Privacy e Web, terreno insidioso per le PA

Pubblicato sul sito di Pubblicaamministrazione.net

L’entrata in vigore, il 1° gennaio 2011, della normativa sull’albo pretorio on line ha nuovamente evidenziato i rischi di una scorretta diffusione sul web di dati personali.

Lo scorso settembre il Garante della Privacy ha comminato una sanzione di 40.000 euro ad una Regione per aver pubblicato online dei dati sanitari: è solo l’ultimo caso di un fenomeno piuttosto frequente, che ha visto l’Autorità competente intervenire spesso negli ultimi anni.

L’entrata in vigore dell’art. 32 della legge 69/2009 ha sancito l’effetto esclusivo di pubblicità legale dell’albo pretorio on line: quasi tutti i documenti che prima andavano pubblicati all’albo pretorio cartaceo adesso devono essere pubblicati sul web. Un’importante innovazione che ha spinto il Garante della Privacy a tornare sull’argomento, dopo che già nel 2007 aveva affrontato queste tematiche: lo scorso 15 dicembre ha infatti sottoposto alla consultazione pubblica uno schema di linee guida in materia di diffusione di atti e documenti sul web da parte delle PA, che dovrebbe sfociare nella sua versione definitiva nelle prossime settimane.

Analizzando il vecchio provvedimento del 2007 e il nuovo schema di linee guida, si possono trarre importanti indicazioni su normativa di riferimento, modalità di diffusione, cautele da tenere e contenuti da pubblicare.

Innanzitutto è opportuno chiarire che il Codice della Privacy (D.Lgs. 196/2003) stabilisce che la diffusione di dati personali sui siti istituzionali delle PA è consentita solo se vi è una norma di legge o di regolamento che lo permette, mentre vige il divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 19-22).

L’avvento dell’albo on line ha portato in dote una serie di criticità importanti, legate al funzionamento dei motori di ricerca:

a) Ubiquità – i motori di ricerca rendono disponibili a chiunque nel mondo informazioni relative ad un particolare soggetto, senza limitazioni. Questo aspetto va ben oltre gli obiettivi di pubblicità della normativa, il cui fine è garantire la conoscenza legale di un atto e non la diffusione indiscriminata di dati personali. In questo caso i concetti di pubblicità e di pubblicazione non sono equivalenti, senza le dovute cautele la diffusione on line di informazioni è decisamente sproporzionata.

b) Persistenza dell’informazione – il web non dimentica. Senza i dovuti accorgimenti, pubblicare un’informazione on line significa renderla disponibile per un tempo indeterminato, decisamente superiore per esempio ai periodi di pubblicità legale imposti dalle normative specifiche. Inoltre, la permanenza di alcune informazioni sulla rete potrebbe ledere il c.d. “diritto all’oblio”.

c) Mancanza di contesto – i motori di ricerca che raccolgono le informazioni possono ordinarle secondo logiche inadeguate e non governabili, oppure può accadere che permangano informazioni non aggiornate.

Per quanto riguarda le pagine contenenti dati personali, il Garante della Privacy pertanto consiglia che queste vengano nascoste ai motori di ricerca esterni, garantendo comunque disponibilità ed accessi selettivi tramite motori di ricerca interni. Questa pratica è già stata usata anche dal Ministero per la Pubblica Amministrazione e l’Innovazione, il quale nell’ambito dell'”Operazione Trasparenza” ha riportato sul suo sito gli accorgimenti tecnici per impedire l’indicizzazione dei curricula dei Dirigenti.

Nello schema di linee guida, il Garante individua e definisce tre diverse finalità che possono portare le PA a diffondere dati personali attraverso il proprio sito istituzionale:

  1. Trasparenza – il fine è garantire una conoscenza generalizzata di informazioni che assicurino un ampio controllo sull’operato delle PA. È la motivazione per cui, ad esempio, si pubblicano i curricula di Dirigenti e titolari di Posizioni Organizzative, oltre ad altre informazioni normalmente contenute nella sezione del sito denominata “Trasparenza, valutazione e merito”.
  2. Pubblicità – assicurare che gli atti e i documenti amministrativi vengano resi pubblici per favorire eventuali comportamenti conseguenti da parte di soggetti interessati. È il caso di alcuni atti pubblicati all’albo pretorio, come ad esempio gli atti di matrimonio (pubblicità notizia) o le deliberazioni degli organi dell’Ente (pubblicità costitutiva).
  3. Consultabilità – consiste nel mettere a disposizione documenti e atti amministrativi solo a soggetti determinati (o a determinate categorie) per garantire in maniera agevole la  partecipazione alle attività e ai procedimenti amministrativi. In questi casi i soggetti legittimati a conoscere tali informazioni sono identificabili a priori, per cui non è normalmente giustificato l’accesso libero e incondizionato alle informazioni.

Si tratta di finalità tra loro molto diverse, a cui occorre approcciarsi con differenti modalità di pubblicazione, nel rispetto dei principi di necessità e proporzionalità indicati nel Codice della Privacy.

Per quanto riguarda i tempi di pubblicazione delle informazioni, questi devono essere funzionali delle finalità perseguite e rispettare gli obblighi di legge.

In generale, i tempi di pubblicazione dei dati per finalità di trasparenza (es. curricula dei Dirigenti, albi dei beneficiari di provvidenze di natura economica, ecc.) sono sicuramente superiori a quelli richiesti per fini di pubblicità (es. deliberazioni, atti di matrimonio, dati su concorsi e selezioni pubbliche, ecc). Questi ultimi, non devono più essere disponibili al termine del periodo legale di pubblicazione.

In relazione ai dati personali dei soggetti, vanno pubblicate solo le informazioni necessarie agli obiettivi stabiliti, nel rispetto della normativa. Così, ad esempio:

  • tra le informazioni del personale vanno riportati solo i dati relativi al contesto professionale, senza riportare dati di carattere privato (indirizzo di residenza, numero di cellulare e mail personale, ecc);
  • negli elenchi pubblicati vanno riportati solo i dati che consentano l’identificazione del soggetto (es. nome, cognome e data di nascita) e le generalità della pubblicazione (es. la disposizione di legge che la motiva), mentre gli altri dettagli non vanno inseriti (codice fiscale, recapiti, dati bancari, dettagli e informazioni discriminanti);
  • è assolutamente vietato pubblicare dati sanitari.

Per quanto riguarda i dati sensibili presenti negli atti da pubblicare all’albo, il provvedimento del 2007, al punto 6, riporta un’indicazione interessante:

“Può risultare ad esempio utile menzionare tali dati solo negli atti a disposizione negli uffici (richiamati quale presupposto della deliberazione e consultabili solo da interessati e controinteressati), come pure menzionare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici”.

Infine, per i dati ad accesso ristretto, occorre predisporre modalità di preventiva identificazione per consentire ai soli soggetti interessati di poter fruire di tali informazioni (es. login e password).

In conclusione, la pubblicità sul web di atti e documenti richiede una rinnovata cautela, ma l’osservazione di pochi principi  di base e di regole di buon senso comune permette di dirimere la maggior parte dei dubbi.

Annunci

Pubblicato il 25 febbraio 2011, in Nella Rete con tag , , , , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: