Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa

Parere del Garante su uno schema di decretolegislativo concernente il riordino della disciplina riguardante gli obblighidi pubblicità, trasparenza e diffusione di informazioni da parte delle Pa

PROVVEDIMENTO DEL 7 FEBBRAIO 2013

Registro dei provvedimento n. 49 del 7 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vistala richiesta di parere del Ministro per la pubblica amministrazione e lasemplificazione;

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO

IlMinistro per la pubblica amministrazione e la semplificazione ha richiesto ilparere del Garante in ordine a uno schema di decreto legislativo concernente ilriordino della disciplina riguardante gli obblighi di pubblicità, trasparenza ediffusione di informazioni da parte delle pubbliche amministrazioni.

L'odiernoprovvedimento è adottato ai sensi dell'articolo 1, commi 35 e 36 della legge 6novembre 2012, n. 190, recante disposizioni per la prevenzione e la repressionedella corruzione e dell'illegalità nella pubblica amministrazione.

Inbase a tali disposizioni il Governo è delegato ad adottare un decretovolto al riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, mediante la modifica o l'integrazione delle disposizioni vigenti, ovvero mediante laprevisione di nuove forme di pubblicità secondo, fra l'altro, i seguenticriteri direttivi:

a)ricognizione e coordinamento delle disposizioni che prevedono obblighi dipubblicità a carico delle amministrazioni pubbliche;

b)precisazione degli obblighi di pubblicità di dati relativi ai titolari diincarichi politici, di carattere elettivo o comunque di eserciziodi poteri di indirizzo politico, di livello statale, regionale e locale. Le dichiarazioni oggetto di pubblicazione obbligatoria devono concernere almeno la situazione patrimoniale complessiva del titolare al momento dell'assunzione della carica, la titolarità di imprese, lepartecipazioni azionarie proprie, del coniuge e dei parenti entro ilsecondo grado di parentela, nonché tutti i compensi cui dà diritto l'assunzionedella carica;

c) ilcomma 3 dell'articolo 4 sia sostituito dal seguente: "Le pubblicheamministrazioni possono disporre la pubblicazione nel proprio sitoistituzionale di dati, informazioni e documenti che non hanno l'obbligo dipubblicare ai sensi del presente decreto, procedendo alla anonimizzazione deidati personali eventualmente presenti, fermo restando quanto previstodall'articolo 19, comma 3 del decreto legislativo 30 giugno 2003, n. 196."(punto 1.2);

d) ampliamento delle ipotesi di pubblicità, mediante pubblicazione nei siti web istituzionali, diinformazioni relative ai titolari degli incarichi dirigenziali nelle pubblicheamministrazioni di cui all'articolo 1, comma 2, del decreto legislativo n. 165 del 2001, con riferimento sia a quelli che comportano funzioni diamministrazione e gestione, sia agli incarichi di responsabilità degli ufficidi diretta collaborazione;

e)definizione di categorie di informazioni che le amministrazioni devonopubblicare;

f)obbligo di pubblicare tutti gli atti, i documenti e le informazioni anche in formato elettronico elaborabile e in formati di dati aperti. Per formati di datiaperti si devono intendere almeno i dati resi disponibili e fruibili on line informati non proprietari, a condizioni tali da permetterne il più ampioriutilizzo anche a fini statistici e la ridistribuzione senzaulteriori restrizioni d'uso, di riuso o di diffusione diverse dall'obbligo di citare la fonte e di rispettarnel'integrità;

g)individuazione, anche mediante integrazione e coordinamentodella disciplina vigente, della durata e dei termini di aggiornamento perciascuna pubblicazione obbligatoria;

h)individuazione, anche mediante revisione e integrazione della disciplinavigente, delle responsabilità e delle sanzioni per ilmancato, ritardato o inesatto adempimento degli obblighi di pubblicazione.

Loschema di decreto legislativo si compone di una parte meramente ricognitiva dinorme già vigenti che prevedono obblighi di pubblicazione, per la pubblicaamministrazione, di atti, documenti, dati e informazioni.

Diversesono poi le disposizioni innovative, volte a coordinare nel testo unicoall'esame quelle già esistenti e a stabilire principi e regole utili adassicurare piena attuazione al principio della trasparenza.

L'esamedel Garante verterà principalmente (ma non solo) su queste ultime, e inparticolare su quelle applicabili a "dati personali", al fine divalutarne la compatibilità con la disciplina anche comunitaria in materia diprotezione dei dati personali.

RILEVATO

Iltema della trasparenza (o comunque della diffusione di informazioni) rivestegrande importanza per il Garante e per le Autorità di garanzia sulla protezionedei dati personali degli altri Paesi europei, in particolare per quantoriguarda il contemperamento di tale principio con la disciplina in materia diprotezione dei dati personali (direttiva del Parlamento europeo e del Consiglio95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamentodei dati personali) come interpretata ed applicata dalla giurisprudenza dellaCorte di giustizia dell'Unione europea (cfr., in particolare, Corte diGiustizia 9 novembre 2010, cause riunite C-92/09 e C-93/09).

Alriguardo, si rammenta che il Garante ha adottato in materia le Linee guida in materia di trattamento di dati personali contenuti anchein atti e documenti amministrativi effettuato da soggetti pubblici per finalitàdi pubblicazione e diffusione sul web (provv. 2 marzo 2011).

L'odiernodecreto legislativo si pone quale completamento di un percorso normativo delParlamento e del Governo in relazione al quale l'Autorità non sempre è statamessa in condizione di esprimere agevolmente le proprie valutazioni a garanziadel diritto alla protezione dei dati personali, come invece nel caso delpresente schema di decreto. L'espressione dell'odierno parere è, quindi,un'occasione preziosa per il Garante per valutare la conformità dell'interventonormativo alla disciplina comunitaria e nazionale in materia di protezione deidati personali e per contribuire in maniera sistematica al bilanciamento divalori costituzionali così importanti, come la trasparenza, la riservatezzadegli individui e la protezione dei loro dati personali.

Ciò,peraltro, assume particolare importanza alla luce dell'ambito di applicazionedel decreto legislativo, che disciplina in maniera organica i casi di pubblicazione di dati mediante inserzione sui siti istituzionali, cioè, indefinitiva, mediante diffusione sul web, che è, per definizione, la forma piùampia e più invasiva di diffusione di dati.

Irischi connessi al trattamento dei dati personali sulla rete emergono ancora dipiù ove si consideri la delicatezza di talune informazioni e la loro facilereperibilità una volta pubblicate, grazie anche ai motori di ricerca.

Sottoil primo profilo, si pensi ai dati idonei a rivelare condizioni di disagioeconomico-sociale di anziani, disabili, o altri soggetti deboli, la cuidiffusione potrebbe comportare irreversibili danni per la dignitàdegli interessati. Sotto l'altro aspetto, si consideri anche il rischio di"cristallizzazione" delle informazioni sul web, a fronte di oggettivedifficoltà pratiche (oltre che giuridiche, a volte) nell'ottenere la lorocancellazione una volta decorso il termine di pubblicazione e, soprattutto,laddove un termine non sia fissato o comunque i dati non siano cancellati dopoil raggiungimento dello scopo perseguito, in violazione del cd. "dirittoall'oblio".

