Il legame big data – intelligenza artificiale nel contrasto alla corruzione
15 Gennaio 2019
La privacy e la regolazione multilivello
17 Gennaio 2019

Trasparenza, accesso civico e sicurezza dei dati

La luce invade un corpo e diviene trasparente agli occhi dell’osservatore, rendendo l’immagine nella sua dimensione naturale, e più questa intensità aumenta più è possibile togliere tutte le oscurità, sicché nel linguaggio e nell’analisi giuridica la “trasparenza” ha assunto una molteplicità di definizioni, accomunate dall’esigenza di celebrare la chiarezza e regolarità del procedimento (principio di legalità/integrità), rendendo conto di ogni sua fase, garantendo la partecipazione degli interessati al processo decisionale, assicurando la democraticità del sistema ordinamentale.

È, quindi, comprensibile la condotta dell’Amministrazione che annulla l’affidamento, nonostante la sottoscrizione del contratto, una volta presa cognizione della situazione caratterizzata da un consistente vizio costituito dalla mancata pubblicazione del bando di gara: in particolare, il bando risultava essere stato pubblicato in data successiva rispetto a quello previsto per la scadenza del termine di presentazione delle offerte: una palese violazione dei principi di “trasparenza[1].

Appare evidente che la “trasparenza”, nelle dinamiche pubbliche, per essere efficace è accompagnata a specifici oneri di “pubblicità”, che da una parte, costituiscono elementi di apertura del mercato concorrenziale e delle pari opportunità negoziali, dall’altra parte, ambiscono a definire l’azione amministrativa, sia nel lato del diritto di accesso partecipativo (presentazione di memorie) che nel lato del diritto di accesso informativo e difensivo, quando il potere utilizza le risorse collettive o incida la sfera giuridica del destinatario.

Va aggiunto, per completamento espositivo, che vi sono limitazioni alla trasparenza riferite ad attività che non rientrano all’interno della qualifica di “azione amministrativa”, quale espressione di un potere dello Stato[2]; ovvero, la proponibilità dell’actio ad exhibendum in relazione ad atti attinenti all’esercizio della funzione giurisdizionale o di altro potere dello Stato diverso da quello amministrativo[3].

In termini più espliciti, il diritto di accesso va riferito ai documenti amministrativi e tali non possono essere considerati gli atti di natura processuale o, comunque, relativi ad un procedimento che si svolge o si sia svolto innanzi a un’Autorità giudiziaria, «con riferimento alle possibili sovrapposizioni con l’esercizio dell’attività giudiziaria, occorre chiarire che l’accesso generalizzato riguarda, atti, dati e informazioni che siano riconducibili a un’attività amministrativa, in senso oggettivo e funzionale. Esulano, pertanto, dall’accesso generalizzato gli atti giudiziari, cioè gli atti processuali o quelli che siano espressione della funzione giurisdizionale, ancorché non immediatamente collegati a provvedimenti che siano espressione dello “ius dicere”, purché intimamente e strumentalmente connessi a questi ultimi[4].

La “trasparenza”, in chiave procedimentale (ex artt. 10 e 22 ss. della Legge n. 241/1990) e conoscitiva del diritto di accesso semplice e generalizzato (ex art. 5 del D.Lgs. n. 33/2013, c.d. Trasparenza, sul modello di Open government) può trovare delle limitazioni tra il suo bilanciamento e la riservatezza, specie quando tratta dati personali, capaci di profilare un soggetto, delineandone la condotta e il comportamento, sottraendo libertà individuali, minando la democrazia (ex Regolamento (UE) n. 679/2016, c.d. GDPR).

L’ANAC, con Delibera n. 1040 del 14 novembre 2018, interviene sui termini di pubblicazione di alcuni dati riferiti agli amministratori e agli esperti nominati da organi giurisdizionali o amministrativi (ex art. 15 ter del D.Lgs. n. 33/2013), in ragione del tempo trascorso dalla data di adozione del provvedimento: il trascorrere del tempo è senz’altro l’elemento più importante per valutare l’accoglimento di una richiesta ad “essere dimenticati”, ma l’esercizio del c.d. “diritto all’oblio” va bilanciato con altri profili qualora di interesse pubblico, «anche in ragione del ruolo nella vita pubblica rivestito» dal richiedente, che «ricopre incarichi istituzionali di alto livello»[5].

