un vademecum con annessa puntuale casistica, ma di una guida autorevole al trattamento dei dati personali pubblicati on–line.
Si ritiene, infatti, che la deliberazione in commento, pur avendo vocazione più generalista della precedente, non presenti quegli elementi di esaustività della delibera n. 17/2007. Quest’ultima, infatti, avrebbe potuto rappresentare la base di partenza per un testo che esaminasse ad ampio spettro le problematiche sottese sia sotto il profilo giuridico sia sotto il profilo applicativo, non dimenticando le tecniche di redazione degli atti amministrativi che, come vedremo a breve, rappresentano il cuore del problema per la protezione dei dati personali.
4. Tre definizioni e tre nuove “disponibilità”
Particolare interesse rivestono le tre nuove definizioni che il Garante fornisce di “trasparenza”, di “pubblicità” e di “consultabilità”. Tutte e tre hanno a capoverso la parola “disponibilità”, quasi a garantire – anche lessicalmente – il concetto di servizio insito nella res publica.
Infatti, per trasparenza si intende «La disponibilità sui siti istituzionali delle amministrazioni di atti e documenti amministrativi, contenenti dati personali, per finalità di trasparenza è volta a garantire una conoscenza generalizzata delle informazioni concernenti aspetti dell’organizzazione dell’amministrazione al fine di assicurare un ampio controllo sulle capacità delle pubbliche amministrazioni di raggiungere gli obiettivi, nonché sulle modalità adottate per la valutazione del lavoro svolto dai dipendenti pubblici».
Per pubblicità, inoltre, si intende «La disponibilità on line per finalità di pubblicità è volta a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, nonché a garantire che gli atti amministrativi producano effetti legali al fine di favorire eventuali comportamenti conseguenti da parte degli interessati. Tale pubblicità può configurarsi anche come uno strumento della trasparenza poiché funzionale a rendere conoscibile l’attività delle pubbliche amministrazioni».
Per “consultabilità”, infine, si intende «La disponibilità sui siti istituzionali delle amministrazioni di atti e documenti amministrativi per finalità di consultabilità è volta a consentire la messa a disposizione degli stessi solo a soggetti determinati – anche per categorie – al fine di garantire in maniera agevole la partecipazione alle attività e ai procedimenti amministrativi.
Dalle definizioni emerge come trasparenza e pubblicità siano forme di “disponibilità” erga omnes e quindi nei confronti di un soggetto indeterminato e generalizzato, mentre la consultabilità, che esamineremo infra, risulta una forma di “disponibilità” erga partes, presumendo quindi un rapporto tra soggetti determinati.
Da ciò discende un altro punto fondamentale messo a fuoco dall’Autorità con rigore: è necessario valutare, caso per caso e procedimento per procedimento, quali siano le specifiche finalità dell’ordinamento (generale e proprio dell’ente) che prevedono un regime di disponibilità dei dati personali on–line, anche differenziato nei modi e negli strumenti.
Ciò significa che essere trasparenti totalmente è sicuramente un fatto apprezzabile, ma che deve essere ricondotto ai mai troppo richiamati principi di necessità e di proporzionalità, «garantendo il rispetto dei principi di qualità ed esattezza dei dati e delimitando la durata della loro disponibilità on line» (§ 5).
In questo senso, una volta terminato il periodo di pubblicazione legale e in difetto di esigenze di tipo storico, i documenti dovranno essere rimossi o privati degli elementi identificativi degli interessati. In alternativa, per quelle che il Garante definisce esigenze “storico-cronologiche”, i documenti o i dati personali possono essere trasferiti in sezioni consultabili esclusivamente a partire dal sito istituzionale e vanno resi inaccessibili tramite i comuni motori di ricerca esterni. La loro rimozione può avvenire anche in maniera non presidiata, delegando l’operazione a un CMS (Content management systems) in grado di garantire il controllo sulla permanenza dei documenti sul sito istituzionale.
5. An, quando, quantum, quomodo: il quadro normativo di riferimento
Appare chiaro come il Garante abbia inteso fornire indicazioni sull’“an”, sul “quando”, sul “quantum” e sul “quomodo” dei dati personali da pubblicare.
Per quanto riguarda l’“an”, alla luce del mutato quadro normativo di riferimento, la deliberazione 88/2011 ha individuato tre diverse regole in base alle quali la pubblicazione di dati non risulta lesiva del diritto alla riservatezza:
a) necessità di una previsione normativa di pubblicazione: per le comunicazioni e diffusione di dati personali, anche contenuti in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati) occorre verificare che una norma di legge o regolamento preveda tale possibilità, mentre permane il generale divieto di diffusione di dati idonei a rilevare lo stato di salute;
b) adeguata motivazione e necessaria connessione con il perseguimento delle finalità pubbliche. Al di fuori dell’ipotesi precedente, è possibile, “inoltre” che vengano pubblicati dati personali «anche tratti da atti e documenti» a condizione che tale pubblicazione:
– abbia un’adeguata motivazione;
– costituisca un’operazione strettamente necessaria al perseguimento delle finalità assegnate all’amministrazione da leggi e da regolamenti;
– riguardi informazioni utili a far conoscere ai destinatari le attività dell’amministrazione ed il suo funzionamento o a favorire l’accesso ai servizi.
In ogni caso, risulta vietata la comunicazione o diffusione di informazioni riferite agli utenti, a meno che non vi sia una previsione normativa o regolamentare che lo consenta.
Anche con riferimento a quest’ultima previsione, si pone l’eccezione per i dati sensibili: la loro pubblicazione, infatti, è consentita solo «se autorizzata da espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di interesse pubblico, oppure quando tale operazione sia identificata nel regolamento adottato ai sensi dell’art. 20, c. 1 e 2 del Codice privacy»;
c) definizione di limiti per la pubblicazione di informazioni personali individuate nel Programma triennale per la trasparenza e l’integrità: si tratta del programma che ciascuna amministrazione deve adottare, in conformità delle linee guida, dettate il 10 ottobre 2010 da CIVIT (www.civit.it)
In tal caso l’amministrazione può, in aggiunta ai dati elencati da CIVIT, pubblicare ulteriori dati, anche in assenza di previsione normativa, ma con i limiti previsti sub b) e sempre nel rispetto dei principi di necessità e di proporzionalità.
6. Valutazione, motivazione e selezione di dati personali da pubblicare: l’individuazione del “quantum” e la sindacabilità del Garante
Valutazione e selezione rappresentano ora funzioni irrinunciabili per ciascuna amministrazione chiamata a pubblicare documenti contenenti dati personali. Ciò che emerge, infatti, è la necessità di un appraisal inteso come decision-making process.
In tale direzione, la selezione dei dati da pubblicare da parte dell’amministrazione, in assenza di uno specifico obbligo normativo, dovrà essere frutto di una valutazione e di una motivazione adeguate nel rispetto dei limiti individuati dall’ordinamento, in quanto il provvedimento del Garante non lascia spazio ad alcun dubbio nel § 2.1: «le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)».
La necessità che tali decisioni siano contenute in un provvedimento di carattere generale assume, in tal senso, un ruolo rilevante. Esso dovrà risultare analogo, o meglio coincidere, con lo stesso regolamento da adottarsi ai sensi dell’art. 10 del D.Lgs. 267/2000 così come invocato anche nella deliberazione n. 17/2007, quale strumento necessario per gli enti locali e, in analogia, con tutte le altre amministrazioni pubbliche, in cui si tenga conto delle diverse esigenze di trasparenza, di pubblicità e di consultabilità in relazione alle attività di diffusione e comunicazione.
Nella nuova deliberazione è poi previsto espressamente (§ 2.5) che, data l’importanza strategica di tali scelte, il Garante si riserva il diritto di sottoporre «tutte le decisioni assunte dalle amministrazioni», al proprio sindacato al fine di poter verificare il rispetto dei principi di necessità, di proporzionalità e di pertinenza dei dati pubblicati, in armonia con quanto previsto dal D.Lgs. 196/2003, art. 3 e art. 11, comma 1.
7. Il diritto all’oblio, l’importanza della delimitazione dei tempi di mantenimento della diffusione dei dati: la determinazione del “quando”
L’obbligo di pubblicazione on–line a fini dichiarativi delle amministrazioni comporta necessariamente l’adozione di accorgimenti che tutelino maggiormente il diritto all’oblio, già sancito nel Codice della privacy (art. 11, comma 1).
La diffusione dei dati tramite il web era già stata oggetto di motivate preoccupazioni, visto che la consultabilità indiscriminata consentita dai motori di ricerca veniva ad accentuare la loro ubiquitarietà. In questo modo era, di fatto, consentita la creazione di veri e propri database “incontrollati” relativi a singoli individui.
Le nuove esigenze di pubblicità e di trasparenza derivanti dal mutato quadro normativo non possono, però, comportare «conseguenze gravi e pregiudizievoli per le persone». Ecco allora che, una volta individuato dalle singole amministrazioni l’“an”, ossia se e quali dati pubblicare, risulta necessario individuare il “quando”, ossia il periodo definito “congruo” entro il quale «i dati devono rimanere disponibili (in una forma che consenta l’identificazione dell’interessato)».
La congruità viene ricollegata al periodo necessario affinché vengano raggiunti gli scopi per i quali è prevista la pubblicazione dei dati, stabilendo quindi un collegamento con la tempistica già individuata dalle norme che impongono la pubblicazione[3].
Viene lasciato, tuttavia, uno spazio, seppur limitato, laddove si pubblichi in assenza di una norma che stabilisca il periodo di pubblicazione, come accade ad esempio per le determinazioni dirigenziali.
