• Home
  • News
  • Privacy
  • Il Garante Privacy vigila sul corretto utilizzo dei siti web delle Pubbliche Amministrazioni

Il Garante Privacy vigila sul corretto utilizzo dei siti web delle Pubbliche Amministrazioni

  • Martedì, 18 Ottobre 2011
Il Garante Privacy vigila sul corretto utilizzo dei siti web delle Pubbliche Amministrazioni
a cura di avv. Graziano Garrisi, D&L Department

L' utilizzo esatto e, soprattutto, più "indolore" possibile dei siti web istituzionali costituisce da tempo l'obiettivo delle tante pubbliche amministrazioni che, all'indomani della legge 18 giugno 2009, n. 69[1], hanno dovuto fare i conti con un diverso modo di assolvere all'obbligo di dare pubblicità legale ai propri provvedimenti amministrativi, dovendo spostare tale tipo di pubblicità da un luogo fisico, quale il tradizionale albo pretorio, a un luogo virtuale, il sito istituzionale dell'ente[2]. Da tale norma, infatti, sono nate una serie di incertezze circa la sua corretta applicazione: in quale formato pubblicare, i tempi di pubblicazione, come pubblicare nel pieno rispetto della privacy, etc.; interrogativi, questi, a cui avrebbero potuto dare concreta risposta solo le regole tecniche da emanarsi con Decreto del Presidente del Consiglio dei Ministri. In concreto, però, a parte alcune circolari del Ministero dell'Interno, recanti istruzioni precise per casi specifici, il DPCM 26 aprile 2011 che regolamenta le modalità di pubblicazione nei siti informatici di atti e provvedimenti concernenti le procedure a evidenza pubblica (la cui pubblicazione unicamente on line è stabilita al 1° gennaio 2013) e la guida intitolata "Modalità di pubblicazione dei documenti nell'Albo on line" emanata da DigitPA lo scorso luglio, di regole tecniche neppure l'ombra.

Ed ecco che le pubbliche amministrazioni in generale e gli enti locali in particolare si trovano a dover risolvere problematiche connesse alla corretta applicazione della normativa senza averne realmente gli strumenti. Da qui il ricorso, come nel caso che tra poco si esaminerà, all'Autorità Garante per la protezione dei dati personali, al fine di ottenere una luce che illumini l'insidioso cammino che le PPAA devono percorrere in nome della trasparenza e della conoscibilità dell'azione amministrativa.

Risale al 20 settembre u.s. la risposta[3] del Garante Privacy sul relativo sito web a una richiesta mossa dal Comune di Milano circa la possibilità di pubblicazione on line dei curricula dei partecipanti al bando pubblico indetto per la nomina a rappresentanti comunali nei consigli di amministrazione delle società municipalizzate. Il Garante ha risposto positivamente a tale interrogativo, a condizione che ricorrano, in via alternativa, le seguenti condizioni:

-         a monte vi sia una norma di legge o di regolamento che preveda tale divulgazione;

-          sia stato acquisito il consenso degli interessati.

L'Autorità non ha mancato di precisare, infatti, che la pubblicazione di dati personali[4] (in questo caso, degli aspiranti amministratori di enti a partecipazione pubblica) da parte delle amministrazioni pubbliche sui propri siti istituzionali è consentita quando questa operazione trovi legittimazione in una norma di legge o di regolamento, oppure sia prevista nel "Programma triennale per la trasparenza e l'integrità" che ciascuna amministrazione è tenuta a predisporre. In sintesi, il Garante Privacy ha autorizzato il Comune a divulgare tali dati a condizione che lo stesso ente pubblico modifichi il proprio regolamento sulla disciplina del conferimento degli incarichi o adotti il ricordato Programma triennale. In mancanza di ciò, la divulgazione on line dei dati personali contenuti nei curricula sarà possibile solo se verrà acquisito dagli interessati il singolo e specifico consenso[5], e se si tratti ovviamente di dati pertinenti e non eccedenti rispetto alle finalità che si vogliono perseguire.

Tale notizia appare degna di essere menzionata e qui commentata per due ordini di motivi:

-         in primo luogo, offre una soluzione a uno dei tanti problemi in cui quotidianamente  gli enti locali si imbattono per dare concreta attuazione ai principi di trasparenza e buon andamento della PA;

-         in secondo luogo, rappresenta un esempio di contemperamento delle citate esigenze di trasparenza nell'operato della pubblica amministrazione con il diritto alla riservatezza.

