Trasparenza e privacy: nuove linee guida per i siti delle PA

Privacy, Sicurezza informatica, Spaziottantotto , , , ,

Le pubbliche amministrazioni, e in generale i soggetti tenuti agli obblighi di trasparenza, in attuazione del Decreto Trasparenza (D.lgs. 33/2013), sono tenute a pubblicare sui propri siti istituzionali una serie di dati e documenti, al fine di garantire accessibilità, integrità e responsabilità nei confronti dei cittadini. Tuttavia, tale obbligo di trasparenza deve essere adeguatamente bilanciato con il diritto alla riservatezza delle persone fisiche, come stabilito dal Regolamento (UE) 2016/679 (GDPR) e dal Codice della privacy (D.lgs. 196/2003). 

Quali misure devono adottare le PA per garantire la trasparenza online senza compromettere la protezione dei dati personali?

Gli schemi ANAC e l’intervento del Garante

In questo scenario si inserisce la recente predisposizione da parte dell’Autorità Nazionale Anticorruzione (ANAC) di quattordici schemi standard di pubblicazione, finalizzati a uniformare le modalità con cui le pubbliche amministrazioni devono adempiere agli obblighi di trasparenza previsti dal D.lgs. 33/2013.

Poiché tali schemi prevedono il trattamento dei dati personali, il Decreto Trasparenza stabilisce che la loro adozione sia subordinata al parere del Garante. Quest’ultimo, con il provvedimento del 22 febbraio 2024, ha espresso parere favorevole agli schemi, segnalando però alcune criticità e formulando delle raccomandazioni volte a evitare trattamenti non conformi alla normativa sulla privacy.

Le criticità rilevate: attenzione a dati personali e limiti di pubblicazione

Le principali criticità segnalate dal Garante riguardano tre ambiti centrali per la tutela dei dati personali: la minimizzazione, l’anonimizzazione e l’esclusione di informazioni non strettamente necessarie alla finalità di trasparenza. 

In particolare:

  • Dati di contatto: è autorizzata la pubblicazione dei soli dati dell’ufficio, evitando la diffusione dei dati personali dei dipendenti;
  • Concorso pubblico: è consentita la pubblicazione di nome e cognome; in caso di omonimia, anche di data di nascita e posizione in graduatoria;
  • Pagamenti e benefici economici: è vietata la pubblicazione dei nominativi dei beneficiari di importi inferiori a 1.000 euro l’anno o di dati da cui si possa dedurre lo stato di salute o di disagio socio-economico;
  • Valutazione della performance: è vietata la pubblicazione di dati troppo dettagliati che rendano identificabili i premi assegnati a singoli dipendenti;
  • Class action: è esclusa la diffusione dei nomi delle parti coinvolte, se si tratta di persone fisiche.

Il Garante ha inoltre raccomandato di eliminare dagli schemi il riferimento alla “Piattaforma Unica della Trasparenza”, in quanto ancora non istituita, e ha richiesto di predisporre un periodo transitorio per consentire alle PA di adeguarsi progressivamente ai nuovi obblighi.

Cosa cambia per le PA e, in generale, per i soggetti tenuti agli obblighi di trasparenza?

Con l’adozione dei nuovi schemi ANAC e le osservazioni del Garante, i soggetti destinatari degli obblighi di trasparenza dovranno operare con maggiore accortezza nella pubblicazione dei dati sui loro portali online.

Ciò implica:

  • la distinzione tra dati comuni, dati appartenenti a categorie particolari c.d. “sensibili” (es. origine etnica, salute, orientamento politico) e dati giudiziari, con un regime più rigoroso per questi ultimi;
  • la necessità di applicare tecniche di anonimizzazione, oscuramento o aggregazione, quando i dati non sono strettamente indispensabili;
  • l’obbligo di una valutazione preventiva dei rischi legati alla diffusione e al riutilizzo dei dati (privacy by design). 

Quali dati personali non vanno pubblicati online

È vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.

È prevista una durata della pubblicazione?

Il decreto trasparenza pone un termine generale di mantenimento online delle informazioni pari a 5 anni

Le uniche eccezioni riguardano:

  • gli atti che producono ancora i loro effetti alla scadenza dei cinque anni, che devono rimanere pubblicati fino a che non cessa la produzione degli effetti (es. le informazioni riferite ai vertici e ai dirigenti della P.A., che vengono aggiornati e possono restare online oltre i cinque anni, fino alla scadenza del loro mandato);
  • i dati riguardanti i titolari di incarichi politici, i dirigenti, i consulenti e i collaboratori (che devono rimanere pubblicati per i 3 anni successivi alla scadenza dell´incarico);
  • i dati per i quali è previsto un termine diverso dalla normativa in materia di privacy. 

È bene sottolineare che, in ogni caso, una volta raggiunti gli scopi per i quali i dati personali sono stati resi pubblici, gli stessi devono essere oscurati anche prima del termine dei 5 anni.

Il ruolo dei fornitori di servizi digitali

Le implicazioni non riguardano esclusivamente le pubbliche amministrazioni, ma hanno dei risvolti anche sui fornitori esterni che gestiscono i sistemi e i portali in cui le PA pubblicano le informazioni. 

Le aziende che offrono servizi di hosting, gestione documentale, cloud, CMS o sviluppo web per conto delle PA diventano responsabili del trattamento dei dati e devono assicurare che i loro sistemi siano conformi alla normativa vigente.

Il Data Act 2025: gli adeguamenti richiesti

Alla luce di queste responsabilità, il nuovo Data Act (Regolamento UE 2023/2854) segna un passaggio chiave verso una regolazione più stringente dell’accesso e dell’utilizzo dei dati. 

Dalla sua entrata in vigore prevista per settembre 2025, i fornitori di servizi di trattamento dati, inclusi cloud e data sharing, dovranno adeguare condizioni contrattuali e processi operativi. Inoltre, in casi eccezionali previsti dal regolamento, anche il settore pubblico potrà richiedere dati detenuti da soggetti privati, rendendo fondamentale una cooperazione strutturata tra PA e fornitori per garantirne un accesso lecito e sicuro.

Accessibilità e riservatezza: una responsabilità condivisa

La gestione della trasparenza amministrativa non può più prescindere da un’accurata protezione dei dati. Per questo, le pubbliche amministrazioni sono chiamate a operare con responsabilità preventiva, adottando strumenti e procedure che garantiscano il rispetto della normativa a partire dalla fase di predisposizione dei contenuti da pubblicare.

Al contempo, i fornitori di servizi digitali devono dotarsi di soluzioni adeguate sotto il profilo tecnologico e normativo, assicurando il pieno rispetto delle disposizioni previste dal GDPR e del Data Act. Raggiungere un equilibrio tra accessibilità e riservatezza nei siti istituzionali non è solo una necessità tecnica, ma una responsabilità strategica condivisa.

Hai bisogno di supporto per verificare la conformità dei tuoi sistemi informativi o per adeguarti ai nuovi obblighi normativi?

Contatta il nostro team per una consulenza personalizzata.

    Contattaci utilizzando il form sottostante:
    * = campi richiesti

    Nome*

    Email*

    Oggetto*

    Testo del Messaggio*