Si distinguono allora due distinte ipotesi di “limiti temporali”:
1) limite temporale previsto dalle singole norme che impongono la pubblicazione: in tal caso le amministrazioni devono garantire l’accessibilità per il tempo stabilito, garantendo il diritto all’oblio trascorso il termine;
2) limite temporale stabilito dalle singole amministrazioni in assenza di una disciplina di settore.
A questo proposito le amministrazioni devono determinare il termine la cui congruità dipenderà dalle finalità perseguite (trasparenza, pubblicità, consultabilità), ossia:
a) qualora la pubblicazione sia prevista per esigenze di trasparenza, potrebbe essere necessario individuare periodi di tempo “ragionevoli” per garantire una immediata accessibilità alle informazioni;
b) qualora si tratti di pubblicazione prevista per finalità di pubblicità, l’individuazione della tempistica dovrà avvenire tenendo anche conto dei termini previsti per l’impugnazione dei provvedimenti soggetti a pubblicazione.
Non appare, invero, che in relazione a tali ipotesi il Garante abbia fornito un chiaro criterio di riferimento e ciò sia perché il criterio delle ragionevolezza si presta ad interpretazioni discrezionali e soggettive, sia perché non risulta chiaramente quale sia la relazione che dovrebbe sussistere tra termine di pubblicazione e termine di impugnazione.
Basti pensare, a tal proposito, che il termine di pubblicazione delle deliberazioni degli enti locali, ai fini della presunzione della piena conoscenza legale, è previsto in 15 giorni dall’art. 124 del D.Lgs. 267/2000, mentre il termine generale per la proposizione dell’azione di annullamento è stabilito dal Codice del processo amministrativo in 60 giorni (cfr. D.Lgs. 2 luglio 2010, n. 104, art. 29).
Le amministrazioni dovranno inoltre stabilire “quomodo” adempiere alle prescrizioni del Garante in base alle quali, una volta scaduti i termini, sarà necessario:
a) rimuovere dal web notizie, documenti o intere sezioni del sito;
b) togliere gli elementi identificativi degli interessati, qualora sia necessaria l’ulteriore permanenza;
c) prevedere un accesso riservato, qualora sia necessario soddisfare esigenze di carattere storico o, in ogni caso, sottratto ai comuni motori di ricerca.
8. Un esempio pratico per un problema annoso: la pubblicazione dell’albo dei beneficiari di provvidenze economiche
L’albo dei beneficiari di provvidenze economiche, istituito ai sensi dell’art. 1 del DPR 7 aprile 2000, n. 118, ha fin da subito sollevato problemi di compatibilità con le norme in materia di tutela della riservatezza, stante l’elevato numero di dati personali e sensibili in esso presenti.
Il Garante aveva già ritenuto lecita la diffusione dei nominativi dei beneficiari unitamente all’indicazione della normativa che ne autorizza l’erogazione, ai sensi dell’art. 1, comma 2 del citato DPR 118/2000, escludendo, invece, in quella stessa sede, ulteriori dati personali quali, ad esempio, l’indirizzo, il codice fiscale o l’importo dell’erogazione, ritenuti non pertinenti ed eccedenti rispetto alle finalità perseguite.
Aveva tuttavia precisato che, per quanto riguardava soggetti beneficiari di assegni di cura o prestazioni sanitarie, avrebbero dovuto essere «omessi i nominativi o le iniziali degli interessati né essere riportate le disposizioni di legge da cui potevano desumersi le cause di erogazione» al fine di non incorrere nella violazione del divieto imposto dagli artt. 22, comma 8 e 68 comma 3 del Codice privacy» .
Nella richiamata deliberazione n. 17/2007, nell’esaminare i casi particolari che riguardavano gli obblighi di trasparenza incombenti sulle amministrazioni locali, era stata nuovamente affrontata la problematica che destava preoccupazione negli enti stabilendo regole in materia. La stessa Autorità aveva rammentato che l’istituzione dell’albo delle provvidenze, cui doveva essere assicurato accesso e pubblicità anche per via telematica, era uno strumento idoneo per consentire l’attuazione del principio di pubblicità e di trasparenza dell’attività amministrativa.
In tal senso, era stata ritenuta così lecita la pubblicazione dei nominativi dei beneficiari e della relativa data di nascita, ma non gli ulteriori dati non pertinenti. Tra quest’ultimi è compresa la ripartizione degli assegnatari secondo le fasce ISEE – indicatore della situazione economica equivalente.
Il divieto veniva esteso a quei dati particolarmente delicati, c.d. “parasensibili”, ossia a quella categoria intermedia tra i dati sulla salute e i dati comuni che possono «creare imbarazzo, disagio o esporre l’interessato a conseguenze indesiderate». Il Garante, ad esempio, aveva ritenuto lesiva la pubblicazione, fuori dei casi previsti, di analitiche situazioni reddituali o particolari condizioni di bisogno o peculiari situazioni abitative, specie in riferimento alle fasce deboli della popolazione quali minori, anziani etc.
La delibera n. 88/2011 non poteva non affrontare nuovamente il tema della tutela della riservatezza in relazione alla pubblicazione on–line dell’albo dei beneficiari, rammentando la ratio che ne impone la pubblicazione. Siamo, infatti, di fronte all’esigenza di trasparenza finalizzata, da una parte alla partecipazione dei cittadini al procedimento volto all’erogazione dei benefici, dall’altra all’altrettanto rilevante esigenza di rendere trasparente l’utilizzo di risorse in base al principio dell’accountability.
La pubblicazione on–line risponde a tali esigenze e consente la pubblicazione, come giustamente ricorda il Garante, degli elenchi di beneficiari di provvidenze economiche e di altri atti che riconoscono agevolazioni, sussidi o altri benefici con la precisa indicazione di riportare unicamente i soli dati relativi a:
– nominativi e data di nascita;
– esercizio finanziario relativo alla concessione del beneficio;
– indicazione disposizione di legge sulla base della quale hanno avuto luogo le erogazioni.
Vengono altresì individuati i dati nei confronti dei quali, come già in precedenza, viene esclusa la pubblicazione, ossia:
– indirizzo di abitazione
– codice fiscale;
– coordinate bancarie dove sono accreditati i contributi
– ripartizione assegnatari secondo le fasce dell’indicatore Isee
– informazioni che descrivano le condizioni di indigenza in cui versa l’interessato
– indicazioni, frequentemente usate, che sono idonee a rivelare lo stato di salute e come tali ricadono nel divieto di cui agli artt. 22, c. 8 e 68,c. 3 del Codice quali l’indicazione di titoli dell’erogazione dei benefici , criteri di attribuzione, destinazione dei contributi erogati
Il Garante suggerisce, infine, di limitare l’indicizzazione dei motori di ricerca e la creazione di copie cache presso gli stessi motori, consentendo la pubblicizzazione sui siti degli enti e agevolandone la reperibilità, ma privilegiando canali e modalità di ricerca interni.
9. Nuove modalità redazionali per la protezione dei dati personali
Nella deliberazione n. 17/2007 il Garante si era preoccupato di un aspetto che risulta del tutto ignorato nella deliberazione n. 88/2011. In questo senso, l’imprescindibilità dell’adozione di tecniche di redazione degli atti amministrativi (e dei loro allegati) che tutelino l’amministrazione pubblicante – e le conseguenti responsabilità dirigenziali – è il vero cuore del problema della pubblicazione on–line.
Era stato suggerito, infatti, l’uso di una particolare prudenza nella fase prodromica all’adozione dell’atto, suggerendo di «menzionare i dati solo negli atti a disposizione degli uffici», oppure di «menzionare situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici».
Ancorché la pubblicazione possa avvenire in allegato riservato o con una copia corrotta in autotutela attraverso gli omissis, la soluzione migliore è redigere un atto amministrativo già con il pensiero rivolto alla sua conseguente pubblicazione.
Anche in armonia con quanto stabilito di recente dal Codice dell’amministrazione digitale, è possibile enucleare tre responsabilità tipicamente dirigenziali (o di loro delegati) in ordine alla pubblicazione di un documento:
a) redazione dei documenti da pubblicare, con riferimento alla completezza, correttezza, pertinenza, indispensabilità dei dati personali rispetto alle finalità della pubblicazione;
b) pubblicazione dei documenti nel rispetto delle modalità e dei tempi previsti;
c) conservazione del repertorio dell’albo on–line e dei documenti pubblicati, con riferimento alla loro autenticità, integrità e intelligibilità anche dei rispettivi metadati (di contesto, di sistema informatico, di responsabilità, etc.).
Il riferimento normativo immediato è all’art. 44, comma 1–bis del D.Lgs. 82/2005 così come introdotto dall’art. 30 del D.Lgs. 30 dicembre 2010, n. 235, inerente al sistema di conservazione, previsto ora come un team del quale fanno parte un archivista, un informatico-conservatore e un responsabile della privacy.
In concreto, ciò significa che – in base alla responsabilità sub a) –il documento la cui fase integrativa dell’efficacia coincida con la pubblicazione (che per alcune tipologie di atti coincide con la notificazione o con la comunicazione), possibile ora solo on–line, debba essere già predisposto per la protezione dei dati personali e così pervenire all’ufficio che cura la pubblicazione vera e propria[4].