Si lamenta l’eccesso di esposizione e la violata riservatezza nell’equo bilanciamento tra le indiscusse ragioni di pubblicità che impongono la visibilità erga omnes al contempo l’interesse alla non identificabilità ad libitum anche per il fatto che i documenti sono indicizzati da motori di ricerca generalisti.

L’art. 7 bis «Riutilizzo dei dati pubblicati» del decreto Trasparenza, dopo aver previsto che «gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari» comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo, nel rispetto dei principi sul trattamento dei dati personali, impone:

  • al comma 3 che «le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti»;
  • al comma 4 che «nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione».

In termini coerenti, secondo il nuovo art. 2 ter del D.Lgs. n. 196/2003 di recepimento, con il D.Lgs. 101/2018 del GDPR è necessario garantire, prima di procedere alla pubblicazione (rectius diffusione), la base giuridica di riferimento «costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento».

Dalle premesse, si tratta di comprendere l’ambito della pubblicazione dei dati obbligatori e di quelli facoltativi (ulteriori, c.d. trasparenza proattiva) contenenti dati personali, avendo cura subito di chiarire che i dati puntualmente indicati dal D.Lgs. n. 33/2013, costituiscono dati/informazioni/documenti da pubblicare specificamente previsti da norma primaria.

Se da una parte vi sono dati da pubblicare obbligatoriamente, questo obbligo deve raccordarsi le disposizioni del Regolamento (UE) 2016/679, ove pone dei limiti cogenti[6]:

  • «categorie particolari di dati personali» (art. 9 §1,): «è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona»;
  • «dati personali relativi a condanne penali e reati o a connessi misure di sicurezza» (art. 10 §1): «il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza…, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica».

Si rammenta che:

  • per «dato personale» deve intendersi «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del Regolamento (UE) 2016/679).
  • il comma 2 dell’ 22 «Altre disposizioni transitorie e finali» del D.Lgs. n. 101/2018, chiarisce che «a decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate ai sensi dell’articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all’articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all’articolo 10 del medesimo regolamento».

È noto, altresì, che l’accesso a tale genere di dati (sensibili o giudiziari) potrebbero determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto e di eventuali controinteressati, con possibili ripercussioni negative sul piano personale e sociale[7].

Il quadro, porta all’inevitabile conclusione che – in ogni caso – la pubblicazione dei dati non può avvenire in modo indiscriminato senza una corrispondente base giuridica.

La pubblicazione deve garantire i principi di adeguatezza, pertinenza e limitazione a quanto necessario rispetto alle finalità per le quali i dati personali sono trattati («minimizzazione dei dati») e quelli di esattezza e aggiornamento dei dati, con il conseguente dovere di adottare tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati, non potendo pubblicare dati personali di natura sensibile o giudiziaria.

L’ANAC conferma, pertanto, che l’esigenza di rendere trasparenti, all’interno di un procedimento con evidenti finalità pubbliche di prevenzione della corruzione, le scelte effettuate, per favorire forme diffuse di controllo sul “perseguimento delle funzioni istituzionali” e sull’ “utilizzo delle risorse pubbliche”, questo non può travalicare i limiti imposti dalla disciplina comunitaria: liceità, correttezza, minimizzazione dei dati; esattezza, limitazione della conservazione, integrità e riservatezza: la c.d. responsabilizzazione del titolare del trattamento (artt. 5, par. 2, 24 del Regolamento (UE) 2016/679).

Questo pronunciamento – nella sua essenzialità – comporta l’oscuramento di dati personali e di «categorie particolari di dati personali» (art. 9 § 1, Regolamento (UE) 2016/679) e «relativi a condanne penali o a connesse misure di sicurezza» (art. 10 § 1, Regolamento), curando di osservare che gli eventuali ulteriori dati – quelli presenti nel Registro delle imprese – seguono una finalità diversa da quella prevista dal D.Lgs. n. 33/2013.

Infatti, le finalità del cit. Registro è quella di assicurare un sistema organico di pubblicità legale e di pubblicità notizia, garantendo la tempestività dell’informazione su tutto il territorio nazionale e, soprattutto, la certezza del diritto nelle transazioni commerciali nel mercato interno, rendendo disponibili dati attendibili sulla vita e la storia dell’impresa e permettendo a chiunque di conoscere tali dati: una pubblicità che non trova la sua collocazione nei siti istituzionali sez. “Amministrazione Trasparente”, seguendo una diversa forma di trasparenza rinvenibile proprio del Registro delle imprese.

L’eventuale richiesta di accesso civico generalizzato non può che incontrare i limiti di cui all’art. 5 bis del Decreto Trasparenza, e le correlate Linee Guida ANAC n. 1309/2016, dovendo le singole P.A., valutare, volta per volta, verificare, l’esistenza di un pregiudizio concreto e probabile ad uno degli interessi indicati dal legislatore.

Si deve, allora, pensare che da una parte, si esige trasparenza nel rendere ogni attività, procedura, decisione scansionabile e riproducibile, dall’altra, si invoca la tutela dei dati personali, a fronte di una loro diffusione incontrollata (anche con responsabilità proprie nel sistematico consenso al trattamento) che minaccia le relazioni umane e manipola le opinioni.

Gli oneri di pubblicità dei dati, di pubblicazione on line nei siti istituzionali e nei traffici economici della P.A. (vedi, fattura elettronica o registrazioni obbligatorie nelle piattaforme) aumentano i rischi di un illecito trattamento/uso dei dati, con conseguente richiesta di tutela, senza considerare che la sistematica pubblicazione di ogni dato rende incomprensibile la ricerca, costituisce una parte determinante del lavoro pubblico (e dei connessi costi), non garantisce la partecipazione.

La tutela dei dati è sempre più legata a fattori di “sicurezza nazionale” e di “indipendenza” (gli attacchi degli hacker minacciano costantemente la sovranità degli Stati e dei loro Organi Istituzionali, infettando le reti con numerosi virus e malware), mentre il commercio dei dati fonda la nuova “economia digitale”, con regole poco incisive: la rete, i social, i nuovi network sono «la cornice entro cui si sviluppano tutte le attività dell’umanità intera. Il digitale, quindi, è una dimensione della vita, assolutamente reale per quanto immateriale sia nella quale tutti noi ci troviamo, per comunicare nelle diverse forme»[8].

La facilità del commercio dei dati personali, il loro basso costo, la semplicità con la quale si consegnano a terzi i dati personali al fine di acquisire o usufruire di servizi[9], ormai ritenuti indispensabili, è un segno inesorabile di nuove identità o di nuovi diritti di cittadinanza digitale, forse di un nuovo e diverso concetto di progresso, impensabile solo qualche anno fa, ma che pone in discussione i sistemi di sicurezza e le libertà individuali.

Chi possa credere o creda che la sistematica implementazione di banche dati e di pubblicazioni/diffusione di ogni dato – senza una coerenza partecipativa e/o un riscontro di utilità (e al di là dei costi sostenuti e sostenibili) ed associata a massicci investimenti in sicurezza – un giorno possa aumentare o aumenterà l’efficienza e l’efficacia dell’azione amministrativa, richiamando al dovere di uscire dalla logica dell’adempimento (probabilmente non avrà mai concretamente pubblicato un dato o adottato una minima misura di sicurezza informatica), dimentica la storia, e i suoi miti[10], mentre il mondo sarà già cambiato: tali maestri di saggezza vorrebbero conciliare l’inconciliabile.

