Gli enti della pubblica amministrazione nell’adempiere ai propri obblighi di trasparenza devono garantire la tutela della privacy

Massima

La trasparenza dell'azione amministrativa, espressione di controllo generalizzato sull'operato della pubblica amministrazione, deve essere attuata tramite forme di pubblicità che rispettino i principi di minimizzazione, proporzionalità e pertinenza, non essendo giustificata un'ostensione dei dati indiscriminata.

Il caso

Con provvedimento n. 397 del 5 ottobre 2017, il Garante per la protezione dei dati personali ingiungeva alla Regione Valle d'Aosta il pagamento di una sanzione di importo pari a 20 mila euro per illecito trattamento dei dati personali, per aver pubblicato, sul proprio sito web istituzionale, la deliberazione di Giunta  n. 1016 del 7 giugno 2013 avente ad oggetto “Mobilità per esigenze organizzative di un dipendente nell'ambito dell'organico della giunta regionale” contenente, in chiaro, i dati identificativi del dipendente in mobilità  unitamente alle valutazioni in merito alla sua professionalità e alle motivazioni che avevano legittimato il trasferimento del medesimo, avvenuto, “per accertata incompatibilità ambientale”. La Regione, proponendo opposizione avverso l'ordinanza di ingiunzione, domandava, previa sospensione dell'efficacia, l'annullamento e/o la revoca dell'ordinanza ovvero, in subordine, la riduzione ed il contenimento della sanzione amministrativa irrogata. Il Tribunale adito, rigettando l'opposizione del ricorrente, confermava quanto sancito dal provvedimento sanzionatorio. Avverso la sentenza del Tribunale di Aosta, la Regione proponeva ricorso per Cassazione sulla base di due motivazioni.

La questione

La reclamante proponeva ricorso per Cassazione sollevando le seguenti questioni: i) la pubblicazione, di una deliberazione regionale contenente dati personali di un dipendente e le motivazioni della sua messa in mobilità, operata in seno agli obblighi previsti dal Reg. regionale 28 febbraio 2008, n. 2, art. 13, IV e dal d.lgs. 14 marzo 2013, n. 33, art. 13 (Decreto Trasparenza), può ritenersi legittima ai sensi del d.lgs. 30 giugno 2003, n. 196, art. 19, III in quanto attività di trattamento fondata sulla base giuridica dell'adempimento ad obblighi di legge? ii) è possibile sostenere che, attraverso una interpretazione sistematica del principio di pertinenza e non eccedenza sia da ritenersi inibita la pubblicazione online dei soli dati sensibili e/o giudiziari, a nulla rilevando il vincolo di anonimizzazione dei dati comuni?

Le soluzioni giuridiche 

La vicenda in oggetto muove da fatti risalenti al 2013, e pertanto in un momento antecedente sia il GDPR che alle armonizzazioni apportate al d.lgs. 30 giugno 2003, n. 196 (Codice privacy) dal d.lgs. 10 agosto 2018, n. 101, operate proprio in adeguamento al Regolamento UE 679/2016; da ciò ne deriva che la Cassazione si è espressa sul testo normativo ora parzialmente abrogato e integrato. Alla luce di tali premesse, la Suprema Corte ha ritenuto manifestamente infondato il primo motivo di ricorso in quanto: i) era prevista una diversa disciplina per le attività di trattamento effettuate dai soggetti pubblici; ii) il trattamento dei dati personali era consentito ai soggetti pubblici per lo svolgimento delle funzioni istituzionali, anche in mancanza di una norma di legge o di regolamento che lo prevedesse espressamente; iii) che la diffusione e comunicazione erano ammesse solo se fondate su una norma di legge o di regolamento e che iv) lo stesso Decreto Trasparenza richiedeva  alle PA di oscurare i dati personali non strettamente necessari per gli obiettivi di trasparenza. La Corte ha stabilito che la Regione avrebbe dovuto seguire il principio di minimizzazione e pubblicazione necessaria, utilizzando l'anonimizzazione dei dati personali in modo che fossero identificabili solo quando necessario. Il dovere di trasparenza deve rispettare i principi di proporzionalità e pertinenza, non essendo giustificata un'ostensione dei dati totale e indiscriminata. La Cassazione respingeva anche il secondo motivo di impugnazione, tenendo conto che la ricorrente si era conformata ad un provvedimento dirigenziale che, tuttavia, non riguardava la divulgazione di dati personali. Sulla base di ciò non poteva escludersi una responsabilità per colpa a carico della Regione, la quale non si era adoperata attivamente per operare secondo il principio di liceità.

Osservazioni

La questione sottoposta alla Cassazione è di pregnante importanza per il settore pubblico che si trova, nel quotidiano, a districarsi tra obblighi di trasparenza da una parte, e doveri di riservatezza e protezione dei dati dall'altra. Una bilancia che la PA, negli anni, ha faticosamente tenuto in equilibrio, incorrendo non poche volte in malintesi (ex pluribus Cass. civ., sez. II, 04 aprile 2019, n. 9382; contra Cass. civ., sez. III, 13 ottobre 2016, n. 20615. Fondamentale in tema di bilanciamento, Cons. di Stato, Ad. Pl., 2 aprile 2020, n. 10)

Anche gli errori esaminati dalla Corte costituzionale, in merito al conflitto tra privacy individuale e trasparenza, nel contesto del decreto trasparenza, rivelano le difficoltà applicative del coordinamento delle norme. Il d.lgs. n.33/2013 ha segnato una svolta a favore della trasparenza, abbandonando la segretezza amministrativa che aveva caratterizzato la PA fin dall'Unità d'Italia. La progressione verso la trasparenza inizia con la legge n. 241/1990 (che introduce il diritto di accesso), per proseguire con il d.lgs. n.150/2009, che impone la pubblicazione sui siti istituzionali. I passi successivi, come la n. 124/2015, hanno esteso il diritto di accesso, analogamente al Freedom of Information Act (FOIA), promuovendo la partecipazione pubblica. L'adeguamento poi al GDPR ha enfatizzato l'importanza del binomio “trasparenza-privacy”, rappresentando per la PA una presa di coscienza circa l'importanza del tema della tutela del dato personale che, sino a quel momento, era regredito a favore delle misure anticorruzione descritte.

Entrando nello specifico, la PA, nel proprio operato, deve valutare attentamente la necessità di trattare e divulgare informazioni, sia in seno alla pubblicazione (con un comportamento proattivo), che in risposta alle richieste di accesso (comportamento reattivo). L'attività sarà legittima solo se rispettati i principi di liceità, correttezza e trasparenza, limitazione e minimizzazione, esattezza, integrità e riservatezza del dato, al fine di evitare pregiudizi per gli interessati. Dimostrazione ne è il caso in esame, ove la PA non operando il corretto bilanciamento, ha attuato un'attività pregiudizievole, oltre modo estesa ad un aspetto intimo della sfera dell'individuo, rendendo nota pubblicamente, in punto di motivazione, la giudicata inadeguatezza personale del dipendente al contesto ambientale.

In relazione al potenziale pregiudizio, la PA dovrà prendere atto che, il documento esteso potrà anche essere riutilizzabile dai riceventi così come v'è il rischio, dato l'obbligo di pubblicazione online, che atti e provvedimenti pubblicati subiscano un riordino sulla rete secondo vari criteri (non conoscibili ex ante) da parte dei motori di ricerca, comportando un'oggettiva impossibilità per la PA circa il controllo dell'integrità delle informazioni circolanti.

In conclusione, in considerazione di tali profili di rischio, come osservato dalla Corte Europea per i Diritti dell'Uomo, il bilanciamento tra trasparenza e protezione dei dati richiede una valutazione concreta circa la necessarietà di trattare, al fine di evitare responsabilità anche solo potenziali. In questo modo la PA, avendo cura di raggiungere lo scopo pubblicitario della propria attività, sarà tenuta ad adottare un comportamento il meno pregiudizievole possibile per l'interessato riconoscendo, nell'opera di bilanciamento degli interessi in gioco, la meritevolezza della tutela dei dati personali quale espressione della protezione dei diritti e delle libertà fondamentali dell'uomo.

Riferimenti:

- F. ADDANTE, L'introduzione del FOIA in Italia. Gli esiti del primo esperimento italiano e il confronto con il ‘Freedom of Information Act' inglese, in Rivista elettronica di Diritto, Economia, Management, Roma, 2017, n. 1, pp. 139-168

- E. BELISARIO, Non solo FOIA: ecco tutte le novità del decreto trasparenza, Milano, 19 febbraio 2016

- F. FAINI, Il volto dell'amministrazione digitale nel quadro della rinnovata fisionomia dei diritti in rete, cit., in  Il diritto dell’informazione e dell’informatica, pp. 5-6,

- N. ZANON, Privacy e trasparenza in conflitto: il caso della pubblicazione on line dei dati reddituali e patrimoniali dei dirigenti della pubblica amministrazione, www.cortecostituzionale.it

- La Consulta traccia i paletti per delimitare gli obblighi di pubblicazione dei dati patrimoniali e reddituali dei dirigenti pubblici in conformità alla disciplina sulla privacy, in Il diritto amministrativo. Rivista giuridica, 4 aprile 2020, pp. 18 ss.