Ditutti questi rischi si terrà conto nella disamina dell'articolato, in relazioneal quale il Garante svolge le osservazioni di seguito riportate.

RITENUTO

PARTE I – PRINCIPI GENERALI

1. La trasparenza e la pubblicazione di datipersonali.

1.1.Le norme del decreto individuano, ai sensi dell'articolo 117, secondo comma,lettera m), della Costituzione, il livello essenziale delle prestazioni erogatedalle amministrazioni pubbliche a fini di trasparenza, prevenzione, contrastodella corruzione e della cattiva amministrazione.

Nelpreambolo del provvedimento, inoltre, la trasparenza è correlata al principiodi uguaglianza sostanziale di cui all'articolo 3, comma secondo, dellaCostituzione ed al principio di buon andamento dell'azione amministrativa.Viceversa, non sono richiamati né la disciplina in materia di protezione deidati personali, né i principi costituzionali dei quali la stessa costituisceattuazione, che rappresentano, invece, i "limiti esterni" alla trasparenza eche con essa devono essere necessariamente bilanciati.

Siritiene, pertanto, necessario che il preambolo sia integrato con il riferimentoai parametri costituzionali di cui all'articolo 2 della Costituzione, essendol'articolo 117 già richiamato nel suo complesso e dunque anche con riferimentoall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea comerichiamato dall'articolo 6 del Trattato di Lisbona, nonché al Codice in materiadi protezione dei dati personali di cui al decreto legislativo 30 giugno 2003,n. 196 (di seguito "Codice").

1.2.Lo schema di decreto individua gli "obblighi di trasparenza" posti acarico delle "pubbliche amministrazioni" come definite dall'articolo11. Inoltre esso definisce la "pubblicazione" come la"pubblicazione ....nei siti istituzionali delle pubbliche amministrazionidei documenti, delle informazioni e dei dati" (art. 2).

Loschema sembra prevedere due forme di pubblicazione: quella obbligatoria, inquanto stabilita dalla "normativa vigente", come prevedeespressamente l'articolo 3, e quella non obbligatoria (art. 4, comma 3).I documenti, le informazioni e i dati personali oggetto di pubblicazioneobbligatoria sono definiti dallo schema "pubblici", così che tuttihanno il diritto di conoscerli, di utilizzarli e riutilizzarli ai sensidell'articolo 7.

Ingenerale, la pubblicazione di atti o documenti o di specifiche informazioni odati, anche personali, prevista da norme di legge o di regolamento (cioè"dalla normativa vigente" come prevede lo schema) è coerente con ladisciplina comunitaria in materia di protezione dei dati personali (art. 7,primo paragrafo, lett. c), dir. 95/46/CE; artt. 19, comma 3, 20, 21 e 22 delCodice), fermo restando il rispetto degli altri principi in materia (sui qualisi tornerà più avanti).

Nonsarebbe, di converso, in linea con i medesimi principi rimettere la scelta inordine alla pubblicazione di dati e documenti alla mera discrezionalitàamministrativa delle singole pubbliche amministrazioni, con il rischio,peraltro - in assenza di una specifica norma (di legge o di regolamento) che autorizzila diffusione dei dati - di decisioni differenziate da parte delle pubblicheamministrazioni, a fronte della necessità di garantire il diritto allaprotezione dei dati personali in maniera omogenea su tutto il territorionazionale.

Alriguardo, lo stesso articolo 4, comma 3, prevede che la pubblicazione diinformazioni che le pubbliche amministrazioni non hanno l'obbligo di pubblicareavvenga "anche ricorrendo a forme di anonimizzazione in presenza di datipersonali". La formulazione della norma suscita tuttavia perplessità inquanto sembra costituire un'autorizzazione permanente alla diffusione da partedi un soggetto pubblico di dati personali anche in assenza della previsionelegislativa o regolamentare di cui all'articolo 19, comma 3, del Codice.Pertanto, la norma in questione deve essere modificata prevedendo lasalvaguardia della predetta disposizione e prescrivendo come necessaria, e nonmeramente facoltativa, l'anonimizzazione in presenza di dati personali.

Ilcomma 3 dell'articolo 4 potrebbe, pertanto, essere sostituito dal seguente:"Le pubbliche amministrazioni possono disporre la pubblicazione nelproprio sito istituzionale di dati, informazioni e documenti che non hannol'obbligo di pubblicare ai sensi del presente decreto, procedendo allaanonimizzazione dei dati personali eventualmente presenti, fermo restandoquanto previsto dall'articolo 19, comma 3, del decreto legislativo 30 giugno2003, n. 196.".

2. Il principio di pertinenza e di indispensabilitàdei dati.

Ildiritto alla protezione dei dati personali trova il suo pieno ed effettivoriconoscimento solo se sono rispettati tutti i principi e le regole alla basedelle garanzie previste dalla normativa comunitaria e dal Codice a tuteladell'individuo, della sua riservatezza e della sua dignità. Fra questi assumonoparticolare importanza il principio di necessità, il quale comporta un obbligodi attenta configurazione di sistemi informativi e di programmi informatici perridurre al minimo l'utilizzazione di dati personali (art. 3 del Codice), ilprincipio di pertinenza e non eccedenza dei dati personali e quello diindispensabilità del trattamento di dati sensibili e giudiziari, tutti diderivazione comunitaria (artt. 3, 11, comma 1, lett. d), e 22, comma 3,del Codice; art. 6 direttiva 96/45/CE). Tali principi devono trovareapplicazione anche in presenza di norme di legge e di regolamento che imponganola pubblicazione di atti o documenti. In tal caso, deve essere rimessa allacura dell'amministrazione la selezione, all'interno dell'atto o documento invia di pubblicazione, dei dati personali da oscurare o comunque da espungere.

Comeha ricordato il Garante nelle Linee guida citate, prima di intraprendereun'attività che comporta una diffusione di dati personali, l'ente pubblico devevalutare se la finalità di trasparenza e di comunicazione può essere perseguitasenza divulgare tali dati, oppure rendendo pubblici atti e documenti senzaindicare dati identificativi adottando modalità che permettano di identificaregli interessati solo quando è necessario. Ad esempio, nel caso degli entilocali, la circostanza secondo la quale tutte le deliberazioni sono pubblicatedeve indurre l'amministrazione comunale a valutare con estrema attenzione lestesse tecniche di redazione delle deliberazioni e dei loro allegati. Ciò,soprattutto quando vengano in considerazione informazioni sensibili (si pensiad esempio agli atti adottati nel quadro dell'attività di assistenza ebeneficenza, che comportano spesso la valutazione di circostanze e requisitipersonali che attengono a situazioni di particolare disagio). In proposito, puòrisultare utile menzionare tali dati solo negli atti a disposizione negliuffici (richiamati quale presupposto della deliberazione e consultabili solo dainteressati e controinteressati), come pure menzionare delicate situazioni didisagio personale solo sulla base di espressioni di carattere più generale o,se del caso, di codici numerici.

Loschema di decreto sembra tener conto di tali esigenze (art. 4, comma 4), ma conuna formulazione che lascia qualche dubbio interpretativo circa laobbligatorietà della selezione preventiva dei dati personali da sottrarre allapubblicazione. Si ritiene necessario, pertanto, integrare il medesimo articolo4 con una disposizione che richiami l'applicazione doverosa dei predettiprincipi nei termini appena descritti.

Taleosservazione potrebbe essere recepita aggiungendo al comma 4, il seguenteperiodo o altro di analogo tenore: "Nei casi in cui norme di legge o diregolamento prevedano la pubblicazione di atti o documenti, le pubblicheamministrazioni provvedono a rendere comunque non intelligibili i datipersonali non pertinenti o, se sensibili o giudiziari, non indispensabilirispetto alle specifiche finalità di trasparenza della pubblicazione.".

Applicazioneconcreta dei principi di pertinenza e di indispensabilità si rinviene –fra l'altro – nel successivo paragrafo 10.

3. Dati sensibili e giudiziari. Dati idonei arivelare lo stato di salute.

Com'ènoto le categorie dei dati sensibili e giudiziari sono assoggettate ad unadisciplina di maggior rigore e con più ampie garanzie a tutela dei dirittidell'interessato.

Opportunamentequindi lo schema di decreto prevede una differenziazione delle modalità didiffusione dei dati (art. 4, comma 1). La disposizione però deve essereperfezionata, chiarendo, innanzitutto, se si intenda escludere del tuttodall'ambito di applicazione del presente decreto e quindi dalla diffusione(rectius dalla "pubblicazione", come definita all'articolo 2) i datisensibili e giudiziari o, in caso contrario, precisando quali siano le modalitàdi diffusione consentite per tali categorie di dati.

Quantoai dati idonei a rivelare lo stato di salute, si rammenta che per previsionenormativa nazionale, di derivazione comunitaria, quale presidio dellariservatezza e dignità della persona, è previsto il divieto assoluto didiffusione (quindi di pubblicazione con mezzi che ne consentano una fruizionegeneralizzata) di dati idonei a rivelare lo stato di salute degli individui(art. 22, comma 8, del Codice; art. 8 dir. 95/46/CE).

Intal senso è opportuno che lo schema di decreto sia integrato prevedendoespressamente che la pubblicazione di dati personali non può riguardare datiidonei a rivelare lo stato di salute delle persone, nonché – dato ilparticolare contesto normativo – quelli idonei a rivelare la vitasessuale degli individui (la previsione potrebbe essere inserita, ad esempio,nel comma 6 dell'articolo 4, concernente appunto i limiti alla diffusione delleinformazioni). Ciò, sul presupposto che le due categorie di dati appenadescritte sono assoggettate dalla normativa vigente ad eguali garanzie,particolarmente elevate, in particolare rispetto all'applicazione dellanormativa sul diritto di accesso a dati e documenti ai sensi della legge n. 241del 1990 (artt. 59 e 60 del Codice).

4. La conoscibilità dei dati "pubblici".

4.1.Motori di ricerca e indicizzazione

L'articolo4, comma 1, stabilisce che la pubblicazione dei dati personali avvengaattraverso i siti istituzionali e secondo modalità che ne consentanol'indicizzazione e la rintracciabilità mediante motori di ricerca.

Alriguardo, l'Autorità richiama l'attenzione del Governo sulla opportunità direndere rintracciabili i dati oggetto di pubblicazione solo con motori di ricercainterni ai siti, posto che un obbligo indifferenziato e ampio, come quelloprevisto dalla norma, appare contrario al principio di proporzionalità neltrattamento dei dati personali rispetto alle specifiche finalità di trasparenzadi volta in volta perseguite (art. 11, comma 1, lett. b) del Codice), e incidenegativamente sull'esigenza di avere dati esatti, aggiornati econtestualizzati.

Inproposito si rammenta che nelle Linee guida citate il Garante ha ritenutopreferibile le funzionalità di ricerca interne ai siti in quanto assicuranoaccessi maggiormente selettivi e coerenti con le finalità di volta in voltasottese alla pubblicazione, garantendo nel contempo la conoscibilità sui sitiistituzionali delle informazioni che si intende mettere a disposizione delpubblico.

4.2.Pubblicità dei dati ed accesso civico.

Correlataalla configurazione della trasparenza quale strumento per il controllo diffusosull'esercizio delle pubbliche funzioni è la espressa previsione (art. 3) deldiritto di ciascuno "alla conoscibilità", ovvero del diritto aconoscere, utilizzare e riutilizzare (alle condizioni descritte) i dati, idocumenti e le informazioni "pubblici" in quanto oggetto "dipubblicazione obbligatoria".

Rispettoa dati e documenti pubblici l'articolo 5 riconosce a ciascuno il dirittodi "accesso civico", così introducendo, tra l'altro, un istituto nonprevisto dalla legge delega. Si tratta, in particolare, di un istituto diversoed ulteriore rispetto al diritto di accesso ad atti e documenti amministratividisciplinato dalla legge n. 241 del 1990. Diversamente da quest'ultimo,infatti, non presuppone un interesse qualificato in capo al soggetto e siestrinseca nel chiedere e ottenere che le pubbliche amministrazioni pubblichinogli atti, i documenti e le informazioni (appunto a pubblicazione obbligatoria)da queste detenute ma che, per qualsiasi motivo, non abbiano provveduto arendere pubbliche sui propri siti istituzionali. Pubblici ai fini inesame, e dunque soggetti a libero accesso da parte di ciascuno sono pertantonon già dati e documenti qualificati espressamente come pubblici dallanormativa vigente, ma solo quelli per i quali si prescrive la pubblicazioneobbligatoria. Proprio per questo, però, all'articolo 5, comma 5, oggetto deldiritto di accesso civico dovrebbero essere non già i documenti o datiqualificati come "pubblici" ma quelli di cui sia invece prevista lapubblicazione obbligatoria.

5. Finalità di rilevante interesse pubblico.

L'articolo4, comma 2, sembra voler individuare nella trasparenza una nuova "finalitàdi rilevante interesse pubblico" legittimante il trattamento di datisensibili o giudiziari, ai sensi della normativa in materia di protezione deidati personali (artt. 20 e 59 del Codice).

Alriguardo, si suggerisce di perfezionare la disposizione chiarendo che lafinalità di rilevante interesse pubblico è la "realizzazione dellatrasparenza pubblica" (cui faceva riferimento una precedente versionedello schema di decreto) e non la pubblicazione nei siti istituzionali dei datirelativi agli interessati (questa è l'attività consentita, unitamente alrelativo trattamento dei dati). Tale osservazione potrebbe essere recepitasostituendo le parole da "integra" sino alla fine del comma con leseguenti: "è finalizzata alla realizzazione della trasparenza pubblica,che integra una finalità di rilevante interesse pubblico, nel rispetto delladisciplina in materia di protezione dei dati personali.".

Inoltreè necessario che la disposizione sia raccordata con gli articoli 65("diritti politici e pubblicità dell'attività di organi") e 68("benefici economici ed abilitazioni") del Codice che già prevedonovari trattamenti legittimamente effettuabili per finalità di rilevanteinteresse pubblico in materie affini a quella oggetto del presente decreto,ricorrendo alla salvaguardia di tali norme (ad es.: "Fatto salvo quantoprevisto daé..").