Note

  • [1] T.A.R. Lazio, Roma, sez. III bis, 21 dicembre 2018, n. 12485.
  • [2] T.A.R. Sicilia, Catania, sez. IV, 21 dicembre 2018, n. 2485.
  • [3] Cons. Stato, sez. IV, 14 febbraio 2012, n. 734,
  • [4] Linee Guida ANAC n. 1309/2016, c.d. FOIA, par. 7.6.; vedi, anche, Circolare F.P. n. 2/2017, «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)».
  • [5] Garante per la protezione dei dati personali, Diritto all’oblio: il tempo non è l’unico elemento da considerare, Ruolo pubblico svolto e attualità della notizia sono importanti fattori da prendere in esame, Newsletter n. 431 dell’8 agosto 2017.
  • [6] Cfr. artt. 23 ss. della Delibera ANAC n. 1019 del 24 ottobre 2018, «Regolamento disciplinante i procedimenti relativi all’accesso civico, all’accesso civico generalizzato ai dati e ai documenti detenuti dall’ANAC e all’accesso ai documenti amministrativi, ai sensi della legge n. 241/1990».
  • [7] Garante per la protezione dei dati personali, Parere su una istanza di accesso civico, doc. web n. 9063993, Registro dei provvedimenti n. 482 del 15 novembre 2018 e doc. web n. 9065404, Registro dei provvedimenti n. 483 del 21 novembre 2018.
  • [8] SORO, Nell’economia digitale è l’etica la vera rivoluzione, www.garanteprivacy.it, 18 dicembre 2018.
  • [9] Cfr. LUCIANO, Facebook è fra gli accusati perché vive facendo spionaggio, ItaliaOggi, 22 dicembre 2018, pag. 4, ove si segnala che attraverso i like e i commenti vi sarebbe stata la possibilità di conoscere il contenuto dei messaggi privati con soggetti terzi, giungendo ad esplicitare che «il punto chiave… è che l’intero modello di business di questo come di tutti i social network si basa sulla violazione della privacy nell’inconsapevolezza dei violati»: una massiccia profilazione dei dati personali, schedando e utilizzando «i miei gusti, solo perché una volta, tanto tempo fa, distrattamente io gliel’ho permesso?». Sul punto vedi, le conclusioni dell’Avvocato generale presso la Corte Giustizia UE nella causa -40/17.
  • [10] Cfr. la “Legge delle XII Tavole”, risalente a metà del V sec. a.C., il testo originale andò perduto, i frammenti vengono dalle citazione dei grandi oratori dell’antichità, ritenuto che il contenuto «delle Dodici tavole abbia da solo più autorità e più utilità di tutte le biblioteche di tutti i filosofi, per chi si occupi delle fonti e dei principi delle leggi», CICERONE, De Oratore, I – 44, 195.

 

Articolo a cura di Maurizio Lucca

Maurizio Lucca

Segretario Generale Enti Locali e Manager di rete

Avv. Maurizio Lucca. Segretario Generale presso Amministrazioni Locali. Ha svolto le funzioni di Direttore Generale in diversi Enti locali. Componente in Nuclei di Valutazione/OIV. Giornalista pubblicista. Formatore nelle tematiche della Pubblica Amministrazione. Docente per la FAD in materia di trasparenza e prevenzione della corruzione, curando il canale tematico “Anticorruzione CHANNEL” del gruppo Maggioli. Scrive per diverse riviste giuridiche. Autore di oltre 700 pubblicazioni tra libri, formulari, saggi e articoli. Tra gli ultimi libri, I contratti degli enti locali. Formulario degli atti negoziali con guida tecnica alla redazione, Maggioli, 2018, pagg. 814. Laureato con il massimo dei voti e una lode in Giurisprudenza e Science politiche. Tra i vari corsi di formazione professionale ha acquisito il Diploma di Perfezionamento (Legge 341/1990 – Map (Management per le Pubbliche Amministrazioni) “Academy dei Segretari Comunali e Provinciali” (Scuola di Direzione Aziendale dell’Università Bocconi - SDA School of Management) 2011; il Master “Governo delle Reti di Sviluppo Locale”, Università degli Studi di Padova, 2014.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy