Collepardo (Fr)

Collepardo (Fr)
Collepardo (Fr)

lunedì 28 gennaio 2019

Pubblicazione di documenti nei siti informatici della p.a. e protezione dei dati personali

La pubblicazione di deliberazioni e determinazioni all’albo pretorio degli enti locali per finalità di pubblicità legale, ai sensi dell’art. 1, c. 15, L.R. n. 21/2003, così come la pubblicazione di documenti per finalità di trasparenza, ai sensi del D.Lgs. n. 33/2013 e di altre disposizioni normative – anche di natura regolamentare – aventi analoga finalità di trasparenza, devono rispettare il principio di “minimizzazione dei dati” personali espresso dall’art. 5 del Regolamento (UE) n. 679/2016, per cui è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti sia realmente necessaria e proporzionata al raggiungimento delle finalità perseguite.


L’art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), comma 1, del D.Lgs. n. 196/2003, introdotto dal D.Lgs. n. 101/2018, in adeguamento al Regolamento (UE) n. 679/2016, stabilisce che “la base giuridica prevista dall’art. 6, paragrafo 3, lett. b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”. 

Le amministrazioni possono prevedere nel Piano triennale di prevenzione della corruzione integrato con il programma della trasparenza e l’integrità (PTPCT) la pubblicazione di dati ulteriori, per i quali non sussiste uno specifico obbligo di trasparenza. Trattasi, in tal caso, di pubblicazione di documenti non obbligatoria in forza di una norma di legge o di regolamento – il PTPCT è infatti atto programmatorio, la cui natura non pare regolamentare – per cui, ai sensi dell’art. 7-bis, c. 3, D.Lgs. n. 33/2013, i dati personali ivi contenuti devono essere resi anonimi oscurando il nominativo e le altre informazioni che possano consentire l’identificazione dell’interessato.
Questo il testo integrale del parere.
Il Comune riferisce di aver previsto nel Piano triennale di prevenzione della corruzione integrato con il programma per la trasparenza e l’integrità 2018-2020 (di seguito, PTPCT) l’obiettivo strategico[1] di favorire livelli maggiori di trasparenza, prevedendo la pubblicazione di dati ulteriori rispetto a quelli previsti come obbligatori dalla normativa di settore, in particolare la pubblicazione nella sezione dedicata in Amministrazione trasparente dell’intero testo dei provvedimenti adottati, al termine del prescritto periodo di pubblicazione all’albo pretorio. 
In particolare, nel PTPCT viene indicato l’obiettivo della pubblicazione integrale dei provvedimenti adottati dagli organi di indirizzo politico (deliberazioni consiliari e giuntali) e delle deliberazioni dirigenziali e viene specificato che “la redazione degli atti soggetti a pubblicazione deve avvenire rispettando la riservatezza e la tutela della privacy, inserendo, se del caso in allegato riservato i dati in questione”. 
L’Ente chiede dunque se sia possibile mantenere la suddetta pubblicazione integrale dei provvedimenti nella sezione Amministrazione trasparente, scaduti i termini di pubblicazione all’albo pretorio, “considerato che la redazione dei provvedimenti di cui si tratta, seppur con una certa abitudine a non inserire dati personali[2] eccedenti, sensibili[3] o non pertinenti da parte dei vari servizi, non può certo garantire l’assoluta certezza nell’oscuramento di tali dati”. 
Un tanto alla luce dell’art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), comma 1, del D.Lgs. n. 196/2003 (introdotto dal D.Lgs. n. 101/2018), secondo il quale “la base giuridica prevista dall’art. 6, paragrafo 3, lett. b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento”. 
La disamina del quesito richiede di prendere in visione la normativa concernente gli obblighi di pubblicazione nell’albo pretorio (L.R. n. 21/2003) e nella sezione Amministrazione Trasparente degli enti locali (D.Lgs. n. 33/2013[4]), nonché la protezione dei dati personali su questi siti informatici istituzionali, materia oggi disciplinata dal Regolamento (UE) n. 679/2016, a seguito del quale è stato emanato il D.Lgs. 10 agosto 2018, n. 101, di adeguamento della normativa nazionale[5]. 
L’art. 1, comma 15, della L.R. n. 21/2003 prevede che “fatte salve le disposizioni statali in materia di pubblicità legale, le deliberazioni e le determinazioni degli enti locali sono pubblicate nei propri siti informatici, ovvero nei siti informatici di altre amministrazioni pubbliche, ovvero di loro associazioni, con le modalità previste dalla legislazione vigente. Le deliberazioni e le determinazioni degli enti locali sono pubblicate, entro sette giorni dalla data di adozione, per quindici giorni consecutivi, salvo specifiche disposizioni di legge”. 
Con riferimento all’obbligo di pubblicazione di cui all’art. 1, comma 15 richiamato, si riportano le considerazioni espresse dal Garante per la protezione dei dati personali in relazione all’art. 124 del TUEL, disposizione statale di ordine generale sugli obblighi di pubblicazione nell’Albo pretorio degli enti locali, con finalità di pubblicità legale[6]. 
In particolare, il Garante per la protezione dei dati personali ha affermato che ove la p.a. riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrano i presupposti per l’oscuramento di determinate informazioni[7]. 
Ed invero – osserva il Garante – anche in tale ipotesi, i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali, ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi e altre modalità che permettano di identificare l’interessato solo in caso di necessità (c.d. “principio di necessità”). Pertanto – prosegue il Garante – anche in presenza di un obbligo di pubblicità è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti sia realmente necessaria e proporzionata al raggiungimento delle finalità perseguite dall’atto (c.d. “principio di pertinenza e non eccedenza”)[8]. 
Inoltre – osserva ancora il Garante – i soggetti pubblici sono tenuti ad assicurare il rispetto delle specifiche disposizioni di settore che individuano circoscritti periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi contenenti dati personali, rendendoli accessibili sul proprio sito web solo per l’ambito temporale individuato dalle disposizioni normative di riferimento, anche per garantire il diritto all’oblio degli interessati[9]. 
In particolare – precisa il Garante – l’obbligo di pubblicità di cui all’art. 124 del TUEL (sul piano dell’ordinamento regionale, art. 1, comma 15, L.R. n. 21/2003, n.d.r.) è previsto per 15 giorni consecutivi, decorsi i quali la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali diviene illecita[10], salvo che gli stessi atti e documenti non debbano essere pubblicati in ottemperanza agli obblighi in materia di trasparenza ai sensi della normativa vigente[11]. 
In proposito, l’ANAC spiega che quando l’amministrazione pubblica nell’albo pretorio on line (per finalità di pubblicità legale n.d.r.) documenti, informazioni e dati per i quali sussistono anche obblighi di trasparenza, è tenuta anche a pubblicarli all’interno della sezione “Amministrazione trasparente”, in quanto l’obbligo di affissione degli atti all’albo pretorio e quello di pubblicazione sui siti istituzionali all’interno della sezione “Amministrazione trasparente” svolgono funzioni diverse. Va anche considerato – osserva l’ANAC – che la durata della pubblicazione dei documenti nell’albo pretorio on line non coincide, poiché inferiore, con la durata della pubblicazione dei dati sui siti istituzionali entro la sezione “Amministrazione trasparente”, che l’art. 8, c. 3, D.Lgs. n. 33/2013 fissa a cinque anni[12]. 
La questione che si pone è di capire quali siano gli obblighi di pubblicazione per finalità di trasparenza ai sensi della normativa vigente, quali fonti possano prevederli e quali principi si debbano osservare per la protezione dei dati personali. 
L’ANAC ha predisposto un elenco degli obblighi di pubblicazione per trasparenza previsti dal D.Lgs. n. 33/2013 e da ulteriori disposizioni di legge previgenti e successive[13]. Per quanto qui di interesse riguardo agli obblighi di pubblicazione di provvedimenti amministrativi, nell’elenco si richiamano gli obblighi di pubblicazione di cui all’art. 23 del decreto trasparenza, come novellato dal D.Lgs. n. 97/2016, aventi ad oggetto gli elenchi dei provvedimenti degli organi di indirizzo politico e dei dirigenti amministrativi con particolare riferimento ai provvedimenti finali di procedimenti di scelta del contraente per l’affidamento di lavori, forniture e servizi e agli accordi stipulati dall’amministrazione con soggetti privati o con altre amministrazioni pubbliche[14]. 
Peraltro – afferma l’ANAC – le amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti per i quali non sussiste uno specifico obbligo di trasparenza. Ciascuna amministrazione individua i c.d. dati ulteriori che devono essere indicati all’interno del Programma triennale per la trasparenza e l’integrità (ora nell’apposita sezione del PTPCT)[15]. 
Nel caso in esame, l’Ente ha appunto indicato nel PTPCT dati ulteriori, prevedendo per finalità di trasparenza la pubblicazione dell’intero testo dei provvedimenti adottati nella sezione Amministrazione trasparente, al termine del prescritto periodo di pubblicazione all’albo pretorio e chiede se possa mantenere un tanto. 
L’Ente riferisce altresì di aver previsto nel PTPCT che la redazione degli atti soggetti a pubblicazione deve avvenire rispettando la riservatezza e la tutela della privacy, ma al contempo afferma che la redazione dei provvedimenti di cui si tratta, seppur con una certa abitudine a non inserire dati personali eccedenti, sensibili o non pertinenti da parte dei vari servizi, non può certo garantire l’assoluta certezza dell’oscuramento di tali dati. 
In proposito, posta la natura di atto programmatorio del PTPCT[16] ove l’Ente ha indicato i dati ulteriori di che trattasi, si fa osservare che l’art. 7-bis, c. 3, D.Lgs. n. 33/2013, dà facoltà alle pubbliche amministrazioni di disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del decreto medesimo o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’art. 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti. 
Precisamente, in forza dell’art. 7-bis, c. 3, D.Lgs. n. 33/2013, la pubblicazione di dati ulteriori prevista nel PTPCT – e dunque non obbligatoria in forza di una norma di legge o di regolamento – postula che i dati personali ivi contenuti devono essere resi anonimi oscurando il nominativo e le altre informazioni che possano consentire l’identificazione dell’interessato. 
Con specifico riferimento, invece, al trattamento[17] dei dati personali contenuti in documenti la cui pubblicazione sia prevista da norme di legge o di regolamento, si riportano le considerazioni espresse dal Presidente dell’Autorità Garante per la protezione dei dati personali in una nota del 27 novembre 2018 (doc web 9065601) che, riferite al trattamento dei dati sensibili, possono fornire elementi utili sia sotto il profilo della fonte che può disciplinare il trattamento dei dati personali che di quello dei limiti alla loro diffusione. 
Nella nota del 27 novembre 2018, il Garante osserva che il Regolamento (UE) n. 679/2016 stabilisce all’art. 9 un generale divieto di trattamento di dati sensibili e successivamente prevede una deroga per il trattamento di detti dati necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli Stati membri e secondo i parametri ivi previsti[18]. 
In proposito, il Garante richiama l’art. 2-sexies, D.Lgs. n. 196/2003, inserito dal D.Lgs. n. 101/2018, in tema di trattamento di categorie particolari di dati personali per motivi di interesse pubblico rilevante, ove si specifica che si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri e che detto trattamento è ammesso qualora sia previsto dal diritto dell’Unione europea ovvero, nell’ordinamento interno, “da disposizioni di legge o, nei casi previsti dalla legge, di regolamento”[19]. 
Ebbene, per il Garante la locuzione “nei casi previsti dalla legge” deve essere interpretata come un rinvio a tutti quei casi in cui il soggetto chiamato a disciplinare dette categorie di dati sia – in base a specifica disposizione legislativa – titolare di poteri regolamentari. 
Ne consegue che solo enti titolari – in base a disposizione di legge – di potestà regolamentare avente carattere normativo potranno continuare a individuare, con tale fonte, trattamenti di particolari categorie di dati personali. 
Dalle considerazioni espresse dal Presidente dell’Autorità Garante di apertura alla potestà regolamentare sul fronte della disciplina del trattamento delle categorie particolari di dati personali, sembra potersi trarre, a maggior ragione, la possibile copertura regolamentare comunale anche per il trattamento (e dunque per la pubblicazione) dei dati personali (diversi da quelli particolari), di cui all’art. 4 del Regolamento (UE) n. 679/2016 richiamato. 
A questo riguardo, si osserva che l’attività di pubblicazione dei dati sui siti web per finalità di trasparenza, anche se effettuata in presenza di idoneo presupposto normativo, deve avvenire nel rispetto di tutti i principi applicabili al trattamento dei dati personali contenuti all’art. 5 del Regolamento (UE) 2016/679; in particolare, assumono rilievo i principi di adeguatezza, pertinenza e limitazione a quanto necessario rispetto alle finalità per le quali i dati personali sono trattati («minimizzazione dei dati») (par. 1, lett. c) e quelli di esattezza e aggiornamento dei dati, con il conseguente dovere di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (par. 1, lett. d). 
Sul piano dell’ordinamento interno, l’art. 7-bis, comma 4, D.lgs. n. 33/2013, prevede inoltre che «Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione»[20]. 
Principi, questi, già richiamati in relazione agli obblighi di pubblicità legale delle deliberazioni comunali nell’Albo pretorio, di cui all’art. 124 del TUEL[21]. 
In particolare sotto il profilo della durata, questo comporta che laddove gli atti, documenti e informazioni pubblicati per finalità di trasparenza ai sensi della normativa vigente (anche di natura regolamentare comunale, se così si assume sulla base della nota del Presidente dell’Autorità Garante del 27 novembre 2018) contengano dati personali – la cui pubblicazione si ribadisce avviene nel rispetto dei principi di trattamento suddetti, dettati da disposizioni di rango comunitario direttamente applicabili n.d.r. – questi ultimi devono essere oscurati, anche prima del termine di 5 anni previsto dall’art. 8, c. 3, richiamato, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti[22]. 
Ricostruito il quadro normativo vigente in materia, in relazione allo specifico quesito posto si ritiene – come sopra anticipato – che la pubblicazione integrale dei provvedimenti nella sezione “Amministrazione trasparente” prevista dal Comune nel PTPCT (atto programmatorio, la cui natura non pare regolamentare), dopo la scadenza dei termini di pubblicazione all’albo pretorio on line, comporti necessariamente l’anonimizzazione dei dati personali eventualmente presenti. 
-------------------------------------------------------------------------------- 
[1] L’Ente richiama nel PTPCT l’art. 1, c. 8, L. n. 190/2012, come novellato dal D.Lgs. n. 97/2016, ai sensi del quale “L'organo di indirizzo definisce gli obiettivi strategici in materia di prevenzione della corruzione e trasparenza, che costituiscono contenuto necessario dei documenti di programmazione strategico-gestionale e del Piano triennale per la prevenzione della corruzione […]”. 
[2] Ai sensi dell’art. 4, par. 1, n. 1, del Regolamento (UE) 27 aprile 2016, n. 679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, applicabile dal 25 maggio 2018 in tutti gli stati membri dell’Unione europea, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. 
[3] Ai sensi dell’art. 9, par. 1, del Regolamento (UE) n. 679/2016, i dati sensibili, oggi denominati “categorie particolari di dati personali”, sono i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. 
[4] Ai sensi dell’art. 9, D.Lgs. n. 33/2013, ai fini della piena accessibilità delle informazioni pubblicate, nella home page dei siti istituzionali è collocata un’apposita sezione denominata “Amministrazione trasparente”, al cui interno sono contenuti i dati, le informazioni e i documenti pubblicati ai sensi della normativa vigente. 
[5] Ai sensi dell’art. 22, c. 6, D.Lgs. n. 101/2018, “dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili”. 
[6] L’art. 124, c. 1, del TUEL, come novellato dall’art. 9, c. 5 bis, D.L. n. 179/2012, prevede che tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio (oggi, albo pretorio on line a seguito dell’entrata in vigore della L. n. 69/2009), nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge. 
La L. n. 69/2009, senza abrogare le precedenti disposizioni in materia di tenuta dell’albo pretorio, ha stabilito che “a far data dal 1° gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”; inoltre “a decorrere dal1° gennaio 2011 […], le pubblicità effettuate in forma cartacea non hanno effetto di pubblicità legale” (art. 32, commi 1 e 5). 
Il Ministero dell’Interno, Dipartimento per gli Affari interni e Territoriali, deliberazione 5 marzo 2014, ha chiarito che l’obbligo di pubblicità di cui all’art. 124 c.c. riguarda non solo le deliberazioni degli organi di governo (consiglio e giunta municipale) ma anche le determinazioni dirigenziali, richiamando in proposito Cons. St. 15/03/2006, n. 1370. 
[7] Cfr. Garante per la protezione dei dati personali, provvedimento 15 maggio 2014, n. 243, recante: “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, parte II, par. 1, in relazione alla pubblicità per altre finalità della P.A. diverse dalla trasparenza. 
Vedi anche Formez PA, Q&A (questions and answers) ove si legge che nell’Albo pretorio on line occorre pubblicare gli atti nella loro interezza, avendo però cura di omettere i dati non pertinenti ed eccedenti allo scopo (che nel caso dell’Albo è la pubblicità legale). 
[8] I principi di necessità, pertinenza e non eccedenza sono oggi espressi dall’art. 5 del Regolamento (UE) n. 679/2016, rubricato “Principi applicabili al trattamento dei dati personali”, che in particolare al comma 1, lett. c), prevede che i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”). 
[9] Cfr. Linee guida del Garante n. 243/2014 cit., parte II, par. 2.b. 
Si evidenzia che il diritto all’oblio ha ricevuto espressa disciplina dall’art. 17 del Regolamento (UE) n. 679/2016, in forza del quale l’interessato ha diritto di ottenere, senza ingiustificato ritardo, la cancellazione dei dati che lo riguardano da parte del titolare del trattamento al ricorrere delle condizioni ivi previste. 
[10] Pertanto – una volta trascorso il periodo di pubblicazione previsto dalle singole discipline di riferimento oppure, in mancanza, decorso il periodo di tempo individuato dalla stessa amministrazione – se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati (cfr. Linee guida del Garante n. 243/2014 cit., parte II, par. 3.a). 
[11] Cfr. Linee guida del Garante n. 243/2014 cit., parte II, par. 3.a. 
[12] ANAC, FAQ in materia di trasparenza sull’applicazione del D.Lgs. n. 33/2013. 
Ai sensi dell’art. 8, c. 3, D.Lgs. n. 33/2013, “I dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell’anno successivo a quello da cui decorre l’obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatti salvi i diversi termini previsti dalla normativa in materia di trattamento dei dati personali e quanto previsto dagli articoli 14, comma 2, e 15, comma 4, decorsi detti termini, i relativi dati e documenti sono accessibili ai sensi dell’articolo 5”. 
[13] L’elenco è allegato alla delibera ANAC 28 dicembre 2016, n. 1310. 
[14] In proposito, l’ANAC ha affermato che le amministrazioni possono, sulla base delle evidenze emerse dalle analisi del rischio di corruzione condotte e in ragione delle proprie caratteristiche strutturali e funzionali, pubblicare anche elenchi relativi ad ulteriori provvedimenti finali rispetto a quelli espressamente individuati dall’art. 23, c. 1, del D.Lgs. n. 33/2013 (FAQ in materia di trasparenza sull’applicazione del D.Lgs. n. 33/2013, cit.). 
[15] ANAC, FAQ in materia di trasparenza sull’applicazione del D.Lgs. n. 33/2013, cit. 
[16] Cfr. ANAC, Delibera 2 maggio 2018, n. 408, secondo cui il PTPCT – che negli enti locali è approvato dalla Giunta (art. 1, c. 8, L. n. 190/2012) – è un atto programmatorio, non costituisce un insieme astratto di previsioni e misure, ma tende alla loro concreta attuazione in modo coordinato rispetto al contenuto di tutti gli altri strumenti di programmazione presenti nell’amministrazione. 
[17] Ai sensi dell’art. 4, par. 2, del Regolamento (UE) n. 479/2016, si intende per “trattamento”, “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. 
[18] Gli artt. 9 del Regolamento (UE) e 2-sexies del D.Lgs. n. 196/2003 specificano che il trattamento dei dati personali particolari necessario per motivi di interesse pubblico rilevante avviene sulla base delle fonti normative ivi previste – diritto dell’Unione o degli Stati membri nel contenuto spiegato – che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante (art. 2-sexies in commento), che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9 del Regolamento (UE) n. 679/2016). 
[19] Si rileva che la formulazione utilizzata dal legislatore nel comma 1 dell’art. 2-sexies in argomento è analoga a quella di cui al comma 1 dell’art. 2-ter del medesimo D.Lgs. n. 196/2003. 
[20] Cfr. ANAC, Aggiornamento 2018 al Piano Nazionale Anticorruzione (approvato con delibera 21 novembre 2018, n. 1074), Parte generale, par. 7. In generale, in relazione alle cautele da adottare per il rispetto della normativa in materia di protezione dei dati personali nell’attività di pubblicazione sui siti istituzionali per finalità di trasparenza e pubblicità dell’azione amministrativa, l’ANAC rinvia alle indicazioni fornite dal Garante per la protezione dei dati personali nelle Linee guida n. 243/2014 citate. 
In dette Linee guida, il Garante spiega che è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto. Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione on line. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultino eccedenti o non pertinenti (Cfr. Linee guida del Garante n. 243/2014 cit., parte I, par. 1). 
[21] Cfr. Linee guida del Garante n. 243/2014 cit., parte II, par. 3.a. 
[22] Cfr. Linee guida del Garante n. 243/2014 citate, parte I, par. 7.

Nessun commento:

Posta un commento