di 

Sicurezza digitale

Open Data, trasparenza e privacy: le nuove sfide della PA

Con le Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico gli Open Data vengono intesi come un elemento centrale nelle strategie di e-Government, fondamentale per favorire una maggiore trasparenza nell’agire amministrativo e la partecipazione attiva dei cittadini nei processi decisionali delle amministrazioni pubbliche. Il contributo dello Studio legale Lisi chiarisce le tappe di questo percorso legislativo.

Foto di opensource.com rilasciata sotto licenza CC - https://www.flickr.com/photos/opensourceway/4638981545/

Con le Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico gli Open Data vengono intesi come un elemento centrale nelle strategie di e-Government, fondamentale per favorire una maggiore trasparenza nell’agire amministrativo e la partecipazione attiva dei cittadini nei processi decisionali delle amministrazioni pubbliche. Il contributo dello Studio legale Lisi chiarisce le tappe di questo percorso legislativo.

Gli Open Data rappresentano oggi uno dei temi caldi su cui le amministrazioni pubbliche puntano per valorizzare il patrimonio informativo in loro possesso. Perché ciò sia realmente possibile risulta però indispensabile un’azione che renda effettivo, sistematico ed efficace, a tutti i livelli amministrativi, il processo di pubblicazione dei dati per il riutilizzo, uniformando la regolamentazione e la condivisione delle procedure.

Ma perché la gestione degli Open Data risulta così determinante nella gestione digitalizzata dei processi e delle comunicazioni che riguardano la PA?

Gli Open Data costituiscono un elemento centrale nelle strategie di e-Government, fondamentale per favorire una maggiore trasparenza nell’agire amministrativo (grazie alla quale si promuove la responsabilità, fornendo ai cittadini informazioni sulle attività della pubblica amministrazione), la partecipazione attiva dei cittadini nei processi decisionali delle amministrazioni pubbliche, per rendere disponibile agli stakeholder (cittadini, enti, imprese) i dati pubblici online, con un incremento costante di dataset esposti nell’ottica della promozione e dello sviluppo economico.

All’interno di questa strategia le recenti Linee guida nazionali per la valorizzazione del patrimonio informativo pubblico (2014) hanno proprio l’obiettivo di supportare questo processo, fornendo da un lato un modello per i dati pubblici - corredato di un modello per la relativa metadatazione - e dall’altro uno schema operativo per attuare il modello preposto.

Le fasi salienti del processo, evidenziate dalle Linee Guida, sono sostanzialmente: il coordinamento tra livello centrale e locale della PA per lo scambio e la pubblicazione di analoghe tipologie di dati aperti, l’individuazione di ruoli e figure professionali coinvolti in questi processi.

In merito, è importante porre l’attenzione sulla netta distinzione tra condivisione dei dati e dati di tipo aperto. Secondo quanto riportato dalle summenzionate Linee guida la condivisione di dati riguarda solitamente contesti ristretti (PA o enti con finalità pubbliche) e agisce sulla base di un determinato scopo di condivisione e su un insieme di dati specifici, inclusi anche i dati personali. I dati aperti, invece, sono tipicamente non riferibili a singole persone e disponibili gratuitamente per l’uso, il riutilizzo e la distribuzione da parte di chiunque, anche per finalità commerciali, con al massimo la richiesta di indicare la loro fonte di provenienza e di utilizzarli secondo gli stessi termini per cui sono stati licenziati originariamente.

La distinzione operata sulla funzionalità del dato risulta fondamentale per la comprensione di diverse problematiche, non trascurabili, per la corretta e consapevole gestione del dato stesso in fase di pubblicazione e condivisione.

Facendo un passo indietro nel tempo, nel giugno del 2013 vennero emanate le Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni (art. 58 comma 2 del CAD) da DigitPA, con l’obiettivo di rimarcare quanto stabilito all’articolo 50 e 58 del Codice dell’Amministrazione Digitale.

Nell’art. 50, infatti, si precisa che, nel rispetto della normativa in materia di protezione dei dati personali, qualunque dato trattato da una pubblica amministrazione è reso accessibile e fruibile alle altre amministrazioni, in funzione dello svolgimento dei compiti istituzionali di quest’ultime.

Il successivo articolo 58, nel porre l’attenzione sulla fruibilità dei dati, prevedeva che le amministrazioni titolari di banche dati accessibili per via telematica, al fine di dare concreta attuazione a quanto previsto dal predetto articolo 50, predisponessero apposite convenzioni finalizzate ad assicurare la fruibilità dei dati medesimi.

A distanza di poco più di un anno, con l’art. 24-quinquies del D.L. 24 giugno 2014, n. 90, convertito, con modificazioni, dalla Legge 11 agosto 2014, n. 114, recante Misure Urgenti per la semplificazione e la trasparenza amministrativa e per l'efficienza degli uffici giudiziari, è stato sostituito il comma 2 dell’art. 58 del CAD[1].

L’articolo, denominato “Comunicazioni tra le pubbliche amministrazioni”, sancisce l’obbligo per le PPAA di comunicare tra loro, attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa di cui all’art. 72, comma 1, lettera e) del CAD, finalizzata all'interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire l'integrazione dei metadati, delle informazioni e dei procedimenti amministrativi. Inoltre, l’AgID, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, dovrà definire entro 90 giorni[2] gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni dovranno conformarsi.

In aggiunta, l’art. 24-quinquies sostituisce anche il comma 3 dello stesso art. 58, stabilendo che l’AgID dovrà provvedere al monitoraggio del rispetto e dell’attuazione dell’articolo in questione, riferendo annualmente con apposita relazione al Presidente del Consiglio dei ministri e al Ministro delegato.

Da quanto esposto, emerge chiaramente la cancellazione delle convenzioni tra le pubbliche amministrazioni, previste dal vecchio comma 2, art. 58, del CAD (le convenzioni erano, difatti, aperte all'adesione di tutte le amministrazioni interessate e volte a disciplinare le modalità di accesso ai dati da parte delle stesse amministrazioni procedenti).

In argomento, l'art. 24-quater del D.L. 24 giugno 2014, n. 90, prevede inoltre delle sanzioni per tutte le pubbliche amministrazioni che non ottemperano all'obbligo di erogazione dei servizi in rete e di accesso telematico alle basi di dati, così come prescritto dall'art. 63 e dall'art. 52 del Codice dell'Amministrazione Digitale.

Nello specifico, il medesimo articolo sancisce che, a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della Legge 11 agosto 2014, n. 114, le pubbliche amministrazioni che non individuano, progettano e realizzano i servizi in rete (al fine di migliorare e rendere più efficiente il proprio operato), né predispongono l'accesso telematico a dati, documenti e procedimenti e il riutilizzo degli stessi, siano soggette a delle sanzioni, così come stabilito dall'art. 19, comma 5, lettera b) del D.L. in questione.

Più precisamente, tale disposizione prevede "una sanzione amministrativa non inferiore nel minimo a euro 1.000 e non superiore nel massimo a euro 10.000, nel caso in cui il soggetto obbligato ometta l'adozione dei piani triennali di prevenzione della corruzione, dei programmi triennali di trasparenza o dei codici di comportamento".

Difatti, proprio in attuazione dell'articolo in esame, entro il 18 settembre tutte le pubbliche amministrazioni e le società partecipate hanno l'obbligo di trasmettere all'AgID, esclusivamente per via telematica, "l'elenco delle basi di dati in loro gestione e degli applicativi che le utilizzano".

A tal riguardo, a partire dal 1° settembre 2014 è disponibile sul sito di AgID una procedura on line per la trasmissione del catalogo delle basi dati dei soggetti coinvolti nonché degli applicativi che utilizzano, mentre, come ulteriore supporto per il disbrigo di questa operazione, sempre sul sito dell’Agenzia è possibile reperire anche delle FAQ con ulteriori chiarimenti e informazioni.

Tuttavia, non si può non rilevare che il legislatore in questo contesto, accelerando i processi di condivisione e pubblicazione dei dati per le PPAA, eliminando la predisposizione di apposite convenzioni finalizzate ad assicurare la fruibilità dei dati medesimi, pone le stesse a rischio, in quanto diversi aspetti restano ancora trascurati. Per una corretta e consapevole gestione del dato, infatti, bisogna necessariamente considerarne la qualità - aspetto non sempre debitamente ponderato - in termini di frequenza di aggiornamento a cui i dati sono soggetti, scarsa documentazione del dato (metadatazione), rilascio di formati aperti che richiedono un significativo investimento umano e tecnico per poter consentire uno sviluppo efficace di applicazioni e servizi (spesso si confonde il rilascio di dati aperti con la messa a disposizione online di dati pubblici in un portale, trascurando gli aspetti di disaggregazione, neutralità tecnologica e legali richiesti per la conformità al paradigma Open Data).

Un altro aspetto di rilievo è quello legato alla privacy. Occorre precisare, a tal proposito, che le pubbliche amministrazioni sono in ogni caso tenute a ridurre al minimo i dati personali e i dati identificativi pubblicati, in conformità ai principi di finalità, necessità, pertinenza e non eccedenza con gli scopi che la loro pubblicazione persegue e inoltre possono pubblicare tali dati solo per espressa disposizione di legge o regolamento (art. 19, comma 3, del Codice per la protezione dei dati personali, D.Lgs. 196/2003)[3].

Infine, non meno importante è fare attenzione alla distinzione tra dati di tipo aperto e formati di tipo aperto. Il Garante per la protezione dei dati personali, nelle Linee guida in materia di dati personali, contenuti in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, chiarisce in maniera esplicita il concetto riportando l’attenzione sull’art. 7 del D.Lgs. 33/2013 (Decreto trasparenza) in cui si afferma che i documenti, le informazioni e i dati oggetto di pubblicazione obbligatoria sono pubblicati in formati di tipo aperto e sono riutilizzabili ai sensi della normativa vigente, senza ulteriori restrizioni diverse dall’obbligo di citare la fonte e di rispettarne l’integrità. Il Garante precisa inoltre che il “formato di tipo aperto” è “un formato di dati reso disponibile online, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi” (art. 68 del CAD). Con riferimento ai dati personali si deduce che l’obbligo di pubblicazione dei dati in “formato di tipo aperto” non comporta che questi ultimi, pubblicati sui siti web istituzionali in ottemperanza agli obblighi di trasparenza, siano anche “dati di tipo aperto” nei termini definiti dal CAD: quest’ultima definizione si riferisce, infatti, alla disponibilità unita alla riutilizzazione del dato da parte di chiunque, anche per finalità commerciali e in formato disaggregato. Da questo consegue che i dati personali oggetto di pubblicazione obbligatoria non sono liberamente riutilizzabili da chiunque per qualsiasi finalità.

Il principio generale del libero riutilizzo di documenti contenenti dati pubblici riguarda essenzialmente documenti che non contengono dati personali oppure riguarda dati personali opportunamente aggregati e resi anonimi.

Per ovviare alle problematiche su riportate, all’interno di una PA efficace ed efficiente, il legislatore, nei diversi ambiti di intervento, ha individuato alcune figure professionali, che con compiti ben precisi e definiti e attraverso coordinamento e collaborazione reciproci hanno l’obiettivo di:

  • avviare e governare a regime il processo di gestione dei dati in generale e, nello specifico, di apertura degli stessi;
  • Responsabile Open Data (o Open Data Manager);
  • rispettare gli obblighi di pubblicazione e trasparenza;
  • Responsabile trasparenza;
  • operare il corretto trattamento dei dati personali nel rispetto della normativa sulla privacy;
  • Responsabile del trattamento dei dati personali.

Tali figure operano d’intesa al fine di valorizzare vicendevolmente gli obiettivi da un lato di massimo riutilizzo dei dati pubblici di tipo aperto e dall’altro di trasparenza, nel rispetto della normativa sulla privacy.

*Digital&Law Department


[1] Il comma 3-bis dell’art. 58, conseguentemente, è stato abrogato.
[2] Entro 90 giorni dalla data di entrata in vigore della Legge 11 agosto 2014, n. 114, che ha convertito, con modificazioni, il D.L. n. 90/2014.
[3] In prospettiva europea, inoltre, occorre considerare anche la Direttiva sull’informazione del settore pubblico (Direttiva 2003/98/CE), recepita in Italia dal D.Lgs. n. 36 del 2006 e recentemente modificata per introdurre alcuni principi relativi agli Open Data. Nello specifico, tra le novità di rilievo della nuova versione della direttiva, è stato riformulato il principio del riuso, prevedendo che tutti i documenti pubblici possano essere riutilizzati sia per fini commerciali, sia per scopi non commerciali, nel rispetto della disciplina in materia di protezione dei dati personali.