Amministrazione trasparente: riutilizzo ad ostacoli dei dati personali

Scarica PDF Stampa
Il 18 maggio scorso il Consiglio dei Ministri ha annunciato l’approvazione di uno schema di decreto legislativo che attua la direttiva 2013/37/UE in materia di riutilizzo dell’informazione del settore pubblico (PSI). Il citato provvedimento (http://www.governo.it/backoffice/allegati/78575-10194.pdf), non ancora approdato in Gazzetta Ufficiale, apporta modifiche significative al d.lgs. 36/06 (normativa italiana sul riutilizzo della PSI) ed opera alcuni ritocchi al d.lgs. 82/05 (Codice dell’amministrazione digitale – CAD). In questa sede analizzeremo brevemente l’incidenza del nuovo decreto sul riutilizzo dei dati personali pubblicati nella sezione “Amministrazione trasparente” dei siti web pubblici (in base a quanto previsto dal d.lgs. 33/13).

Il riutilizzo consiste nel valorizzare le informazioni detenute e prodotte dalla pubblica amministrazione per lo svolgimento di specifici fini istituzionali, impiegandole nella creazione di nuovi contenuti e servizi informativi, a prescindere dall’intento lucrativo o non lucrativo perseguito dal riutilizzatore. Le pratiche di riutilizzo costituiscono, in tal modo, un moltiplicatore di conoscenza, al servizio del progresso economico e democratico. Questo spiega la rilevanza mondiale del fenomeno e la disciplina europea ad esso riservata, come da ultimo innovata dalla direttiva 2013/37/UE.

Le potenzialità del riutilizzo non sono sfuggite al legislatore italiano della trasparenza (d.lgs. 33/13), il quale ha espressamente previsto la riutilizzabilità di tutte le informazioni e i documenti che l’amministrazione ha l’obbligo di pubblicare nel proprio sito istituzionale (art. 3). Il legislatore persegue, evidentemente, non una “trasparenza puntiforme”, che si esaurisce nella consultabilità online delle bacheche digitali dell’ente, ma una trasparenza estesa e collaborativa, alimentata dagli infiniti ed imprevedibili incroci, confronti e  ricombinazioni cui possono essere sottoposte le informazioni estraibili dai singoli siti istituzionali. Ciò, si badi bene, anche con riferimento ai dati personali a pubblicazione obbligatoria. E non poteva essere diversamente, dato che il d.lgs. 33/13 origina dalla legge 190/2012, che elegge la trasparenza a principale strumento di contrasto della cattiva amministrazione (ossia, una gestione pubblica contaminata da inefficienze ed indebite interferenze). La trasparenza consiste, in questa prospettiva, nel mettere sotto osservazione diffusa (dei cittadini) le catene di provvedimenti e le catene di attori che costituiscono gli ingranaggi rispettivamente dell’azione e dell’organizzazione amministrativa. Ne consegue che non è concepibile una trasparenza amministrativa anonima, epurata dei dati personali relativi alle persone fisiche prossime alla funzione pubblica o che da essa traggono un beneficio differenziato.

Nonostante la rilevanza costituzionale del principio di trasparenza (art. 1, d.lgs. 33/13) la sua attuazione non può svolgersi in spregio ai principi posti a tutela dei dati personali e consacrati nel Codice ad essa dedicato (d.lgs. 196/03). Il dilemma, apparentemente, insuperabile è il seguente: posto che i dati personali devono essere “raccolti e registrati per scopi determinati,  espliciti e legittimi,  ed  utilizzati  in  altre  operazioni  del trattamento in termini compatibili con tali scopi” (art. 11, comma 1, lett. b, d.lgs. 196/03), come può consentirsi sic et simpliciter il loro riutilizzo per qualsiasi finalità (commerciale e non commerciale)? Per questa ragione (e non solo), il Garante per la protezione dei dati personali, quasi inascoltato nel 2013 in fase di redazione del d.lgs. 33 (doc web. n. 2243168), ha proposto nel 2014 una versione aggiornata delle linee guida per la pubblicazione nei siti web delle pubbliche amministrazioni (doc. web n. 3134436). Come era prevedibile, il riutilizzo dei dati personali disciplinato nel d.lgs. 33/13 è stato oggetto di una approfondita rilettura critica da parte del Garante, il quale ha prescritto alle amministrazioni: 1) una valutazione preliminare d’impatto privacy; 2) la predisposizione di una licenza che stabilisca le modalità di carattere giuridico e tecnico che presiedono al corretto riutilizzo dei dati; 3) l’introduzione di modalità tecniche per il controllo degli accessi ai dati da parte degli utilizzatori, che impediscano la possibilità di scaricare o di duplicare in maniera massiva e incondizionata le informazioni rese disponibili, nonché l’indiscriminato utilizzo di software o programmi automatici; 4) la pubblicazione nei siti web di un alert che solleciti il rispetto della normativa in materia di protezione dei dati personali.  In quest’operazione esegetica il Garante si è sapientemente avvalso dei numerosi rinvii normativi contenuti nel d.lgs. 33/13, in particolare nell’articolo 7.

