C. Filippi - "Cerniera" tra le PA e la Società Civile
1. "Cerniera" tra le PA e la Società Civile
RIUTILIZZO DELLE INFORMAZIONI DEL SETTORE
PUBBLICO E PROTEZIONE DEI DATI PERSONALI
CLAUDIO FILIPPI |
GARANTE PROTEZIONE DATI PERSONALI
2. DIRETTIVA 2003/98/CE DEL PARLAMENTO EUROPEO E DEL
CONSIGLIO del 17 novembre 2003
relativa al riutilizzo dell'informazione del settore pubblico
3. La presente direttiva detta un complesso minimo di
norme in materia di riutilizzo e di strumenti pratici per agevolare
il riutilizzo dei documenti esistenti in possesso degli enti
pubblici degli Stati membri.
4. La legislazione vigente attribuisce al riutilizzo delle informazioni del settore
pubblico un ruolo fondamentale, in quanto la gran mole dei dati pubblici
rappresenta un enorme patrimonio in termini di conoscenza, trasparenza e
sviluppo.
Questi dati, in alcuni casi, sono disponibili ma con una serie di vincoli di tipo
tecnico (ad esempio, legati al formato utilizzato) o giuridico (relativi alla licenza
di utilizzo) che ne impediscono o ne limitano il riutilizzo.
5. «riutilizzo»
l'uso di documenti in possesso di enti pubblici
da parte di persone fisiche o giuridiche a fini commerciali o
non commerciali diversi dallo scopo iniziale nell'ambito dei
compiti di servizio pubblico per i quali i documenti sono
stati prodotti.
Lo scambio di documenti tra enti pubblici
esclusivamente in adempimento dei loro compiti di servizio
pubblico non costituisce riutilizzo.
«documento»
qualsiasi contenuto, a prescindere dal suo supporto (testo
su supporto cartaceo o elettronico, registrazione sonora,
visiva o audiovisiva)
6. Il riutilizzo dei dati del settore pubblico, per fini sia commerciali sia non
commerciali, deve avvenire nel pieno rispetto delle legislazioni nazionale ed
europea sulla tutela della vita privata.
Gli obiettivi di una maggiore diffusione dei dati pubblici e della protezione dei
dati personali possono rafforzarsi reciprocamente se sono basati su una
gestione consapevole delle informazioni da parte del settore pubblico.
7. Considerando 21
•La presente direttiva dovrebbe essere attuata ed applicata nel pieno rispetto dei
principi relativi alla protezione dei dati personali ai sensi della direttiva 95/46/CE
del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela
delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla
libera circolazione di tali dati.
8. Articolo 1, commi 3 e 4
•La presente direttiva si basa, senza recar loro pregiudizio, sui regimi di accesso
esistenti negli Stati membri. La presente direttiva non si applica nei casi in cui i
cittadini o le imprese devono dimostrare, in virtù del regime di accesso, di avere
un particolare interesse all'ottenimento dell'accesso ai documenti.
•La presente direttiva non pregiudica in alcun modo il livello di tutela delle persone
fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni
di diritto comunitario e nazionale e non modifica, in particolare, i diritti e gli
obblighi previsti dalla direttiva 95/46/CE.
9. D.lg. 24 gennaio 2006, n. 36
Attuazione della direttiva 2003/98/CE relativa al riutilizzo di documenti nel
settore pubblico
art. 4. Norma di salvaguardia
Sono fatte salve:
•la disciplina sulla protezione dei dati personali;
•la disciplina sulla protezione del diritto d'autore;
•la disciplina in materia di accesso ai documenti amministrativi;
•le disposizioni in materia di riutilizzazione commerciale dei documenti, dei dati e
delle informazioni catastali ed ipotecarie;
•le disposizioni in materia di proprietà industriale;
•la disciplina sul Sistema statistico nazionale.
10. D.Lgs. 7 marzo 2005, n. 82
Codice dell'amministrazione digitale
Articolo 50. Disponibilità dei dati delle pubbliche amministrazioni.
I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi
disponibili e accessibili con l'uso delle tecnologie dell'informazione e della
comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni
fissate dall'ordinamento, da parte delle altre pubbliche amministrazioni e dai
privati; restano salvi i limiti alla conoscibilità dei dati previsti dalle leggi e dai
regolamenti, le norme in materia di protezione dei dati personali ed il
rispetto della normativa comunitaria in materia di riutilizzo delle
informazioni del settore pubblico.
11. Qualunque dato trattato da una pubblica amministrazione, salvi i casi previsti
dall'articolo 24 della legge n. 241/1990, e nel rispetto della normativa in
materia di protezione dei dati personali, è reso accessibile e fruibile alle altre
amministrazioni quando l'utilizzazione del dato sia necessaria per lo svolgimento
dei compiti istituzionali dell'amministrazione richiedente,
12. d.lg. 30 giugno 2003, n. 196
Codice in materia di protezione dei dati personali
"dato personale", qualunque informazione relativa a persona fisica, identificata o
identificabile, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale;
"dati identificativi", i dati personali che permettono l'identificazione diretta
dell'interessato.
13. Art. 11 (Modalità del trattamento e requisiti dei dati)
I dati personali oggetto di trattamento sono:
•raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre
operazioni del trattamento in termini compatibili con tali scopi;
•conservati in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati;
•i dati personali trattati in violazione della disciplina rilevante in materia di
trattamento dei dati personali non possono essere utilizzati.
14. Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici
Art. 18
•qualunque trattamento di dati personali da parte di soggetti pubblici è consentito
soltanto per lo svolgimento delle funzioni istituzionali;
•i soggetti pubblici non devono richiedere il consenso dell'interessato.
15. Principi applicabili al trattamento di dati diversi da quelli sensibili e
giudiziari
Art. 19
•la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici
economici e la diffusione da parte di un soggetto pubblico sono ammesse
unicamente quando sono previste da una norma di legge o di regolamento.
16. Principi applicabili al trattamento di dati sensibili
Art. 20
•Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se
autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di
dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante
interesse pubblico perseguite.
17. In proposito, numerosi ed importanti principi che possono guidare le
Amministrazioni nella definizione delle soluzioni e delle modalità con cui
procedere alla pubblicazione sono contenuti nella Deliberazione dell’Autorità
Garante per la protezione dei dati personali del 2 marzo 2011 recante “Linee
guida in materia di trattamento di dati personali contenuti anche in atti e
documenti amministrativi, effettuato da soggetti pubblici per finalità di
pubblicazione e diffusione sul Web”
(Deliberazione n. 88/2011 - G.U. n. 64 del 19 marzo 2011 e su
www.garanteprivacy.it [doc. web n. 1793203]).
18. La privacy non deve essere vissuta come un ostacolo insormontabile nel
processo di apertura delle informazioni del settore pubblico.
Infatti, la gran parte dei dati pubblici (basti pensare alle cartografie, oppure alle
informazioni relative all’inquinamento) non possono essere classificati come
personali, in quanto - cioè - non riconducibili ad un soggetto. In tutti gli altri casi, la
privacy può essere efficacemente tutelata pubblicando i dati in forma anonima o
comunque adottando tutte le cautele idonee a evitare che i soggetti cui i dati si
riferiscono possano essere identificati.
19. Secondo il Garante, infatti, non si ravvisa la necessità di adottare alcuna
specifica cautela qualora le pubbliche amministrazioni ritengano di pubblicare
sul sito web informazioni non riconducibili a persone identificate o identificabili.
Ad esempio:
•dati quantitativi aggregati per uffici riguardanti i livelli retributivi ed accessori
risultanti dai contratti collettivi o da atti interni di organizzazione;
•tassi di assenza e di maggiore presenza del personale;
•informazioni relative alla performance dell'amministrazione;
•obiettivi assegnati agli uffici insieme ai relativi indicatori e ai risultati complessivi
raggiunti;
•l'ammontare complessivo dei premi collegati alla performance stanziati e di quelli
effettivamente distribuiti;
•dati relativi al grado di differenziazione nell'utilizzo della premialità, informazioni
concernenti la dimensione della qualità dei servizi erogati, notizie circa la gestione
dei pagamenti e le buone prassi.
20.
21. Parere del Garante europeo della protezione dei dati
sul «pacchetto dati aperti» della Commissione europea, costituito:
•da una proposta di direttiva che modifica la direttiva 2003/98/CE relativa al
riutilizzo dell’informazione del settore pubblico;
•da una comunicazione sui dati aperti;
•dalla decisione 2011/833/UE della Commissione relativa al riutilizzo dei
documenti della Commissione.
22. Il Garante europeo della protezione dei dati rileva che
nella proposta, come descritto nella sezione 5.1 della comunicazione, vi è «il
principio che tutte le informazioni in possesso del settore pubblico, che non
rientrano esplicitamente tra le eccezioni, sono riutilizzabili per fini commerciali e
non commerciali».
In particolare, la proposta di modifica dell’articolo 3, paragrafo 1, della direttiva
PSI (public sector information) impone espressamente agli Stati membri di garantire
che «i documenti esistenti» detenuti da enti pubblici degli Stati membri siano
«riutilizzabili per fini commerciali e non commerciali»
23. Il Garante europeo della protezione dei dati ritiene che
Il riutilizzo delle informazioni del settore pubblico contenenti dati personali può
arrecare notevoli benefici, ma comporta anche rischi considerevoli per la
protezione dei dati personali.
Alla luce di tali rischi, raccomanda
che la proposta definisca più chiaramente in quali situazioni (campo di
applicabilità) e fatte salve quali salvaguardie le informazioni contenenti dati
personali possono dovere essere messe a disposizione per il riutilizzo.
24. In particolare, la proposta deve:
prevedere che venga svolta una valutazione dall’ente pubblico interessato prima
che qualsivoglia informazione del settore pubblico contenente dati personali sia
messa a disposizione per il riutilizzo;
imporre che:
i dati siano resi completamente o parzialmente anonimi e che
le condizioni di concessione delle licenze vietino espressamente la
reidentificazione delle persone;
disporre che i termini della licenza per il riutilizzo dell’informazione del settore
pubblico contengano una clausola di protezione dei dati ogniqualvolta si trattino
dati personali;
25. considerando i rischi per la protezione dei dati personali, imporre a chi chiede il
riutilizzo di dimostrare (attraverso una valutazione d’impatto sulla protezione
dei dati o mediante altre modalità) che eventuali rischi per la protezione dei dati
personali vengano adeguatamente presi in considerazione.
26. Provvedimento del Garante n. 49 del 7 febbraio 2013 su www.garanteprivacy.it [doc web.
n. 2243168]
Il parere sullo schema di decreto legislativo concernente il riordino della
disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di
informazioni da parte delle Pa
Profili di criticità emergono anche in relazione all'articolo 7, secondo il quale i dati
resi pubblici in conformità al regolamento
"sono liberamente riutilizzabili secondo la normativa vigente, senza ulteriori
restrizioni diverse dall'obbligo di citare la fonte e di rispettarne l'integrità".
Tale previsione pare porsi in contrasto con il principio di finalità, anch'esso di
matrice europea, in base al quale i dati personali, legittimamente raccolti,
possono essere utilizzati in altre operazioni del trattamento solo "in termini
compatibili" con gli scopi per i quali sono stati raccolti e registrati (art. 11, comma
1, lett. b), del Codice; art. 6 direttiva 95/46/CE).
27. Sul punto il Garante ha richiesto di integrare l'articolo 7 con il seguente comma o
con altro di analogo tenore:
"In caso di pubblicazione di dati personali, il loro utilizzo in altre operazioni
di trattamento è consentito solo in termini compatibili con gli scopi per i
quali sono stati raccolti e registrati, ai sensi dell'articolo 11, comma 1, lett. b)
del decreto legislativo 30 giugno 2003, n. 196, e comunque nel rispetto delle
disposizioni del medesimo decreto legislativo n. 196 del 2003.".
28. Garante per la protezione dei dati personali
Piazza di Monte Citorio 121
00186 Roma
www.garanteprivacy.it
garante@garanteprivacy.it
06696772917