di 

Garante Privacy in conflitto con la trasparenza. Un commento al nuovo Parere sullo schema di decreto

Dopo il parere del Consiglio di Stato, anche il Garante Privacy si esprime in senso positivo sullo schema del "decreto trasparenza" con il parere n. 92 del 3 marzo 2016. Nel parere del Garante, però, una lunga ed articolata serie di osservazioni, non tutte condivisibili. Il commento di Morena Ragone, giurista, esperta di diritti digitali.

foto di chettefregate in CC www.flickr.com/photos/chettefregate/9207012747

Lo scorso 11 marzo è stato pubblicato il secondo dei pareri obbligatori sullo schema di decreto legislativo recante “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza, correttivo della legge 6 novembre 2012, n. 190, e del decreto legislativo 14 marzo 2013, n. 33, a norma dell'articolo 7 della legge 7 agosto 2015, n. 124, approvato dal Consiglio dei Ministri in sede di esame preliminare nella riunione del 20 gennaio.

Dopo il parere del Consiglio di Stato – positivo, con alcune condivisibili condizioni – il Garante Privacy, con il parere n. 92 del 3 marzo 2016, si esprime anch'esso in senso positivo, facendo però una lunga ed articolata serie di osservazioni, non tutte condivisibili.


Nel comunicato stampa è stata usata un'espressione suggestiva, parlando di “effetti paradossali” a proposito delle possibili conseguenze dell'applicazione del testo.
In realtà, le valutazioni dell'Authority non si limitano allo schema di decreto sottoposto alla sua attenzione ma ritornano sul decreto legislativo n. 33/2013 (il Garante vi si collega espressamente nelle premesse del parere), riproponendo alcune delle osservazioni all'epoca non accolte. E avanza una richiesta preliminare: che tutti i provvedimenti che impattano sui dati personali siano adottati “d'intesa” e non solo “sentito” il Garante (cfr. proposta di modifica dell'art. 4 dello schema che modifica l'art.3, comma 1 bis).


Nella razionalizzazione e rimodulazione degli obblighi di pubblicazione - che si è essenzialmente occupata di ridefinire, estendendolo, l'ambito di applicazione soggettivo degli obblighi di pubblicità - secondo il Garante sono tre i punti chiave non adeguatamente articolati nella delega[1]:

  • il grado di esposizione dei singoli titolari di funzioni pubbliche al rischio corruttivo (sul quale non ci soffermeremo);
  • la funzionalità del dato da pubblicare rispetto alla effettiva necessità di conoscenza da parte dei cittadini;
  • il bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati.

Su quest'ultimo punto, e per un maggiore coordinamento tra le disposizioni, il Garante propone l'eliminazione dell'aggettivo “totale” dalla definizione della trasparenza: modifica sulla quale concordo, dal momento che esiste un regime di eccezioni che deroga alla “totalità” indicata – regime che, comunque, deve essere tassativo e meglio specificato come in altre sedi già osservato; in alternativa, sarebbe possibile lasciare l'aggettivo “totale” nell'art. 1, comma 1 ed aggiungere un riferimento all'articolo contenente il regime delle eccezioni.
Non condivido, invece, la proposta modifica dell'art. 3 sulla eliminazione dell'estensione della disciplina della trasparenza a tutti gli obblighi di pubblicazione vigenti. Al fine di evitare la diffusione e permanenza di informazioni non necessarie ai fini di trasparenza, infatti, il Garante chiede di specificare il riferimento agli obblighi previsti dalla “normativa vigente” e che il riferimento contenuto negli articoli sia espunto a favore di una tassativa elencazione degli stessi, ritenendo irragionevole l'estensione della normativa sulla trasparenza a tutte le informazioni pubbliche pubblicate ai sensi della normativa vigente.
In realtà, le ipotesi ventilate dal Garante vengono risolte a monte dall'attuale articolo 4, che prevede l'impossibilità di trattare dati non pertinenti o – se sensibili e giudiziari – non indispensabili. Il problema, quindi, non sembra essere nella formulazione della norma, che appare rispondente all'esigenza di impianto: se la pubblicazione viene effettuata in violazione dell'art. 4 - ora art. 7 - allora sì che ci sarà trattamento e diffusione illecita, ma la causa non è da ricercarsi nella scrittura della norma, bensì nella sua violazione.

La scelta, invece, di limitare l'eventuale applicazione del decreto n. 33/2013 agli obblighi di pubblicazione qui elencati, ovviamente, resta una questione estremamente delicata (e prettamente politica).

Molto interessante la riflessione effettuata al punto 4.1, in tema di diritto di accesso, come modellato sul Freedom of Information Act anglosassone, istituto che, secondo il Garante, comprime significativamente il diritto alla riservatezza, dal momento che “estende, in misura rilevante e con pochissimi limiti, i casi di ostensione di dati personali a terzi: Dalla lettura delle osservazioni, infatti, trovano ulteriore fondamento tutte le (non solo mie personali) perplessità sul mantenimento di un doppio regime di accesso, quello della l. n. 241/1990 – che resta invariato - e il regime del diritto di accesso civico, come riformato dal nuovo art. 6.

L'argomentazione dell'Authority, infatti, è la seguente: se la riforma non si estende alla modifica del Codice (privacy), allora il regime previsto dalla l. 241/90 si applica anche nel caso di accesso civico, con riferimento agli artt. 19, 59 e 60, in particolare. Sarebbe del tutto illogico – sostiene il Garante - se i limiti al diritto di accesso ai documenti amministrativi contenuti nella l. n. 241/1990 (che valgono nei confronti di un interessato che dimostri un interesse qualificato all'accesso), venissero meno quando l'istanza è presentata secondo la procedura dell'”accesso civico”.

Stesso discorso in caso di richiesta di accesso a “dati personali”, con necessità di procedere all'informativa ai controinteressati etc.; in tali casi, e qualora i dati cui si chieda l'accesso siano sensibili, giudiziari o di minori, il Garante propone l'esclusione dall'accesso, sulla prevalenza dell'interesse alla riservatezza rispetto alla finalità di conoscenza/conoscibilità pubblica.

Pur comprendendo i timori del Garante - ampiezza dell'accesso non accompagnata dalla individuazione delle categorie di atti da ritenersi ricompresi nella definizione e dalla contestuale individuazione di limiti precisi – non ritengo possibile che l'accesso civico possa prevedere una benché minima motivazione, dal momento che la finalità – controllo sociale – è implicita della delega e nel provvedimento adottando, ed è quindi la premessa della valutazione della PA.


Quello che il Garante può e deve fare è fornire criteri applicativi da utilizzare in presenza di particolari categorie di dati, non impedirne l'accesso a priori.

A mio avviso, comunque, può essere condivisibile la richiesta di un regolamento attuativo che individui, nel dettaglio, non le categorie di dati e documenti suscettibili di accesso - come chiede il Garante - ma la procedura da seguire per l'accesso a specifiche categorie di dati: provvedimento che potrebbe limitare le interpretazioni difformi da parte delle singole amministrazioni e calmierare l'arbitrarietà della valutazione/ponderazione dei contrapposti interessi, fornendo, al contempo, dei criteri certi a R.U.P. e dirigenti chiamati ad applicare in concreto le nuove disposizioni.

Non comprendo, invece, l'interpretazione data all'art 7, laddove l'Authority evidenzia che “i dati oggetto di pubblicazione obbligatoria, ai sensi dell'art. 7 d. lgs. n. 33/2013, non possono essere considerati “dati di tipo aperto””: al di là dell'interpretazione letterale – cui non soccorre l'infelice scrittura dell'articolo, ibrida tra le lettere a) e b) del comma 3 dell'art. 68 - il riferimento al riutilizzo e all'assenza di ulteriori restrizioni ad eccezione dell'obbligo di citazione della fonte, vale a sconfessare ogni differente lettura.


Ultimo punto, la polemica, mai sedata, sulla diffusione delle informazioni personali, sulla durata dell'obbligo di pubblicazione. La normativa attuale prevede che essi siano “conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati” e che l'interessato abbia diritto di ottenere la cancellazione dei dati “di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati” - nonché sulla ricercabilità ubiquitaria delle stesse tramite motori di ricerca. In merito, il Garante chiede specifiche disposizioni che individuino I dati soggetti a pubblicazione per un periodo inferiore al quinquennio e, comunque, l'impossibilità della loro ricerca tramite web, quindi al di fuori dei siti d pubblicazione originaria.


Da quanto emerge, sembra continuare a presentarsi quel conflitto complesso tra la riservatezza e la trasparenza, che le attuali disposizioni non aiutano a risolvere: l'Authority fa riferimento alla cristallizzazione delle informazioni sul web e alla oggettiva difficoltà di una loro rimozione una volta decorsi i termini di pubblicazione, anche in violazione del “diritto all'oblio” di prossima applicazione; da parte nostra, è sempre più pressante l'esigenza diffusa di un maggior controllo dell'operato della PA, o anche di semplice, maggiore conoscenza.

E' il momento di scegliere una strada precisa e di stabilire regole chiare e condivise, nell'interesse di tutti.


*Morena Ragone è una giurista, dottore di ricerca, esperta di diritti digitali, Direttivo di Stati Generali dell'Innovazione


[1] La delega contenuta nell'art. 7 della l. 124/2015 prevede la razionalizzazione degli obblighi di pubblicazione, "ai fini di eliminare le duplicazioni e di consentire che tali obblighi siano assolti attraverso la pubblicità totale o parziale di banche dati detenute da pubbliche amministrazioni"; la "ridefinizione e precisazione dell'ambito soggettivo di applicazione degli obblighi e delle misure in materia di trasparenza" e la "riduzione e concentrazione degli oneri gravanti in capo alle amministrazioni pubbliche”.