Sul tema in esame, lo schema di decreto legislativo da poco licenziato dal Consiglio dei Ministri interviene su due fronti: 1) rafforza uno degli appigli normativi utilizzati dal Garante, ossia il d.lgs. 36/06; 2) elide un appiglio normativo potenzialmente utilizzabile per contrastare la tesi del Garante, novellando l’art. 52, comma 2 del CAD (si veda il parere positivo espresso dal Garante sullo schema di decreto legislativo in esame, doc. web n. 3959470).

Il risultato finale è che, dall’entrata in vigore del nuovo decreto legislativo, l’interpretazione fornita dal Garante nelle linee guida del 2014 sarà legge…O quasi.

In primo luogo, “nei casi di riutilizzo di documenti contenenti dati personali il titolare del dato adotta licenze personalizzate anche standard” (nuovo art. 5, comma 1, d.lgs. 36/06).  A parte l’infelice formulazione, tale prescrizione rappresenterà, presumibilmente, un ostacolo pratico al riutilizzo dei dati personali pubblicati nella sezione “Amministrazione trasparente”, considerato l’impegno richiesto alle amministrazioni (che in proposito dovrebbero, però, poter contare sul supporto dell’Agenzia per l’Italia digitale). In secondo luogo, “(Sono esclusi dall’applicazione del presente decreto i documenti) … che contengono dati personali il cui riuso è incompatibile con gli scopi originari del trattamento … “ (nuovo art. 3, comma 1, lett. h-quater). A chi compete tale valutazione di compatibilità? Ex ante alle amministrazioni, o ex post al Garante o al giudice in sede di ricorso avverso la singola pratica di riutilizzo? E’ possibile individuare a priori una categoria di documenti contenenti dati personali il cui riuso sia sempre incompatibile con la finalità di trasparenza?

Infine, è davvero necessario estendere un simile aggravamento procedurale al riutilizzo di dati personali la cui diffusione sia già stata già valutata dal legislatore come necessaria al perseguimento della finalità di trasparenza?

Chiunque riutilizzi dati personali estratti da siti web pubblici è comunque tenuto al rispetto del Codice privacy. Sul terzo riutilizzatore ricade, infatti, la responsabilità (in qualità di titolare del trattamento) di (re)impiegare i dati pubblici compatibilmente con la finalità (di trasparenza) che ne ha giustificato la diffusione nei siti web istituzionali. E ciò a prescindere dall’intento lucrativo o non lucrativo perseguito, come dallo stesso Garante privacy osservato nel caso Edison s.p.a. (doc. web n. 1810147 del 31.3.11). Un conto, infatti, è il contributo che la singola pratica di riutilizzo può offrire alla migliore e più diffusa conoscibilità dell’azione e dell’organizzazione amministrativa, un altro è la prospettiva commerciale o non commerciale coltivata dal riutilizzatore. Inoltre, si osservi come sono i professionisti dell’informazione i principali (ri)utilizzatori di informazioni pubbliche e ad essi lo stesso Codice privacy riserva un trattamento differenziato (art. 137, comma 3) … Ma sul punto, forse, sarebbe stato utile interpellare un’Autorità preposta alla protezione del diritto a conoscere.

Il tema sarà approfondito il 2 e 3 luglio 2015, nel corso del convegno E-privacy 2015  (http://e-privacy.winstonsmith.org/)

Giorgio Mancosu

Scrivi un commento

Accedi per poter inserire un commento