Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Il 6 luglio 2023, il Garante per la protezione dei dati personali ha presentato la Relazione sull’attività svolta nel 2022, coincidente con il terzo anno di mandato del Collegio.
La Relazione annuale dà conto dell'attività svolta dal Garante nei consueti ambiti di intervento e affronta, in particolare:
- al Capitolo 4, il rapporto tra il Garante e le amministrazioni pubbliche;
- al Capitolo 13, la protezione dei dati personali nel rapporto di lavoro pubblici;
- al Capitolo 14, i trattamenti nell'ambito delle attività economiche.
Quanto al Capitolo 4, i temi di interesse per l’ente sono:
-l’attività fiscale, tributaria e in materia di antiriciclaggio
-la previdenza, assistenza sociale e altri benefici economici
-la protezione dei dati personali in ambito scolastico e universitario
-la trasparenza e pubblicità dell’azione amministrativa
-i trattamenti effettuati presso regioni ed enti locali
-l’Rpd in ambito pubblico
-la digitalizzazione della pubblica amministrazione
-la materia anagrafica ed elettorale
-la videosorveglianza in ambito pubblico
Quanto al Capitolo 13, i temi di interesse per l’ente sono:
-la protezione di dati nell’ambito del rapporto di lavoro pubblico
-il trattamento di dati nell’ambito delle procedure di acquisizione e gestione delle segnalazioni di illeciti (cd. whistleblowing)
-il trattamento di dati per finalità di gestione del rapporto di lavoro, con riferimento al trattamento di dati nell’ambito di procedure concorsuali
Quanto al Capitolo 14, i temi di interesse per l’ente sono:
-i concessionari di pubblici servizi
-la pubblicazione e condivisione di dati personali nel registro elettronico delle scuole
-la circolazione di informazioni personali nei contesti lavorativi, anche nei sistemi di protocollazione informatica degli atti
-la diffusione online di dati personali dei lavoratori, con riferimento alla pubblicazione di graduatorie e atti di procedure concorsuali e ai ati personali di lavoratori in banche dati pubbliche
Altre materie di rilevante interesse per l’ente, approfondite dalla Relazione 2022, sono:
-l'intelligenza artificiale e diritto alla protezione dei dati personali
-la violazione dei dati personali
Fermo restando che i contenuti della Relazione 2022 verranno approfonditi nel corso delle prossime news e durante tutto il 2022, l’argomento su cui è opportuno soffermarsi ora, in relazione all’attualità rivestita, è quello della protezione dei dati personali con riferimento alle esigenze di trasparenza e di pubblicità dell’azione amministrativa.
Esigenze di chiarezza espositiva hanno indotto l’Autorità Garante a suddividere, all’interno della Relazione, l’esposizione del tema e delle diverse questioni nei seguenti ambiti:
-data protection by design e by default
-pubblicazione di dati personali online
-accesso civico a informazioni e documenti detenuti dalla PA
Data protection by design e by default
Prendendo spunto dai quesiti formulati nel 2022 sul regime applicabile alla registrazione delle riunioni di Agicom, possono essere, di seguito, riepilogate le indicazioni del Garante in riferimento alle misure che l’ente deve attuare per garantire riservatezza e corretto svolgimento dei lavori dell'organo consiliare quando la partecipazione ai lavori, da parte di alcuni o di tutti i componenti, avviene da remoto.
In primo luogo, risulta oramai assodato che l’ordinamento ammette il trattamento dei dati personali nell’ambito della videoripresa delle sedute del Consiglio purché ciò avvenga sulla base del Regolamento interno concernente l’organizzazione e il funzionamento del Consiglio che l'ente adotta nell'ambito della propria sfera di autonomia, anche di natura organizzativa, così come riconosciuta dalla costituzione e dal testo unico degli enti locali (TUEL) del Consiglio in base al proprio regolamento interno concernente l’organizzazione e il funzionamento.
Secondariamente, la possibilità di autorizzare il Consigliere che ne faccia richiesta alla registrazione dei lavori delle sedute del Consiglio, sia da remoto sia in presenza, va prevista e regolata espressamente, nell'esercizio del richiamato potere di autonomia organizzativa propria dell’ente.
La regolazione può essere contenuta nel citato Regolamento sul funzionamento del consiglio oppure in un atto amministrativo al quale il Regolamento faccia rinvio, tenuto conto che, per l’ente, il consenso dei partecipanti alle sedute consiliari non può costituire, assenza di un'espressa disciplina, un valido presupposto per il trattamento dei dati personali (cons. n. 43 del RGPD).
