Quale protezione per gli open data?

Cosa sono gli open data

Quando, nel lontano 2003, l’Unione Europea si è accorta che la Pubblica Amministrazione, in tutti i paesi membri, era una miniera di dati ancora non si parlava di big data e della possibilità di elaborarli per favorire le attività economiche. In quell’anno l’intuizione, tradotta in una apposita direttiva, fu quella di mettere a disposizione dei cittadini i dati in possesso delle pubbliche amministrazioni, affinché potessero fare da volano per iniziative di studio, di ricerca e, eventualmente, di avvio di attività economiche.

L’esempio più classico è l’elenco dei ristoranti autorizzati ad operare in una zona a potenziale vocazione turistica: da questo dato un operatore economico lungimirante avrebbe potuto verificare la proficuità di un investimento in quella zona scegliendo di avviare un’attività di ristorazione (se il numero di ristoranti fosse stato ancora basso) oppure di realizzare un parco giochi per bambini (se la zona fosse stata già piena di ristoranti).

L’idea di base era quella di indurre le pubbliche amministrazioni, centrali e locali, a condividere dati con le seguenti caratteristiche:

• i dati dovevano essere pubblici ovvero conoscibili da chiunque;
• i dati dovevano essere in formato aperto ovvero utilizzabili da chiunque.

La compresenza di questi due elementi caratterizza quelli che vengono comunemente definiti open data e che, quindi, la Pubblica Amministrazione può mettere a disposizione tramite lo strumento di diffusione più efficace: il proprio sito web.

La normativa di riferimento

Dal punto di vista normativo, tutto nasce, come già detto, con la direttiva europea n. 98 del 2003[i] che è stata applicata, in Italia, dal decreto legislativo n. 36 del 2006[ii]. L’oggetto di questo provvedimento è il “riutilizzo dell’informazione del settore pubblico” ovvero l’uso dei dati, anche a fini commerciali, di cui è titolare una pubblica amministrazione per scopi diversi dallo scopo iniziale per il quale quel dato (documento, dice la norma) era stato prodotto.

Quindi, per esempio, l’elenco degli acquisti di un comune, aggregati per categoria merceologica, rientra nell’ambito di applicazione del decreto perché lo scopo iniziale dell’acquisto è dotare il comune dei mezzi e degli strumenti utili al suo funzionamento ma gli operatori commerciali possono utilizzare l’elenco per capire, insieme ad altri dati, se esiste un “mercato da esplorare”.

Nel 2013, l’Unione Europea è tornata sulla materia con la direttiva n. 37[iii] che ha definito con maggior precisione alcuni elementi tecnici ed ha specificato meglio quali dati (documenti, insiste la norma) non rientravano nell’applicazione della direttiva. Parallelamente, in Italia, il decreto legislativo n. 102[iv] del 2015 ha modificato il decreto legislativo n. 36 del 2006, tutt’ora vigente.

In particolare, tra le novità introdotte, vi è l’esclusione dall’ambito di applicazione della norma di documenti che contengono dati personali il cui riuso è incompatibile con gli scopi originari del trattamento da parte della Pubblica Amministrazione. Questo vuol dire che i dati personali, di fatto, non possono essere considerati open data a meno che:

• esista una norma che preveda espressamente la facoltà o l’obbligo di pubblicarli;
• sia stato acquisito il consenso per la loro diffusione, da realizzare tramite canali tradizione o sul sito web istituzionale.

Proprio a seguito di queste modifiche l’Agenzia per l’Italia Digitale introduce, nelle “Linee Guida Nazionali per la Valorizzazione del Patrimonio Informativo Pubblico” del 2016[v], una check‑list d’ausilio alle pubbliche amministrazioni per verificare gli aspetti giuridici che avrebbero potuto incidere sulla possibilità di considerare “open” alcuni data set. Nella check‑list, confermata nella versione del 2018 delle stesse Linee Guida[vi], l’Agid si concentra soprattutto sulla riservatezza dei dati personali attraverso le seguenti domande:

• i dati sono liberi da ogni informazione personale che possa identificare in modo diretto l’individuo (nome, cognome, indirizzo, codice fiscale, patente, telefono, email, foto, descrizione fisica, ecc.)? In caso negativo queste informazioni sono autorizzate per legge?
• i dati sono liberi da ogni informazione indiretta che possa identificare l’individuo (caratteristiche personali che possono identificare facilmente il soggetto)? In caso negativo queste informazioni sono autorizzate per legge?
• i dati sono liberi da ogni informazione sensibile riconducibile all’individuo? In caso negativo queste informazioni sono autorizzate per legge?
• i dati sono liberi da ogni informazione relativa al soggetto che incrociata con dati comunemente reperibili nel web (e.g. google maps, linked data, ecc.) possa identificare l’individuo? In caso negativo queste informazioni sono autorizzate per legge?
• i dati sono liberi da ogni riferimento a profughi, protetti di giustizia, vittime di violenze o in ogni caso categorie protette?
• hai considerato il rischio di de-anonimizzazione del tuo dataset prima di pubblicarlo?

L’Agid, insomma, si preoccupa di verificare che non siano resi pubblici dati che potrebbero essere ricondotti a persone fisiche e che, quindi, potrebbero ledere i loro diritti e le loro libertà.

Le previsioni del Regolamento Europeo 679/2016

Tuttavia, il Regolamento UE n. 679/2016[vii] (GDPR), oltre a ribadire l’attenzione alla riservatezza, tra i principi cardine specifica (come d’altra parte faceva già il decreto legislativo n. 196/2003) che i dati personali devono essere “esatti e, se necessario aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”)”.

Questo vuol dire che la check-list dell’Agid ha bisogno di un’integrazione che induca le pubbliche amministrazioni a manutenere i data set che pubblicano come open data.

Sappiamo, inoltre, che le pubbliche amministrazioni sono obbligate, dall’art. 37 del GDPR, a designare un Data Protection Officer (DPO) con il compito di sorvegliare sull’osservanza del regolamento e di altre norme nazionali ed europee in materia di trattamento dei dati personali. Il DPO, quindi, dovrà verificare che gli open data messi a disposizione dalla pubblica amministrazione che lo ha designato siano pubblicati osservando i principi del GDPR: liceità, riservatezza ma anche esattezza. Insomma, deve vigilare affinché i dati non siano pubblicati e, poi, abbandonati a se stessi.

La situazione attuale

La situazione in Italia, per quanto riguarda gli open data, è piuttosto confusa. Non esiste un obbligo di pubblicazione in un unico hub e nemmeno di centralizzazione della catalogazione: ogni pubblica amministrazione può pubblicare gli open data utilizzando il proprio sito web con l’unico vincolo di renderli in formato “aperto” ovvero utilizzabile da chiunque con i comuni software di automazione d’ufficio.

Le pubbliche amministrazioni più solerti si sono avvalse dell’opportunità di aderire alla federazione di cataloghi messa a disposizione dall’Agid[viii]. Parliamo di 42 amministrazioni che hanno messo a disposizione circa 20.000 data set: possono sembrare numeri importanti ma, di fatto, sono poca cosa rispetto alle potenzialità pubbliche. Colpisce, inoltre, che il Comune di Albano Laziale pubblichi 1.189 data set a fronte della Regione Campania che ne pubblica solo 36.

Una sbirciatina al contenuto dei singoli data set sorprende ancora di più. Si può scoprire, infatti, che:

• le domande dell’Agid vengono spesso ignorate se sono stati pubblicati data set di artigiani con una colonna dedicata ai collaboratori dove si possono trovare diciture del tipo “Sig. Caio Tizio (Fratello)” oppure “Sempronia Mevia (moglie) dal 02.07.2012” (i veri nomi sono presenti nel data set);
• molti data set contengono dati personali (il cui consenso alla diffusione si suppone acquisito a monte) che sono riferiti ad anni precedenti e che sembrano abbandonati senza alcuna sistematica attività di aggiornamento; per esempio il data set direttoretecnico.csv (il cui ultimo aggiornamento è del 16/6/2017) messo a disposizione dalla Città Metropolitana di Roma sembra, addirittura, fornire informazioni sullo stato di occupazione lavorativa dei soggetti interessati.

Bella trovata gli open data! Ma anche un lavoro aggiuntivo (e non così piacevole) al quale i Data Protection Officer, forse, non avevano pensato.

• [i] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32003L0098&from=IT
• [ii] http://www.normattiva.it/
• [iii] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32013L0037&from=IT
• [iv] http://www.normattiva.it/
• [vi] https://media.readthedocs.org/pdf/lg-patrimonio-pubblico/latest/lg-patrimonio-pubblico.pdf#page=1&zoom=auto,-20,798
• [vii] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679&from=IT

A cura di: Francesco Maldera

Profilo Autore

Francesco Maldera

Francesco Maldera è Data Protection Officer e Data Scientist.
Il suo percorso professionale lo ha chiamato a responsabilità direzionali nell’ambito dei sistemi informativi, della safety&security, della privacy e dell’auditing svolgendo diversi incarichi dirigenziali nella Pubblica Amministrazione e in aziende private.
Attualmente, accompagna l’attività consulenziale a quella di sensibilizzazione delle persone tramite il sito www.prontoprivacy.it

Altri Articoli

• Francesco Maldera

  https://www.ictsecuritymagazine.com/author/francesco-maldera/

  La corsa a ostacoli della transizione digitale
• Francesco Maldera

  https://www.ictsecuritymagazine.com/author/francesco-maldera/

  Arrivano le clausole contrattuali tipo dalla Commissione Europea
• Francesco Maldera

  https://www.ictsecuritymagazine.com/author/francesco-maldera/

  La cybersecurity e l’autonomia europea
• Francesco Maldera

  https://www.ictsecuritymagazine.com/author/francesco-maldera/

  Certificazioni per il cloud: in arrivo le indicazioni europee