Del resto, su tale aspetto si era diffusamente soffermato lo stesso Garante, che nella delibera n. 17/2007 aveva suggerito accorgimenti proprio per le tecniche redazionali. Ciò inoltre significa che è necessario cambiare le modalità redazionali, ad esempio cifrando i dati soggettivi, per evitare in sede di pubblicazione controlli massivi e il persistente ricorso a omissis, a espunzioni o a mascheratura di stringhe testuali. Il compito di chi pubblica è, dunque, da riferirsi esclusivamente alla correttezza e al rispetto dei tempi di pubblicazione e non già a un controllo preventivo sui documenti da pubblicare, visto che quest’ultimo non può che ricadere sul responsabile del procedimento amministrativo de quo e non già sul responsabile della pubblicazione[5].
10. Collettività, utenti e interessati: tre livelli di conoscibilità indiscriminata e discriminata
L’attenzione viene ora spostata sull’esigenza di garantire una sorta di conoscibilità differenziata a seconda della tipologia dell’atto e del documento pubblicato, distinguendo tra una conoscibilità indiscriminata erga omnes e una conoscibilità discriminata erga partes e, quindi tra:
a) una conoscibilità garantita a tutta la collettività: mediante la semplice reperibilità sul sito;
b) una conoscibilità riservata ai soli utenti richiedenti un servizio (si pensi alle graduatorie per l’inserimento in asili nido o scuole materne);
c) una conoscibilità riservata agli interessati o controinteressati in un procedimento amministrativo.
Il Garante si limita, in questo caso, a privilegiare un aspetto prettamente tecnologico, nuovamente collegato ai motori di ricerca, piuttosto che a sostenere aspetti di prevenzione relativi alla genesi dell’atto, mirando così a una tutela affidata a seriori ad accorgimenti informatici e a limitazioni temporali.
11. Personale e concorsi pubblici: il modello di curriculum europeo è “eccedente”
Particolare attenzione viene invece dedicata (§ 6.B.1) agli atti e documenti relativi al rapporto di lavoro e al personale in generale riprendendo, in parte, quanto già affermato nella deliberazione 24 giugno 2007, n. 23 recante le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di pubblico impiego.
Le norme che impongono la pubblicazione degli esiti di graduatorie concorsuali devono trovare attuazione attraverso la pubblicazione dei relativi dati sui siti istituzionali, attraverso un’accessibilità non consentita ai comuni motori di ricerca esterna.
Allo stesso tempo è invece possibile consentire l’accesso a ulteriori dati e informazioni, nei confronti dei soli partecipanti alle procedure concorsuali, in base alle norme sull’esercizio del diritto di accesso e, quindi, secondo l’esemplificazione da ritenersi verosimilmente non esaustiva, anche nei confronti di elaborati, verbali, valutazioni, documentazione relativa a titoli anche di precedenza o preferenza, pubblicazioni, curricula, etc.
In tal caso, l’accesso sarà consentito ai fini di tutelare la riservatezza, attraverso username e password, numero di protocollo o altri estremi identificativi forniti dall’ente a coloro che ne abbiano diritto. E non si tratta certo di una novità, se pensiamo a quello che già oggi avviene nei rapporti tra atenei e studenti che possono accedere alle informazioni che li riguardano o agli esiti degli esami di norma proprio tramite l’attribuzione di una password.
Procedendo con la tecnica dell’elencazione vengono individuati quei dati ritenuti pertinenti ai fini della pubblicazione on–line:
a) elenchi nominativi cui vengono abbinati risultati di prove intermedie
b) gli elenchi di ammessi a prove scritte o orali
c) i punteggi riferiti a singoli argomenti di esame
d) i punteggi totali ottenuti.
Vengono invece esclusi dalla pubblicazione dati non strettamente correlati alle esigenze di trasparenza relative alla procedura concorsuale, quali:
1) recapiti di telefonia fissa o mobile
2) indirizzo dell’abitazione o e–mail
3) titoli di studio
4) codice fiscale
5) indicatore Isee
6) numero di figli disabili
7) risultati di test psicoattitudinali
Tali dati saranno invece conoscibili a fronte di un istanza di accesso da parte di un soggetto portatore di un interesse qualificato ai sensi degli articoli 22 e seguenti della legge 241/1990 in quanto partecipante alle procedure concorsuali, effettuando così quella valutazione oggetto del difficile bilanciamento tra diritto di accesso e diritto alla riservatezza.
Le medesime cautele devono essere utilizzate nell’ambito delle attività di gestione dei rapporti di lavoro, qualora si renda necessaria la pubblicazione on–line a fini di trasparenza di provvedimenti e/o di documenti (attribuzioni incarichi, graduatorie, etc.), così come va garantita ai dirigenti la possibilità di integrare o modificare i propri curricula, anche al fine di garantire l’esattezza, l’aggiornamento e la completezza dei dati pubblicati.
Su questo punto il provvedimento del Garante è fin troppo chiaro: il modello di curriculum europeo contiene dati eccedenti e non pertinenti rispetto alla sacrosanta trasparenza cui si richiama. L’esemplificazione, peraltro non esaustiva, dei dati da non pubblicare riguarda i cedolini dello stipendio, dati di dettaglio risultanti dalle dichiarazioni fiscali, oppure riguardanti l’orario di entrata e di uscita di singoli dipendenti, l’indirizzo del domicilio privato, il numero di telefono e l’indirizzo di posta elettronica personale (diversi da quelli ad uso professionale), ovvero informazioni attinenti allo stato di salute di persone identificate, quali le assenze verificatesi per ragioni di salute (§ 6.A.1).
12. La terza disponibilità: la consultabilità dei documenti
Un altro punto affrontato nella deliberazione in commento riguarda la consultabilità, che risulta finalizzata a garantire la conoscenza di dati relativi all’attività amministrativa o all’erogazione di servizi per la quale il Garante ricorda che il legislatore auspica l’utilizzo dei mezzi telematici e incentiva l’utilizzo dei servizi pubblici in rete.
La disponibilità in tale caso viene consentita a soggetti preventivamente individuabili dalla loro partecipazione (necessaria o eventuale) al procedimento amministrativo o in quanto fruitori di servizi. Anche nei loro confronti sarà necessario tuttavia consentire una consultabilità limitata unicamente ai quei dati pertinenti e non eccedenti, cui si potrà accedere secondo le norme previste dalla normativa sull’accesso.
Le modalità di accesso selezionato ad una sezione del sito dovranno tenere conto delle norme dettate sia dal D.Lgs. 7 marzo 2005, n. 82 e, in particolare, dall’art. 64 comma 2, nonché dalle stesse Linee guida per i siti web della P.A. del Ministro per la pubblica amministrazione e l’innovazione 26 novembre 2009, § 4.5, che garantiscono l’identificazione informatica dei soggetti legittimati alla consultazione[6].
Il Garante affronta poi (§ 6.C.1) la delicata problematica della pubblicità del collocamento obbligatorio dei disabili, soffermandosi sulla liceità del trattamento dei relativi dati da parte di soggetti pubblici ai sensi dell’art. 73, comma 2, lett. i) e dell’art.112, comma 1, lett. a) del Codice privacy, a fronte dell’evidente finalità di interesse pubblico.
Il riferimento viene qui operato nei confronti dei documenti la cui pubblicità è prevista dalle norme in materia di collocamento obbligatorio, documenti che potranno essere resi disponibili on–line, ma consultabili unicamente attraverso un accesso selezionato.
La particolare cautela, richiesta nei confronti di tali documenti, riguarda il fatto che essi contengono informazioni idonee a rivelare dati sulla salute, come la disabilità e, pertanto, la loro conoscibilità dovrà essere consentita solo per le finalità previste dalla normativa di riferimento o per la tutela di situazioni giuridicamente rilevanti. Anche in questo caso, le metodologie utilizzate individuate sono quelle previste per gli altri accessi selezionati.
13. Il Robot Exclusion Protocol
Il Garante riprende anche le tematiche dell’indicizzazione e della ricerca ubiquitaria dei motori di ricerca, individuando la scelta migliore in quella che privilegia i motori di ricerca interni a discapito di quelli esterni generalisti come Google, Yahoo!, etc. Si tratta, infatti, di assicurare «accessi maggiormente selettivi e coerenti con le finalità di volta in volta sottese alla pubblicazione assicurando, nel contempo, la conoscibilità sui siti istituzionali delle informazioni che si intende mettere a disposizione».
Il sito istituzionale, pertanto, deve prevedere dei link strutturati da un lato in armonia con quanto previsto dalla legge (ad esempio, dall’art. 21, comma 1, della legge n. 69/2009, e dall’art. 11, comma 1, del D.Lgs. n. 150/2009 per la ben nota sezione Trasparenza, valutazione e merito) e dall’altro con le tipologie di atti, informazioni e documenti amministrativi che l’amministrazione, in piena autonomia, intende mettere a disposizione di una pluralità indistinta di soggetti.
Appare improbabile il comportamento di talune amministrazioni volto a impedire la stampa o la memorizzazione dei documenti pubblicati, dimenticando che la visualizzazione a video rappresenta già di per sé una forma di stampa (“output”). Per questa ragione, il Garante, come già con la deliberazione 17/2007, richiama non tanto accorgimenti tecnologici, ma forme di agreement per evitare la memorizzazione e l’indicizzazione da parte dei motori di ricerca. Si tratta del Robot Exclusion Protocol (REP), che consente, grazie a un accordo internazionale, di far rilevare al motore di ricerca l’area, le pagine o i files che il sito web dichiara non indicizzabili e non memorizzabili[7].
Ciò avviene grazie ad alcuni metamarcatori (“metatag”) che vengono inseriti nelle pagine web allo scopo di far rilevare la scelta da parte dell’amministrazione di non far indicizzare (“metatag noindex”) e di non far memorizzare (“metatag noarchive”) i contenuti pubblicati, anche grazie alla codifica di regole di esclusione all’interno di un file testuale (“robots.txt”) nelle banche dati del webserver configurato secondo le convenzioni del REP.
Ovviamente, l’esclusione o la mancata indicizzazione avranno effetto ex nunc, non potendo averlo ex tunc sulla galassia delle indicizzazioni e delle memorizzazioni effettuate in difetto di REP.
14. Autenticità e integrità grazie a firma digitale e protocollo informatico
Uno dei maggiori problemi incontrati dalle amministrazioni, in assenza di regole tecniche, riguarda i formati di file da pubblicare e le modalità attraverso le quali garantire l’affidabilità, l’integrità e l’autenticità dei documenti pubblicati. Alcune soluzioni informatiche, lungi dall’essere coerenti e lecite, espongono formati proprietari, che spaziano dal più comune file “.doc” al “.pdf”. In aggiunta, pochissimi sono i casi in cui il file pubblicato risulti avere associata uno dei quattro tipi di firma elettronica previsti dal nostro ordinamento[8].
Anzi, a giudicare dalla varietà delle situazioni, sembra che la pubblicazione on–line abbia spaziato tra i quattro nuovi tipi di “copia” introdotti nel Codice dell’amministrazione digitale dalla recentissima riforma[9].
A far cessare un simile e scriteriato comportamento, finalmente il Garante ha affermato al § 5.4 un principio imprescindibile: per garantire l’affidabilità, l’autenticità e l’integrità dei documenti pubblicati risulta necessario utilizzare la firma digitale. Anche se si tratta di un copia, non è plausibile consultare una copia semplice o, peggio, un contenuto di un atto in un file word. La pur “copia” deve essere in grado di garantire chiunque consulti l’albo on–line dal «rischio di cancellazioni, modifiche, alterazioni o decontestualizzazioni».
In particolare, il rischio della decontestualizzazione è evidente se i documenti pubblicati vengono considerati come monadi isolate per giunta da trattare isolatamente e al di fuori di un contesto che le “significa”. E non diremo mai abbastanza quanto questa forma di monadismo informatico sia particolarmente rischiosa per l’amministrazione digitale applicata con rigore metodologico.
Per questo la deliberazione 88/2011 scioglie alcuni nodi imprescindibili della pubblicità legale on–line correttamente applicata. Non si tratta, quindi, di una semplice “affissione” sul web, ma di una preventiva forma di registrazione, in grado di garantire in maniera inequivocabile che quel documento pubblicato è “quel” documento e non altri. Infatti, «ogni file oggetto di pubblicazione sui siti istituzionali, potendo essere letto in un altro ambito e in un momento successivo alla sua diffusione, dovrebbe prevedere l’inserimento dei “dati di contesto” (es. data di aggiornamento, periodo di validità, amministrazione, segnatura di protocollo o dell’albo)» (§ 5.4).
In buona sostanza, come previsto dall’ordinamento vigente in materia di protocollo informatico, è prevista una “segnatura” anche per l’albo on–line, il cui riferimento temporale connesso alla registrazione in data certa garantirà nel tempo anche l’affidabilità dei contenuti e, soprattutto, dei documenti pubblicati.
[2] ANAI: http://www.anai.org/anai–cms/cms.view?munu_str=0_9_0_7&numDoc=151 –
[3] Non si tratta, com’è ovvio, di una questione nuova. Ad esempio, art. 310 del RD 148/1915, art. 35 e art. 62 del RD 383/1934; art. 124 del D.Lgs. 267/2000; e, di recente, l’art. 36 c.p. come modificato dall’art. 67 della legge 69/2009.
[4] Questo modello organizzativo si riferisce alla cosiddetta pubblicazione accentrata. Nel caso, invece, di una pubblicazione federata, la figura del responsabile della pubblicazione di norma coincide con il responsabile del procedimento. Si tratta di una funzione delegata, specie nelle macro-organizzazioni, a una pluralità di uffici o strutture, che però devono avere un’adeguata professionalità tecnica e una sorta di terzietà nell’accorgersi dei rischi che la diffusione dei dati personali può comportare.
[5] Il problema, semmai, si pone sulle richieste di pubblicazione da enti esterni. Tuttavia, con l’entrata a regime dell’albo–line, la pubblicazione presso terzi dovrebbe ridursi a ben poca cosa, se non addirittura sparire, con l’eccezione di quei documenti per cui le norme, prevalentemente tributarie, in materia di notificazioni prevedono la pubblicazione all’albo on–line (ad es., art. 60 del DPR 600/1973 e art. 26 del DPR 602/1973).
[6] Una veloce notazione giuridica riguarda il fatto che lo strumento delle “linee guida”, molto utilizzato di recente, non esiste nel nostro ordinamento. L’affidabilità e l’applicabilità risulta più che discutibile, non ultimo per il fatto che la loro conoscenza legale non avviene attraverso una forma di registrazione, ma attraverso la diffusione on–line di un semplice file di informatica individuale, tra l’altro in formato proprietario, quest’ultimo in contrasto con il vigente ordinamento.
[7] Tutte le informazioni su origine e uso sono disponibili sul sito ufficiale: http://www.robotstxt.org.
[8] Firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale, come novellate dal D.Lgs. 30 marzo 2010, n. 235 che ha modificato notevolmente il Codice contenuto nel D.Lgs. 82/2005.
[9] Copia informatica di documento analogico, copia per immagine su supporto informatico di documento analogico, copia informatica di documento informatico e duplicato informatico, sono le nuove definizioni introdotte nel Codice dell’amministrazione digitale dal D.Lgs. 235/2010 agli articoli i–bis, i–ter. i–quater e i–quinquies.
È recentissima l’approvazione da parte del Garante per la protezione dei dati personali della deliberazione 2 marzo 2011, n. 88 contenente le Linee guida, in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione (GU 19.03.2011, n. 64).
Si tratta di un provvedimento particolarmente atteso, soprattutto alla luce dell’entrata in vigore dal 1° gennaio 2011 dell’art. 32 della legge 18 giugno 2009, n. 69 che, com’è noto, ha imposto l’obbligo di pubblicazione all’albo on–line per gli effetti di pubblicità legale. Ciò ha decretato la sostanziale fine – per gli aspetti giuridico probatori – del tradizionale albo cartaceo, che potrà “sopravvivere” solo in determinati contesti, principalmente al fine di evitare il digital divide.
La ratio che ha spinto il Garante a intervenire è chiara. Se da un lato è vero che non esiste incompatibilità tra la protezione dei dati personali e la trasparenza dell’azione amministrativa, soprattutto dopo l’art. 11 del D.Lgs. 150/2009, dall’altro è stato opportuno ribadire che «la diffusione indiscriminata di dati personali basata su un malinteso e dilatato principio di trasparenza può determinare conseguenze gravi e pregiudizievoli tanto della dignità delle persone quanto della stessa convivenza sociale. Pericoli questi che si dilatano ulteriormente quando la diffusione dei dati e la loro messa a disposizione avvenga on line» (§ 5). Anche perché «Il perseguimento della finalità di trasparenza dell’attività delle pubbliche amministrazioni può avvenire anche senza l’utilizzo di dati personali» (§ 6.A.1.1).
La pubblicazione on–line, infatti, è irta di rischi per la dignità delle persone soprattutto a causa della diffusione esponenziale e incontrollata alla quale possono essere assoggettati i dati personali, rischi che le amministrazioni pubbliche sono chiamate, se non a eliminare, quantomeno a ridurre.
La regola da seguire, di norma, è che i dati devono essere esposti in forma aggregata, perché i dati disaggregati sono potenzialmente fonte di responsabilità penale.
Va da sé che la diffusione persistente on–line di dati personali relativi a una persona in contesti e situazioni differenti da quelli originari comporta un inevitabile pregiudizio, in particolare nel caso in cui si tratta di informazioni non aggiornate. Infatti, trovare on–line atti e documenti amministrativi che hanno già raggiunto gli scopi per i quali si era resa necessaria la loro pubblicazione viola il principio di non eccedenza e di pertinenza.
Recuperando un passo manzoniano e contemperando due diritti tra loro – come abbiamo visto – non conflittuali, come quelli del diritto alla trasparenza e del diritto all’oblio, si potrebbe dire che il Garante affermi riguardo alla trasparenza quello che affermava il gran cancelliere Antonio Ferrer: «adelante, presto, con juicio»[1].
2. La consultazione pubblica fino al 31 gennaio 2011
Correttamente, il Garante aveva messo in consultazione pubblica la prima bozza del provvedimento fino al 31 gennaio 2011. Oggi il risultato che ne scaturisce è ampiamente rivisto e perfezionato grazie ad alcuni interventi, non ultimo quello di due associazioni professionali che, per l’occasione, hanno riunito le forze per uno strumento delicatissimo come le Linee guida qui in commento. Si tratta dell’Associazione nazionale archivistica italiana – ANAI e dell’Associazione nazionale degli operatori della conservazione digitale – ANORC che hanno congiuntamente suggerito alcune modifiche e integrazioni al provvedimento, di fatto pressoché complessivamente accolte e disponibili nei rispettivi siti[2].
Da ultimo, giova in questa sede richiamare anche la proposta di regole tecniche per l’albo on–line di ANORC, frutto del lavoro del gruppo nazionale interistituzionale per la predisposizione della bozza di DPCM, con lo scopo di colmare un’evidente lacuna del sistema giuridico italiano, a tutt’oggi purtroppo perdurante e foriera di comportamenti a dir poco incomprensibili da parte delle amministrazioni pubbliche, obbligate alla pubblicazione on–line dei propri atti e documenti amministrativi con valore di pubblicità legale. Si tratta di casistica che affronteremo in questa sede e segnatamente ai paragrafi 7, 8, 10, 13 e 14.
3. La deliberazione del Garante 17/2007 e la nuova deliberazione 88/2011
Si tratta del secondo intervento del Garante in materia di pubblicazione di documenti amministrativi on–line. Il primo, com’è noto, risale alla Deliberazione 19 aprile 2007, n. 17, Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali. Tale deliberazione, per certi aspetti ormai superata, avrebbe ora presentato due limiti evidenti: da un lato la perimetrata efficacia agli enti locali e non, più correttamente, a tutte le amministrazioni pubbliche; dall’altro il seriore intervento del legislatore sull’obbligatorietà della pubblicazione on–line previsto dalla legge 69/2009.
Bene ha fatto, dunque, il Garante a deliberare in materia, sopperendo, anche se solo in parte, alla totale assenza di regole tecniche per l’albo on–line, che il Ministro per la funzione pubblica tarda, diciamo così, a emanare, proponendo ex se un quadro di riferimento ancora privo di organicità e di sistematicità e, pertanto, potenzialmente aperto al contenzioso inerente all’efficacia degli oggetti digitali pubblicati.
In ogni caso, l’obbligo della pubblicità on–line ha comunque indotto il Garante a pronunciarsi nuovamente su alcune problematiche già prese in esame su sollecitazione delle amministrazioni locali all’indomani della ormai famosa (nonché discussa e, soprattutto, discutibile) sentenza del Consiglio di Stato, sez. V, 15 marzo 2006 n 1370.
Proprio a seguito a tale pronuncia, infatti, molti comuni e province avevano ritenuto obbligatoria anche la pubblicazione all’albo on–line delle determinazioni (rectius degli atti dirigenziali e delle determinazioni) con un grave pericolo di vulnus alla tutela della riservatezza, soprattutto in relazione alla copiosità dei dati personali frequentemente presenti in tali tipologie di atti gestionali, che non trovavano nel D.Lgs. 30 giugno 2003, n. 196 (“Codice della privacy”) una tutela diretta.
La nuova deliberazione, come abbiamo visto, gode di una portata più ampia, in quanto non si rivolge più unicamente agli enti locali, ma prende in esame gli obblighi di pubblicazione sui siti web che gravano su tutte le amministrazioni pubbliche. Il tenore assunto è certamente più generale rispetto alla precedente, ma si è forse perduta, al contempo, l’occasione per fornire una sintesi della casistica affrontata nella deliberazione n. 17/2007, soprattutto in riferimento alle nuove esigenze conseguenti ai recenti interventi normativi.
In questo senso si fa fronte al temuto pericolo di una diffusione di dati attuata attraverso il web, riprendendo i principi di necessità, di proporzionalità (pertinenza e non eccedenza) e la tutela del “diritto all’oblio”, a loro volta già presenti nel Codice della privacy. Per questo, si definiscono alcuni principi e il rapporto tra essi intercorrente, anche grazie all’individuazione di casistiche e si analizzano i relativi obblighi di pubblicazione.
Viene riaffermata, innanzitutto, la necessità, ora più che mai, dell’adozione di un regolamento sull’“informazione”, distinto dal regolamento sull’accesso e dal regolamento sulla privacy, sulla falsariga di quello da adottare per gli enti locali ai sensi dell’art. 10 del D.lgs. 267/2000 e caldeggiato nella delibera 17/2007, quando la pubblicazione su internet era “rara”. Servono, dunque, regole chiare all’interno di ogni singola amministrazione.
Ciononostante, il provvedimento del Garante fornisce solo in parte quell’auspicato aiuto che le amministrazioni pubbliche attendevano sia sotto il profilo giuridico, vista l’esigenza di avere un quadro di sintesi rispetto ai precedenti provvedimenti, sia – soprattutto – sotto il profilo tecnico. In altre parole, non si tratta di un vademecum con annessa puntuale casistica, ma di una guida autorevole al trattamento dei dati personali pubblicati on–line.
Si ritiene, infatti, che la deliberazione in commento, pur avendo vocazione più generalista della precedente, non presenti quegli elementi di esaustività della delibera n. 17/2007. Quest’ultima, infatti, avrebbe potuto rappresentare la base di partenza per un testo che esaminasse ad ampio spettro le problematiche sottese sia sotto il profilo giuridico sia sotto il profilo applicativo, non dimenticando le tecniche di redazione degli atti amministrativi che, come vedremo a breve, rappresentano il cuore del problema per la protezione dei dati personali.
4. Tre definizioni e tre nuove “disponibilità”
Particolare interesse rivestono le tre nuove definizioni che il Garante fornisce di “trasparenza”, di “pubblicità” e di “consultabilità”. Tutte e tre hanno a capoverso la parola “disponibilità”, quasi a garantire – anche lessicalmente – il concetto di servizio insito nella res publica.
Infatti, per trasparenza si intende «La disponibilità sui siti istituzionali delle amministrazioni di atti e documenti amministrativi, contenenti dati personali, per finalità di trasparenza è volta a garantire una conoscenza generalizzata delle informazioni concernenti aspetti dell’organizzazione dell’amministrazione al fine di assicurare un ampio controllo sulle capacità delle pubbliche amministrazioni di raggiungere gli obiettivi, nonché sulle modalità adottate per la valutazione del lavoro svolto dai dipendenti pubblici».
Per pubblicità, inoltre, si intende «La disponibilità on line per finalità di pubblicità è volta a far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, nonché a garantire che gli atti amministrativi producano effetti legali al fine di favorire eventuali comportamenti conseguenti da parte degli interessati. Tale pubblicità può configurarsi anche come uno strumento della trasparenza poiché funzionale a rendere conoscibile l’attività delle pubbliche amministrazioni».
Per “consultabilità”, infine, si intende «La disponibilità sui siti istituzionali delle amministrazioni di atti e documenti amministrativi per finalità di consultabilità è volta a consentire la messa a disposizione degli stessi solo a soggetti determinati – anche per categorie – al fine di garantire in maniera agevole la partecipazione alle attività e ai procedimenti amministrativi.
Dalle definizioni emerge come trasparenza e pubblicità siano forme di “disponibilità” erga omnes e quindi nei confronti di un soggetto indeterminato e generalizzato, mentre la consultabilità, che esamineremo infra, risulta una forma di “disponibilità” erga partes, presumendo quindi un rapporto tra soggetti determinati.
Da ciò discende un altro punto fondamentale messo a fuoco dall’Autorità con rigore: è necessario valutare, caso per caso e procedimento per procedimento, quali siano le specifiche finalità dell’ordinamento (generale e proprio dell’ente) che prevedono un regime di disponibilità dei dati personali on–line, anche differenziato nei modi e negli strumenti.
Ciò significa che essere trasparenti totalmente è sicuramente un fatto apprezzabile, ma che deve essere ricondotto ai mai troppo richiamati principi di necessità e di proporzionalità, «garantendo il rispetto dei principi di qualità ed esattezza dei dati e delimitando la durata della loro disponibilità on line» (§ 5).
In questo senso, una volta terminato il periodo di pubblicazione legale e in difetto di esigenze di tipo storico, i documenti dovranno essere rimossi o privati degli elementi identificativi degli interessati. In alternativa, per quelle che il Garante definisce esigenze “storico-cronologiche”, i documenti o i dati personali possono essere trasferiti in sezioni consultabili esclusivamente a partire dal sito istituzionale e vanno resi inaccessibili tramite i comuni motori di ricerca esterni. La loro rimozione può avvenire anche in maniera non presidiata, delegando l’operazione a un CMS (Content management systems) in grado di garantire il controllo sulla permanenza dei documenti sul sito istituzionale.
5. An, quando, quantum, quomodo: il quadro normativo di riferimento
Appare chiaro come il Garante abbia inteso fornire indicazioni sull’“an”, sul “quando”, sul “quantum” e sul “quomodo” dei dati personali da pubblicare.
Per quanto riguarda l’“an”, alla luce del mutato quadro normativo di riferimento, la deliberazione 88/2011 ha individuato tre diverse regole in base alle quali la pubblicazione di dati non risulta lesiva del diritto alla riservatezza:
a) necessità di una previsione normativa di pubblicazione: per le comunicazioni e diffusione di dati personali, anche contenuti in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati) occorre verificare che una norma di legge o regolamento preveda tale possibilità, mentre permane il generale divieto di diffusione di dati idonei a rilevare lo stato di salute;
b) adeguata motivazione e necessaria connessione con il perseguimento delle finalità pubbliche. Al di fuori dell’ipotesi precedente, è possibile, “inoltre” che vengano pubblicati dati personali «anche tratti da atti e documenti» a condizione che tale pubblicazione:
– abbia un’adeguata motivazione;
– costituisca un’operazione strettamente necessaria al perseguimento delle finalità assegnate all’amministrazione da leggi e da regolamenti;
– riguardi informazioni utili a far conoscere ai destinatari le attività dell’amministrazione ed il suo funzionamento o a favorire l’accesso ai servizi.
In ogni caso, risulta vietata la comunicazione o diffusione di informazioni riferite agli utenti, a meno che non vi sia una previsione normativa o regolamentare che lo consenta.