Spetta quindi al Regolamento interno disciplinare l’ammissibilità delle registrazioni laddove, per contro, può essere “delegato” dal Regolamento ad un atto amministrativo definire:
-i soggetti legittimati registrazione
-le condizioni e limiti del trattamento
-le modalità di trattamento medesimo
-le finalità della raccolta e/o registrazione dei dati, tenendo presente che si deve trattare di finalità determinate, esplicite e legittime
-i tempi di conservazione della registrazione
-l'impegno, in caso di successivo trattamento, a che i dati siano trattati in modo compatibile con le finalità determinate
Si tratta di una misura tecnica e organizzativa che il titolare del trattamento, in conformità a quanto prescritto dall’art. 25 RGPD, ha l’obbligo di mettere in campo per essere conforme (secondo la consueta impostazione dell'accountability) al principio di data protection by design e al principio di data protection by default.
Il primo di questi principi implica la protezione dei dati fin dalla progettazione mentre il secondo richiede che, per ogni specifica finalità del trattamento, siano trattati per effetto di una impostazione predefinita, soltanto i dati personali necessari per tale finalità.
La pubblicazione di dati personali online da parte delle pubbliche amministrazioni
Le pubblicazioni in Amministrazione trasparente vengono effettuate con il coinvolgimento di diversi attori interni. In particolare, ogni amministrazione è tenuta ad indicare nel Programma della Trasparenza:
-i funzionari responsabili della trasmissione dei documenti, delle informazioni e dei dati;
-i funzionari responsabili della pubblicazione dei documenti, delle informazioni e dei dati;
-il Responsabile della trasparenza.
Il Responsabile della Trasparenza, negli Enti locali, coincide con il Responsabile della prevenzione della corruzione (RPCT) e “svolge stabilmente un'attivita' di controllo sull'adempimento da parte dell'amministrazione degli obblighi di pubblicazione previsti dalla normativa vigente, assicurando la completezza, la chiarezza e l'aggiornamento delle informazioni pubblicate, nonche' segnalando all'organo di indirizzo politico, all'Organismo indipendente di valutazione (OIV), all'Autorita' nazionale anticorruzione e, nei casi piu' gravi, all'ufficio di disciplina i casi di mancato o ritardato adempimento degli obblighi di pubblicazione” ( art. 43, comma 1 D.Lgs. 33/2013).
A sua volta, “ I dirigenti responsabili degli uffici dell'amministrazione garantiscono il tempestivo e regolare flusso delle informazioni da pubblicare ai fini del rispetto dei termini stabiliti dalla legge. I dirigenti responsabili dell'amministrazione e il responsabile per la trasparenza controllano e assicurano la regolare attuazione dell'accesso civico sulla base di quanto stabilito dal presente decreto. In relazione alla loro gravita', il responsabile segnala i casi di inadempimento o di adempimento parziale degli obblighi in materia di pubblicazione previsti dalla normativa vigente, all'ufficio di disciplina, ai fini dell'eventuale attivazione del procedimento disciplinare. Il responsabile segnala altresi' gli inadempimenti al vertice politico dell'amministrazione, all'OIV ai fini dell'attivazione delle altre forme di responsabilita'” (art. 43, commi 3, 4 e 5 D.Lgs. 33/2013).
In caso di dubbi sulle istanze di accesso civico, il Responsabile della Trasparenza può chiedere il parere del Garante.
In pratica, Responsabile della Trasparenza deve dirigere e monitorare l’esatto adempimento degli obblighi di pubblicazione e tale costante attività di verifica include il controllo che:
Per essere esatto, l’adempimento deve rispettare la disposizione del D.Lgs. 33/2013 secondo cui la trasparenza va attuata nel rispetto delle disposizioni in materia di protezione dei dati personali (art. 1, comma 2).
Inoltre, la protezione dei dati personali, in conformità con la disciplina legislativa in materia, costituisce un limite all’accesso civico generalizzato, la cui sussistenza va verificata dal Responsabile della Trasparenza e, negli enti locali, dal RPCT.
Diffusione illecita di dati personali attraverso la pubblicazione del Registro degli accessi
In particolare, il RPCT è tenuto ad effettuare, sulla scorta delle indicazioni del Garante, una sorveglianza puntuale sull'obbligo di pubblicazione online del Registro degli accessi, per accertare che non si verifichi una illecita diffusione, sul sito web, di dati personali dei soggetti richiedenti l’accesso, civico e documentale.
Nel 2022, il Garante ha sanzionato un’azienda sanitaria per la diffusione non consentita di dati personali, anche di natura sanitaria, contenuti in numerose richieste di accesso (provv. 26 maggio 2022, n. 199, doc. web n. 9784482).
Al riguardo, il Garante ha preso atto che, nella maggior parte degli accessi, la tipologia di atti richiesti riguardava documentazione sanitaria (fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.), accertando che il trattamento, da parte della Asl, ha determinato una illecita diffusione:
-del nominativo del soggetto richiedente e interessato dal trattamento;
-dei relativi dati sulla salute (cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.)