Alriguardo si richiama l'attenzione della Presidenza del Consiglio dei ministrisul fatto che, sul piano applicativo, le singole amministrazioni saranno tenutea valutare la necessità di individuare, con regolamento, i tipi di datisensibili e giudiziari e di operazioni eseguibili per il trattamento dei datieffettuati per la suesposta finalità di rilevante interesse pubblico, ai sensidell'articolo 20, comma 2, del Codice.

6. Riutilizzo dei dati.

Profilidi criticità emergono anche in relazione all'articolo 7, secondo il quale idati resi pubblici in conformità al regolamento "sono liberamenteriutilizzabili secondo la normativa vigente, senza ulteriori restrizionidiverse dall'obbligo di citare la fonte e di rispettarne l'integrità".Tale previsione pare porsi in contrasto con il principio di finalità, anch'essodi matrice europea, in base al quale i dati personali, legittimamente raccolti,possono essere utilizzati in altre operazioni del trattamento solo "intermini compatibili" con gli scopi per i quali sono stati raccolti eregistrati (art. 11, comma 1, lett. b), del Codice; art. 6 direttiva 95/46/CE).

Lamateria del riutilizzo dei documenti nel settore pubblico è disciplinata, com'ènoto, dalla direttiva 2003/98/CE e dal decreto legislativo 24 gennaio 2006, n.36, che prevede limiti e condizioni al riutilizzo dei documenti e fa salvaespressamente la disciplina sulla protezione dei dati personali, obbligando gliStati membri a non pregiudicare "in alcun modo il livello di tutela dellepersone fisiche con riguardo al trattamento dei dati personali ai sensi delledisposizioni di diritto comunitario e nazionale e non modifica, in particolare,i diritti e gli obblighi previsti" dalla disciplina di protezione dei datipersonali (cfr. considerando 21 e art. 1, comma 4, dir.; art. 4, comma 1, d.lg.n. 36/2006).

Alpredetto decreto legislativo n. 36/2006 fa riferimento anche l'articolo 52 delCAD, il quale stabilisce, più in generale, che il riutilizzo dei dati e deidocumenti delle pubbliche amministrazioni deve avvenire nel rispetto dellanormativa vigente. Infine al medesimo decreto legislativo n. 36/2006 rinvia anchel'articolo 68, comma 3, del CAD, a proposito dei dati di tipo aperto.

Intale quadro, mentre la definizione di "riutilizzo" contenuta neldecreto legislativo n. 36/2006 consente l'uso del documento e del dato a finidiversi dallo scopo iniziale per il quale il documento è stato prodottonell'ambito dei fini istituzionali, ai sensi del Codice, in base al principiodi finalità, i dati personali possono essere riutilizzati solo in terminidi compatibilità con gli scopi originari.

Lapreoccupazione che tale principio finalistico non sia tenuto nella dovutaconsiderazione dall'odierno decreto è avvalorata dalla Relazione illustrativanella quale si specifica che "la trasparenza consente [é] di attivareanche un'economia legata a dati pubblicati in formato aperto e rielaborabili.Le aziende e i privati potranno, infatti, utilizzare i dati pubblici perrealizzare servizi a valore aggiunto e per migliorare la qualità della vita deicittadini".

Inproposito, è opportuno richiamare il parere del Garante europeo dellaprotezione dei dati sul "pacchetto dati aperti" della Commissione europea,costituito da una proposta di direttiva che modifica la predetta direttiva2003/98/CE, da una comunicazione sui dati aperti e dalla decisione 2011/833/UEdella Commissione relativa al riutilizzo dei documenti della Commissione che,nelle proprie conclusioni, pur evidenziando i notevoli benefici che ilriutilizzo delle informazioni del settore pubblico contenenti dati personali puòarrecare, richiama l'attenzione sui rischi considerevoli che esso puòcomportare per la protezione dei dati personali. Alla luce di tali rischi, ilGEPD "raccomanda che la proposta definisca più chiaramente in qualisituazioni e fatte salve quali salvaguardie le informazioni contenenti datipersonali possono dovere essere messe a disposizione per il riutilizzo. Inparticolare, la proposta deve:

-definire più chiaramente il campo di applicabilità della direttiva PSI ai datipersonali (sezione 3.1),

-prevedere che venga svolta una valutazione dall'ente pubblico interessato primache qualsivoglia informazione del settore pubblico contenente dati personalisia messa a disposizione per il riutilizzo (sezione 3.1),

- oveopportuno, imporre che i dati siano resi completamente o parzialmente anonimi eche le condizioni di concessione delle licenze vietino espressamente lareidentificazione delle persone e il riutilizzo di dati personali per scopi chepotrebbero riguardare individualmente gli interessati (sezioni 3.2 e 3.3),

-disporre che i termini della licenza per il riutilizzo dell'informazione delsettore pubblico contengano una clausola di protezione dei dati ogniqualvoltasi trattino dati personali (sezione 3.3),

- ovenecessario, considerando i rischi per la protezione dei dati personali, imporrea chi chiede il riutilizzo di dimostrare (attraverso una valutazione d'impattosulla protezione dei dati o mediante altre modalità) che eventuali rischi perla protezione dei dati personali vengano adeguatamente presi in considerazionee che chi chiede il riutilizzo tratterà i dati in conformità della legislazioneapplicabile in materia di protezione dei dati (sezione 3.3),

-chiarire che il riutilizzo può essere subordinato allo scopo per cui vieneeffettuato, in deroga alla regola generale che autorizza il riutilizzo per finicommerciali e non commerciali (sezione 3.3)".

Inconclusione, il mero rinvio presente nello schema all'osservanza delle"disposizioni di protezione dei dati personali" (cfr. art. 1, comma 2dello schema) non appare sufficiente a garantire il rispetto del principio difinalità, dovendo la disciplina che si intende introdurre essa stessaincorporare i principi di protezione dei dati personali contenuti nelladirettiva 95/46 nonché nella direttiva 2003/98.

Siritiene necessario, pertanto, integrare l'articolo 7 con il seguente comma ocon altro di analogo tenore: "In caso di pubblicazione di dati personali,il loro utilizzo in altre operazioni di trattamento è consentito solo intermini compatibili con gli scopi per i quali sono stati raccolti e registrati,ai sensi dell'articolo 11, comma 1, lett. b) del decreto legislativo 30 giugno2003, n. 196, e comunque nel rispetto delle disposizioni del medesimo decretolegislativo n. 196 del 2003.".

7. Durata della pubblicazione e accesso alleinformazioni pubblicate nei siti

L'articolo 8, comma 3, stabilisce in 5 anni, per tutti i dati e i documenti, il periodo dipubblicazione obbligatoria, decorrenti dal 1 gennaio dell'anno successivo aquello da cui decorre l'obbligo di pubblicazione; inoltre, prevede che i dati edocumenti restino comunque pubblicati "fino a che gli atti non producono iloro effetti". La previsione di un unico termine generalizzato per tutti idati non rispetta il principio di proporzionalità nella conservazione dei datipersonali rispetto alle finalità perseguite (art. 11, comma 1, lett. e) delCodice). Né al riguardo può valere la salvaguardia –che la normacontiene- dei "diversi termini previsti dalla normativa in materia di trattamentodei dati personali", poiché il Codice non contiene tali termini, ma soloil principio di conservazione dei dati per un periodo di tempoproporzionato, appunto, cioè non superiore a quello necessario agli specificiscopi per i quali sono stati raccolti.

Sirimette quindi al Governo la valutazione circa una rimodulazione della normacon l'indicazione di termini differenziati, in ragione delle categorie di datie delle specifiche finalità della pubblicazione (cfr. criterio di delega sub.lettera g)).

Inoltre,tale disposizione confligge con i diversi termini temporali previsti da altrenorme di settore (es. art. 124 d.lg. n.127/2000 per gli enti locali). E'opportuno quindi che siano fatti salvi i diversi termini previsti dallanormativa vigente e non solo quelli di cui agli articoli 14, comma 2, e 15,comma 4, dell'odierno schema di decreto (come prevede ora la norma).

E'importante, infine, che lo schema di decreto chiarisca, anche a beneficio deisoggetti pubblici interessati all'applicazione del decreto, quali adempimentidevono mettere in opera le amministrazioni alla scadenza del termine. Daltenore dell'articolo 9, comma 2, sembra evincersi che alla scadenza del terminei dati e documenti debbano essere conservati in altre sezioni del sito e resicomunque disponibili. Tale generica previsione vanifica di fatto lapubblicazione temporanea delle informazioni stabilita al precedente articolo 8con l'apposizione di un termine. Per quanto riguarda i dati personali, ciò sitradurrebbe in una loro permanenza, sul web, sine die, per giunta indicizzati ereperibili mediante motori di ricerca, magari senza alcuna ragione dipendentedal perseguimento della specifica finalità di trasparenza e in violazione del"diritto all'oblio" (cfr. Corte di Giustizia 9 novembre 2010,cause riunite C-92/09 e C-93/09).

Valutiquindi l'Amministrazione di prevedere una disciplina più articolata alriguardo, anche stabilendo una conservazione separata ad accesso selettivo emirato dei documenti e dei dati dopo la scadenza del termine di pubblicazione,e comunque sancendo la cancellazione dei dati personali. Una più puntualedisciplina degli adempimenti a carico della p.a., decorso il periodo dipubblicazione obbligatoria, dovrà essere stabilita anche per i dati indicatiagli articoli 14, comma 2, e 15, comma 4.

PARTE II - NORME DI SETTORECONCERNENTI OBBLIGHI DI PUBBLICAZIONE

8. Obblighi di pubblicazione concernenti icomponenti di organi di indirizzo politico

Loschema di decreto disciplina all'articolo 14 gli obblighi di pubblicazioneconcernenti i componenti degli organi di indirizzo politico, con riferimento aititolari di incarichi politici, di carattere elettivo o comunque di eserciziodi poteri di indirizzo politico, prevedendo la pubblicazione, fra l'altro,delle dichiarazioni e delle attestazioni di cui agli articoli 2, 3 e 4 dellalegge 5 luglio 1982, n. 441 (recante norme per la pubblicità della situazionepatrimoniale di titolari di cariche elettive e di cariche direttive di alcunienti), come modificata dall'odierno schema (art. 14 comma 1, lett. f)).

Permeglio comprendere la portata dell'intervento normativo, è utile una brevedescrizione dell'attuale assetto normativo della materia previsto dalla leggen. 441/1982 (al netto, cioè, delle modifiche ad essa apportate dallo stessoschema di decreto, su cui si tornerà più avanti).

Ildecreto fa riferimento alle seguenti dichiarazioni previste dallapredetta legge:

1) unadichiarazione concernente i diritti reali su beni immobili e su beni mobiliiscritti in pubblici registri; le azioni di società; le quote di partecipazionea società; l'esercizio di funzioni di amministratore o di sindaco di società,con l'apposizione della formula "sul mio onore affermo che la dichiarazionecorrisponde al vero";

2) copiadell'ultima dichiarazione dei redditi soggetti all'imposta sui redditi dellepersone fisiche;

3) unadichiarazione concernente le spese sostenute e le obbligazioni assunte per lapropaganda elettorale ovvero l'attestazione di essersi avvalsi esclusivamentedi materiali e di mezzi propagandistici predisposti e messi a disposizione dalpartito o dalla formazione politica della cui lista hanno fatto parte, conl'apposizione della formula "sul mio onore affermo che la dichiarazionecorrisponde al vero".

4) lasituazione patrimoniale sopra descritta e la dichiarazione dei redditi delconiuge non separato e dei figli conviventi, se gli stessi vi consentono;

5) entroun mese dalla scadenza del termine utile per la presentazione delladichiarazione dei redditi, un'attestazione concernente le variazioni dellasituazione patrimoniale intervenute nell'anno precedente e copia delladichiarazione dei redditi, anche rispetto al coniuge e ai figli consenzienti;

6) entrotre mesi successivi alla cessazione dall'ufficio, una dichiarazioneconcernente le variazioni della situazione patrimoniale intervenute dopol'ultima attestazione nonché, entro un mese successivo alla scadenza delrelativo termine, una copia della dichiarazione annuale dei redditi, ancherispetto al coniuge e ai figli conviventi.

Taliadempimenti sono previsti, nel testo vigente, per i parlamentari, per ilPresidente del Consiglio dei Ministri, i Ministri, i Sottosegretari di Stato e,"secondo le modalità stabilite dai rispettivi consigli", per iseguenti altri soggetti: consiglieri regionali; consiglieri provinciali; iconsiglieri di comuni capoluogo di provincia o con popolazione superiore ai50.000 abitanti; membri del Parlamento europeo spettanti all'Italia.

Talisoggetti devono depositare la documentazione sopra descritta presso l'ufficiodi presidenza della Camera di appartenenza, se parlamentari, presso quello delSenato, se componenti del Governo, o presso l'analogo organo di"vertice" negli altri casi (artt. 2, 10 e 11, primo comma, l. n.441/1982).

Ladocumentazione descritta, ivi comprese le dichiarazioni del coniuge nonseparato e dei figli conviventi, ove prodotte, è pubblicata in appositibollettini dei vari organi (artt. 9 e 11, secondo comma; ad esempio, per quantoriguarda le regioni, sul bollettino previsto dagli statuti per la pubblicazionedelle leggi). La documentazione è pubblicata integralmente, salvo per quantoriguarda la dichiarazione dei redditi della quale si pubblicano solo "lenotizie risultanti dal quadro riepilogativo".

Ilpresente decreto modifica, con interventi mirati, la legge n. 441/1982 (art.52, comma 1, dello schema). In particolare si estende la platea dei soggettititolari di incarichi pubblici cui è rimesso l'obbligo di trasparenza, sino aricomprendervi anche: i vice ministri, i componenti della giunta regionale eprovinciale, i consiglieri dei comuni con popolazione superiore a 15000 abitanti(rispetto ai 50000 attuali), fermi restando in ogni caso i capoluoghi diprovincia.

Quantoai soggetti diversi dal titolare dell'incarico pubblico, l'articolo 2, secondocomma, della legge è modificato con il riferimento al coniuge non separato, aifigli e ai parenti entro il secondo grado di parentela. Da questo punto divista quindi l'ambito di applicazione della legge è esteso ai figli nonconviventi, ai fratelli e ai genitori del titolare dell'incarico pubblico.

Lalegge n. 441/1982 è modificata dallo schema di decreto solo nei termini sopraesposti: ne consegue che, di essa rimangono applicabili le disposizioni cheprevedono la pubblicazione della descritta documentazione nei bollettini disettore.

