La qualità del dato nella Pubblica Amministrazione

Abstract

La Pubblica Amministrazione è soggetta ormai da anni agli obblighi di pubblicazione di dati, documenti e informazioni sui propri siti. La sezione Amministrazione Trasparente non costituisce più una novità ed è ben disciplinata da un sistema normativo articolato che definisce su più livelli i contenuti e i limiti delle pubblicazioni. A questo si aggiungono le molteplici indicazioni del Garante per la Protezione dei Dati Personali, il quale, tra linee guida e provvedimenti, ha dettato le regole per bilanciare le contrapposte esigenze di trasparenza e protezione dei dati. Ciononostante, la gestione del dato nelle pubblicazioni della PA è un processo in molti casi ancora critico e foriero di provvedimenti sanzionatori. Appare necessario, quindi, per gli enti pubblici definire in modo chiaro ruoli, iter e percorsi formativi adeguati per assicurare che la qualità del dato non rimanga solo una caratteristica sulla carta, ma corrisponda ad una effettiva regola di gestione condivisa, nel rispetto della legge e a tutela degli interessati.

L’Amministrazione Trasparente. Contesto e quadro normativo

La trasparenza nella Pubblica Amministrazione è disciplinata ormai da tempo dal d.lgs. 14 marzo 2013 n. 33, normativa di riferimento che ha raccolto in un unico corpo normativo le numerose disposizioni legislative in materia di obblighi di informazione, trasparenza e pubblicità da parte delle pubbliche amministrazioni, che risultavano all’epoca stratificate in diversi testi normativi eterogenei e di difficile fruizione.

Il decreto ha declinato il concetto di trasparenza come accessibilità totale delle informazioni relative all’organizzazione e all’attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche, integrando il diritto ad una buona amministrazione.

Il Legislatore ha attribuito un ruolo fondamentale alla trasparenza, laddove afferma che la stessa concorra ad “attuare il principio democratico e i principi costituzionali di eguaglianza, imparzialità, buon andamento, responsabilità, efficacia ed efficienza nell’utilizzo di risorse pubbliche, integrità e lealtà al servizio della nazione”.

La trasparenza assume, quindi, non solo rilievo come presupposto per realizzare una buona amministrazione, ma anche come misura di prevenzione della corruzione ai sensi della Legge 190/2012 sulla prevenzione e repressione della corruzione e dell’illegalità nella Pubblica Amministrazione.

La trasparenza viene garantita sia attraverso l’accesso civico, vale a dire il diritto di chiunque di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, nel rispetto dei presupposti di legge, sia tramite la pubblicazione di documenti, informazioni e dati concernenti l’organizzazione e l’attività delle pubbliche amministrazioni, che assumono un ruolo fondamentale per consentire un’effettiva conoscenza dell’operato della PA.

Le pubblicazioni ai sensi della trasparenza devono essere effettuate secondo le specifiche e le regole tecniche previste dal decreto stesso e da successivi interventi legislativi e atti regolatori dell’Autorità Nazionale Anticorruzione, dal cui combinato disposto si ricavano le indicazioni per strutturare la sezione Amministrazione Trasparente in modo corretto, implementando le sezioni e sotto sezioni ove inserire i documenti, le informazioni ed i dati previsti dal decreto.

 

La qualità dei dati come elemento per una trasparenza effettiva

La centralità del ruolo della trasparenza anche quale misura di prevenzione della corruzione implica che la stessa non debba rimanere un adempimento sulla carta, da svolgere in modo saltuario e approssimativo, ma debba essere effettuata in modo attento ed efficace.

Il decreto, del resto, è molto chiaro su questo punto, stabilendo all’articolo 6 l’importanza del rispetto dei seguenti criteri di qualità delle pubblicazioni: integrità, cioè pubblicazione in modalità tale da garantire che il documento venga conservato senza manipolazioni o contraffazioni (si vedano sul punto anche le Linee Guida AgID sul documento informatico), costante aggiornamento, completezza, tempestività, semplicità di consultazione, comprensibilità, omogeneità, facile accessibilità ovvero accessibilità a chiunque, senza necessità di registrazione, conformità ai documenti originali, indicazione della provenienza e riutilizzabilità.

 

Trasparenza e tutela dei dati personali

Il diritto al libero accesso ai dati ed alle informazioni della PA si pone in naturale antitesi con il diritto alla riservatezza dei dati personali contenuti nelle pubblicazioni, entrambi di rilievo costituzionale, e non deve tradursi in una violazione dei diritti dei singoli. È necessario, quindi, procedere ad un bilanciamento dei contrapposti interessi, in linea con quanto disposto dal Regolamento UE  679/16 – GDPR il quale, al Considerando n. 4, stabilisce espressamente che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Lo stesso d.lgs. 33/2013 contiene in più punti espliciti riferimenti alla data protection, laddove, nello stabilire i requisiti di qualità sopra descritti, riporta alcuni dei principi fondamentali tipici della protezione dati, quali i principi di liceità e correttezza, esattezza, integrità e riservatezza. Ancora, la normativa determina la durata delle pubblicazioni (principio di limitazione della conservazione) e individua, agli articoli 13 e seguenti, una serie di informazioni e documenti oggetto di pubblicazione obbligatoria, delimitando quindi il campo di applicazione (principio di minimizzazione).

Accanto al dettato normativo, le indicazioni e le principali misure di cautela da seguire nelle pubblicazioni provengono dalle “Linee guida in materia di trattamento di dati personali, contenute anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri soggetti obbligati” emanate dal Garante per la Protezione dei Dati Personali nel 2014, le quali, nonostante risalgano a più di dieci anni fa, costituiscono ancora oggi il documento di riferimento anche alla luce del mutato contesto normativo in materia.

A queste devono aggiungersi anche gli spunti interpretativi contenuti nelle varie ordinanze sanzionatorie del Garante, le quali offrono preziose indicazioni e percorsi argomentativi da tenere a mente nei processi valutativi ante pubblicazione.

Ulteriori elementi utili possono essere tratti dalla pagina dedicata alle domande frequenti sulla trasparenza nel sito di ANAC, la quale contiene precise indicazioni, anche in riferimento alla protezione dati, distinte per le varie categorie di pubblicazione ai sensi del d.lgs. 33/2013, fornendo risposte chiare e molteplici esempi chiarificatori.

Nonostante il quadro normativo e regolatorio, seppur eterogeneo, sia ben strutturato, ancora oggi fioccano le ordinanze sanzionatorie del Garante per pubblicazioni effettuate in violazione della normativa sulla protezione dei dati (si veda anche la Relazione annuale 2024 del Garante).

A titolo esemplificativo, tra le violazioni più ricorrenti risultano le pubblicazioni mantenute oltre i termini di legge, l’utilizzo di carenti tecniche di anonimizzazione, le pubblicazioni di dati eccedenti, quali copie di documenti di identità (in alcuni casi liberamente scaricabili dai siti), firme autografe, titoli di preferenza in sede concorsuale legati all’appartenenza a categorie protette, elenchi dei non ammessi nelle prove, curricula contenenti dati e recapiti personali non necessari ed eccedenti le finalità.

Permane, quindi, in modo piuttosto diffuso un deficit cognitivo, sebbene non in tutta la PA, ben si intenda, che va ad inficiare il processo di pubblicazione, esponendo l’ente al rischio di sanzioni sia da parte del Garante che di ANAC, oltre a essere fonte, non dimentichiamolo, di possibili responsabilità dirigenziali. È opportuno quindi intervenire sul processo in modo radicale, per far sì che vengano pubblicati dati qualitativamente validi e GDPR compliant.

 

Best practices e indicazioni per una pubblicazione consapevole

Alla base di ogni processo di pubblicazione vi sono naturalmente le risorse umane, le quali, in base al proprio ruolo, sono chiamate a valutare il tipo di documento o informazione da pubblicare e le relative modalità.

La formazione gioca un ruolo determinante, perché solo la conoscenza adeguata del panorama normativo di riferimento può limitare la commissione di errori o, comunque, fare in modo che la persona si interroghi sulla corretta gestione della pubblicazione, chiedendo eventualmente supporto. In questo contesto, il Responsabile della protezione dati costituisce una preziosa risorsa da coinvolgere nel bilanciamento tra privacy e trasparenza.

L’ente, in base naturalmente alla propria struttura e alle proprie risorse, dovrebbe proporre corsi formativi e impartire chiare istruzioni sulle valutazioni da effettuare ante pubblicazione, che contemplino i punti fondamentali.

In primo luogo, considerato che la pubblicazione su Amministrazione Trasparente costituisce un trattamento di dati personali (nello specifico, è una forma di diffusione), è necessario assicurarsi che vi sia una valida base giuridica del trattamento ai sensi dell’art. 6 GDPR e 2 ter d.lgs. 196/2003. Nel caso specifico, considerato che la pubblicazione è possibile solo se prevista da una norma di legge o di regolamento o da atti amministrativi generali, bisogna in primis assicurarsi che l’informazione rientri tra quelle soggette a pubblicazione obbligatoria ai sensi del d.lgs. 33/2013. Se si è al di fuori dei casi previsti, la pubblicazione non deve essere effettuata perché si tradurrebbe in un trattamento privo di valida base giuridica, e quindi sanzionabile.

Una volta accertato l’obbligo di pubblicazione, bisogna verificare se sia possibile, nel rispetto del principio di minimizzazione, pertinenza e non eccedenza, oscurare le informazioni personali non necessarie con la finalità concreta, riducendo al minimo i dati personali. La valutazione scrupolosa delle tipologie di dati è particolarmente importante laddove il decreto richiede la pubblicazione di curriculum vitae, dichiarazioni dei redditi, elargizioni e sovvenzioni.

Laddove il documento contenga dati particolari ai sensi dell’art. 9 o dati giudiziari, il giudizio di bilanciamento deve essere svolto su un livello superiore, in quanto possono essere pubblicati solo dati indispensabili per la finalità di pubblicazione, fermo restando il divieto assoluto di pubblicazione di dati relativi alla salute, genetici e biometrici.

È fondamentale adottare adeguate tecniche di anonimizzazione che siano efficaci e che non permettano di risalire all’identità dell’interessato (sono da escludersi quindi cancellazioni tramite pennarello nero e bianchetto, i quali molto spesso permettono comunque di leggere il contenuto oscurato, così come la pubblicazione delle sole iniziali degli interessati, tecnica inadeguata in quanto non sufficiente soprattutto ove permangano elementi di contesto che permettono di risalire all’identità del soggetto, come più volte sottolineato dal Garante). La pubblicazione di dati eccedenti la finalità, può dar luogo a un trattamento di dati illecito per violazione dei principi fondamentali di cui all’art. 5 GDPR.

Ancora, una volta effettuata la pubblicazione è necessario presidiare il rispetto delle tempistiche di pubblicazione previste dall’art. 8 del d.lgs. 33/2013, espressione del principio di limitazione della conservazione di cui al GDPR. Una volta decorsi i termini, i dati devono essere rimossi dal sito, non essendo più prevista una sezione di archivio.

Come corollario per la corretta gestione dei dati relativi alla pubblicazione, è necessario che l’ente gestisca in modo adeguato le richieste relative ai diritti degli interessati, che in questo contesto possono consistere tipicamente in richieste di rettifica dei dati o di cancellazione dei contenuti per decorso dei termini di pubblicazione.

La non corretta gestione delle istanze ha dato luogo molto spesso a provvedimenti sanzionatori che gli enti avrebbero potuto evitare se avessero strutturato una procedura individuando ruoli e indirizzi chiari a cui inviare le richieste (e questo non solo in ambito di pubblicazioni).

In sostanza, la persona preposta non deve limitarsi ad una meccanica pubblicazione del documento, ma interrogarsi in modo critico sulla natura dei dati e delle informazioni contenute e regolarsi di conseguenza, impostando la pubblicazione nel modo corretto e rimediando tempestivamente ad eventuali difformità o errori.

 

Conclusioni: una trasparenza responsabile

La normativa in materia di trasparenza ha imposto un cambio di paradigma significativo per le pubbliche amministrazioni, promuovendo una maggiore apertura e accessibilità delle informazioni.

La sfida per le amministrazioni consiste nel realizzare una trasparenza responsabile, che sappia coniugare il legittimo interesse pubblico alla conoscenza dell’operato amministrativo, con la tutela della protezione dei dati personali quale diritto costituzionalmente garantito.

Formazione del personale, chiare istruzioni, processi definiti e il supporto di figure professionali quali il DPO possono fare la differenza e consentire un approccio bilanciato in grado di garantire una trasparenza efficace a norma di legge.