Il rapporto "trasparenza/riservatezza" nell'agire amministrativo è stato più volte esaminato dal Garante Privacy, con l'emanazione dapprima delle "Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali"[6], poi delle "Linee guida in materia di trattamento dei dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web"[7]. In tali documenti, infatti, il Garante afferma il  necessario contemperamento che deve caratterizzare il rapporto tra le finalità  di trasparenza, pubblicità e consultabilità degli atti amministrativi sottese alla pubblicazione on line degli stessi e i principi di necessità, pertinenza e non eccedenza del trattamento dei dati personali  (artt. 3 e 11 del Codice Privacy), attraverso un esame del tipo di informazioni e di dati contenuti nei documenti oggetto di divulgazione, degli strumenti adottati per la loro conoscibilità e delle finalità di interesse pubblico da perseguire nel caso concreto.

Le Linee Guida del Garante Privacy del 2 marzo 2011 vengono in soccorso proprio nel caso in esame relativo alla pubblicazione dei curricula di coloro che rivestono (o si candidano a rivestire) incarichi di indirizzo politico-amministrativo, anche nelle società, negli enti e nelle fondazioni a partecipazione pubblica, laddove chiariscono che l'obbligo di pubblicazione del vigente modello di curriculum europeo "non può comportare la riproduzione di tutti i suoi contenuti sui siti istituzionali dell'amministrazione, in ragione unicamente delle finalità di trasparenza perseguite"[8].

Anche in questa ipotesi, dunque, occorre operare un bilanciamento tra il principio di trasparenza e il diritto alla riservatezza attraverso un esame della pertinenza delle informazioni contenute nei curricula (e, dunque, destinate alla divulgazione) con gli incarichi e le funzioni pubbliche da ricoprire. In ogni caso, è bene ricordare non è mai consentito pubblicare dati sensibili in aree pubbliche dei siti web e, quindi, diffondere un tale tipo di informazione.

Da un lato, dunque, la diffusione di dati personali attraverso l'utilizzo dello strumento telematico, che si realizzerebbe mediante la pubblicazione sul sito web istituzionale di tutti i curricula dei candidati ammessi alla procedura di valutazione per ricoprire incarichi di rappresentante comunale negli enti, nelle fondazioni e nelle società partecipate, può comportare conseguenze gravi e pregiudizievoli tanto della dignità delle persone, quanto della stessa convivenza sociale[9]. Dall'altro, il diritto alla tutela della privacy degli interessati rischia di essere strumentalizzato dalle pubbliche amministrazioni al fine di disattendere agli obblighi di pubblicazione imposti dal principio di trasparenza.

Ai fini di una completa disamina di questa problematica, non si può tralasciare in questa sede anche il richiamo alle "Linee guida dei siti web delle pubbliche amministrazioni" del Ministro per la pubblica amministrazione e l'innovazione[10], così come chiarite nella sua applicazione dal Garante Privacy con il provvedimento del 7 luglio 2011, che ha fornito ulteriori delucidazioni in ordine a:

- Dati di navigazione, stabilendo che tali dati possono essere utilizzati solo per elaborare statistiche anonime e devono essere cancellati immediatamente dopo tale elaborazione; le pubbliche amministrazioni, inoltre, hanno l'obbligo di fissare (in maniera proporzionale alla finalità perseguita) i termini di conservazione dei dati di navigazione, scaduti i quali gli stessi dati devono essere cancellati o resi anonimi.

- Dati forniti volontariamente dall'utente, in cui si prescrive la necessità di creare nel sito web istituzionale una sezione ad hoc (regolamentata attraverso una specifica privacy policy generale presente sul sito web o più informative a seconda dei vari trattamenti effettuati nelle singole pagine web) che preveda l'invio facoltativo, esplicito e volontario di posta elettronica a determinati indirizzi, secondo modalità che comportino poi anche l'acquisizione dell'indirizzo del mittente, al fine di rispondere ad eventuali richieste, nonché degli ulteriori dati personali eventualmente contenuti nella comunicazione. Per tale attività, tuttavia, l'amministrazione titolare deve predisporre una idonea informativa ex art. 13 d.lgs. 196/2003 anche per l'eventuale trattamento di dati sensibili o giudiziari che l'utente potrà fornire spontaneamente nel corpo della mail o del messaggio.

Uso dei cookies, secondo cui è possibile l'uso di cookies persistenti per le sole finalità di acquisizione di dati statistici di accesso al sito, per mantenere le preferenze dell'utente riguardo a lingua, layout del sito, ecc... In questi casi, il Garante Privacy prescrive che l'uso dei cookies persistenti è ammissibile unicamente qualora esso sia necessario alla resa di un servizio che rientri nelle funzioni istituzionali dell'amministrazione.

Particolare attenzione deve essere prestata anche alle modalità con cui le P.A. pubblicano l'elenco degli indirizzi di posta elettronica istituzionale e posta elettronica certificata, tra l'altro oggetto di trattazione da parte del Garante Privacy nel commento alle citate Linee Guida. Infatti, al fine di evitare che tale elenco sia utilizzato per inviare messaggi per finalità estranee alle funzioni istituzionali dell'ente, l'Autorità ha suggerito l'adozione di accorgimenti tecnici che siano in grado di sottrarre tali indirizzi e-mail all'indicizzazione da parte di motori di ricerca generalisti e di accompagnare la pubblicazione a un avviso su tali limitazioni d'uso.


[1] Legge rubricata "Disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile".

[2] Il comma 5 dell'art. 32 della citata l. n. 69/2009, infatti, espressamente statuisce che "a decorrere dal 1º gennaio 2011 e, nei casi di cui al comma 2, dal 1º gennaio 2013, le pubblicazioni effettuate in forma cartacea non hanno effetto di pubblicità legale, ferma restando la possibilità per le amministrazioni e gli enti pubblici, in via integrativa, di effettuare la pubblicità sui quotidiani a scopo di maggiore diffusione, nei limiti degli ordinari stanziamenti di bilancio".

[3] Newsletter n. 351 del 20 settembre 2011 apparsa sul sito www.garanteprivacy.it.

[4] Seppur ciascun ente pubblico sia generalmente esonerato dall'obbligo di acquisizione del consenso degli interessati per finalità istituzionali (art. 18, comma 4, d.lgs. 196/2003), pubblicare un dato on line in aree pubbliche di un sito web equivale a diffonderlo. A tal riguardo occorre ricordare come l'art. 19 comma 3 del Codice Privacy, in tema di "principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari", preveda che "la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento".   

[5] Il Comune dovrà adempiere a questa prescrizione preliminarmente attraverso una corretta informativa ex art. 13 d.lgs. 196/2003 che dovrà specificare la facoltatività del consenso e che l'eventuale scelta di non far pubblicare i propri dati personali on line non avrà conseguenze ai fini della procedura di selezione.

[6] Deliberazione n. 17 del 19 aprile 2007;

[7] Deliberazione n. 88 del 2 marzo 2011;

[8] Si veda l'art. 11, comma 8, lett. e), f), e h), D.lgs. n. 150/2009, e l'art. 21, comma 1, L. n. 69/2009. Sullo stesso argomento, la Circolare n. 1/2010 della Presidenza del Consiglio dei Ministri, Dipartimento della funzione pubblica, avente ad oggetto "Pubblicazioni e comunicazioni di dati inerenti pubbliche amministrazioni e dipendenti: pubblicazione di dati curriculari e retributivi della dirigenza e di dati sulle assenze del personale; Anagrafe delle prestazioni; CONSOC";

[9] Nelle "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", emanate dall'Autorità Garante per la protezione dei dati personali con la deliberazione del 2 marzo 2011 si precisa che in tal senso "assume particolare rilievo l'obbligo posto in capo alle amministrazioni pubbliche di garantire «che le informazioni contenute sui siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito»[...]. A tal fine occorre adottare idonee misure per eliminare o ridurre il rischio di cancellazioni, modifiche o decontestualizzazioni delle informazioni e dei documenti resi disponibili tramite internet".

[10] Tale documento specifica che ogni sito pubblico deve fornire ai propri utenti una informativa chiara e completa in merito a:

- caratteristiche generali dei contenuti proposti dal sito e loro corretto utilizzo;

- modalità di trattamento dei dati eventualmente resi disponibili dagli utenti.

La consultazione della policy deve essere costantemente disponibile all'interno del piè di pagina del sito. È opportuno distinguere i due tipi di contenuti: il primo sarà indirizzato dall'etichetta "Note" o "Note legali"; il secondo dall'etichetta "Privacy" o "Protezione dei dati personali".

Nella sezione "Privacy" devono essere descritte le modalità di gestione del sito in riferimento al trattamento dei dati personali e degli utenti che interagiscono con i servizi resi disponibili. Si tratta di una informativa da rendere ai sensi del Decreto legislativo 2003, n. 196 "Codice in materia di protezione dei dati personali".


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma