26
CAPITOLO II
Gli obblighi di pubblicazione e la tutela della protezione dei dati
personali da parte dei soggetti pubblici
§ 2.1 - La durata degli obblighi di pubblicazione ed il rispetto dei principi di perti-
nenza, necessità e proporzionalità.
Gli interventi legislativi dell’ultimo decennio in materia di pubblicità, tra-
sparenza e accessibilità delle informazioni detenute dalle pubbliche am-
ministrazioni e diffuse attraverso i siti web, hanno reso necessari numero-
si interventi, pareri e linee guida da parte dell’Autorità Garante per la
protezione dei dati personali (GPDP) diretti ad assicurare l’osservanza
della disciplina nell’adempimento degli obblighi di pubblicazione.
Nell’ultimo biennio, invece, la normativa che ha fortemente innovato in
tutti i paesi dell’Unione Europea la disciplina sulla tutela dei dati perso-
nali, è stato il Regolamento Generale per la Protezione dei Dati Personali
n. 2016/679 (General Data Protection Regulation, di seguito GDPR), entrato
in vigore il 24 maggio 2016 ed operativo dal 25 maggio 2018.
Scopo del provvedimento è stata la definitiva armonizzazione delle rego-
le in materia di protezione dei dati personali all'interno dell'Unione euro-
pea in quanto, col Trattato di Lisbona, la protezione dei dati personali è
diventata diritto fondamentale dei cittadini e, quindi, da garantire allo
stesso modo in tutto il territorio dell'Unione.
Ai fini della trattazione, occorre precisare, innanzitutto, che per ‘dato
personale’ s’intende qualsiasi informazione riguardante una persona fisi-
ca, identificata o identificabile, considerandosi identificabile «la persona fi-
sica che può essere identificata, direttamente o indirettamente, con particolare riferi-
mento a un identificativo come il nome, un numero di identificazione, dati relativi
27
all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua
identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»
42
.
I soggetti pubblici debbono adottare misure ed accorgimenti volti a indi-
viduare opportune cautele nel caso di diffusione di dati personali sui
propri siti web istituzionali, sia per finalità di trasparenza che per le altre
finalità di pubblicità dell’azione amministrativa.
Sul punto vanno tenute distinte, in ragione del diverso regime giuridico
applicabile, le disposizioni che regolano gli obblighi di pubblicità
dell’azione amministrativa per finalità di trasparenza
43
, cui fa riferimento
anche il d.lgs. n. 33/2013, da quelle che regolano le forme di pubblicità
per finalità diverse (es. pubblicità legale) previste da normative settoriali e
preesistenti al Decreto Trasparenza.
In entrambi i casi, laddove la pubblicazione comporti un trattamento di
dati personali, devono essere sempre contemperate le esigenze di pubbli-
cità e trasparenza con i diritti e le libertà fondamentali nonché la dignità
dell’interessato, con particolare riferimento alla riservatezza, all’identità
personale e al diritto alla protezione dei dati personali.
Proprio in relazione alle attività di pubblicazione contenenti dati perso-
nali, le Amministrazioni debbono prima verificare che vi sia un’idonea
‘base giuridica’ a supporto.
42
Art. 4, punto 1) del Regolamento (UE) n. 679/2016, che modifica la precedente
definizione di dato personale prevista dall’abrogato art. 4, comma 1, lett. b) del d.lgs.
n. 196/2003.
43
Gli obblighi di pubblicazione previsti dal d.lgs. n. 33/2013 e dalle altre normative
di settore (es. Ruolo dei Dirigenti, ex art. 1, comma 7 del D.P.R. n. 108/2004, le dichiara-
zioni sull’insussistenza delle cause di inconferibilità dell'incarico, ex art. 20 comma 3 del D.lgs.
n. 39/2013).
28
Questa, nel caso di trattamento effettuato per l’esecuzione di un compito
di interesse pubblico o connesso all’esercizio di pubblici poteri
44
, è rap-
presentata esclusivamente da una norma di legge o, nei casi previsti dalla
legge, di regolamento
45
, così come già previsto dall’abrogato art. 19,
comma 3 del d.lgs. 30 giugno 2003, n. 196 c.d. Codice Privacy.
Pur in presenza di obblighi normativi che stabiliscono la diffusione di da-
ti personali, è sempre necessario selezionare i dati personali da inserire
nei documenti verificando, caso per caso, se ricorrono i presupposti per
l’oscuramento onde evitarne una diffusione indiscriminata in rete.
Nel caso degli enti locali, ad esempio, la circostanza secondo la quale tut-
te le deliberazioni sono pubblicate
46
sull’albo pretorio on line, deve indur-
re l’Amministrazione a valutare con estrema attenzione le stesse tecniche
di redazione delle deliberazioni, e dei loro allegati, adottando modalità
che permettano di identificare gli interessati solo quando è necessario.
I soggetti pubblici, infatti, in conformità ai principi del Codice Privacy
47
,
oggi fortemente modificato, sono tenuti a ridurre al minimo
l’utilizzazione di dati personali quando le finalità perseguite possono es-
sere realizzate mediante anonimizzazione o altre modalità che permetta-
no di identificare l’interessato solo in caso di ‘necessità’.
44
Regolamento (UE) n. 670/2016, art. 6 comma 1 lett. e).
45
Art. 2-ter del d.lgs. 196/2003, introdotto dall’art. 2, comma 1 lett. f) del d.lgs. n.
101/2018.
46
Art. 124 del d.lgs. 267/2000: “Tutte le deliberazioni del comune e della provincia sono pub-
blicate mediante pubblicazione all'albo pretorio, nella sede dell'ente, per quindici giorni consecutivi,
salvo specifiche disposizioni di legge”.
47
D.lgs. 30 giugno 2003, n. 196 recante: “Disposizioni per l'adeguamento dell'ordinamento
nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile
2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.
29
Il GDPR, pur non menzionando esplicitamente il principio di necessità,
introduce quello di “minimizzazione” del trattamento che ne costituisce
una sottocategoria, stabilendo che i dati personali debbano sempre essere
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per
le quali sono trattati
48
.
Di conseguenza, ogni utilizzo dei dati ‘non essenziale’ al perseguimento
delle finalità specificatamente previste, o ‘non necessario’ per integrare
una delle condizioni di liceità del trattamento (es. per adempiere un pre-
ciso obbligo di legge) o, ancora, perché esteso a dati ‘non rilevanti’ o per
un periodo di tempo eccessivo, sarà quindi considerato illecito ed in vio-
lazione del GDPR.
Uno degli elementi che caratterizzano tutti gli obblighi di pubblicazione,
e che sono strettamente connessi alla tutela dei dati personali, è rappre-
sentato proprio dalla durata (o dalla permanenza) degli stessi sul web, so-
prattutto se si considera il ‘luogo digitale’ ove gli stessi permangono.
Come sostenuto in dottrina, infatti, «i dati personali lì contenuti sono ac-
cessibili da chiunque senza alcun limite spazio-temporale, spesso decon-
testualizzati e dunque suscettibili di una lettura distorcente»
49
.
Il Decreto Trasparenza prevede un periodo di mantenimento di dati, in-
formazioni e documenti sul web che coincide, in linea di massima, con il
termine di cinque anni.
48
Principi applicabili al trattamento di dati personali - art. 5, comma 1, lett. c) del
GDPR: “I dati personali sono: […] c) adeguati, pertinenti e limitati a quanto necessario rispetto
alle finalità per le quali sono trattati «minimizzazione dei dati”.
49
A. Soro, Persone in rete: i dati tra poteri e diritti, Roma, Hoepli, 2018.
30
Al termine quinquennale sono, tuttavia, espressamente previste le se-
guenti deroghe;
1) nel caso in cui gli atti producono ancora i loro effetti alla scadenza
dei cinque anni, con la conseguenza che gli stessi devono rimanere
pubblicati fino alla cessazione della produzione degli effetti;
2) per alcuni dati e informazioni riguardanti i titolari di incarichi politici
e dirigenziali
50
nonché quelli titolari di incarichi di collaborazione e
consulenza
51
, che devono rimanere pubblicati per i tre anni successivi
dalla cessazione del mandato o dell’incarico;
3) nel caso in cui siano previsti ‘diversi termini’ dalla normativa in mate-
ria di trattamento dei dati personali.
Con riferimento al punto 3), la normativa interna non ha mai previsto
termini espliciti, motivo per cui il Garante Privacy
52
ha sempre ritenuto
che nei casi di pubblicazioni obbligatorie contenenti dati personali, questi
ultimi dovessero essere oscurati anche prima del termine di cinque anni,
qualora gli scopi per i quali gli stessi sono stati resi pubblici fossero stati
raggiunti o gli atti avessero esaurito i loro effetti.
Proprio l’ampio e generalizzato termine quinquennale, previsto dal legi-
slatore delegato, è stato spesso criticato dall’Authority che non lo ha rite-
nuto rispettoso del principio di proporzionalità di matrice europea che,
come detto, impone la commisurazione dei termini alla luce della finalità
del trattamento e, nel caso di specie, della pubblicazione.
50
Art. 14 comma 2 del d.lgs. n. 33/2013.
51
Art. 15 comma 4 del d.lgs. n. 33/2013.
52
Pareri n. 92 del 3 marzo 2016 e n. 49 del 7 febbraio 2013, www.garanteprivacy.it
(Consultazione del 13.11.2018).
31
Sul fronte del GDPR, infatti, l’equilibrio tra i concetti di privacy e traspa-
renza viene evidenziato anche nel Considerando n. 4
53
, ove si specifica
che: «[…] il diritto alla protezione dei dati personali non è una prerogativa assoluta
ma va considerato alla luce della sua funzione sociale e va contemperato con gli altri
diritti fondamentali in ossequio al principio di proporzionalità...[…]»
Il Regolamento introduce, dunque, il concetto di ‘complementarietà’ dei
diritti fondamentali della persona e della trasparenza nell’ambito di uno
stretto rapporto tra mezzo e fine.
I rischi di una durata della pubblicazione sproporzionata e indipendente
dalla reale utilità, sono stati segnalati anche in ordine agli obblighi infor-
mativi in capo ai titolari di incarichi di indirizzo politico-amministrativo
e, dopo l’estensione prevista dal d.lgs. n. 97/2016, ai titolari di incarichi
dirigenziali e loro familiari, sui quali pende un giudizio di legittimità co-
stituzionale
54
.
53
Il testo del GDPR è arricchito dai ‘Considerando’ che segnalano, in corrisponden-
za di articoli e paragrafi, un rinvio ad indicazioni che precedono l’articolato ed offro-
no una lettura più ampia e ragionata delle previsioni introdotte dalla nuova normati-
va.
54
Tar Lazio, sez. I quater, ord., 19 settembre 2017, n. 9828 – per rilevanza e non ma-
nifesta infondatezza della questione di legittimità costituzionale dell’art. 14, comma 1
bis e comma 1 ter, d.lgs. 14 marzo 2013, n. 33 nella parte in cui prevedono che le
PP.AA. pubblichino i dati di cui all'art. 14, comma 1, lett. c) ed f) dello stesso decreto
legislativo anche per i titolari di incarichi dirigenziali, per contrasto con gli artt. 117,
comma 1, 3, 2 e 13 Cost.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