Anche con riferimento a quest’ultima previsione, si pone l’eccezione per i dati sensibili: la loro pubblicazione, infatti, è consentita solo «se autorizzata da espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di interesse pubblico, oppure quando tale operazione sia identificata nel regolamento adottato ai sensi dell’art. 20, c. 1 e 2 del Codice privacy»;
c) definizione di limiti per la pubblicazione di informazioni personali individuate nel Programma triennale per la trasparenza e l’integrità: si tratta del programma che ciascuna amministrazione deve adottare, in conformità delle linee guida, dettate il 10 ottobre 2010 da CIVIT (www.civit.it)
In tal caso l’amministrazione può, in aggiunta ai dati elencati da CIVIT, pubblicare ulteriori dati, anche in assenza di previsione normativa, ma con i limiti previsti sub b) e sempre nel rispetto dei principi di necessità e di proporzionalità.
6. Valutazione, motivazione e selezione di dati personali da pubblicare: l’individuazione del “quantum” e la sindacabilità del Garante
Valutazione e selezione rappresentano ora funzioni irrinunciabili per ciascuna amministrazione chiamata a pubblicare documenti contenenti dati personali. Ciò che emerge, infatti, è la necessità di un appraisal inteso come decision-making process.
In tale direzione, la selezione dei dati da pubblicare da parte dell’amministrazione, in assenza di uno specifico obbligo normativo, dovrà essere frutto di una valutazione e di una motivazione adeguate nel rispetto dei limiti individuati dall’ordinamento, in quanto il provvedimento del Garante non lascia spazio ad alcun dubbio nel § 2.1: «le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)».
La necessità che tali decisioni siano contenute in un provvedimento di carattere generale assume, in tal senso, un ruolo rilevante. Esso dovrà risultare analogo, o meglio coincidere, con lo stesso regolamento da adottarsi ai sensi dell’art. 10 del D.Lgs. 267/2000 così come invocato anche nella deliberazione n. 17/2007, quale strumento necessario per gli enti locali e, in analogia, con tutte le altre amministrazioni pubbliche, in cui si tenga conto delle diverse esigenze di trasparenza, di pubblicità e di consultabilità in relazione alle attività di diffusione e comunicazione.
Nella nuova deliberazione è poi previsto espressamente (§ 2.5) che, data l’importanza strategica di tali scelte, il Garante si riserva il diritto di sottoporre «tutte le decisioni assunte dalle amministrazioni», al proprio sindacato al fine di poter verificare il rispetto dei principi di necessità, di proporzionalità e di pertinenza dei dati pubblicati, in armonia con quanto previsto dal D.Lgs. 196/2003, art. 3 e art. 11, comma 1.
7. Il diritto all’oblio, l’importanza della delimitazione dei tempi di mantenimento della diffusione dei dati: la determinazione del “quando”
L’obbligo di pubblicazione on–line a fini dichiarativi delle amministrazioni comporta necessariamente l’adozione di accorgimenti che tutelino maggiormente il diritto all’oblio, già sancito nel Codice della privacy (art. 11, comma 1).
La diffusione dei dati tramite il web era già stata oggetto di motivate preoccupazioni, visto che la consultabilità indiscriminata consentita dai motori di ricerca veniva ad accentuare la loro ubiquitarietà. In questo modo era, di fatto, consentita la creazione di veri e propri database “incontrollati” relativi a singoli individui.
Le nuove esigenze di pubblicità e di trasparenza derivanti dal mutato quadro normativo non possono, però, comportare «conseguenze gravi e pregiudizievoli per le persone». Ecco allora che, una volta individuato dalle singole amministrazioni l’“an”, ossia se e quali dati pubblicare, risulta necessario individuare il “quando”, ossia il periodo definito “congruo” entro il quale «i dati devono rimanere disponibili (in una forma che consenta l’identificazione dell’interessato)».
La congruità viene ricollegata al periodo necessario affinché vengano raggiunti gli scopi per i quali è prevista la pubblicazione dei dati, stabilendo quindi un collegamento con la tempistica già individuata dalle norme che impongono la pubblicazione[3].
Viene lasciato, tuttavia, uno spazio, seppur limitato, laddove si pubblichi in assenza di una norma che stabilisca il periodo di pubblicazione, come accade ad esempio per le determinazioni dirigenziali.
Si distinguono allora due distinte ipotesi di “limiti temporali”:
1) limite temporale previsto dalle singole norme che impongono la pubblicazione: in tal caso le amministrazioni devono garantire l’accessibilità per il tempo stabilito, garantendo il diritto all’oblio trascorso il termine;
2) limite temporale stabilito dalle singole amministrazioni in assenza di una disciplina di settore.
A questo proposito le amministrazioni devono determinare il termine la cui congruità dipenderà dalle finalità perseguite (trasparenza, pubblicità, consultabilità), ossia:
a) qualora la pubblicazione sia prevista per esigenze di trasparenza, potrebbe essere necessario individuare periodi di tempo “ragionevoli” per garantire una immediata accessibilità alle informazioni;
b) qualora si tratti di pubblicazione prevista per finalità di pubblicità, l’individuazione della tempistica dovrà avvenire tenendo anche conto dei termini previsti per l’impugnazione dei provvedimenti soggetti a pubblicazione.
Non appare, invero, che in relazione a tali ipotesi il Garante abbia fornito un chiaro criterio di riferimento e ciò sia perché il criterio delle ragionevolezza si presta ad interpretazioni discrezionali e soggettive, sia perché non risulta chiaramente quale sia la relazione che dovrebbe sussistere tra termine di pubblicazione e termine di impugnazione.
Basti pensare, a tal proposito, che il termine di pubblicazione delle deliberazioni degli enti locali, ai fini della presunzione della piena conoscenza legale, è previsto in 15 giorni dall’art. 124 del D.Lgs. 267/2000, mentre il termine generale per la proposizione dell’azione di annullamento è stabilito dal Codice del processo amministrativo in 60 giorni (cfr. D.Lgs. 2 luglio 2010, n. 104, art. 29).
Le amministrazioni dovranno inoltre stabilire “quomodo” adempiere alle prescrizioni del Garante in base alle quali, una volta scaduti i termini, sarà necessario:
a) rimuovere dal web notizie, documenti o intere sezioni del sito;
b) togliere gli elementi identificativi degli interessati, qualora sia necessaria l’ulteriore permanenza;
c) prevedere un accesso riservato, qualora sia necessario soddisfare esigenze di carattere storico o, in ogni caso, sottratto ai comuni motori di ricerca.
8. Un esempio pratico per un problema annoso: la pubblicazione dell’albo dei beneficiari di provvidenze economiche
L’albo dei beneficiari di provvidenze economiche, istituito ai sensi dell’art. 1 del DPR 7 aprile 2000, n. 118, ha fin da subito sollevato problemi di compatibilità con le norme in materia di tutela della riservatezza, stante l’elevato numero di dati personali e sensibili in esso presenti.
Il Garante aveva già ritenuto lecita la diffusione dei nominativi dei beneficiari unitamente all’indicazione della normativa che ne autorizza l’erogazione, ai sensi dell’art. 1, comma 2 del citato DPR 118/2000, escludendo, invece, in quella stessa sede, ulteriori dati personali quali, ad esempio, l’indirizzo, il codice fiscale o l’importo dell’erogazione, ritenuti non pertinenti ed eccedenti rispetto alle finalità perseguite.
Aveva tuttavia precisato che, per quanto riguardava soggetti beneficiari di assegni di cura o prestazioni sanitarie, avrebbero dovuto essere «omessi i nominativi o le iniziali degli interessati né essere riportate le disposizioni di legge da cui potevano desumersi le cause di erogazione» al fine di non incorrere nella violazione del divieto imposto dagli artt. 22, comma 8 e 68 comma 3 del Codice privacy» .
Nella richiamata deliberazione n. 17/2007, nell’esaminare i casi particolari che riguardavano gli obblighi di trasparenza incombenti sulle amministrazioni locali, era stata nuovamente affrontata la problematica che destava preoccupazione negli enti stabilendo regole in materia. La stessa Autorità aveva rammentato che l’istituzione dell’albo delle provvidenze, cui doveva essere assicurato accesso e pubblicità anche per via telematica, era uno strumento idoneo per consentire l’attuazione del principio di pubblicità e di trasparenza dell’attività amministrativa.
In tal senso, era stata ritenuta così lecita la pubblicazione dei nominativi dei beneficiari e della relativa data di nascita, ma non gli ulteriori dati non pertinenti. Tra quest’ultimi è compresa la ripartizione degli assegnatari secondo le fasce ISEE – indicatore della situazione economica equivalente.
Il divieto veniva esteso a quei dati particolarmente delicati, c.d. “parasensibili”, ossia a quella categoria intermedia tra i dati sulla salute e i dati comuni che possono «creare imbarazzo, disagio o esporre l’interessato a conseguenze indesiderate». Il Garante, ad esempio, aveva ritenuto lesiva la pubblicazione, fuori dei casi previsti, di analitiche situazioni reddituali o particolari condizioni di bisogno o peculiari situazioni abitative, specie in riferimento alle fasce deboli della popolazione quali minori, anziani etc.
La delibera n. 88/2011 non poteva non affrontare nuovamente il tema della tutela della riservatezza in relazione alla pubblicazione on–line dell’albo dei beneficiari, rammentando la ratio che ne impone la pubblicazione. Siamo, infatti, di fronte all’esigenza di trasparenza finalizzata, da una parte alla partecipazione dei cittadini al procedimento volto all’erogazione dei benefici, dall’altra all’altrettanto rilevante esigenza di rendere trasparente l’utilizzo di risorse in base al principio dell’accountability.