Un altro ambito di trattamento che può comportare violazioni del diritto di protezione dei dati personali e che il Responsabile della Trasparenza è tenuto a monitorare costantemente con particolare riferimento agli obblighi di pubblicazione, è quello riferito alle pubblicazioni dei:
- beneficiari di contributi economici, la cui descrizione può rendere manifesta una situazione di disagio economico-sociale (anche temporanea) degli interessati.
E’ quanto successo, nel 2022, con riferimento ai beneficiari di contributi economici riservati a “soggetti particolarmente danneggiati a seguito dell’epidemia da Covid-19”, che hanno avuto una riduzione dell’“ammontare del fatturato e dei corrispettivi […]” (provv. 26 maggio 2022, n. 197, doc. web n. 9789564). Il richiamo a queste informazioni è idoneo a rivelare una situazione di disagio economico-sociale (anche temporanea) degli interessati, nonché dei soggetti che non sono stati ammessi ad alcun beneficio economico.
Si tratta di informazioni diffuse in violazione della disciplina statale in materia di trasparenza contenuta (’art. 26, comma 4, d.lgs. n. 33/2013).
Diffusione illecita di dati personali attraverso la pubblicazione delle delibere di costituzione in giudizio
Altri obblighi di pubblicazione, la cui concreta attuazione a cura del Responsabile della trasmissione del flusso informativo e/o del Responsabile della pubblicazione, può compromettere i dati personali riguardano le delibere di giunta comunale di costituzione in giudizio dell’ente, quando il testo e/o l’oggetto diffondono dati personali, anche di natura particolare, da proteggere e da mantenere riservati.
Un esempio è costituito dalle delibere di costituzione in giudizio riferite alle attività dei servizi sociali che non devono contenere dati personali dei soggetti che hanno agito in giudizio e dei loro familiari, dei figli minori e altri dati e informazioni che possono rendere manifesto, anche indirettamente, circostanze come procedimenti giudiziari avviati nei confronti del comune (provv. ti 9 giugno 2022, n. 62, doc. web n. 9789037 e n. 63, doc. web n. 9789488).
Nelle delibere di costituzione in giudizio, vanno indicate esclusivamente le informazioni necessarie a identificare la causa, inserendo in chiaro solo:
-il numero del ruolo generale o alcuni dati della causa non riferibili a persone fisiche.
Pur essendo questo principio oramai consolidato da anni, anche nel 2022, il Garante ha accertato violazioni in questo ambito di trattamento e, nel caso specifico preso in esame, è emerso che il comune poteva tranquillamente omettere o oscurare, in sede di pubblicazione dell'atto, “ il nome dei reclamanti e relativi familiari”, senza compromettere il rispetto del principio di pubblicità o trasparenza dell’azione amministrativa (cfr. provv. 28 aprile 2022, n. 40, doc. web n. doc. web n. 9777127, cit. infra par. 13.10).
In tutti questi casi, le sanzioni e gli ammonimenti del Garante sono stati adottati, nei confronti degli enti pubblici, per aver diffuso online dati personali in assenza di un’idonea base normativa in violazione del RGPD e del Codice nonché del principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del RGPD.
Diffusione illecita di dati personali in accoglimento delle istanze di accesso civico.
La protezione dei dati personali va garantita, con grande attenzione, con riferimento all'istruttoria e alla decisione delle richieste di accesso civico.
Il RPCT ha il dovere di evitare che, in caso di accoglimento delle istanze, vengano pubblicati in Amministrazione trasparente, dati personali che l’ente deve mantenere riservati per assicurarne la protezione. In caso di dubbio, il RPCT è tenuto a chiedere il parere al Garante ai sensi dell’art. 5, commi 7 e 8, d.lgs. n. 33/2013.
Anche nel 2022, il Garante ha rilasciato, vari pareri ai RPCT e ai Difensori civici e la Relazione annuale evidenza come, in molti casi, i pareri hanno dato atto della sussistenza di:
-casi di rigetto dell’accesso civico per proteggere i dati personali ai sensi dell’art. 5-bis, comma 3, d.lgs. n. 33/2013.
In particolare, con riferimento al repertorio dei pareri rilasciati dal Garante nel 2022, il RPCT dell'ente è tenuto a rigettare le richieste di accesso civico aventi per oggetto:
- la documentazione menzionata in determinazioni dirigenziali (o in altri atti amministrativi) aventi ad oggetto richieste di risarcimento per lesioni subite da persone fisiche a seguito di sinistri verificatisi nel territorio comunale quando contengono dati che rientravano nella definizione di dati relativi alla salute (provv. 15 febbraio 2022, n. 56, doc. web n. 9750482).
L’ RPCT è tenuto ad invocare il limite del diritto alla protezione dei dati personali quale motivazione, in attuazione dell’art. 5-bis, comma 2, lett. a), d.lgs. n. 33/2013, per il rigetto, totale o parziale, delle richieste di accesso civico generalizzato con particolare riferimento ai casi sotto indicati, rispetto ai quali il rigetto, in toto o in parte, della richiesta, può essere individuato facendo riferimento ai pareri del Garante, rendicontati nella Relazione 2022.
Si tratta dei seguenti casi principali, nei quali prevale il diritto di protezione sul diritto di accesso:
a) dati e documenti di rendicontazione ai legali coinvolti, nonché dati e documenti inerenti all’attività giudiziaria detenuti dal comune nell'ambito dell’attività svolta da un centro antiviolenza donne, negli ultimi cinque anni e detenuti dal comune (provv. 24 ottobre 2022, n. 357, doc. web n. 9829003). Il Garante ha invitato il comune a fornire riscontro tenendo, tuttavia, in debita considerazione la natura c.d. para sensibile dei dati e delle informazioni trattate dal centro antiviolenza e della necessità di proteggere la riservatezza e l’anonimato di persone e attività del centro stesso;
b) corrispondenza e-mail, anche interna, di sindaco e assessori, rispetto alla quale il Garante ha evidenziato come “l’art. 5-bis, comma 2, lett. b), d.lgs. n. 33/2013 va inquadrato nell’ambito delle garanzie di cui all’art. 15 della Costituzione che tutelano “la libertà e la segretezza” delle comunicazioni interpersonali scambiate anche tramite e-mail (cfr., altresì gli artt. 616 ss. c.p. sul segreto della corrispondenza anche se “informatica o telematica” e le linee guida Anac recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5, comma 2, d.lgs. n. 33/2013, determinazione 28 dicembre 2016, n. 1309)”;
c) curricula e allegati comprendenti i titoli dei soggetti controinteressati, contenenti dati anagrafici, di residenza, e-mail e numeri di telefono professionale e personale, nazionalità, codice fiscale e stato civile, notizie di carattere professionale e privato ivi compresa una dettagliata descrizione di tutte le esperienze professionali effettuate con dettagli sull’inquadramento e funzioni assunte (provv. 7 gennaio 2022, n. 2, doc. web n. 9742743);
d) nominativi di tutti i dipendenti a cui è stata rinviata, per motivi di servizio, la fruizione dei giorni di ferie maturati rispettivamente nel corso degli anni 2019 e 2020, ivi compreso il numero di giorni di ferie rinviati, nonché la copia di tutti i provvedimenti amministrativi che avevano disposto il predetto rinvio (provv. 15 luglio 2022, n. 249, doc. web n. 9809119);
e) titoli di studio, laurea e master conseguiti dal un soggetto controinteressato, con descrizione di tutti i corsi effettuati presso l’università destinataria dell’istanza di accesso civico, con indicazione dei relativi anni accademici, il titolo delle tesi e delle relazioni presentate, nonché le votazioni finali ottenute (provv. 4 febbraio 2022, n. 37, doc. web n. 9746944);
f) copia dei pagamenti dei tributi Ici, Imu e Tarsu di tutti i componenti di un consiglio comunale e del sindaco, riferiti agli ultimi cinque anni, comprensivi di dati catastali (subalterno e particella) degli immobili in possesso e/o in comunione. (provv. 4 marzo 2022, n. 80, doc. web n. 9753567);
g) informazioni personali riferite a soggetti identificati e inerenti all’esistenza o meno nei loro confronti di attività di riscossione coattiva di somme asseritamente non versate al comune e concernenti la tassa sui rifiuti (Tari) (provv. 7 luglio 2022, n. 246, doc. web n. 9799635);
h) copia integrale di tutta la documentazione funzionale all’attribuzione di un nuovo numero civico, riferita a un’abitazione, contenente dati e informazioni personali di diversa natura e specie (quali dati anagrafici, recapiti telefoni, peraltro non necessariamente attuali, dei soggetti controinteressati; ma anche notizie private relative alla proprietà posseduta, alle caratteristiche del fabbricato e al sopralluogo a suo tempo effettuato) (provv. 27 gennaio 2022, n. 31, doc. web n. 9745282);
i) file integrale comprendente i recapiti dei responsabili unici del procedimento (quali e-mail/Pec) iscritti al SIMOG/BDCP/AUSA detenuti da Anac negli ultimi tre anni. (provv. 15 dicembre 2022, n. 437, doc. web n. 9843353).
Team Entionline