Decreto legislativo - 30/06/2003 - n. 196 art. 61 - (Utilizzazione di dati pubblici e regole deontologiche 1 )(Utilizzazione di dati pubblici e regole deontologiche 1)
1. Il Garante promuove, ai sensi dell'articolo 2-quater, l'adozione di regole deontologiche per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti da più archivi, tenendo presenti le pertinenti Raccomandazioni del Consiglio d'Europa 2. 2. Agli effetti dell'applicazione del presente codice i dati personali diversi da quelli di cui agli articoli 9 e 10 del regolamento, che devono essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a soggetti pubblici e privati o diffusi, ai sensi dell'articolo 2-ter del presente codice, anche mediante reti di comunicazione elettronica. Può essere altresì menzionata l'esistenza di provvedimenti che a qualsiasi titolo incidono sull'esercizio della professione 3. 3. L'ordine o collegio professionale può, a richiesta della persona iscritta nell'albo che vi ha interesse, integrare i dati di cui al comma 2 con ulteriori dati pertinenti e non eccedenti in relazione all'attività professionale. 4. A richiesta dell'interessato l'ordine o collegio professionale può altresì fornire a terzi notizie o informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell'albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari. [1] Rubrica modificata dall'articolo 5, comma 1, lettera c), numero 1), del D.Lgs. 10 agosto 2018, n. 101. [2] Comma sostituito dall'articolo 5, comma 1, lettera c), numero 2), del D.Lgs. 10 agosto 2018, n. 101. [3] Comma sostituito dall'articolo 5, comma 1, lettera c), numero 2), del D.Lgs. 10 agosto 2018, n. 101. InquadramentoVa subito specificato che il diritto di accesso “privacy” è diverso dal diritto di accesso ai documenti pubblici: il primo è un diritto dell'interessato concernente l'accesso ai propri dati personali e agli elementi che ne giustificano e perimetrano il trattamento, il secondo attiene all'accessibilità del documento che contiene, eventualmente, dati personali propri o di terzi (il Regolamento disciplina, all'art. 15 del Regolamento, il diritto dell'interessato di accedere ai dati personali, istituto giuridico del tutto differente dal diritto di accesso a documenti pubblici di cui all'art. 86 del Regolamento). È anche necessario chiarire, citando le Linee guida del Garante Privacy, in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (GPDP 15 maggio 2014, n. 243) «vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell'azione amministrativa per finalità di trasparenza da quelle che regolano forme di pubblicità per finalità diverse (es.: pubblicità legale). In particolare, gli obblighi di pubblicazione online di dati per finalità di “trasparenza” sono quelli indicati nel d.lgs. n. 33/2013 e nella normativa vigente in materia avente a oggetto le “informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche”. A tali obblighi si applicano le indicazioni contenute nella parte prima delle presenti Linee guida. Accanto a questi obblighi di pubblicazione permangono altri obblighi di pubblicità online di dati, informazioni e documenti della p.a. – contenuti in specifiche disposizioni di settore diverse da quelle approvate in materia di trasparenza – come, fra l'altro, quelli volti a far conoscere l'azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, o quelli atti a garantire la pubblicità legale degli atti amministrativi (es.: pubblicità integrativa dell'efficacia, dichiarativa, notizia). Si pensi, a titolo meramente esemplificativo, alle pubblicazioni ufficiali dello Stato, alle pubblicazioni di deliberazioni, ordinanze e determinazioni sull'albo pretorio online degli enti locali (oppure su analoghi albi di altri enti, come ad esempio le Asl), alle pubblicazioni matrimoniali, alla pubblicazione degli atti concernenti il cambiamento del nome, alla pubblicazione della comunicazione di avviso deposito delle cartelle esattoriali a persone irreperibili, ai casi di pubblicazione dei ruoli annuali tributari dei consorzi di bonifica, alla pubblicazione dell'elenco dei giudici popolari di corte d'assise, etc.». Con riferimento agli obblighi di pubblicità on line, non mancano i provvedimenti del Garante, che negli ultimi anni ha sanzionato svariati enti pubblici per violazione del principio di cui all'art 5 del GDPR. Vedasi ad esempio l'ordinanza ingiunzione del 9 luglio 2020 [doc web 9446659], nei confronti del Comune di Baronissi, che aveva pubblicato sull'albo pretorio on line un provvedimento del settore urbanistica che conteneva dati anagrafici e catastali dei soggetti interessati (oltre a fotografie dell'immobile e informazioni sulle opere abusive realizzate) ben oltre il termine di pubblicazione di 15 giorni previsto dalla normativa di settore. In quel caso il Garante infatti, anche facendo riferimento alle citate line guida sulla trasparenza, ha ritenuto che, per il periodo eccedente, la diffusione dei dati fosse illecita, in quanto non supportata da idonei presupposti normativi. Inoltre, i dati pubblicati risultavano eccedenti rispetto alla finalità perseguita. Analogamente il Garante ha sanzionato l'Azienda Sanitaria Provinciale di Cosenza, con provvedimento del 1° ottobre 2020 [doc. web 9483375] per la pubblicazione sul sito web istituzionale di una delibera del commissario ad acta relativa ad una richiesta di risarcimento danni, che conteneva dati anagrafici e fiscali degli aventi diritto al risarcimento. In particolare, il Garante ha ravvisato la violazione dell'art. 5 del GDPR in quanto i dati non erano limitati a quanto necessario per le finalità perseguite, nonché la violazione dell'art. 9 GDPR, in quanto erano stati pubblicati illecitamente dati relativi alla salute (trattandosi di vicenda attinente al risarcimento dai danni cagionati dall'ASL). Ancora, con l'ordinanza ingiunzione del 3 settembre 2020 [doc web 9468523], il Garante ha sanzionato il Comune di Casaloldo per aver pubblicato on line non solo le graduatorie definitive dei vincitori di un concorso pubblico, come previsto dalla normativa di settore, ma anche gli esiti delle prove intermedie e i dati personali dei concorrenti non vincitori, non ammessi o ritirati. Nel codice privacy, le declinazioni e specificazioni di quanto previsto, in via generale, dall'art. 86 del Regolamento si rintracciano negli artt. 59, 60, 61, oltre che nell'art. 2-sexies comma 2 (in materia di trattamenti per rilevante interesse pubblico). A norma dell'art. 59 del codice, i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla l. n. 241/1990, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati sensibili e giudiziari e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. I presupposti, le modalità e i limiti per l'esercizio del diritto di accesso civico restano disciplinati dal d.lgs. n. 33/2013 (cosiddetto “Codice Trasparenza”). A guidare l'interprete, con riferimento al perimetro di accessibilità dei documenti pubblici, saranno quindi tali normative nazionali. Gli artt. 22 e ss. della l. n. 241/1990 prevedono l'accessibilità dei documenti amministrativi da parte di tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso. Per “documento amministrativo”, va intesa ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale. L'accesso ai documenti amministrativi, attese le sue rilevanti finalità di pubblico interesse, costituisce principio generale dell'attività amministrativa al fine di favorire la partecipazione e di assicurarne l'imparzialità e la trasparenza. Non sono accessibili le informazioni in possesso di una pubblica amministrazione che non abbiano forma di documento amministrativo, salvo quanto previsto dal d.lgs. n. 196/2003 (e, oggi, dal Regolamento), in materia di accesso a dati personali da parte della persona cui i dati si riferiscono. Il diritto di accesso è esercitabile fino a quando la pubblica amministrazione ha l'obbligo di detenere i documenti amministrativi ai quali si chiede di accedere. Il diritto di accesso è escluso: a) per i documenti coperti da segreto di Stato ai sensi della l. n. 801/1977, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, da regolamento governativo e dalle pubbliche amministrazioni (le singole pubbliche amministrazioni individuano le categorie di documenti da esse formati o comunque rientranti nella loro disponibilità sottratti all'accesso); b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano; c) nei confronti dell'attività della pubblica amministrazione diretta all'emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione; d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi. Non sono ammissibili, secondo la legislazione italiana, istanze di accesso preordinate ad un controllo generalizzato dell'operato delle pubbliche amministrazioni, sebbene tale divieto abbia perso forza e rivesta carattere residuale, con l'introduzione e l'estensione dell'accesso civico, nel d.lgs. n. 33/2013, di cui si dirà più innanzi. La richiesta di accesso ai documenti deve essere motivata. Nel caso i documenti ufficiali contengano dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale. Da notare che la formula letterale dell'art. 60 del codice privacy non include più, come invece prima del 19 settembre 2018, il termine “inviolabile” riferito a diritti e libertà, così aprendo alla possibile sussistenza del “pari rango” anche in casi di tutela di diritti fondamentali riferiti a soggetti giuridici (es. per libertà d'impresa) o solo a persone fisiche dotate di particolari qualifiche (es. cittadini). Si veda sul punto il commento all'art. 9.4 del Regolamento. Diversa disciplina riguarda il cosiddetto “accesso civico”, previsto dal d.lgs. n. 33/2013: l'obbligo sancito dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione. Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del d.lgs. n. 33/2013, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti. L'esercizio del diritto di accesso civico non è sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente. L'accesso civico è rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di uno degli interessi pubblici inerenti a: a) la sicurezza pubblica e l'ordine pubblico; b) la sicurezza nazionale; c) la difesa e le questioni militari; d) le relazioni internazionali; e) la politica e la stabilità finanziaria ed economica dello Stato; f) la conduzione di indagini sui reati e il loro perseguimento; g) il regolare svolgimento di attività ispettive. L'accesso civico è altresì rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di uno dei seguenti interessi privati: a) la protezione dei dati personali, in conformità con la disciplina legislativa in materia (GDPR e codice privacy, in Italia, e normative secondarie pertinenti, derivanti dal Garante per la protezione dei dati personali o da altre Autorità se previsto dalla legge: ad esempio, i dati genetici, biometrici e relativi alla salute non possono essere diffusi ex art. 2-septies comma 8 del codice privacy); b) la libertà e la segretezza della corrispondenza; c) gli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali. Il diritto di accesso civico è escluso nei casi di segreto di Stato e negli altri casi di divieti di accesso o divulgazione previsti dalla legge, ivi compresi i casi in cui l'accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti, inclusi quelli di cui all'art. 24, comma 1 l. n. 241/1990. Utilizzazione di dati pubblici e regole deontologiche, albi professionaliAll'art. 61 del codice privacy si prevede che il Garante promuova, ai sensi dell'art. 2-quater, l'adozione di regole deontologiche per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie appropriate per l'associazione di dati provenienti da più archivi, tenendo presenti le pertinenti Raccomandazioni del Consiglio d'Europa (in particolare, da considerare la Raccomandazione n. R (91) 10 del comitato dei ministri agli Stati membri sulla comunicazione a terzi di dati personali detenuti da organismi pubblici, adottata dal Comitato dei Ministri il 9 settembre 1991, nel corso della 461a riunione dei Delegati dei Ministri). È verosimile che tali nuove regole deontologiche assorbiranno anche quanto stabilito dal Garante nelle note “Linee guida del Garante per la protezione dei dati personali, in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (Pubblicate sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014, web n. 3134436). Si rammenta che le regole deontologiche, adottate ex artt. 61 e 2-quater del codice privacy, avranno una forza indubbiamente più stringente rispetto al diverso strumento delle linee guida (oggi pur previste dall'art. 154-bis del codice), poiché in grado di contenere prescrizioni il cui rispetto costituisce condizione essenziale di liceità del trattamento di dati personali. Ove taluni dati personali non sensibili e non giudiziari debbano essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, questo ne legittima, altresì, la comunicazione a soggetti pubblici e privati o la diffusione anche mediante reti di comunicazione elettronica: è il comma 2 dell'art. 61 del codice privacy a stabilirlo direttamente, con valenza di base giuridica ai sensi dell'art. 2-ter del codice stesso. Può essere altresì menzionata l'esistenza di provvedimenti che a qualsiasi titolo incidono sull'esercizio della professione, ad esempio sanzioni disciplinari. Va detto che il Garante per la protezione dei dati personali, in più provvedimenti speciali, ha ribadito in passato il principio di piena pubblicità e conoscibilità dei dati contenuti in albi professionali. Ci si domanda oggi, alla luce degli artt. 5 e 25 del Regolamento, se un ordine o collegio professionale non debba, in ogni caso, operare una valutazione di rispetto dei principi di minimizzazione e di protezione dei dati sin dalla progettazione, con riferimento alla pubblicazione dei dati degli iscritti on line e al loro possibile export massivo in un unico file o, piuttosto, selettivo su richiesta e solo con riferimento al singolo iscritto. L'ordine o collegio professionale può, a richiesta della persona iscritta nell'albo che vi ha interesse, integrare i dati inseriti e pubblicati con ulteriori dati pertinenti e non eccedenti in relazione all'attività professionale (ad esempio, dati relativi a titoli di studio o particolari attestati di formazione). A richiesta dell'interessato l'ordine o collegio professionale può altresì fornire a terzi notizie o informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell'albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari: questa previsione potrebbe rivelarsi estremamente utile per segnalare all'esterno la volontà di essere legittimamente contattato da soggetti terzi, con determinati strumenti quali, ad esempio, il telefono o la posta cartacea. BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016. |