La pubblicazione on–line risponde a tali esigenze e consente la pubblicazione, come giustamente ricorda il Garante, degli elenchi di beneficiari di provvidenze economiche e di altri atti che riconoscono agevolazioni, sussidi o altri benefici con la precisa indicazione di riportare unicamente i soli dati relativi a:
– nominativi e data di nascita;
– esercizio finanziario relativo alla concessione del beneficio;
– indicazione disposizione di legge sulla base della quale hanno avuto luogo le erogazioni.
Vengono altresì individuati i dati nei confronti dei quali, come già in precedenza, viene esclusa la pubblicazione, ossia:
– indirizzo di abitazione
– codice fiscale;
– coordinate bancarie dove sono accreditati i contributi
– ripartizione assegnatari secondo le fasce dell’indicatore Isee
– informazioni che descrivano le condizioni di indigenza in cui versa l’interessato
– indicazioni, frequentemente usate, che sono idonee a rivelare lo stato di salute e come tali ricadono nel divieto di cui agli artt. 22, c. 8 e 68,c. 3 del Codice quali l’indicazione di titoli dell’erogazione dei benefici , criteri di attribuzione, destinazione dei contributi erogati
Il Garante suggerisce, infine, di limitare l’indicizzazione dei motori di ricerca e la creazione di copie cache presso gli stessi motori, consentendo la pubblicizzazione sui siti degli enti e agevolandone la reperibilità, ma privilegiando canali e modalità di ricerca interni.
9. Nuove modalità redazionali per la protezione dei dati personali
Nella deliberazione n. 17/2007 il Garante si era preoccupato di un aspetto che risulta del tutto ignorato nella deliberazione n. 88/2011. In questo senso, l’imprescindibilità dell’adozione di tecniche di redazione degli atti amministrativi (e dei loro allegati) che tutelino l’amministrazione pubblicante – e le conseguenti responsabilità dirigenziali – è il vero cuore del problema della pubblicazione on–line.
Era stato suggerito, infatti, l’uso di una particolare prudenza nella fase prodromica all’adozione dell’atto, suggerendo di «menzionare i dati solo negli atti a disposizione degli uffici», oppure di «menzionare situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici».
Ancorché la pubblicazione possa avvenire in allegato riservato o con una copia corrotta in autotutela attraverso gli omissis, la soluzione migliore è redigere un atto amministrativo già con il pensiero rivolto alla sua conseguente pubblicazione.
Anche in armonia con quanto stabilito di recente dal Codice dell’amministrazione digitale, è possibile enucleare tre responsabilità tipicamente dirigenziali (o di loro delegati) in ordine alla pubblicazione di un documento:
a) redazione dei documenti da pubblicare, con riferimento alla completezza, correttezza, pertinenza, indispensabilità dei dati personali rispetto alle finalità della pubblicazione;
b) pubblicazione dei documenti nel rispetto delle modalità e dei tempi previsti;
c) conservazione del repertorio dell’albo on–line e dei documenti pubblicati, con riferimento alla loro autenticità, integrità e intelligibilità anche dei rispettivi metadati (di contesto, di sistema informatico, di responsabilità, etc.).
Il riferimento normativo immediato è all’art. 44, comma 1–bis del D.Lgs. 82/2005 così come introdotto dall’art. 30 del D.Lgs. 30 dicembre 2010, n. 235, inerente al sistema di conservazione, previsto ora come un team del quale fanno parte un archivista, un informatico-conservatore e un responsabile della privacy.
In concreto, ciò significa che – in base alla responsabilità sub a) –il documento la cui fase integrativa dell’efficacia coincida con la pubblicazione (che per alcune tipologie di atti coincide con la notificazione o con la comunicazione), possibile ora solo on–line, debba essere già predisposto per la protezione dei dati personali e così pervenire all’ufficio che cura la pubblicazione vera e propria[4].
Del resto, su tale aspetto si era diffusamente soffermato lo stesso Garante, che nella delibera n. 17/2007 aveva suggerito accorgimenti proprio per le tecniche redazionali. Ciò inoltre significa che è necessario cambiare le modalità redazionali, ad esempio cifrando i dati soggettivi, per evitare in sede di pubblicazione controlli massivi e il persistente ricorso a omissis, a espunzioni o a mascheratura di stringhe testuali. Il compito di chi pubblica è, dunque, da riferirsi esclusivamente alla correttezza e al rispetto dei tempi di pubblicazione e non già a un controllo preventivo sui documenti da pubblicare, visto che quest’ultimo non può che ricadere sul responsabile del procedimento amministrativo de quo e non già sul responsabile della pubblicazione[5].
10. Collettività, utenti e interessati: tre livelli di conoscibilità indiscriminata e discriminata
L’attenzione viene ora spostata sull’esigenza di garantire una sorta di conoscibilità differenziata a seconda della tipologia dell’atto e del documento pubblicato, distinguendo tra una conoscibilità indiscriminata erga omnes e una conoscibilità discriminata erga partes e, quindi tra:
a) una conoscibilità garantita a tutta la collettività: mediante la semplice reperibilità sul sito;
b) una conoscibilità riservata ai soli utenti richiedenti un servizio (si pensi alle graduatorie per l’inserimento in asili nido o scuole materne);
c) una conoscibilità riservata agli interessati o controinteressati in un procedimento amministrativo.
Il Garante si limita, in questo caso, a privilegiare un aspetto prettamente tecnologico, nuovamente collegato ai motori di ricerca, piuttosto che a sostenere aspetti di prevenzione relativi alla genesi dell’atto, mirando così a una tutela affidata a seriori ad accorgimenti informatici e a limitazioni temporali.
11. Personale e concorsi pubblici: il modello di curriculum europeo è “eccedente”
Particolare attenzione viene invece dedicata (§ 6.B.1) agli atti e documenti relativi al rapporto di lavoro e al personale in generale riprendendo, in parte, quanto già affermato nella deliberazione 24 giugno 2007, n. 23 recante le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di pubblico impiego.
Le norme che impongono la pubblicazione degli esiti di graduatorie concorsuali devono trovare attuazione attraverso la pubblicazione dei relativi dati sui siti istituzionali, attraverso un’accessibilità non consentita ai comuni motori di ricerca esterna.
Allo stesso tempo è invece possibile consentire l’accesso a ulteriori dati e informazioni, nei confronti dei soli partecipanti alle procedure concorsuali, in base alle norme sull’esercizio del diritto di accesso e, quindi, secondo l’esemplificazione da ritenersi verosimilmente non esaustiva, anche nei confronti di elaborati, verbali, valutazioni, documentazione relativa a titoli anche di precedenza o preferenza, pubblicazioni, curricula, etc.
In tal caso, l’accesso sarà consentito ai fini di tutelare la riservatezza, attraverso username e password, numero di protocollo o altri estremi identificativi forniti dall’ente a coloro che ne abbiano diritto. E non si tratta certo di una novità, se pensiamo a quello che già oggi avviene nei rapporti tra atenei e studenti che possono accedere alle informazioni che li riguardano o agli esiti degli esami di norma proprio tramite l’attribuzione di una password.
Procedendo con la tecnica dell’elencazione vengono individuati quei dati ritenuti pertinenti ai fini della pubblicazione on–line:
a) elenchi nominativi cui vengono abbinati risultati di prove intermedie
b) gli elenchi di ammessi a prove scritte o orali
c) i punteggi riferiti a singoli argomenti di esame
d) i punteggi totali ottenuti.
Vengono invece esclusi dalla pubblicazione dati non strettamente correlati alle esigenze di trasparenza relative alla procedura concorsuale, quali:
1) recapiti di telefonia fissa o mobile
2) indirizzo dell’abitazione o e–mail
3) titoli di studio
4) codice fiscale
5) indicatore Isee
6) numero di figli disabili
7) risultati di test psicoattitudinali
Tali dati saranno invece conoscibili a fronte di un istanza di accesso da parte di un soggetto portatore di un interesse qualificato ai sensi degli articoli 22 e seguenti della legge 241/1990 in quanto partecipante alle procedure concorsuali, effettuando così quella valutazione oggetto del difficile bilanciamento tra diritto di accesso e diritto alla riservatezza.
Le medesime cautele devono essere utilizzate nell’ambito delle attività di gestione dei rapporti di lavoro, qualora si renda necessaria la pubblicazione on–line a fini di trasparenza di provvedimenti e/o di documenti (attribuzioni incarichi, graduatorie, etc.), così come va garantita ai dirigenti la possibilità di integrare o modificare i propri curricula, anche al fine di garantire l’esattezza, l’aggiornamento e la completezza dei dati pubblicati.
Su questo punto il provvedimento del Garante è fin troppo chiaro: il modello di curriculum europeo contiene dati eccedenti e non pertinenti rispetto alla sacrosanta trasparenza cui si richiama. L’esemplificazione, peraltro non esaustiva, dei dati da non pubblicare riguarda i cedolini dello stipendio, dati di dettaglio risultanti dalle dichiarazioni fiscali, oppure riguardanti l’orario di entrata e di uscita di singoli dipendenti, l’indirizzo del domicilio privato, il numero di telefono e l’indirizzo di posta elettronica personale (diversi da quelli ad uso professionale), ovvero informazioni attinenti allo stato di salute di persone identificate, quali le assenze verificatesi per ragioni di salute (§ 6.A.1).
12. La terza disponibilità: la consultabilità dei documenti
Un altro punto affrontato nella deliberazione in commento riguarda la consultabilità, che risulta finalizzata a garantire la conoscenza di dati relativi all’attività amministrativa o all’erogazione di servizi per la quale il Garante ricorda che il legislatore auspica l’utilizzo dei mezzi telematici e incentiva l’utilizzo dei servizi pubblici in rete.
La disponibilità in tale caso viene consentita a soggetti preventivamente individuabili dalla loro partecipazione (necessaria o eventuale) al procedimento amministrativo o in quanto fruitori di servizi. Anche nei loro confronti sarà necessario tuttavia consentire una consultabilità limitata unicamente ai quei dati pertinenti e non eccedenti, cui si potrà accedere secondo le norme previste dalla normativa sull’accesso.
Le modalità di accesso selezionato ad una sezione del sito dovranno tenere conto delle norme dettate sia dal D.Lgs. 7 marzo 2005, n. 82 e, in particolare, dall’art. 64 comma 2, nonché dalle stesse Linee guida per i siti web della P.A. del Ministro per la pubblica amministrazione e l’innovazione 26 novembre 2009, § 4.5, che garantiscono l’identificazione informatica dei soggetti legittimati alla consultazione[6].
Il Garante affronta poi (§ 6.C.1) la delicata problematica della pubblicità del collocamento obbligatorio dei disabili, soffermandosi sulla liceità del trattamento dei relativi dati da parte di soggetti pubblici ai sensi dell’art. 73, comma 2, lett. i) e dell’art.112, comma 1, lett. a) del Codice privacy, a fronte dell’evidente finalità di interesse pubblico.
Il riferimento viene qui operato nei confronti dei documenti la cui pubblicità è prevista dalle norme in materia di collocamento obbligatorio, documenti che potranno essere resi disponibili on–line, ma consultabili unicamente attraverso un accesso selezionato.
La particolare cautela, richiesta nei confronti di tali documenti, riguarda il fatto che essi contengono informazioni idonee a rivelare dati sulla salute, come la disabilità e, pertanto, la loro conoscibilità dovrà essere consentita solo per le finalità previste dalla normativa di riferimento o per la tutela di situazioni giuridicamente rilevanti. Anche in questo caso, le metodologie utilizzate individuate sono quelle previste per gli altri accessi selezionati.
13. Il Robot Exclusion Protocol
Il Garante riprende anche le tematiche dell’indicizzazione e della ricerca ubiquitaria dei motori di ricerca, individuando la scelta migliore in quella che privilegia i motori di ricerca interni a discapito di quelli esterni generalisti come Google, Yahoo!, etc. Si tratta, infatti, di assicurare «accessi maggiormente selettivi e coerenti con le finalità di volta in volta sottese alla pubblicazione assicurando, nel contempo, la conoscibilità sui siti istituzionali delle informazioni che si intende mettere a disposizione».
Il sito istituzionale, pertanto, deve prevedere dei link strutturati da un lato in armonia con quanto previsto dalla legge (ad esempio, dall’art. 21, comma 1, della legge n. 69/2009, e dall’art. 11, comma 1, del D.Lgs. n. 150/2009 per la ben nota sezione Trasparenza, valutazione e merito) e dall’altro con le tipologie di atti, informazioni e documenti amministrativi che l’amministrazione, in piena autonomia, intende mettere a disposizione di una pluralità indistinta di soggetti.
Appare improbabile il comportamento di talune amministrazioni volto a impedire la stampa o la memorizzazione dei documenti pubblicati, dimenticando che la visualizzazione a video rappresenta già di per sé una forma di stampa (“output”). Per questa ragione, il Garante, come già con la deliberazione 17/2007, richiama non tanto accorgimenti tecnologici, ma forme di agreement per evitare la memorizzazione e l’indicizzazione da parte dei motori di ricerca. Si tratta del Robot Exclusion Protocol (REP), che consente, grazie a un accordo internazionale, di far rilevare al motore di ricerca l’area, le pagine o i files che il sito web dichiara non indicizzabili e non memorizzabili[7].
Ciò avviene grazie ad alcuni metamarcatori (“metatag”) che vengono inseriti nelle pagine web allo scopo di far rilevare la scelta da parte dell’amministrazione di non far indicizzare (“metatag noindex”) e di non far memorizzare (“metatag noarchive”) i contenuti pubblicati, anche grazie alla codifica di regole di esclusione all’interno di un file testuale (“robots.txt”) nelle banche dati del webserver configurato secondo le convenzioni del REP.
Ovviamente, l’esclusione o la mancata indicizzazione avranno effetto ex nunc, non potendo averlo ex tunc sulla galassia delle indicizzazioni e delle memorizzazioni effettuate in difetto di REP.
14. Autenticità e integrità grazie a firma digitale e protocollo informatico
Uno dei maggiori problemi incontrati dalle amministrazioni, in assenza di regole tecniche, riguarda i formati di file da pubblicare e le modalità attraverso le quali garantire l’affidabilità, l’integrità e l’autenticità dei documenti pubblicati. Alcune soluzioni informatiche, lungi dall’essere coerenti e lecite, espongono formati proprietari, che spaziano dal più comune file “.doc” al “.pdf”. In aggiunta, pochissimi sono i casi in cui il file pubblicato risulti avere associata uno dei quattro tipi di firma elettronica previsti dal nostro ordinamento[8].
Anzi, a giudicare dalla varietà delle situazioni, sembra che la pubblicazione on–line abbia spaziato tra i quattro nuovi tipi di “copia” introdotti nel Codice dell’amministrazione digitale dalla recentissima riforma[9].
A far cessare un simile e scriteriato comportamento, finalmente il Garante ha affermato al § 5.4 un principio imprescindibile: per garantire l’affidabilità, l’autenticità e l’integrità dei documenti pubblicati risulta necessario utilizzare la firma digitale. Anche se si tratta di un copia, non è plausibile consultare una copia semplice o, peggio, un contenuto di un atto in un file word. La pur “copia” deve essere in grado di garantire chiunque consulti l’albo on–line dal «rischio di cancellazioni, modifiche, alterazioni o decontestualizzazioni».
In particolare, il rischio della decontestualizzazione è evidente se i documenti pubblicati vengono considerati come monadi isolate per giunta da trattare isolatamente e al di fuori di un contesto che le “significa”. E non diremo mai abbastanza quanto questa forma di monadismo informatico sia particolarmente rischiosa per l’amministrazione digitale applicata con rigore metodologico.
Per questo la deliberazione 88/2011 scioglie alcuni nodi imprescindibili della pubblicità legale on–line correttamente applicata. Non si tratta, quindi, di una semplice “affissione” sul web, ma di una preventiva forma di registrazione, in grado di garantire in maniera inequivocabile che quel documento pubblicato è “quel” documento e non altri. Infatti, «ogni file oggetto di pubblicazione sui siti istituzionali, potendo essere letto in un altro ambito e in un momento successivo alla sua diffusione, dovrebbe prevedere l’inserimento dei “dati di contesto” (es. data di aggiornamento, periodo di validità, amministrazione, segnatura di protocollo o dell’albo)» (§ 5.4).
In buona sostanza, come previsto dall’ordinamento vigente in materia di protocollo informatico, è prevista una “segnatura” anche per l’albo on–line, il cui riferimento temporale connesso alla registrazione in data certa garantirà nel tempo anche l’affidabilità dei contenuti e, soprattutto, dei documenti pubblicati.
[2] ANAI: http://www.anai.org/anai–cms/cms.view?munu_str=0_9_0_7&numDoc=151 –
[3] Non si tratta, com’è ovvio, di una questione nuova. Ad esempio, art. 310 del RD 148/1915, art. 35 e art. 62 del RD 383/1934; art. 124 del D.Lgs. 267/2000; e, di recente, l’art. 36 c.p. come modificato dall’art. 67 della legge 69/2009.
[4] Questo modello organizzativo si riferisce alla cosiddetta pubblicazione accentrata. Nel caso, invece, di una pubblicazione federata, la figura del responsabile della pubblicazione di norma coincide con il responsabile del procedimento. Si tratta di una funzione delegata, specie nelle macro-organizzazioni, a una pluralità di uffici o strutture, che però devono avere un’adeguata professionalità tecnica e una sorta di terzietà nell’accorgersi dei rischi che la diffusione dei dati personali può comportare.
[5] Il problema, semmai, si pone sulle richieste di pubblicazione da enti esterni. Tuttavia, con l’entrata a regime dell’albo–line, la pubblicazione presso terzi dovrebbe ridursi a ben poca cosa, se non addirittura sparire, con l’eccezione di quei documenti per cui le norme, prevalentemente tributarie, in materia di notificazioni prevedono la pubblicazione all’albo on–line (ad es., art. 60 del DPR 600/1973 e art. 26 del DPR 602/1973).
[6] Una veloce notazione giuridica riguarda il fatto che lo strumento delle “linee guida”, molto utilizzato di recente, non esiste nel nostro ordinamento. L’affidabilità e l’applicabilità risulta più che discutibile, non ultimo per il fatto che la loro conoscenza legale non avviene attraverso una forma di registrazione, ma attraverso la diffusione on–line di un semplice file di informatica individuale, tra l’altro in formato proprietario, quest’ultimo in contrasto con il vigente ordinamento.
[7] Tutte le informazioni su origine e uso sono disponibili sul sito ufficiale: http://www.robotstxt.org.
[8] Firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale, come novellate dal D.Lgs. 30 marzo 2010, n. 235 che ha modificato notevolmente il Codice contenuto nel D.Lgs. 82/2005.
[9] Copia informatica di documento analogico, copia per immagine su supporto informatico di documento analogico, copia informatica di documento informatico e duplicato informatico, sono le nuove definizioni introdotte nel Codice dell’amministrazione digitale dal D.Lgs. 235/2010 agli articoli i–bis, i–ter. i–quater e i–quinquies.
