"Cerniera" tra le PA e la Società Civile

RIUTILIZZO DELLE INFORMAZIONI DEL SETTORE PUBBLICO E PROTEZIONE DEI DATI PERSONALI

CLAUDIO FILIPPI |

GARANTE PROTEZIONE DATI PERSONALI

DIRETTIVA 2003/98/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 17 novembre 2003

relativa al riutilizzo dell'informazione del settore pubblico

La presente direttiva detta un complesso minimo di

norme in materia di riutilizzo e di strumenti pratici per agevolare

il riutilizzo dei documenti esistenti in possesso degli enti

pubblici degli Stati membri.

La legislazione vigente attribuisce al riutilizzo delle informazioni del settore

pubblico un ruolo fondamentale, in quanto la gran mole dei dati pubblici

rappresenta un enorme patrimonio in termini di conoscenza, trasparenza e

sviluppo.

Questi dati, in alcuni casi, sono disponibili ma con una serie di vincoli di tipo

tecnico (ad esempio, legati al formato utilizzato) o giuridico (relativi alla licenza

di utilizzo) che ne impediscono o ne limitano il riutilizzo.

«riutilizzo»

l'uso di documenti in possesso di enti pubblici

da parte di persone fisiche o giuridiche a fini commerciali o

non commerciali diversi dallo scopo iniziale nell'ambito dei

compiti di servizio pubblico per i quali i documenti sono

stati prodotti. Lo scambio di documenti tra enti pubblici

esclusivamente in adempimento dei loro compiti di servizio

pubblico non costituisce riutilizzo.

«documento»

qualsiasi contenuto, a prescindere dal suo supporto (testo

su supporto cartaceo o elettronico, registrazione sonora,

visiva o audiovisiva)

Il riutilizzo dei dati del settore pubblico, per fini sia commerciali sia non commerciali, deve avvenire nel pieno rispetto delle legislazioni nazionale ed europea sulla tutela della vita privata.

Gli obiettivi di una maggiore diffusione dei dati pubblici e della protezione dei dati personali possono rafforzarsi reciprocamente se sono basati su una gestione consapevole delle informazioni da parte del settore pubblico.

Considerando 21

•La presente direttiva dovrebbe essere attuata ed applicata nel pieno rispetto dei principi relativi alla protezione dei dati personali ai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Articolo 1, commi 3 e 4

•La presente direttiva si basa, senza recar loro pregiudizio, sui regimi di accesso esistenti negli Stati membri. La presente direttiva non si applica nei casi in cui i cittadini o le imprese devono dimostrare, in virtù del regime di accesso, di avere un particolare interesse all'ottenimento dell'accesso ai documenti.

•La presente direttiva non pregiudica in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto comunitario e nazionale e non modifica, in particolare, i diritti e gli obblighi previsti dalla direttiva 95/46/CE.

D.lg. 24 gennaio 2006, n. 36

Attuazione della direttiva 2003/98/CE relativa al riutilizzo di documenti nel settore pubblico

art. 4. Norma di salvaguardia

Sono fatte salve:•la disciplina sulla protezione dei dati personali;•la disciplina sulla protezione del diritto d'autore;•la disciplina in materia di accesso ai documenti amministrativi;•le disposizioni in materia di riutilizzazione commerciale dei documenti, dei dati e delle informazioni catastali ed ipotecarie;•le disposizioni in materia di proprietà industriale;•la disciplina sul Sistema statistico nazionale.

D.Lgs. 7 marzo 2005, n. 82

Codice dell'amministrazione digitale

Articolo 50. Disponibilità dei dati delle pubbliche amministrazioni.

I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l'uso delle tecnologie dell'informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall'ordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico.

Qualunque dato trattato da una pubblica amministrazione, salvi i casi previsti dall'articolo 24 della legge n. 241/1990, e nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell'amministrazione richiedente,

d.lg. 30 giugno 2003, n. 196

Codice in materia di protezione dei dati personali

"dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

"dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato.

Art. 11 (Modalità del trattamento e requisiti dei dati)

I dati personali oggetto di trattamento sono:

•raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

•conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;

•i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici

Art. 18

•qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali;

•i soggetti pubblici non devono richiedere il consenso dell'interessato.

Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari

Art. 19

•la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.

Principi applicabili al trattamento di dati sensibili

Art. 20

•Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

In proposito, numerosi ed importanti principi che possono guidare le

Amministrazioni nella definizione delle soluzioni e delle modalità con cui

procedere alla pubblicazione sono contenuti nella Deliberazione dell’Autorità

Garante per la protezione dei dati personali del 2 marzo 2011 recante “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di

pubblicazione e diffusione sul Web”

(Deliberazione n. 88/2011 - G.U. n. 64 del 19 marzo 2011 e su www.garanteprivacy.it [doc. web n. 1793203]).

La privacy non deve essere vissuta come un ostacolo insormontabile nel processo di apertura delle informazioni del settore pubblico.

Infatti, la gran parte dei dati pubblici (basti pensare alle cartografie, oppure alle informazioni relative all’inquinamento) non possono essere classificati come personali, in quanto - cioè - non riconducibili ad un soggetto. In tutti gli altri casi, la privacy può essere efficacemente tutelata pubblicando i dati in forma anonima o

comunque adottando tutte le cautele idonee a evitare che i soggetti cui i dati si riferiscono possano essere identificati.

Secondo il Garante, infatti, non si ravvisa la necessità di adottare alcuna

specifica cautela qualora le pubbliche amministrazioni ritengano di pubblicare

sul sito web informazioni non riconducibili a persone identificate o identificabili.

Ad esempio:•dati quantitativi aggregati per uffici riguardanti i livelli retributivi ed accessori risultanti dai contratti collettivi o da atti interni di organizzazione;•tassi di assenza e di maggiore presenza del personale; •informazioni relative alla performance dell'amministrazione;•obiettivi assegnati agli uffici insieme ai relativi indicatori e ai risultati complessivi raggiunti;•l'ammontare complessivo dei premi collegati alla performance stanziati e di quelli effettivamente distribuiti; •dati relativi al grado di differenziazione nell'utilizzo della premialità, informazioni concernenti la dimensione della qualità dei servizi erogati, notizie circa la gestione dei pagamenti e le buone prassi.

Parere del Garante europeo della protezione dei dati

sul «pacchetto dati aperti» della Commissione europea, costituito:

•da una proposta di direttiva che modifica la direttiva 2003/98/CE relativa al riutilizzo dell’informazione del settore pubblico;•da una comunicazione sui dati aperti;•dalla decisione 2011/833/UE della Commissione relativa al riutilizzo dei documenti della Commissione.

Il Garante europeo della protezione dei dati rileva che

nella proposta, come descritto nella sezione 5.1 della comunicazione, vi è «il principio che tutte le informazioni in possesso del settore pubblico, che non rientrano esplicitamente tra le eccezioni, sono riutilizzabili per fini commerciali e non commerciali».

In particolare, la proposta di modifica dell’articolo 3, paragrafo 1, della direttiva PSI (public sector information) impone espressamente agli Stati membri di garantire che «i documenti esistenti» detenuti da enti pubblici degli Stati membri siano «riutilizzabili per fini commerciali e non commerciali»

Il Garante europeo della protezione dei dati ritiene che

Il riutilizzo delle informazioni del settore pubblico contenenti dati personali può arrecare notevoli benefici, ma comporta anche rischi considerevoli per la protezione dei dati personali.

Alla luce di tali rischi, raccomanda

che la proposta definisca più chiaramente in quali situazioni (campo di applicabilità) e fatte salve quali salvaguardie le informazioni contenenti dati personali possono dovere essere messe a disposizione per il riutilizzo.

In particolare, la proposta deve:

prevedere che venga svolta una valutazione dall’ente pubblico interessato prima che qualsivoglia informazione del settore pubblico contenente dati personali sia messa a disposizione per il riutilizzo;

imporre che:

i dati siano resi completamente o parzialmente anonimi e che

le condizioni di concessione delle licenze vietino espressamente la reidentificazione delle persone;

disporre che i termini della licenza per il riutilizzo dell’informazione del settore pubblico contengano una clausola di protezione dei dati ogniqualvolta si trattino dati personali;

considerando i rischi per la protezione dei dati personali, imporre a chi chiede il riutilizzo di dimostrare (attraverso una valutazione d’impatto sulla protezione dei dati o mediante altre modalità) che eventuali rischi per la protezione dei dati personali vengano adeguatamente presi in considerazione.

Provvedimento del Garante n. 49 del 7 febbraio 2013 su www.garanteprivacy.it [doc web. n. 2243168]

Il parere sullo schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa

Profili di criticità emergono anche in relazione all'articolo 7, secondo il quale i dati resi pubblici in conformità al regolamento

"sono liberamente riutilizzabili secondo la normativa vigente, senza ulteriori restrizioni diverse dall'obbligo di citare la fonte e di rispettarne l'integrità".

Tale previsione pare porsi in contrasto con il principio di finalità, anch'esso di matrice europea, in base al quale i dati personali, legittimamente raccolti, possono essere utilizzati in altre operazioni del trattamento solo "in termini compatibili" con gli scopi per i quali sono stati raccolti e registrati (art. 11, comma 1, lett. b), del Codice; art. 6 direttiva 95/46/CE).

Sul punto il Garante ha richiesto di integrare l'articolo 7 con il seguente comma o con altro di analogo tenore:

"In caso di pubblicazione di dati personali, il loro utilizzo in altre operazioni di trattamento è consentito solo in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, ai sensi dell'articolo 11, comma 1, lett. b) del decreto legislativo 30 giugno 2003, n. 196, e comunque nel rispetto delle disposizioni del medesimo decreto legislativo n. 196 del 2003.".

Garante per la protezione dei dati personali

Piazza di Monte Citorio 121

00186 Roma

www.garanteprivacy.it

garante@garanteprivacy.it

06696772917