Oltrealle modifiche alla legge n. 441/1982 lo schema di decreto reca un'importanteprevisione normativa: stabilisce cioè, come anticipato sopra, la pubblicazionedelle dichiarazioni e delle attestazioni di cui agli articoli 2, 3 e 4 dellaripetuta legge n. 441/1982, "limitatamente al soggetto, al coniuge nonseparato e ai parenti entro il secondo grado, ove gli stessi viconsentano".

Sottoquesto profilo, poiché restano applicabili le disposizioni della legge n.441/1982 che prevedono la pubblicazione delle dichiarazioni sui bollettini, ilquid novi della norma è rappresentato dalla pubblicazione sui sitiistituzionali delle stesse informazioni diffuse mediante il bollettino.

Tuttociò premesso, l'Autorità osserva che la disciplina complessiva introdotta inmateria dallo schema di decreto appare sproporzionata rispetto alle finalità ditrasparenza che lo stesso provvedimento normativo intende perseguire.

Siconsideri, infatti, l'invasività della pubblicazione mediante diffusione sulweb, rispetto, peraltro, a una massa enorme di informazioni che in alcuni casipossono rivelare aspetti, anche intimi, della vita privata delle persone,soprattutto se ci si riferisce al coniuge, ai figli e ai parenti, che sonoestranei all'incarico pubblico (si pensi ai possibili risvolti sociali di unalettura mirata, se non tendenziosa, del reddito e della consistenzapatrimoniale dei soggetti, specie in ambiti territoriali ristretti, e aiconnessi rischi di discriminazione sociale).

Perquanto riguarda i soggetti "terzi" rispetto all'incarico pubblico, ènecessario circoscrivere il contenuto delle dichiarazioni sulla situazionepatrimoniale ed assicurare che il consenso alla pubblicazione dei dati sia unconsenso effettivamente libero e reso in assenza di condizionamenti. Infatti,poiché si prevede che venga data "evidenza al mancato consenso" allapubblicazione delle dichiarazioni, vi è il rischio concreto che, in sede diapplicazione, la norma non persegua, di fatto, la finalità di trasparenzacui tende, ma esponga, di converso, tali soggetti a pericolose stigmatizzazioniove non esprimano il consenso alla pubblicazione. In tal senso si ritienedoveroso sopprimere la disposizione in base alla quale deve essere dataevidenza al mancato consenso, peraltro non prevista dall'articolo 1, comma 35,lett. c), della legge n. 190/2012.

Inragione delle considerazioni sopra esposte, l'Autorità, per assicurare un equobilanciamento fra i valori costituzionali in gioco e il rispetto dellanormativa comunitaria in materia di protezione dei dati personali, richiamal'attenzione del Governo sull'opportunità di una riflessione generalesull'impianto della disciplina in esame, auspicando modifiche allo schema didecreto che introducano, selettivamente, una graduazione degli obblighi dipubblicazione, sia sotto il profilo della platea dei soggetti coinvolti,che del contenuto degli atti da pubblicare.

Ciò,peraltro, a fronte di un criterio di delega (art. 1, comma 35, lett. c)) che,per un verso, non sembra consentire interventi significativamente modificatividella disciplina ("precisazione" degli obblighi di pubblicità; rinvioalle norme che già prevedono obblighi di pubblicità, oggetto di solaricognizione e coordinamento; riferimento alla situazione patrimonialecomplessiva del titolare dell'incarico), ma, per altro verso, appare giàampiamente "rispettato" dal legislatore delegato con l'ampliamentodella platea dei soggetti pubblici cui si devono riferire gli obblighi ditrasparenza.

Inparticolare, per quanto riguarda i titolari degli incarichi, potrebbero esserepreviste differenziazioni fra organi locali e nazionali oppure, per quantoriguarda le autonomie, fra le cariche elettive e i livelli di governo(consiglieri e assessori).

Inoltre,della dichiarazione dei redditi siano pubblicate sul web, al massimo, le sole"notizie risultanti dal quadro riepilogativo della dichiarazione deiredditi", come stabilito dall'articolo 9 della predetta l. n. 441/1982,non abrogato dallo schema di decreto. La previsione è dettata al fine dievitare la diffusione di dati, anche sensibili - contenuti nelledichiarazioni dei redditi - non strettamente pertinenti rispetto alle finalitàdella legge (come, ad esempio, talune detrazioni fiscali o, probabilmente,anche la scelta del contribuente circa la destinazione del "5 permille").

Infinela disciplina sanzionatoria prevista all'articolo 47, comma 1, deve esseremeglio coordinata con quanto previsto dall'articolo 14 e dalla legge n.441/1982, in quanto non è chiaro a quale "comunicazione" si facciariferimento.

9. La pubblicazione di dati relativi al personaledelle pubbliche amministrazioni.

Particolareattenzione meritano le disposizioni dello schema che prevedono la pubblicazionedi dati riferiti ai dirigenti e agli altri dipendenti pubblici, che investonodelicati profili anche "lavoristici", tenuto conto che lo schema didecreto legislativo (ed invero già la legge di delega) focalizza ilproprio "raggio d'azione" scorrendo dalla trasparenzadell'amministrazione e dell'attività amministrativa – strumentale al buonandamento della medesima – alla trasparenza dell'attività dei singoliche, a vario titolo, nell'interesse della stessa operano o chedall'amministrazione percepiscono (a vario titolo) emolumenti.

Alriguardo, non risulta che nei lavori preparatori dell'odierno decreto sia stataeffettuata una adeguata valutazione di impatto sui diritti fondamentali (inparticolare il diritto alla protezione dei dati personali), sulla dignità eriservatezza dell'ampia platea dei soggetti interessati dal regime di pubblicità(indicati in particolare agli articoli 15, 16, 18 e 22, commi 4 e 5).

Conspecifico riferimento ai profili di conformità al diritto alla protezione deidati personali della pubblicazione di informazioni relative agli emolumenti osalari percepiti da quanti operano nelle pubbliche amministrazioni, la materiaha altresì formato oggetto di vaglio della Corte di giustizia delle Comunitàeuropee (CGCE) (C-465/00, C-138/01 e C-139/01 riunite; C-92/09 e 93/09,riunite), che ha enunciato – fra gli altri – il principio generalesecondo cui "le istituzioni, prima di divulgare informazioni riguardantiuna persona fisica, devono soppesare l'interesse dell'Unione a garantire latrasparenza delle proprie azioni con la lesione dei diritti riconosciuti dagliartt. 7 e 8 della Carta", non potendosi postulare "alcuna automaticaprevalenza dell'obiettivo di trasparenza sul diritto alla protezione dei datipersonali, anche qualora siano coinvolti rilevanti interessi economici.".

L'attivitàdi ponderazione che la Corte di giustizia ha richiesto nei casi sottoposti allasua valutazione, non risulta essere stata effettuata con riguardo alleprevisioni contenute nello schema di decreto legislativo.

Sottoaltro profilo, è importante sottolineare che, alla luce di una indagine ricognitivadella normativa in materia vigente negli altri Paesi europei (e non solo), lasituazione italiana (prefigurata in relazione al livello di trasparenza deipubblici dipendenti risultante dall'applicazione della disciplina in esame)risulterebbe quasi unica, anche prendendo a termine di paragone il modello delFreedom of Information Act statunitense (richiamato nella relazione diaccompagnamento allo schema di decreto, p. 3), atteso che lo stesso assicura unampio regime di accessibilità ai dati (anche personali e, specificamente, alleinformazioni relative ai compensi versati ai civil servants), ma non la loropubblicazione on line con le modalità previste dallo schema di decreto.

Inconclusione, l'Autorità ritiene che la disciplina complessiva introdotta inquesto specifico settore sia sproporzionata rispetto alle finalità ditrasparenza che lo stesso provvedimento normativo intende perseguire, attesaanche l'invasività della pubblicazione dei dati mediante diffusione sul web.

Inragione delle considerazioni sopra esposte, il Garante, per assicurare ilrispetto della normativa comunitaria in materia di protezione dei datipersonali, richiama l'attenzione del Governo sull'opportunità di unariflessione generale sull'impianto della disciplina in esame, auspicandomodifiche allo schema di decreto che, da un lato, circoscrivano lapubblicazione obbligatoria a un novero più ristretto di informazioni personali,strettamente pertinenti, che consentano comunque un controllo diffusosull'attività della pubblica amministrazione per assicurarne il buon andamentoe, dall'altro, individuino modalità di diffusione dei dati meno invasive dellasfera personale.

10. Obblighi di pubblicazione concernenti atti eprovvedimenti amministrativi

Gliarticoli 23, 26 e 27 disciplinano la pubblicazione di atti e provvedimentiamministrativi (la pubblicazione di "procedimenti" amministrativiresta disciplinata, invece, nei commi 15 e 16 dell'articolo 1 della legge n.190 del 2012, cd. legge anticorruzione, non abrogati dall'odierno schema).

Inparticolare, l'articolo 23 prevede la pubblicazione degli "elenchi deiprovvedimenti adottati" e in particolare di quelli di naturaautorizzatoria, concessoria, relativi a concorsi, ovvero anche concernentisovvenzioni, contributi, sussidi e altri vantaggi economici. La disciplina piùspecifica di questi ultimi è demandata agli articoli 26 e 27.

Diogni provvedimento contenuto nell'elenco devono essere pubblicati il contenuto,l'oggetto e gli estremi relativi ai principali documenti contenuti nelfascicolo: la pubblicazione deve avvenire nella forma di una "schedasintetica" (art. 23, comma 2). La norma non chiarisce con qualelivello di dettaglio debbano essere riportate le informazioni, né se in talescheda possano confluire anche dati personali, o comunque identificativi deldestinatario del provvedimento, che in alcuni casi potrebbe essere ilbeneficiario di un sussidio a altro vantaggio economico particolarmentedelicato.

L'articolo26, a sua volta, riproduce in parte l'articolo 18 del decreto-legge 22 giugno2012, n. 83, la cui applicazione è stata oggetto di numerosissimi quesiti esegnalazioni pervenuti al Garante che lamentavano la pubblicazione anche didati sensibili o comunque lesivi della dignità della persona. Per altro versoesso riproduce testualmente una previsione già contenuta nell'articolo 1, comma16 della stessa legge n. 190 del 2012 (non abrogato dallo schema di decreto) inbase alla quale è disposta la pubblicazione di "vantaggi economici diqualunque genere a personeé.".

Anchealla luce del contesto normativo da cui proviene la norma (contrasto dellacorruzione, in particolare per quanto riguarda le concessioni di appalti ol'affidamento di lavori e forniture) essa non dovrebbe trovare applicazione perogni forma di sussidio, contributo o vantaggio economico previsto per ilcittadino, come ad esempio quelli nel campo della solidarietà sociale (si pensialla social card) i cui procedimenti sono spesso idonei a rivelare lo stato disalute dei beneficiari del contributo o comunque situazioni di particolarebisogno o disagio sociale (in tal senso si pensi al riconoscimento diagevolazioni economiche, nella fruizione di prestazioni sociali, collegate allasituazione reddituale come l'esenzione dal contributo per la refezione scolasticao l'esenzione dal pagamento del cd. ticket sanitario). Fermo restando che deveessere comunque rispettato il divieto di pubblicare dati idonei a rivelare lostato di salute (art. 22, comma 8, del Codice), l'eventuale diffusione sul webdi altre informazioni sensibili o comunque idonee ad esporre l'interessato adiscriminazioni, presenta rischi specifici per la dignità degli interessati,che spesso versano in condizioni di disagio economico-sociale.

Intale quadro, non sarebbe giustificato diffondere dati particolarmente delicati,che non appaiono pertinenti rispetto alle finalità perseguite, qualil'indirizzo di abitazione, il codice fiscale, le coordinate bancarie dove sonoaccreditati i contributi, la ripartizione degli assegnatari secondo le fasce dell'Indicatoredella situazione economica equivalente-ISEE ovvero informazioni che descrivanole condizioni di indigenza in cui versa l'interessato.

Nondovrebbero inoltre essere riportati, in particolare: i titoli dell'erogazionedei benefici (es. attribuzione di borse di studio a "soggetto portatore dihandicap", o riconoscimento di buono sociale a favore di "anziano nonautosufficiente" o con l'indicazione, insieme al dato anagrafico, dellespecifiche patologie sofferte dal beneficiario); i criteri di attribuzione (es.punteggi attribuiti con l'indicazione degli "indici di autosufficienzanelle attività della vita quotidiana" ); nonché, la destinazione deicontributi erogati (es. contributo per "ricovero in struttura sanitariaoncologica", o contributo per donne che hanno subito violenze)."

L'individuazionein dettaglio dei dati da escludere dalla pubblicazione potrebbe esseredemandata ad uno dei decreti del Presidente del Consiglio dei ministri di cuiall'articolo 48.

Inconclusione, in ossequio ai principi di necessità, pertinenza e proporzionalitànel trattamento dei dati, si ritiene necessario perfezionare lo schema alriguardo, escludendo espressamente dall'obbligo di pubblicazione i datiidentificativi dei destinatari di provvedimenti riguardanti persone fisiche daiquali sia possibile evincere informazioni relative allo stato di salute degliinteressati, ovvero lo stato economico-sociale disagiato degli stessi, neitermini appena descritti.

11. Tutela giurisdizionale.

L'articolo50 dello schema stabilisce che "le controversie relative agli obblighi ditrasparenza previsti dalla normativa vigente sono disciplinate dal decretolegislativo 2 luglio 2010, n. 104" concernente la giurisdizioneamministrativa.

Com'ènoto, il diritto alla protezione dei dati personali trova la propria tutelainnanzi all'autorità giudiziaria ordinaria (art. 152 del Codice; art. 10 d.lg.1° settembre 2011, n. 150).

Poichéle controversie cui si riferisce il presente articolo possono riguardare iltrattamento di dati personali, è evidente che per questa parte esse sarebberocomunque sottoposte alla giurisdizione del giudice ordinario. Il rinvio delpresente schema all'osservanza delle "disposizioni di protezione dei datipersonali" (cfr. art. 1, comma 2 dello schema) non appare in questo casosufficiente a salvaguardare con certezza l'applicazione della descrittadisciplina processuale del diritto alla protezione dei dati personali, sicchési rende necessario integrare l'articolo 50 con il seguente periodo:"Resta ferma la giurisdizione dell'autorità giudiziaria ordinaria rispettoa controversie che riguardano comunque l'applicazione delle disposizioni deldecreto legislativo 30 giugno 2003, n. 196."

12. Norme di attuazione e transitorie

12.1Si valuti l'opportunità di prevedere espressamente che sia acquisito il pareredel Garante sugli schemi di dPCM che dovranno individuare criteri, modelli eschemi standard per la codificazione e la rappresentazione dei documenti e deidati oggetto di pubblicazione (art. 48, comma 3).

12.2L'articolo 49, comma 2, stabilisce che con dPCM siano determinate le modalitàdi applicazione delle disposizioni del presente decreto alla Presidenza delConsiglio dei ministri.

Aldi là delle specifiche ragioni che hanno condotto alla previsione di taleregime particolare, si valuti l'opportunità di prevedere la possibilità dispecifiche modalità applicative delle disposizioni dell'odierno decreto ancherispetto agli ordinamenti di altre istituzioni o amministrazioni che presentinopeculiarità o specificità degne di essere salvaguardate, con particolareriferimento ai trattamenti di dati sensibili o comunque idonei a rivelare lostato economico-sociale disagiato delle persone.

13. Modifiche formali.

Sottoil profilo meramente formale, all'articolo 45, comma 4, si suggerisce disostituire le parole "soggetti titolari dei dati" con "soggettiinteressati".

IL GARANTE

esprimeparere favorevole sullo schema di decreto legislativo recante il riordino delladisciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione diinformazioni da parte delle pubbliche amministrazioni, con le seguenticondizioni:

a) ilpreambolo sia integrato con il riferimento all'articolo 2 della Costituzione eal Codice in materia di protezione dei dati personali di cui al decretolegislativo 30 giugno 2003, n. 196 (punto 1.1);

b)all'articolo 4, comma 1, si chiarisca se si intenda escludere del tuttodall'ambito di applicazione del presente decreto i dati sensibili e giudiziario, in caso contrario, si precisi quali siano le modalità di diffusioneconsentite per tali categorie di dati (punto 3); inoltre, al medesimo comma 1,si precisi che la rintracciabilità dei dati è ammessa solo con motori diricerca interni ai siti istituzionali (punto 4.1);

d)all'articolo 4, comma 4, si aggiunga il seguente periodo o altro di analogotenore: "Nei casi in cui norme di legge o di regolamento prevedano lapubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere comunque non intelligibili i dati personali non pertinenti o, sesensibili o giudiziari, non indispensabili rispetto alle specifiche finalità ditrasparenza della pubblicazione" (punto 2);

e) siaprevisto espressamente nello schema (ad esempio al comma 6 dell'articolo 4) ildivieto assoluto di diffusione di dati idonei a rivelare lo stato di salute ela vita sessuale degli individui (punto 3);

f)all'articolo 4, comma 2, le parole da "integra" sino alla fine delcomma siano sostituite dalle seguenti: "è finalizzata alla realizzazionedella trasparenza pubblica, che integra una finalità di rilevante interessepubblico, nel rispetto della disciplina in materia di protezione dei datipersonali." (punto 5);

g)all'articolo 5, comma 5, si chiarisca che oggetto del diritto di accesso civicosono non già i documenti o dati qualificati come "pubblici" ma quellidi cui sia prevista la pubblicazione obbligatoria (punto 4.2);

h)l'articolo 7 sia integrato con il seguente comma o con altro di analogo tenore:"In caso di pubblicazione di dati personali, il loro utilizzo in altreoperazioni di trattamento è consentito solo in termini compatibili con gliscopi per i quali sono stati raccolti e registrati, ai sensi dell'articolo 11,comma 1, lett. b) del decreto legislativo 30 giugno 2003, n. 196 e comunque nelrispetto delle disposizioni del medesimo decreto legislativo n. 196 del2003." (punto 6);

i) ilcomma 3 dell'articolo 8 sia rimodulato con l'indicazione di terminidifferenziati in ragione delle categorie di dati e delle specifiche finalitàdella pubblicazione, facendo salvi i diversi termini previsti dalla normativavigente e non solo quelli di cui agli articoli 14, comma 2, e 15, comma 4,dell'odierno schema di decreto (punto 7);

j)all'articolo 9, comma 2, si preveda una disciplina più articolata al riguardo,anche stabilendo un'accessibilità selettiva e mirata dei documenti e dei datidopo la scadenza del termine di pubblicazione, e comunque sancendo lacancellazione dei dati personali, anche relativamente ai dati indicati agliarticoli 14, comma 2, e 15, comma 4 (punto 7);

k)all'articolo 14 siano apportate modifiche che introducano, selettivamente, unagraduazione degli obblighi di pubblicazione, sia sotto il profilo della plateadei soggetti coinvolti, che del contenuto degli atti da pubblicare, neitermini di cui in motivazione, prevedendo in ogni caso la soppressione delladisposizione in base alla quale deve essere data evidenza al mancato consenso,e che della dichiarazione dei redditi siano pubblicate sul web, al massimo, lesole "notizie risultanti dal quadro riepilogativo della dichiarazione deiredditi" (punto 8);

l) loschema di decreto sia modificato circoscrivendo la pubblicazione obbligatoriadei dati relativi a dipendenti pubblici a un novero più ristretto diinformazioni personali, strettamente pertinenti, e individuando modalità didiffusione dei dati meno invasive della sfera personale, nei termini di cui alpunto 9;

m) conriferimento agli articolo 23, 26 e 27 lo schema sia perfezionato escludendoespressamente dall'obbligo di pubblicazione, nei termini di cui in motivazione,i dati identificativi dei destinatari di provvedimenti riguardanti personefisiche dai quali sia possibile evincere informazioni relative allo stato disalute degli interessati , ovvero lo stato economico-sociale disagiato deglistessi (punto 10);

n) conriferimento all'articolo 48, comma 3, si preveda espressamente che siaacquisito il parere del Garante sugli schemi di dPCM ivi indicati (punto 12.1)

o) siintegri l'articolo 50 con il seguente periodo: "Resta ferma lagiurisdizione dell'autorità giudiziaria ordinaria rispetto a controversie cheriguardano comunque l'applicazione delle disposizioni del decreto legislativo30 giugno 2003, n. 196." (punto 11);

econ le seguenti osservazioni:

p)l'articolo 4, comma 2, sia raccordato con gli articoli 65 ("dirittipolitici e pubblicità dell'attività di organi") e 68 ("beneficieconomici ed abilitazioni") del Codice nei termini ivi descritti (punto5);

q)l'articolo 47, comma 1, sia coordinato con l'articolo 14 (punto 8);

r)all'articolo 45, comma 4, valuti l'Amministrazione di sostituire le parole"soggetti titolari dei dati" con "soggetti interessati"(punto 13);

s)all'articolo 49, si valuti l'opportunità di prevedere la possibilità diparticolari modalità applicative delle disposizioni dell'odierno decreto anchecon riferimento a istituzioni o amministrazioni diverse dalla Presidenza delConsiglio dei ministri i cui ordinamenti presentino specifiche peculiarità, neitermini di cui in motivazione (punto 12.2).

Roma, 7 febbraio 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia