FAQ PRIVACY

il nostro Comune ha ricevuto una richiesta di copia delle liste elettorali da parte di un’associazione che afferma di effettuare rilevazioni statistiche nel territorio. Chiediamo di sapere se siamo tenuti ad accogliere la richiesta

L’accesso alle liste elettorali è disciplinato dall’articolo 51 del DPR 223/1967, testo unico delle leggi per la disciplina dell’elettorato attivo e per la tenuta e la revisione delle liste elettorali. In particolare, l’articolo 51, al comma 5, prima della modifica introdotta dall’articolo 177 del decreto legislativo 196/2003, Codice della privacy, consentiva a chiunque di “copiare, stampare o mettere in vendita le liste elettorali”, ma la norma vigente prescrive, invece, che “le liste elettorali possono essere rilasciate in copia per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per il perseguimento di un interesse collettivo o diffuso”.

Al riguardo il Tar Sardegna, con la sentenza 148/2011 ha ritenuto legittimo il diniego opposto da un Comune a una richiesta, in quanto non adeguatamente motivata.

Nella sentenza si legge infatti che “il richiedente deve indicare chiaramente e specificatamente il concreto uso che intende fare dei dati delle liste elettorali, spettando poi al soggetto che deve applicare la norma (il comune e in seconda istanza il giudice), di valutare e stabilire se tale concreto utilizzo rientra o meno nelle finalità ammesse dalla norma di legge.”
E si aggiunge che “spetta all’amministrazione destinataria dell’istanza (in questo caso al comune) entrare nel merito della richiesta e valutare se la specifica finalità del loro successivo utilizzo, dichiarata da parte del richiedente, sia conforme all’attività del soggetto medesimo, nonché se rientri effettivamente tra le ipotesi di cui al citato articolo 177/2003”.

 Si può rilevare che l’articolo 177 risulta abrogato, così come previsto nell’art. 27, comma 1, lettera c) del decreto legislativo 101/2018, tuttavia è da ritenere che la disposizione contenuta nel comma 5 dell’articolo 51 del DPR 223/1967 sia da considerarsi vigente.

Secondo quanto previsto dal bando “Si provvederà alla pubblicazione del verbale redatto dalla Commissione giudicatrice e sottoscritto dalla stessa, contenente la graduatoria della selezione all’Albo pretorio on line dell’Ente per quindici giorni consecutivi, nonché sul sito istituzionale dell’ente -Amministrazione Trasparente- Bandi di Concorso.

Le superiori forme di pubblicità avranno effetto di notifica per tutti gli interessati. Potranno essere inviate dagli interessati richieste di riesame, opposizioni e/o ricorsi alla graduatoria entro e non oltre il periodo di pubblicazione della stessa all’albo pretorio on line.
La Commissione alla scadenza del termine di pubblicazione della graduatoria di selezione, esaminati gli eventuali rilievi o opposizioni trasmette i verbali, dal quale si evince il percorso seguito per la formazione della graduatoria finale, al responsabile competente in materia di personale che provvederà con atto formale all’approvazione della graduatoria di merito e alla nomina del vincitore della selezione”

Fermo restando che ogni concorrente è personalmente notiziato tramite pec sull’esito della propria prova (scritti, orali e titoli), si chiede di voler fornire delle indicazioni operative sui dati da pubblicare.
Ad es. sarebbe possibile pubblicare soltanto l’elenco nominativo del vincitore (trattandosi di un concorso per un posto) e degli idonei o accanto ad ognuno di essi si deve indicare anche il voto, quantomeno complessivo?
_______

Così come precisato dal Garante per la protezione dei dati personali, nell’ordinanza del 30 gennaio 2020, la normativa statale in materia di trasparenza contenuta nel d. lgs. n. 33/2013 non prevede la diffusione dei dati personali contenuti nei documenti pubblicati online. Al riguardo viene precisato, inoltre che l’unica disposizione relativa a concorsi e prove selettive contenuta nell’art. 23, comma 1, lett. c), del predetto decreto (peraltro relativa alla pubblicazione di elementi di sintesi dei provvedimenti finali dei procedimenti e non degli atti, verbali, elenchi di ammessi, graduatorie formate a conclusione del procedimento, né delle informazioni concernenti eventuali prove intermedie), è stata abrogata dall’art. 22, comma 1, lett. a), n. 3), del d. lgs. 25/5/2016, n. 97.

Per quanto concerne gli obblighi da assolvere con la pubblicazione all’albo pretorio, lo stesso garante precisa che, al riguardo, risulta applicabile la disciplina di settore contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487 (Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi), che dispone, in primo luogo, che siano pubblicate “nell’albo pretorio del relativo ente” le sole graduatorie definitive dei vincitori di concorso presso gli enti locali territoriali e non anche, come nella questione sottoposta all’attenzione del Garante, i dati personali prima dettagliati nel par. 1 ai nn. 1-5, riferiti ai candidati che: sono stati ammessi, anche con riserva, a sostenere le prove scritte (nominativo, luogo e data di nascita di n. XX soggetti); hanno partecipato alle prove scritte e orali (nominativo con indicazione dei punti assegnati per titoli di studio, di servizio, curriculum e titoli vari; della votazione o esito delle due prove scritte anche se non valutabile o non esaminata di n. XX soggetti in tutto; hanno estratto le tracce o che hanno presenziato alle operazioni di consegna degli elaborati (n. XX soggetti); hanno partecipato alle prove orali con specifica indicazione delle domande e della votazione conseguita (n. XX soggetti).

Conseguentemente non si ritiene che possano essere pubblicate esclusivamente le informazioni relative ai vincitori, limitandosi al nome e al cognome, escludendo la possibilità di riportare il nome dei candidati idonei. Certamente non è assolutamente consentito riportare il punteggio conseguito all’esito delle prove.

Sia chiaro che rimane impregiudicata la possibilità per ciascun partecipante di accedere alle informazioni che rentrino nella tutela dei propri interessi.

Il nostro Comune ha diversi tratti di spiaggia libera. Ci chiediamo se l’ente è tenuto ad attivare le prenotazioni per l’accesso e se volendolo fare ciò comporterebbe un trattamento di dati personali

Le prescrizioni relative all’accesso presso gli stabilimenti balneari sono contenute nelle “linee guida per la riapertura delle attività economiche e produttive” (che allego in fondo alla pagina), predisposte dalla Conferenza delle Regioni e delle Province Autonome lo scorso 16 maggio 2020.

A pagina 5 del documento, all’interno della voce “attività turistiche (stabilimenti balneari e spiagge) che si applica “agli stabilimenti balneari, alle spiagge attrezzate e alle spiagge libere“, al punto 3 è prescritto di “privilegiare l’accesso agli stabilimenti tramite prenotazione e mantenere l’elenco delle presenza, per un periodo. di 14 giorni“.

In un successivo punto, inoltre, è precisato che “Per quanto riguarda le spiagge libere, si ribadisce l’importanza dell’informazione e della responsabilizzazione individuale da parte degli avventori nell’adozione di comportamenti rispettosi delle misure di prevenzione. Al fine di assicurare il rispetto della distanza di sicurezza di almeno 1 metro tra le persone e gli interventi di pulizia e disinfezione dei servizi eventualmente presenti si suggerisce la presenza di un addetto alla sorveglianza. Anche il posizionamento degli ombrelloni dovrà rispettare le indicazioni sopra riportate.“

Da quanto sopra potrebbe intendersi che, mentre gli stabilimenti balneari “tutti” hanno l’obbligo di predisporre gli elenchi, “preferibilmente” con un sistema di prenotazione, nelle spiagge libere, si rende necessario fare riferimento alla “responsabilizzazione individuale da parte degli avventori”, ferma restando per gli enti titolari delle concessioni demaniali, di posizionare cartelli informativi degli obblighi da rispettare, attivando, in relazione alle proprie possibilità dei controlli periodici per verificarne il rispetto.

A meno che il Comune non intenda farsi promotore di iniziative autonome finalizzate alla gestione delle prenotazioni per l’accesso alle spiagge, non sembra ricavarsi alcun. obbligo in tal senso, nè sembrerebbe praticabile, richiedendo il. presidio costante degli accessi e delle permanenze sulle spiagge.

Peraltro,  come giustamente evidenziato nella domanda posta, l’eventuale attivazione di prenotazione, configurerebbero un trattamento. dei dati personali, richiedendo, inevitabilmente le necessarie garanzie in ordine agli obblighi informativi, oltre che alla definizione dei profili dii responsabilità, della modalità e tempi di conservazione ecc.

Laddove il Comune adotti la scelta di fornire il servizio di prenotazione dell’accesso alla spiaggia libera, quindi, sarà considerato Titolare del trattamento, dovrò individuare un Responsabile interno all’ente, definire gli ambiti di responsabilità esterna se sceglierà l’uso di sistemi telematici (per la società che gestisce le prenotazioni) e dovrà, informare ogni interessato delle modalità di trattamento dei dati e dei propri diritti in ordine alla verifica sulla correttezza della gestione delle informazioni e della loro rimozione decorsi 14 giorni dall’acquisizione.

In caso di pubblicazione di dati personali nel Curriculum vitae, chi ne risponde e come si può regolare la situazione?

La pubblicazione del curriculum vitae sul sito dell’ente è richiesta nelle seguenti occasioni:

1. Nel caso di conferimento di incarico politico o di vertice (art. 14 del decreto legislativo 33/2013);
2. Nel caso di attribuzione di un incarico di consulenza o collaborazione (art. 15 del decreto legislativo 33/2013);
3. Nel caso di conferimento di incarico di commissario nelle gare d’appalto (art. 29 del Dlgs 50/2016)

In tutte le situazioni prima elencate e nelle altre, nelle quali si richieda la pubblicazione del curriculum, per la pubblica amministrazione l’adempimento consiste nell’obbligo di riportare sul sito istituzionale il documento trasmesso dal soggetto a cui viene conferito l’incarico. È necessario, infatti, che vi sia una stretta corrispondenza tra il documento pubblicato e quello oggetto di valutazione. Da ciò discende che l’ufficio che ne ha la competenza, deve provvedere alla pubblicazione del documento così come è stato prodotto.

Tuttavia, poiché, di norma, è quest’ultimo ufficio a rispondere di ciò che pubblica, dovrebbe avere cura di epurare ogni dato personale che sia ridondante (data di nascita, telefono, codice fiscale, appartenenza ad associazioni, ecc.). Ma nel caso del curriculum, essendo un documento predisposto direttamente dall’interessato, potrebbe comportare la rimozione di informazioni che questi potrebbe ritenere utili e che intenda pubblicarli ai fini della conoscenza del proprio profilo, delle sue appartenenze associative o di altre scelte a carattere personale.

Per questa ragione, oltre che per liberare gli uffici da ogni eventuale responsabilità al riguardo, è necessario che ogni curriculum venga accompagnato da una formula che contempli la specifica autorizzazione alla pubblicazione del documento e di ogni contenuto che viene riportato, anche se relativo a informazioni di carattere personale e non strettamente necessarie alle finalità della pubblicazione.

Tale formula è da considerarsi una condizione necessaria e indispensabile per la pubblicazione di un curriculum allo scopo di acquisire la piena consapevolezza dell’interessato che ogni informazione, così come riportata nel documento sarà oggetto di pubblicazione sul sito istituzionale.

Riporto di seguito una bozza di autorizzazione-tipo

Si autorizza la pubblicazione del presente curriculum (o del curriculum prodotto in data…. e allegato alla presente comunicazione) e di ogni informazione in esso contenuta, così come riportata nel documento, liberando l’Ente…. da ogni eventuale responsabilità che possa derivare dalla divulgazione dei dati, sia in ordine alla loro veridicità, sia riguardo alla tutela della riservatezza. 

Si precisa che tale autorizzazione è limitata esclusivamente agli obblighi di legge relativi agli adempimenti relativi alla procedura…. . Conseguentemente il documento non dovrà essere reso pubblicamente accessibile una volta decorso il termine prescritto dalle norme di legge

Alcuni enti hanno richiesto informazioni in ordine agli adempimenti da effettuare allo scopo di garantire la necessaria sicurezza ai dipendenti e alle persone che frequentano la sede dell’ente, nel rispetto delle prescrizioni contenute nella normativa vigente. A tal fine ritengo utile riepilogare di seguito le norme che dettano specifiche disposizioni alle pubbliche amministrazioni:

1. DPCM 10 aprile 2020 art. 3 – Misure di informazione e prevenzione sull’intero territorio nazionale.

• Comma 1, lettera a) “nelle pubbliche amministrazioni e in particolare nelle aree di accesso le strutture del servizio sanitario, nonché a tutti i locali aperti al pubblico […] sono messe a disposizione degli addetti, nonché degli utenti e visitatori, soluzioni disinfettanti per l’igiene delle mani”

5. Protocollo di accordo per la prevenzione e la sicurezza dei dipendenti pubblici in ordine all’emergenza sanitaria da COVID -19 del 3 aprile 2020 tra il Ministro per la pubblica amministrazione e le amministrazioni sindacali
   • Punto 3: garantire ai fini della prosecuzione dell’attività amministrativa le più opportune condizioni di salubrità e sicurezza degli ambienti di lavoro in cui le attività debbono essere svolte in presenza del personale.
   • Punto 4: laddove non sia possibile effettuare attività da remoto o si tratti di servizi indifferibili, dovranno essere organizzati degli “appuntamenti cadenzati”, prevedendo che il personale sia dotato di adeguati dispositivi di protezione individuale e siano implementate le azioni di sicurezza, anche di misura analoga a quelle riportate dal protocollo per il contenimento del virus COVID-19 negli ambienti di lavoro
   • Punto 7: contingentare l’accesso agli spazi comuni con la previsione di ventilazione, aerazione e mantenimento della distanza di sicurezza.
   • Punto 8: assicurare la pulizia giornaliera e la sanificazione periodica dei locali, degli ambienti, delle postazioni di lavoro e delle aree comuni e di attesa dell’utenza
   • Punto 9: laddove si verifichi un caso di positività al COVID-19, procedere alla chiusura della stessa amministrazione per almeno 24 ore, ai fini dello svolgimento della pulizia e della sanificazione dei locali.
   • Punto 10: nel caso di isolamento momentaneo di un dipendente, fornire le necessarie garanzie in ordine alla riservatezza e alla dignità del lavoratore interessato dalla misura preventiva. Tali garanzie peraltro devono essere osservate anche nel caso in cui il lavoratore comunichi contatti con soggetti risultati positivi al Covid-19
6. DPCM 26 aprile 2020 “ulteriori disposizioni attuative del decreto legge 23 febbraio 2020 n. 6”: Art. 1, co. 1, l. b) “i soggetti con sintomatologia da infezione respiratoria e febbre maggiore di 37,5° devono rimanere presso il proprio domicilio e limitare al massimo i contatti sociali contattando il proprio medico curante”; l. c) “e’ fatto divieto assoluto di mobilità dalla propria abitazione o dimora per i soggetti sottoposti alla misura della quarantena ovvero risultati positivi al virus”.
7. Protocollo 24 aprile 2020 per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro:
   • Punto 2:
     • il personale, prima dell’accesso al luogo di lavoro, potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore a 37,5° non sarà consentito l’accesso ai luoghi di lavoro. Le persone in tale condizione saranno momentaneamente isolate e fornite di mascherine, non dovranno recarsi al pronto soccorso o nelle infermerie di sede, ma dovranno contattare nel più breve tempo possibile il proprio medico curante e seguirne le indicazioni.
     • Il datore di lavoro informa preventivamente il personale della preclusione dell’accesso a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio secondo le indicazione dell’OMS
     • L’ingresso in azienda dei lavoratori risultati positivi al Covid-19 dovrà essere preceduto da una preventiva comunicazione avente ad oggetto la certificazione medica da cui risulti la “avvenuta negativizzazione del tampone”.
8. Lo stesso documento inoltre contiene indicazioni specifiche in ordine all’ingresso da parte di persone estranee e alla pulizia e alla sanificazione dei locali.

Dal quadro normativo sopra rappresentato si deducono diverse prescrizioni che rappresentano gli ambiti di responsabilità per le pubbliche amministrazioni al fine di garantire la salubrità dei locali e la tutela dell’incolumità dei pubblici dipendenti.

Giova precisare che le disposizioni richiamate rivestono un diverso rango, conseguentemente, i DPCM si riferiscono alla generalità dei cittadini, mentre quelle richiamate nei protocolli sono da intendersi relativi agli ambiti di rappresentanza dei soggetti che le sottoscrivono.

Conseguentemente, poiché la disciplina specifica per le pubbliche amministrazioni è contenuta nel documento siglato il 3 aprile, qualcuno ha sollevato obiezioni sulla estensibilità agli uffici pubblici del contenuto del protocollo siglato il 24 aprile tra il Governo e le organizzazioni sindacali rappresentative delle “attività professionali e delle attività produttive”.

L’esigenza è particolarmente avvertita con riferimento a quegli ambiti che sono previsti esclusivamente nel protocollo più recente, ma la cui applicazione potrebbe ingenerare situazioni di conflitto con i lavoratori del comparto pubblico. Mi riferisco in particolar modo alla possibilità che i datori di lavoro procedano alla rilevazione della temperatura dei dipendenti.

Si ha notizia, infatti, di dipendenti che si sono rifiutati di sottoporsi alla rilevazione ritenendola un arbitrio del datore di lavoro, non previsto da alcuna disposizione normativa, peraltro esposta a rischi in ordine al trattamento dei dati personali.

Al riguardo è opportuno precisare che pur riconoscendo il dovuto pregio alle osservazioni sopra riportate, per il datore di lavoro, si tratterebbe di dovere contemperare due interessi contrapposti: a) l’interesse alla tutela dei dati personali; b) l’interesse alla pubblica incolumità.

Pur trattandosi di due ambiti che meritano particolare attenzione, non si può trascurare il fatto che il primo può trovare ogni rimedio attraverso l’applicazione delle misure prescritte dalle norme vigenti, compresa la responsabilizzazione degli operatori del trattamento. Il secondo, invece, ai fini della sua tutela, necessita l’adozione di misure che per essere efficaci hanno bisogno di acquisire ogni informazione utile sullo stato di salute di tutti i frequentatori dei locali comunali, nell’interesse della collettività, compresi i singoli dipendenti, a cui si richiede la rilevazione della temperatura, al pari di ogni altro soggetto che acceda presso gli uffici.

Peraltro, qualora, a seguito della rilevazione disposta dall’ente, un dipendente, o chiunque altro, risultasse affetto da febbre con temperatura superiore a 37,5°, in ottemperanza alle prescrizioni del DPCM, sarebbe obbligato a sospendere ogni occupazione e recarsi immediatamente dal proprio medico curante o contattarlo telefonicamente. E se risultasse che lo stato febbrile dipende da un contagio da virus COVID-19, l’intero ente dovrebbe procedere alla chiusura temporanea, come prescritto dal protocollo siglato il 3 aprile.

E’ comunque il caso di precisare che la verifica della propria temperatura corporea è un onere richiesto a ogni cittadino in ottemperanza alle disposizioni contenute nel DPCM del 26 aprile 2020. E che l’eventuale registrazione della temperatura è effettuata esclusivamente qualora risulti superiore a 37,5°. Conseguentemente, il rifiuto della rilevazione non ha alcuna ragione a sostegno se la temperatura è inferiore e risulta, invece, necessario, a tutela della pubblica incolumità, se risulta superiore.

Da quanto sopra si evince che, a giudizio di chi scrive, l’eventuale rilevazione della temperatura disposta dal datore di lavoro, sia in modo sistematico, sia a campione, è da intendersi legittima e necessaria ad assicurare quelle misure di prevenzione che discendono dalla responsabilità riguardo la sicurezza dei lavoratori e dei cittadini che accedono al Comune.

L’interesse alla tutela dei dati personali non viene assolutamente disatteso se l’ente definisce in modo dettagliato il processo individuando le responsabilità del trattamento, i soggetti a cui è affidato il compito di rilevare la temperatura e le modalità di acquisizione e conservazione delle informazioni, nonché di distruzione a conclusione dell’emergenza, avendo riguardo alla particolare riservatezza delle informazioni, trattandosi di dati sanitari.

Nel nostro comune diversi consiglieri, sia di maggioranza che di opposizione, hanno chiesto di accedere agli elenchi dei beneficiari dei buoni spesa erogati con i soldi stanziati con l’Ordinanza n. 658/2020. Ne hanno diritto o possiamo negare l’accesso?

Al riguardo è bene evidenziare che la documentazione a cui si chiede di accedere contiene informazioni che riguardano il “disagio economico” dei cittadini che richiedono l’accesso al beneficio oltre che eventuali ulteriori informazioni sullo stato di salute o di infermità o indigenza. Tali informazioni, come è noto, sono escluse dall’accesso documentale, poiché riguardano situazioni che sono coperte dalla riservatezza ai fini della tutela delle persone fisiche.

Tuttavia, poiché la richiesta è stata inoltrata da un Consigliere comunale le argomentazioni prima evidenziate, debbono essere interpretate alla luce del TUEL, approvato con D. Lgs. 267/2000. Tale provvedimento, infatti, all’art. 43 prevede che i Consiglieri abbiano il diritto di ottenere “tutte le notizie e le informazioni utili all’espletamento del proprio mandato”.

Da quanto sopra potrebbe evincersi una generalizzata estensione del diritto di ogni consigliere comunale all’accesso a qualsiasi informazione sia detenuta dall’ente. Peraltro, pur nel riconoscimento di un eventuale diritto così ampio, lo stesso art. 43 richiama i consiglieri comunali al rispetto del “segreto” allo scopo di evitare ogni indebita divulgazione di dati personali.

Non va inoltre trascurato il fatto che il diritto del Consigliere all’accesso deve essere giustificato da “l’espletamento del proprio mandato”, pur riconoscendo che con questa espressione non si intende l’obbligo di dovere fare ricorso a una specifica motivazione, quanto invece, in modo generico, l’esercizio della funzione di indirizzo e controllo.

Appare evidente, però, che nel caso di specie, si contrappongono due esigenze che inevitabilmente sono entrambe degne di tutela e per le quali è necessario individuare una modalità che ne concili il rispetto, facendo in modo che nessuna di esse prevalga a danno dell’altra.

Il diritto del Consigliere all’accesso, infatti, deve essere coniugato con la tutela della persona fisica che potrebbe risultare compromessa nel caso di divulgazione di dati personali relativi alla temporanea indigenza o allo stato di necessità. Per questa ragione, ad avviso dello scrivente, si rende necessario adottare una soluzione di “buon senso” che, senza operare alcuna limitazione al ruolo dei consiglieri comunali, garantisca la necessaria tutela ai cittadini che, per effetto delle misure adottate nel contenimento della pandemia, si trovano oggi nella “fragile” condizione, quindi degna di tutela, di dovere chiedere sostegno alla pubblica amministrazione.

Conseguentemente, nel contemperamento tra il diritto alla conoscenza dell’elenco dei cittadini che hanno richiesto il beneficio e il diritto alla riservatezza di questi ultimi, si ritiene di consigliare una ragionevole limitazione della diffusione dei dati personali. Resta inteso che tale limitazione non deve tradursi nell’impedimento dell’azione di controllo politico, ma si ritiene che ciò possa essere esercitato ricorrendo ad altre forme che ne soddisfino l’attuazione, senza necessariamente ricorrere alla indiscriminata diffusione degli elenchi a tutti i consiglieri che ne facciano richiesta.

Peraltro, è da rilevare che, non essendo ancora cessata l’emergenza il processo di riconoscimento delle provvidenze economiche può intendersi non concluso. E la divulgazione di notizie in ordine alle erogazioni effettuate potrebbe ingenerare occasioni di conflitto sociale tra chi ne ha già beneficiato e chi potrebbe beneficiarne in un secondo tempo o chi si ritenga comunque discriminato.

Tutte le ragioni sopra esposte indurrebbero a consigliare il differimento dell’accesso a un momento successivo, una volta cessata l’emergenza, semmai con l’attivazione di una verifica affidata ad una rosa ristretta di rappresentanti politici che assicurino la partecipazione della minoranza e che si limitino alla verifica degli atti astenendosi dalla riproduzione e dalla diffusione degli elenchi.

Un assessore, il giorno successivo alla seduta di giunta, avvenuta in video conferenza, ha richiesto al segretario comunale copia delle registrazione della seduta, in quanto equiparato a “documento amministrativo”. Il segretario è dunque obbligato ad accogliere la richiesta?

Il fatto che la seduta della giunta avvenga in modalità di video conferenza non implica che la stessa debba essere registrata. Nè la registrazione si rende necessaria per una finalità a cui la legge riconosca valore, in quanto, la seduta non è aperta al pubblico e le decisioni sono assunte a seguito della verifica del numero legale e della votazione espressa dai partecipanti che si desume unicamente dagli atti formalmente sottoscritti dal Sindaco e dal Segretario (e in qualche caso dall’assessore anziano).

Da ciò discende che laddove il segretario comunale abbia inteso registrare la seduta ciò deve intendersi, al pari del “brogliaccio”, come iniziativa adottata al solo scopo di prendere nota di quanto necessario per la predisposizione del verbale. Potrebbe quindi trattarsi di stralci della seduta.

Peraltro, certamente, una volta predisposto il verbale, non vi è alcuna ragione di mantenere la registrazione della seduta ed è opportuno provvedere alla cancellazione del file, soprattutto se le persone che vi hanno preso parte non sono state informate dell’avvenuta registrazione.

Al riguardo è opportuno ammonire i partecipanti sulla inopportunità che registrino la seduta senza il consenso di tutti i partecipanti, ricordando che la diffusione della registrazione può avvenire solo sulla base del principio di liceità, di cui all’art. 5 GDPR (Reg. U.E. 2019/679), ossia: a) col consenso della persona registrata; b) per adempiere ad un obbligo di legge; c) per un’ esecuzione contrattuale; d) nell’ambito dell’ esercizio di pubblici poteri; e) per la salvaguardia di interessi vitali; f) nel legittimo interesse del titolare trattamento.

Conseguentemente, laddove non sussistano le circostanze elencate si tratta di violazione del trattamento di dati personali.

P.S. l’articolo 73, comma 1 del DL 18/2020, nel disciplinare l’introduzione delle videoconferenze per le sedute degli organi collegiali precisa che questi “possono riunirsi secondo tali modalità, nel rispetto di criteri di trasparenza e tracciabilità previamente fissati dal presidente del consiglio, ove previsto, o dal sindaco, purché siano individuati sistemi che consentano di identificare con certezza i partecipanti, sia assicurata la regolarità dello svolgimento delle sedute“. Da ciò discende che, laddove si ritenga di assicurare la tracciabilità mediante la registrazione dell’intera seduta, sarà sufficiente disciplinarlo e informare preventivamente i partecipanti, individuando il Responsabile della conservazione del “documento” che, inevitabilmente, potrà essere oggetto di accesso nei casi in cui ciò sia consentito.

In tale circostanza, essendo stati informati i partecipanti, ciascuno di essi sarà responsabile di eventuali affermazioni inopportune, essendo consapevole che l’intera seduta sarà registrata e (come accade in qualche ente) possibilmente trasmessa agli stessi partecipanti.

Se si vuole contenere questo rischio rimane sempre la possibilità di registrare soltanto gli aspetti salienti della seduta: la presenza, il documento in esame e la votazione sul documento.

A seguito delle misure previste per il contenimento del contagio del virus COVI-19 il nostro Comune ha adottato una modalità di video conferenze, sia per le sedute di Giunta Comunale, sia per quelle di Consiglio Comunale. Si chiede se per quelle modalità sia necessario adottare una informativa specifica o altre misure riguardo il trattamento dei dati personali.

Affinché la risposta al quesito possa essere corretta sarebbe necessario essere al corrente delle modalità prescelte ai fini della effettuazione delle riunioni in video conferenza e se queste sono conservate o trasmesse in streaming sulla rete internet.

In ordine alla modalità di effettuazione delle riunioni, poiché l’ente (certamente) non dispone di un proprio sistema di video-conferenza, è evidente che queste si terranno mediante il ricorso a uno dei sistemi reperibili sul mercato.

Al riguardo è necessario operare una sostanziale differenza relativamente  alla scelta del mezzo, a seconda che sia individuato e acquistato dall’ente e conseguentemente fornito agli amministratori o se invece, come spesso accade, che si richieda a questi una loro personale iscrizione a piattaforme già esistenti (come Skype, whatsapp, ecc).

In quest’ultimo caso si tratta di un servizio che gli operatori delle applicazioni forniscono ai singoli. Conseguentemente, eventuali obblighi riguardo al trattamento dei dati attengono esclusivamente al rapporto tra l’utente e l’operatore. È evidente che il Comune non ha alcun onere di tipo informativo, se non (come qualsiasi utente) l’obbligo di astenersi dalla divulgazione di eventuali filmati. E nel caso in cui vengano registrate le conversazioni, di informare sull’uso, sulla responsabilità e sui tempi e modalità di conservazione.

Laddove, invece, l’Ente propenda per una piattaforma più specificamente dedicata che richiede la stipula di un contratto di fornitura di un servizio (come per zoom, gotomeeting, ecc.) l’informativa dovrà essere rilasciata dall’operatore e non dal Comune. È infatti quel soggetto a gestire ogni informazione (dati sull’accesso, email, ecc) e detenere le registrazioni dei video. Ed è quell’operatore l’unico titolare e responsabile dei dati che sono trattati.

Anche in quest’ultima circostanza il Comune (o altro ente) che intende registrare le sedute lo farà come semplice utente della piattaforma e comunque dovrà semplicemente informare, come sopra, delle modalità di conservazione e utilizzo.

Laddove, invece, l’Ente abbia deciso di trasmettere in streaming il Consiglio Comunale, dovrà semplicemente ammonire i consiglieri e gli eventuali partecipanti alle sedute della inevitabile diffusione e “decontestualizzazione” che non consentirà alcuna forma di controllo e che dovrà richiedere l’adozione di maggiore responsabilità nella scelta del registro linguistico e dei riferimenti a persone o fatti che riguardano l’ente.

In ogni caso l’ente non è tenuto ad adottare alcuna “informativa” ex articolo 13 del GDPR, sia perché non è titolare del processo di acquisizione e gestione dei dati, sia perché, pur volendolo, non potrà intervenire direttamente su di essi. Semmai potrà informare (ma ciò è oggetto di Regolamento, quindi non di informazione agli interessati) dell’eventuale intenzione di registrare le sedute, come già accade da diversi anni.

E soprattutto, l’ente non è in condizione di assicurare (come ho letto nel documento che mi è stato recapitato) alcun diritto alle persone riprese, nè in ordine alla cancellazione e ancor più riguardo alla modifica, essendo i filmati riprodotti all’interno di piattaforme delle quali il Comune è semplicemente utente e non titolare, nè responsabile del trattamento.

Peraltro non è da trascurare il fatto che le sedute del Consiglio comunale, a differenza di quelle della Giunta, sono “pubbliche”.

Da quanto sopra discende che ogni eventuale precauzione riguardo il trattamento dei dati deriva non dalla modalità della “video conferenza” che consiste solo nella riproduzione di immagini e informazioni di pubblico dominio (riferite ad amministratori locali nel corso della seduta pubblica), ma dell’uso che l’ente intende fare delle registrazioni delle sedute, come avrebbe già dovuto disciplinare ancor prima dell’emergenza attuale, nel caso in cui avesse deciso di registrare le sedute.

Nel nostro Comune abbiamo affidato il servizio per la raccolta dei rifiuti speciali prodotti dai cittadini in stato di quarantena. Ci chiediamo quali precauzioni dobbiamo adottare ai fini della privacy

Un cittadino, richiamando il GDPR e dichiarandosi “titolare esclusivo delle proprie generalità” ha trasmesso al Comune una diffida formale dall’utilizzo dei suoi dati personali, nonché da eventuali comunicazioni a lui indirizzate e richiesto la cancellazione da tutti gli archivi dell’ente. Siamo certi che ciò non è possibile, ma Le chiediamo come rispondere.

Purtroppo il convincimento espresso dal cittadino è diffuso a causa della confusione, generata anche da alcuni “esperti” (persino DPO) che non sempre hanno contezza della differenza, nel trattamento dei dati personali, tra pubbliche amministrazioni e operatori privati. 

Al riguardo è opportuno richiamare l’art. 6, del GDPR, laddove nel comma 1 sono indicati i casi di liceità del trattamento. Da evidenziare che tale comma attribuisce la liceità, (lettera c) quando “il trattamento è necessario per adempiere un obbligo legale”, e (lettera e) quando “il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri”.
In tali casi, quindi, ogni trattamento è da considerarsi “lecito” e non richiede il consenso dell’interessato.

A conferma di ciò il successivo comma 3 richiede, infatti, che la finalità del trattamento sia “necessaria” per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento.
Da ciò discende che, laddove l’attività dell’ente rientri tra le finalità prima evidenziate viene esercitata senza il ricorso al consenso da parte degli interessati.
Tale consenso, invece, è prescritto per le restanti attività, diverse da quelle elencate nell’art. 6, ed è previsto nel successivo art. 7 che reca nella rubrica “condizioni per il consenso”.
E’ lo stesso art. 7, infatti, che nel primo periodo esplicita di disciplinare esclusivamente tutte le attività “qualora il trattamento sia basato sul consenso”.
Da ciò discende che esistono due tipi di trattamento: a) quello disciplinato dall’art. 6, di natura istituzionale, per il quale non è previsto il consenso dell’interessato; b) quello basato sul consenso dell’interessato.
Quanto sopra, peraltro, è particolarmente comprensibile poiché, laddove si consentisse ad un cittadino di potersi sottrarre alle comunicazioni di tipo istituzionale, si correrebbe il rischio di non potere espletare gli ordinari compiti in ordine ai diritti civili, così come agli obblighi conseguenti, nonché a eventuali sanzioni che siano state comminate.
Da ciò discende che la comunicazione inoltrata dal cittadino non può trovare alcun accoglimento, se non la garanzia che le informazioni relative alla sua persona saranno trattate nel pieno rispetto dei principi contenuti nel GDPR quali, in particolare modo, liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza nonché responsabilizzazione in ordine alle modalità di trattamento.

Resta intesa che la diffida può essere espressa dal cittadino tutte le volte che l’attività dell’ente non rientri nelle previsioni contenute nell’articolo 6 del GDPR.

Nel corso di un consiglio comunale alcuni cittadini hanno manifestato l’intendimento di effettuare una video ripresa della seduta. Al divieto opposto dal Presidente del Consiglio hanno obiettato che trattandosi di un evento pubblico, il diniego non era consentito e a tal fine hanno richiamato disposizioni del Garante per la tutela della privacy. Le chiediamo di volerci informare sull’effettivo diritto di potere riprendere, senza alcuna autorizzazione i lavori del consiglio comunale

La questione che si sottopone è stata affrontata sia dal Ministero dell’Interno, sia dal Garante per la protezione dei dati personali che hanno fornito una risposta univoca.

La norma che obbligava alla pubblicazione dei dati relativi ai redditi dei dirigenti è stata dichiarata incostituzionale. Tuttavia la recente deliberazione dell’ANAC ne prescrive ugualmente la pubblicazione. Come dobbiamo comportarci? Si può correre il rischio, pubblicando i dati, in assenza di una esplicita prescrizione normativa, di violare le norme sulla tutela dei dati personali?

Con riferimento al quesito relativo alla vigenza degli obblighi di pubblicazione a carico dei Responsabili dei servizi, relativamente ai dati riguardanti le dichiarazioni dei redditi, nonché i diritti reali sui beni immobili, mobili registrati, ecc, così come prescritto dall’art. 14, lettera f) del decreto legislativo 33/2013, riporto di seguito le considerazioni che derivano dall’esame della sentenza della Corte Costituzionale n. 20/2019.

La Corte, nella sentenza richiamata ha evidenziato che, nel caso in esame si è in presenza di una questione concernente il bilanciamento tra due diritti: quello alla riservatezza dei dati personali, inteso come diritto a controllare la circolazione delle informazioni riferite alla propria persona, e quello dei cittadini al libero accesso ai dati ed alle informazioni detenuti dalle pubbliche amministrazioni.

In particolare ciò che viene esaminato è la questione relativa alla legittimità costituzionale delle disposizioni previste nell’articolo 14 del decreto legislativo 33/2013, laddove vengono estesi ai dirigenti (e titolari di posizione organizzativa) gli obblighi prescritti per i titolari di incarichi politici relativi alla pubblicazione sul sito istituzionale dell’ente, delle rispettive dichiarazioni dei redditi, estendendo tale obbligo anche “al coniuge non separato e ai parenti entro il secondo grado, ove gli stessi vi consentano”.

Gli aspetti di maggiore criticità presi in esame dalla Corte hanno riguardato, sia la possibile violazione del principio di uguaglianza, sancito dall’art. 3 della Costituzione, sia la violazione dei principi che disciplinano la diffusione dei dati personali.

Sotto quest’ultimo profilo, il giudice remittente aveva evidenziato che le disposizioni legislative sarebbero in aperto contrasto, tra l’altro, con l’art. 5 della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981, ratificata e resa esecutiva con la legge 21 febbraio 1989, n. 98, nonché agli artt. 6, paragrafo 1, lettera c), 7, lettere c) ed e), e 8, paragrafi 1 e 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Lo stesso giudice, inoltre aggiunge che le disposizioni in esame si porrebbero altresì in contrasto con gli artt. 2 e 13 Cost., poiché i diritti inviolabili dell’uomo e la libertà personale risulterebbero lesi da obblighi di pubblicazione funzionali bensì a esigenze di trasparenza amministrativa, ma non idonei a scongiurare «la diffusione di dati sensibili», per un verso superflui ai fini perseguiti dalla disciplina, per altro verso «suscettibili di interpretazioni distorte».

Sulla base di tali argomentazioni la Corte afferma che “l’ammissibilità delle questioni sollevate, emerge anche alla luce della circostanza che la disciplina legislativa censurata, che estende a tutti i dirigenti delle pubbliche amministrazioni obblighi di pubblicazione di dati già in vigore per altri soggetti, opera, come si diceva, su un terreno nel quale risultano in connessione – e talvolta anche in visibile tensione – diritti e principi fondamentali, contemporaneamente tutelati sia dalla Costituzione che dal diritto europeo, primario e derivato.

Da una parte, il diritto alla riservatezza dei dati personali, quale manifestazione del diritto fondamentale all’intangibilità della sfera privata (sentenza n. 366 del 1991), che attiene alla tutela della vita degli individui nei suoi molteplici aspetti. Un diritto che trova riferimenti nella Costituzione italiana (artt. 2, 14, 15 Cost.), già riconosciuto, in relazione a molteplici ambiti di disciplina, nella giurisprudenza di questa Corte (sentenze n. 173 del 2009, n. 372 del 2006, n. 135 del 2002, n. 81 del 1993 e n. 366 del 1991), e che incontra specifica protezione nelle varie norme europee e convenzionali evocate dal giudice rimettente. Nell’epoca attuale, esso si caratterizza particolarmente quale diritto a controllare la circolazione delle informazioni riferite alla propria persona, e si giova, a sua protezione, dei canoni elaborati in sede europea per valutare la legittimità della raccolta, del trattamento e della diffusione dei dati personali. Si tratta dei già ricordati principi di proporzionalità, pertinenza e non eccedenza, in virtù dei quali deroghe e limitazioni alla tutela della riservatezza di quei dati devono operare nei limiti dello stretto necessario, essendo indispensabile identificare le misure che incidano nella minor misura possibile sul diritto fondamentale, pur contribuendo al raggiungimento dei legittimi obiettivi sottesi alla raccolta e al trattamento dei dati.

Si aggiunge inoltre che “I diritti alla riservatezza e alla trasparenza si fronteggiano soprattutto nel nuovo scenario digitale: un ambito nel quale, da un lato, i diritti personali possono essere posti in pericolo dalla indiscriminata circolazione delle informazioni, e, dall’altro, proprio la più ampia circolazione dei dati può meglio consentire a ciascuno di informarsi e comunicare.”

Nel testo del provvedimento si richiama anche la Corte di giustizia dell’Unione europea che, al riguardo, ha ripetutamente affermato che le esigenze di controllo democratico non possono travolgere il diritto fondamentale alla riservatezza delle persone fisiche, dovendo sempre essere rispettato il principio di proporzionalità, definito cardine della tutela dei dati personali: deroghe e limitazioni alla protezione dei dati personali devono perciò operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determinino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi di trasparenza, in quanto legittimamente perseguiti.

Nella pronuncia da ultimo richiamata, in particolare, si afferma che non può riconoscersi alcuna automatica prevalenza dell’obiettivo di trasparenza sul diritto alla protezione dei dati personali

A giudizio della Corte, quindi, l’onere di pubblicazione in questione risulta, in primo luogo, sproporzionato rispetto alla finalità principale perseguita, quella di contrasto alla corruzione nell’ambito della pubblica amministrazione.

In definitiva, conclude la Corte Costituzionale, l’art. 14, comma 1-bis, del d.lgs. n. 33 del 2013, deve essere dichiarato costituzionalmente illegittimo, per violazione dell’art. 3 Cost., nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo, anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione, anziché solo per i titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del d.lgs. n. 165 del 2001.

Nel dichiarare quanto sopra riportato, viene inoltre affermato che  “non spetta a questa Corte indicare la soluzione più idonea a bilanciare i diritti antagonisti, rientrando la scelta dello strumento ritenuto più adeguato nella ampia discrezionalità del legislatore”. “Ciò spetta alla discrezionalità del legislatore, al quale il giudice costituzionale, nel rigoroso rispetto dei propri limiti d’intervento, non può sostituirsi”.

Conseguentemente, oltre ad avere cognizione della dichiarata incostituzionalità della norma, ancorché relativamente ad alcuni aspetti specifici, si prende atto che la Corte rimanda al legislatore il compito di ridefinire il quadro normativo, ritenendo, così, evitare l’applicazione di eventuali interpretazioni della norma che potrebbero essere forieri di disparità di trattamento.

Successivamente, l’ANAC, con la deliberazione n. 586 del 26 giugno 2019, avente come oggetto “Integrazioni e modifiche della delibera 8 marzo 2017, n. 241 per l’applicazione dell’art. 14, co. 1- bis e 1-ter del d.lgs. 14 marzo 2013, n. 33 a seguito della sentenza della Corte Costituzionale n. 20 del 23 gennaio 2019” è tornata sull’argomento, allo scopo di rendere un quadro organico, anche con riferimento alle proprie precedenti deliberazioni.

Dall’esame di quest’ultimo documento si evince che l’Autorità, piuttosto che limitarsi all’applicazione della sentenza, ha ritenuto di dovere ridefinire l’ambito applicativo della norma, nonostante che la stessa Corte abbia precisato che tale compito fosse rimesso al legislatore e ha inteso correggere la Consulta nelle conclusioni assunte in ordine ai soggetti a cui si applicherebbe l’obbligo della pubblicazione dei dati, oggetto del rilievo.

Nel testo del provvedimento dell’ANAC, si legge, infatti “il fatto che la Corte richiami una norma del d.lgs. 165/2001 come parametro unico di riferimento per graduare gli incarichi dirigenziali, non permette di escludere che la normativa, nei termini indicati dalla Corte, possa essere applicabile anche alle amministrazioni non statali ma anzi, proprio da una lettura complessiva della sentenza, si deve ritenere che anche queste ultime siano ricomprese nell’ambito di applicazione della disciplina.”

Prosegue inoltre: “In relazione a quanto sopra, pertanto, ad avviso dell’Autorità, i dirigenti cui si applica la trasparenza dei dati reddituali e patrimoniali di cui all’art. 14 co. 1 lett. f) sono i titolari di incarichi dirigenziali a capo di uffici che al loro interno sono articolati in uffici di livello dirigenziale, generale e non generale. Le amministrazioni a cui si applica la disposizione sono quelle di cui all’art. 1, co. 2, del decreto legislativo 30 marzo 2001 n. 165, ivi comprese le autorità portuali, le Autorità amministrative indipendenti di garanzia, vigilanza e regolazione nonché gli ordini professionali, sia nazionali che territoriali, come previsto dalla delibera dell’Autorità 241/2017 (par. 1 – “Amministrazioni ed enti destinatari delle Linee guida”).

Riguardo ai titolari delle posizioni organizzative viene inoltre affermato: “Con riguardo ai titolari di posizione organizzativa di livello dirigenziale di cui al co. 1-quinquies dell’art. 14, la sentenza della Corte impone di riconsiderare, alla luce del criterio della complessità della posizione organizzativa rivestita, le indicazioni contenute nella delibera 241/2017. Così, solo qualora detti soggetti svolgano compiti propositivi, organizzativi, di gestione di risorse umane, strumentali e di spesa “ritenuti di elevatissimo rilievo” e assumano la titolarità di uffici che hanno al loro interno una struttura complessa articolata per uffici dirigenziali, generali e non, trovano applicazione gli obblighi di trasparenza di cui all’art. 14, co. 1, lett. da a) ad f). Diversamente, qualora tali criteri di complessità non si rinvengano, resta esclusa l’applicazione della sola lett. f).”

Da quanto sopra emerge una evidente complessità che, soprattutto sul fronte del trattamento dei dati personali, può generare l’insorgere si situazioni di contenzioso. Le pubbliche amministrazioni, infatti, sono tenute a pubblicare esclusivamente le informazioni personali che derivino da obblighi di legge (art. 7-bis, decreto legislativo 33/2013). Poiché la norma che prescrive la pubblicazione delle dichiarazioni dei redditi propri e dei familiari, con la sentenza n.20/2019, è stata dichiarata incostituzionale, tale adempimento rimane privo di ogni previsione che ne legittimi la pubblicazione. Né può intendersi che la deliberazione n.596 del 26 giugno 2019, pur se finalizzata alla sistematizzazione della materia, possa rientrare tra “le specifiche previsioni di legge o regolamento” richiamate dal richiamato articolo 7-bis.

Da ciò discende che, a giudizio dello scrivente, la pubblicazione dei dati relativi alle dichiarazioni dei redditi, nonché, e ai diritti reali su beni immobili e su beni mobili iscritti in pubblici registri, ecc., previste dall’art. 14, comma 1, lettera f) del decreto legislativo 33/2013, a seguito della decisione di incostituzionalità pronunciata dalla Corte Costituzionale con la deliberazione n.20/2019, non essendo prescritta da alcuna norma in vigore, potrebbe comportare possibili situazioni di violazione in ordine al trattamento dei dati personali fino a una diversa previsione normativa che disciplini esplicitamente l’adempimento richiesto.

Per quanto riguarda il conferimento di incarico a professionisti, visto che il programma ce lo richiede per le pubblicazioni in Amministrazione Trasparente (e anche ANAC quando inviamo annualmente i CIG), possiamo pubblicarli sul web o si tratta di violazione di dati personali?.

Il Garante per il trattamento dei dati personali con le linee guida del 15 maggio 2014 ha fornito indicazioni puntuali in occasione dell’emanazione del decreto legislativo 33/2013 che ha riordinato gli obblighi in materia di “amministrazione trasparente”.

La questione riguardante la pubblicazione del codice fiscale (che, come si evince, non è mai ritenuta opportuna) è trattata nei punti seguenti che riporto in sintesi, invitando alla consultazione del testo integrale del documento. 

9. Indicazioni per specifici obblighi di pubblicazione

9.a. Obblighi di pubblicazione dei curricula professionali (es. art. 10, comma 8, lett. d, del d. lgs. n. 33/2013 et al.)

[…]

Il riferimento del legislatore all´obbligo di pubblicazione del curriculum non può tuttavia comportare la diffusione di tutti i contenuti astrattamente previsti dal modello europeo (rispondendo taluni di essi alle diverse esigenze di favorire l´incontro tra domanda e offerta di lavoro in vista della valutazione di candidati oppure, nel corso del rapporto di lavoro, per l´assegnazione dell´interessato a nuovi incarichi o per selezioni concernenti la progressione di carriera), ma solo di quelli pertinenti rispetto alle finalità di trasparenza perseguite.

Prima di pubblicare sul sito istituzionale i curricula, il titolare del trattamento dovrà pertanto operare un´attenta selezione dei dati in essi contenuti, se del caso predisponendo modelli omogenei e impartendo opportune istruzioni agli interessati (che, in concreto, possono essere chiamati a predisporre il proprio curriculum in vista della sua pubblicazione per le menzionate finalità di trasparenza). In tale prospettiva, sono pertinenti le informazioni riguardanti i titoli di studio e professionali, le esperienze lavorative (ad esempio, gli incarichi ricoperti), nonché ulteriori informazioni di carattere professionale (si pensi alle conoscenze linguistiche oppure alle competenze nell´uso delle tecnologie, come pure alla partecipazione a convegni e seminari oppure alla redazione di pubblicazioni da parte dell´interessato). Non devono formare invece oggetto di pubblicazione dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità

9.b. Obblighi di pubblicazione della dichiarazione dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari (art. 14 del d. lgs. n. 33/2013)

L´art. 14 del d. lgs. n 33/2013 prevede la pubblicazione delle “dichiarazioni di cui all´articolo 2, della legge 5 luglio 1982, n. 441, nonché le attestazioni e dichiarazioni di cui agli articoli 3 e 4 della medesima legge, come modificata dal presente decreto, limitatamente al soggetto, al coniuge non separato e ai parenti entro il secondo grado, ove gli stessi vi consentano”(42).

Con riferimento all´obbligo di pubblicazione della dichiarazione dei redditi, la predetta disposizione deve essere coordinata con le altre disposizioni dello stesso d. lgs. n. 33/2013 (art. 4, comma 4), con i principi di pertinenza e non eccedenza (art. 11, comma 1, lett. d, del Codice), nonché con le previsioni a tutela dei dati sensibili (art. 22 del Codice).

Pertanto, ai fini dell´adempimento del previsto obbligo di pubblicazione, risulta sufficiente pubblicare copia della dichiarazione dei redditi – dei componenti degli organi di indirizzo politico e, laddove vi acconsentano, del coniuge non separato e dei parenti entro il secondo grado – previo però oscuramento, a cura dell´interessato o del soggetto tenuto alla pubblicazione qualora il primo non vi abbia provveduto, delle informazioni eccedenti e non pertinenti rispetto alla ricostruzione della situazione patrimoniale degli interessati (quali, ad esempio, lo stato civile, il codice fiscale, la sottoscrizione, etc.), nonché di quelle dalle quali si possano desumere indirettamente dati di tipo sensibile, […]

9.e. Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e dell´elenco dei soggetti beneficiari (artt. 26 e 27 del d. lgs. n. 33/2013)

[…]

Non risulta, pertanto, giustificato diffondere, fra l´altro, dati quali, ad esempio, l´indirizzo di abitazione o la residenza, il codice fiscale di persone fisiche, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell´Indicatore della situazione economica equivalente-Isee, l´indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.

[…]

3.b. Graduatorie

Anche a questo riguardo devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati(64). Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l´indirizzo di residenza o di posta elettronica(65) , il codice fiscale, l´indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio), né quelli concernenti le condizioni di salute degli interessati (cfr. art. 22, comma 8, del Codice), ivi compresi i riferimenti a condizioni di invalidità, disabilità o handicap fisici e/o psichici(66).

Nel nostro ente vengono pubblicati nell’albo pretorio gli avvisi relativi a persone sconosciute o irreperibili o che si rifiutino di ricevere copia di atti giudiziari, nel rispetto delle disposizioni del codice di procedura civile e procedura penale. Le chiediamo se, in questo caso, oltre a  indicare il nome della persona interessata, si possano aggiungere altre informazioni identificative della persona.

Le notifiche a persone sconosciute, irreperibili o che si rifiutino di ricevere copia degli atti, relativamente agli atti giudiziari, sono disciplinate dagli articoli 140 e 143 del codice di procedura civile e dall’articolo 157 del codice di procedura penale. Per quanto riguarda la materia tributaria, il riferimento normativo, invece, è contenuto nell’articolo 60 del  DPR 600/1973 e nell’articolo 26 del DPR 602/1973.

È da precisare che si tratta di due discipline che prevedono diverse forme di notifica.

L’articolo 140 del codice di procedura civile, infatti, prevede che “Se non è possibile eseguire la consegna per irreperibilità o per incapacità o rifiuto delle persone indicate nell’articolo precedente, l’ufficiale giudiziario deposita la copia nella casa del comune dove la notificazione deve eseguirsi, affigge avviso del deposito in busta chiusa e sigillata alla porta dell’abitazione o dell’ufficio o dell’azienda del destinatario, e gliene dà notizia per raccomandata con avviso di ricevimento.”

E il primo comma dell’articolo 143, dello stesso codice di procedura civile dispone che “Se non sono conosciuti la residenza, la dimora e il domicilio del destinatario e non vi è il procuratore previsto nell’articolo 77, l’ufficiale giudiziario esegue la notificazione mediante deposito di copia dell’atto nella casa comunale dell’ultima residenza o, se questa è ignota, in quella del luogo di nascita del destinatario.”

La stessa formula, utilizzata dall’articolo 157 del codice di procedura penale, prevede il “deposito” presso la casa comunale, non la pubblicazione all’albo pretorio, peraltro prescrivendo, in modo dettagliato le modalità di attuazione (deposito in busta chiusa e sigillata…)

A conferma di ciò, laddove la notifica debba avvenire mediante l’affissione dell’avviso all’albo pretorio, l’articolo 26 del DPR 602/1973, lo prevede in modo esplicito con l’espressione “Nei casi previsti dall’art. 140, del codice di procedura civile, la notificazione della cartella di pagamento si effettua con le modalità stabilite dall’art. 60 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600, e si ha per eseguita nel giorno successivo a quello in cui l’avviso del deposito è affisso nell’albo del comune.

Da ciò si evince che, esclusivamente in quest’ultimo caso, vi sia una prescrizione esplicita che prevede la pubblicazione dell’avviso di deposito all’albo pretorio.

Il nostro ufficio anagrafe segnala frequenti visite da parte di rappresentanti delle Forze dell’ordine che ritengono di potere acquisire informazioni dagli archivi anagrafici senza alcuna richiesta esplicita, anche richiedendo di accedere direttamente al sistema informatico, sottraendo la postazione occupata dall’operatore e con le credenziali di quest’ultimo.

Premessa la massima collaborazione con tutte le istituzioni e con le forze dell’ordine, Le chiediamo gentilmente se a Suo avviso ciò può essere consentito o se è opportuno adottare qualche accorgimento.

La domanda mi viene posta frequentemente a conferma che non si tratta di un fenomeno isolato. 

La questione è trattata dagli articolo 33 e 37 del DPR 223/1989. Il primo comma dell’articolo 33 reca: “

1. Fatti salvi i divieti di comunicazione di dati, stabiliti da speciali disposizioni di legge, e quanto previsto dall’articolo 35, l’ufficiale di anagrafe rilascia a chiunque ne faccia richiesta, previa identificazione, i certificati concernenti la residenza, lo stato di  famiglia degli iscritti nell’anagrafe nazionale della popolazione residente, nonché ogni altra informazione ivi contenuta.”

Da ciò si evince che l’accesso deve essere consentito a “chiunque”

L’articolo 37, però, al comma 1, afferma che “E’  vietato  alle  persone  estranee  all’ufficio  di  anagrafe  l’accesso all’ufficio stesso e quindi la consultazione diretta degli atti anagrafici. Sono escluse da tale divieto le persone appositamente incaricate dall’autorità giudiziaria e gli  appartenenti alle forze dell’ordine ed al Corpo della Guardia di finanza. I nominativi delle  persone  autorizzate  ad  effettuare  la   consultazione diretta  degli  atti  anagrafici  devono figurare in apposite richieste dell’ufficio o del comando di appartenenza;  tale richiesta deve essere esibita all’ufficiale di anagrafe, unitamente ad un documento di riconoscimento.”

Da ciò si evince che alle Forze dell’ordine è riconosciuto uno specifico potere di accesso e di consultazione diretta, ma ciò è subordinato sia alla identificazione delle persone che lo effettuano, sia alla esibizione della “apposita richiesta dell’ufficio o del comando di appartenenza”.

Molti enti hanno risolto la questione mediante una convenzione che consenta l’installazione di un terminale presso le sedi delle forze dell’ordine, ma il comma 4, dello stesso articolo 37 precisa che ” All’ufficiale di anagrafe devono essere comunicati i nomi e gli estremi dei documenti del personale abilitato alla consultazione, il quale opererà secondo modalità tecniche adottate d’intesa  tra  gli  uffici anagrafici comunali e gli organi interessati.”

Tutto ciò conferma l’esigenza che l’ufficiale di anagrafe abbia piena conoscenza delle generalità di chi acceda in modo diretto.

È opportuno inoltre precisare che non può consentirsi che alcuno (anche se appartenente alle forze dell’ordine) acceda con la password personale dell’operatore di anagrafe, sia per i diversi profili di autorizzazione, in ordine all’intervento sugli archivi, sia per ovvi ragioni di tracciabilità sulle operazioni effettuate e sull’autore che le ha disposte.

Chiedo di sapere quali siano, a seguito della sentenza della Corte Costituzionale n.20/2019, gli obblighi di pubblicazioni previsti nell’articolo 14 del dlgs relativi ai dei dirigenti e alle Posizioni organizzative

Con la sentenza n.20/2019, giustamente da Lei richiamata, la Corte Costituzionale ha assunto due importanti decisioni che si possono riassumere come segue:

1) dichiarazione di illegittimità costituzionale dell’art. 14, comma 1-bis, del decreto legislativo 14 marzo 2013, n. 33 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), nella parte in cui prevede che le pubbliche amministrazioni pubblicano i dati di cui all’art. 14, comma 1, lettera f), dello stesso decreto legislativo anche per tutti i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione, anziché solo per i titolari degli incarichi dirigenziali previsti dall’art. 19, commi 3 e 4, del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche);

2) dichiarazione di inammissibilità delle questioni di legittimità costituzionale dell’art. 14, comma 1-ter,del d.lgs. n. 33 del 2013,

3) Non fondatezza delle questioni di legittimità costituzionale dell’art. 14, comma 1-bis, del d.lgs. n. 33 del 2013, nella parte in cui prevede che le pubbliche amministrazioni pubblichino i dati di cui all’art. 14, comma 1, lettera c), dello stesso decreto legislativo anche per i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione.

Da ciò discende che non deve applicarsi la disposizione dell’art.14, comma 1-bis laddove si prevede “le pubbliche amministrazioni pubblicano i dati di cui al comma 1 per i titolari di incarichi o cariche di amministrazione, di direzione o di governo comunque denominati, salvo che siano attribuiti a titolo gratuito, e per i titolari di incarichi dirigenziali, a qualsiasi titolo conferiti, ivi inclusi quelli conferiti discrezionalmente dall’organo di indirizzo politico senza procedure pubbliche di selezione.”, limitatamente alla richiamata lettera f) del comma 1 dello stesso articolo. Ciò vuol dire che per i titolari di incarichi o cariche di amministrazione, di direzione o di governo non vige l’obbligo di pubblicazione sul sito istituzionale delle “dichiarazioni di cui all’articolo 2, della legge 5 luglio 1982, n. 441, nonché le attestazioni e dichiarazioni di cui agli articoli 3 e 4 della medesima legge, come modificata dal presente decreto, limitatamente al soggetto, al coniuge non separato e ai parenti entro il secondo grado, ove gli stessi vi consentano”

E poiché le altre questioni sollevate non sono state riconosciute degne di pregio, ai dirigenti dell’ente compete il rispetto di tutti gli altri obblighi previsti all’articolo 14, comma 1. E compete all’Amministrazione procedere alla pubblicazione delle relative informazioni.

Peraltro, al riguardo, è opportuno precisare che gli obblighi di pubblicazione relativi all’articolo 1, per espressa previsione contenuta nella deliberazione ANAC 1310/2016, sono da intendersi di “pubblicazione tempestiva”, ai sensi dell’art.8, comma 1, del decreto legislativo 33/2013.

Per quanto concerne le posizioni organizzative, l’articolo 14, comma 1-quinqiues, prevede “Gli obblighi di pubblicazione di cui al comma 1 si applicano anche ai titolari di posizioni organizzative a cui sono affidate deleghe ai sensi dell’articolo 17, comma 1-bis, del decreto legislativo n. 165 del 2001, nonché nei casi di cui all’articolo 4-bis, comma 2, del decreto-legge 19 giugno 2015, n. 78 e in ogni altro caso in cui sono svolte funzioni dirigenziali. Per gli altri titolari di posizioni organizzative è pubblicato il solo curriculum vitae.”

Tale ultima estensione non è stata oggetto di rilievo di incostituzionalità e certamente può ritenersi che riguardi esclusivamente gli obblighi previsti a carico dei dirigenti, quindi con esclusione della lettera f) dell’art. 14.

Gli amministratori lamentano la recente rimozione dal sito istituzionale dell’albo pretorio storico. La funzionalità era ritenuta utile ai fini della consultazione immediata degli atti adottati dall’ente. La richiesta deriva anche dalla constatazione che altri enti ne consentono liberamente l’accesso, senza limiti di tempo. Peraltro risulta che alcune importanti società che forniscono il servizio di protocollazione e archiviazione consentono la produzione di un elenco “storico” che contiene tutti gli atti. Come bisogna comportarsi?

Come è noto, la pubblicazione delle deliberazioni di Giunta e Consiglio è prevista dall’art. 124 del TUEL (dlgs 267/2000) che, al comma 1, prescrive: “Tutte le deliberazioni del comune e della provincia sono pubblicate mediante affissione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge”.

La disposizione fa esclusivamente riferimento agli obblighi di pubblicazione all’albo pretorio che, all’epoca dell’emanazione del provvedimento, rappresentava l’unica modalità di pubblicazione e assolveva la funzione di conferire “esecutività” agli atti, secondo quanto riportato nel successivo art. 134, comma 3.

Dal 1° gennaio 2010, inoltre, per effetto dell’entrata in vigore della legge 69/2009 (art.32) “gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”, aggiungendo che“le pubblicazioni effettuate in forma cartacea non hanno effetto di pubblicità legale”.

Da ciò sono derivate una serie di circostanze che, oltre ad avere facilitato l’adempimento della prescrizione della pubblicazione, e consentito la più ampia consultazione hanno suggerito a ciascuna Amministrazione, in omaggio al principio della trasparenza, di sottrarsi alla rimozione degli atti dal sito istituzionale, una volta trascorsi 15 giorni, per consentirne la conoscenza e la consultazione senza limiti di accesso o di scadenza.

La costituzione di “albi pretori storici”, infatti ha consentito di rendere maggiormente diretto il rapporto tra cittadini e istituzioni e di promuovere la diffusione di sistemi di partecipazione e rendicontazione.

Tuttavia, tale forma di pubblicazione permanente, pur se orientata all’assolvimento di una giusta finalità, ha portato all’emersione di una problematica relativa alla “opportunità” di rendere pubblici atti che contengano informazioni di carattere personale, anche oltre i limiti che la legge prescrive ai fini dell’obbligatorietà nell’albo pretorio e in assenza di una disposizione che ne prevedesse la pubblicazione in altre sezioni del sito istituzionale.

Proprio in conseguenza di ciò, il 10 aprile del 2007, il Garante per la protezione dei dati personali ha emanato le “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali”, nelle quali si affermache “la pubblicazione e la divulgazione di atti e documenti determinano una “diffusione” di dati personali, comportando la conoscenza di dati da parte di un numero indeterminato di cittadini. L’interferenza nella sfera personale degli interessati che ne consegue è legittima, solo se la diffusione è prevista da una norma di legge o di regolamento (artt. 4, comma 1, lett. m), e 19, comma 3, del Codice).”

Peraltro, poiché non risulta emanata alcuna disposizione che preveda la pubblicazione permanente e indiscriminata dei provvedimenti, una volta decorso il tempo della loro inclusione nell’albo pretorio, l’applicazione del principio sopra riportato, ha condotto a ritenere legittima la richiesta di rimozione, dal sito istituzionale, degli atti contenenti dati personali.

Nello stesso provvedimento, infatti, il Garante afferma che “la forma di pubblicazione obbligatoria non autorizza, di per sé, a trasporre tutte le deliberazioni così pubblicate in una sezione del sito Internet dell’ente liberamente consultabile”.

Tale ultimo principio è stato meglio specificato con l’emanazione del decreto legislativo 33/2013 che nella versione attuale dell’articolo 7-bis, al comma 3, riporta quanto originariamente previsto dall’articolo 4:  “Le pubbliche amministrazioni possono disporrela pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti.”

Da ciò consegue, quindi, la possibilità per l’Ente di disporre la pubblicazione degli atti e dei provvedimenti, oltre la data di permanenza nell’albo pretorio, ma a condizione che sia disposta con atto avente valore regolamentaree che si provveda alla rimozione delle eventuali informazioni di carattere personale.

Certamente la seconda delle due prescrizioni può risultare onerosa e persino complessa nella sua attuazione, anche a causa della identificazione dei dati che debbano essere oscurati o rimossi, ma giova precisare che sono ormai numerose le situazioni di contenzioso che vedono privati e imprese rivendicare il “diritto all’oblio” e la conseguente rimozione delle proprie informazioni personali all’interno di un atto la cui pubblicazione si sia protratta oltre il tempo previsto dalla legge, ottenendo, sia ragione delle posizioni rivendicate, sia il risarcimento del danno.

Sia chiaro, con riferimento alla quesito di codesto ente, che ciò non impedisce all’ente di istituire, all’interno del proprio sito istituzionale, una specifica sezione di “albo pretorio storico”, il cui accesso, però sia limitato agli utenti della “intranet”, oltre che agli amministratori,  mediante l’utilizzo di una password.

A tal riguardo, il Ministero dell’Interno, già con parere del 16 luglio 2009, affermava che “la giurisprudenza amministrativa si è ormai consolidata nel senso dell’accessibilità dei consiglieri comunali a tutti i documenti amministrativi, in virtù del munus agli stessi affidato, essendo riferito all’espletamento del mandato, in tutte le sue potenziali implicazioni al fine di una compiuta valutazione della correttezza e dell’efficacia dell’operato dell’amministrazione comunale’. Da ciò la conseguenza, che è una conseguenza necessitata, che al consigliere comunale non può essere opposto alcun diniego ( salvo i pochi eccezionali e contingenti, da motivare puntualmente e adeguatamente, e salvo il caso – da dimostrare – che lo stesso agisca per interesse personale), determinandosi altrimenti un illegittimo ostacolo al concreto esercizio della sua funzione, che è quella di verificare che il Sindaco e la Giunta municipale esercitino correttamente la loro funzione’.

E aggiunge che al consigliere comunale “è consentito prendere visione del protocollo generale senza alcuna esclusione ‘di oggetti e notizie riservate e di materie coperte da segreto’, posto che i consiglieri comunali sono comunque tenuti al segreto ai sensi del più volte citato articolo 43.”

Peraltro, l’utilizzo dell’accesso in forma telematica, risolve la questione relativa agli eventuali “ostacoli all’attività amministrativa” che possa derivare dalla consultazione nella forma tradizionale della richiesta di accesso agli atti che, in diverse occasioni ha giustificato la limitazione dell’accesso.

sf

Alcuni enti hanno pubblicato una informativa di tipo generale. Secondo lei è necessario? E in caso affermativo, quali informazioni deve contenere e dove deve essere pubblicata?

Certamente la pubblicazione sul sito istituzionale di una “informazione generale sul trattamento dei dati” è utile, anche se non può sostituirsi a tutte quelle “informative” specifiche per ciascuno dei processi che richiedano il trattamento di dati personali.

I contenuti da pubblicare, a titolo esemplificativo, possono essere così organizzati:

INFORMAZIONE GENERALE SUL TRATTAMENTO DEI DATI PERSONALI

FINALITA’ E BASE GIURIDICA DEL TRATTAMENTO

I dati personali che l’ente acquisirà, sia in forma cartacea che informatica, saranno trattati esclusivamente per le finalità istituzionali, nel rispetto dei principi di correttezza, liceità, trasparenza e di tutela della riservatezza, secondo le prescrizioni contenute nel Regolamento Generale per la protezione dei dati personali, nonché delle disposizioni legislative italiane e delle indicazioni fornite dall’Autorità Garante della protezione dei dati personali.

MODALITA DEL TRATTAMENTO DEI DATI PERSONALI FORNITI

I dati forniti al Comune di….  saranno acquisiti e trattati esclusivamente dagli uffici competenti per materia e coordinati dal Responsabile del trattamento, di volta in volta indicato. Ai fini del trattamento saranno utilizzati sia documenti cartacei, sia documenti e dati informatici che possono risiedere presso gli archivi degli uffici di competenza o presso sistemi idonei alla conservazione informatica, anche in modalità remota. In quest’ultimo caso sarà cura dell’ente, affidare l’incarico di conservazione e gestione dei dati, acquisire le idonee garanzie sulla regolare conservazione dei dati.

Le informazioni personali, in nessun caso saranno fornite a soggetti terzi che non sia espressamente autorizzati, mediante provvedimenti formali di affidamento di specifiche funzionalità, con la prescrizione di precise garanzie in ordine al rispetto degli obblighi relativi al trattamento dei dati personali.

I dati trattati dall’Ente saranno conservati secondo tempi e modalità definite nel Piano di conservazione, nel rispetto delle previsioni dell’art. 68 del D.P.R. 445/2000.

I dati, inoltre, potranno essere trattati da dipendenti e collaboratori autorizzati nell’ambito delle specifiche competenze attribuite e indicati nel Registro del trattamento.

(EVENTUALE) TRATTAMENTO PER FINALITA’ DIVERSE

i dati acquisiti saranno trattati esclusivamente per finalità istituzionali e potranno essere utilizzati per finalità diverse solo nel caso in cui ciò sia richiesto da specifiche disposizioni normative.

DESTINATARI DEI DATI

I dati acquisiti potranno essere trasmessi a istituzioni o altri enti esterni solo nel caso in cui ciò sia previsto dalle norme di legge o sia richiesto dalle procedure affidate dalle procedure attivate dal soggetto interessato.

I dati forniti, inoltre, potranno essere trasmessi a Istituzioni pubbliche, persone fisiche o giuridiche quando ciò sia richiesto dalla legge o risulti funzionale allo svolgimento dell’attività istituzionali.

(EVENTUALI ) GESTORI ESTERNI DEI DATI

Laddove il trattamento dei dati, per ragioni organizzative o di efficienza dei servizi, sia affidato a un soggetto esterno, l’ente provvederà ad assegnare a quest’ultimo la responsabilità del trattamento con le necessarie garanzie in ordine alla idoneità della conservazione dei dati, alla integrità degli stessi, all’attivazione di tutte le misure necessarie per evitare indebiti casi di accesso o divulgazione, nonché ogni eventuale violazione del trattamento.

(EVENTUALE PROFILAZIONE O DECISIONE AUTOMATIZZATA)

i dati forniti all’ente di norma, non saranno utilizzati per processi di profilazione né per l’attivazione di processi decisionali automatizzati. Nei casi in cui ciò invece sia richiesto o comunque attivato, l’ente si impegnerà a informare espressamente i soggetti interessati.

(EVENTUALE) TRASFERIMENTO DEI DATI A UN PAESE TERZO

I dati potranno essere trasmessi a un paese terzo esclusivamente nell’ambito di procedure che lo prescrivano, nonché per espressa richiesta da parte dell’interessato.

DIRITTI DELL’INTERESSATO

L’interessato potrà chiedere l’accesso ai propri dati personali detenuti presso l’ente nonché l’eventuale rettifica o aggiornamento. Potrà inoltre richiedere la cancellazione, laddove risulti un trattamento indebito, errato o ridondante.

Nei casi in cui, l’interessato ritenga che il trattamento dei dati non risponda al principio di necessità o sia ingiustificato o conseguenza di un errore, può opporsi segnalando tale abuso al Titolare del trattamento chiedendo l’immediata rettifica del dato o l’adozione delle misure finalizzate ad assicurare il necessario adeguamento.

In ogni caso, qualora riscontri delle possibili violazioni, ha il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, all’indirizzo ….

TITOLARI E RESPONSABILI DEL TRATTAMENTO

Il titolare del trattamento dei dati è il Comune di ……(o altro ente) ……… il cui indirizzo di posta elettronica è ….

I responsabili del trattamento dei dati sono i funzionari responsabili dei servizi in base alla competenza della materia.

Il responsabile della protezione dei dati designato dall’Ente è il …… il cui indirizzo di posta elettronica è ……

E’ pervenuta una richiesta da parte di un avvocato che, nell’interesse di un proprio cliente, nell’ambito di un procedimento giudiziario dinnanzi  (non specifica se civile o penale) con la quale, dovendo impugnare una vendita di un autoveicolo la cui dichiarazione è stata autenticata dal dipendente comunale, chiede che venga attestata la presenza in servizio del detto dipendente in un dato giorno e in una data fascia oraria.

Non avendo in tale istanza specificato la norma in base alla quale esercita il diritto ad avere tale attestazione, nonché avendo tale attestazione possibili implicazioni inerenti il diritto alla riservatezza del dipendente comunale del quale si richiede di verificarne la presenza in servizio, con la presente si chiede  di voler fornire un parere.

E’ opportuno precisare che la richiesta oggetto del quesito, così come illustrata, non apparirebbe qualificabile come esercizio del diritto di accesso, quanto, invece, come una richiesta di “attestazione” in ordine alla circostanza di cui si richiede di dichiarare la veridicità.

E’ evidente che se la questione rimanesse circoscritta a tale richiesta, non rientrando tra le attività che “chiunque” possa richiedere dall’ente, nella forma utilizzata, potrebbe trovare come risposta il semplice diniego, rimandando, all’autorità giudiziaria ogni eventuale richiesta di attestazione, nell’ambito di un procedimento giudiziario.

Laddove, invece, il richiedente avesse fatto riferimento a una specifica informazione o documento, si sarebbe configurata, invece, una situazione di esercizio di accesso agli atti che a sua volta avrebbe potuto rientrare nella fattispecie dell’ “accesso documentale” ex art. 22 della legge 241/1990 o dell’ “accesso civico” ex art. 5 del decreto legislativo 33/2013, a seconda se la richiesta sia alimentata, rispettivamente, da un interesse privato o da un interesse pubblico.

Al riguardo, tuttavia, è opportuno fare riferimento alla Circolare n. 2 del Ministro per la Semplificazione e la Pubblica Amministrazione che, nel punto 2.2 i, precisa quanto segue: “dato che l’istituto dell’accesso generalizzato assicura una più ampia tutela all’interesse conoscitivo, qualora non sia specificato un diverso titolo giuridico della domanda (ad es. procedimentale, ambientale, ecc.), la stessa dovrà essere trattata dall’amministrazione come richiesta di accesso generalizzato”.

Da ciò consegue che, ai fini dell’eventuale accoglimento, la richiesta dovrà essere esaminata in ragione della eventuale ostensibilità del documento, già in possesso dell’ente, da cui possa evincersi il dato richiesto, relativo alla presenza in servizio del dipendente.

Il merito della questione attiene quindi, alla possibilità di accogliere una richiesta, pur in assenza di un interesse specifico, in quanto non risulta sia supportata da idonea documentazione, che sia sostenuta da un interesse generalizzato tale da giustificare l’applicazione dell’istituto dell’accesso civico.

A tal fine può tornare utile il richiamo alla sentenza n. 5901/2017 del Tar Campania, che ad ogni buon fine si riporta in allegato, che esaminando il caso di una richiesta di “accesso ai dati e ai fogli di presenza e/o a corrispondenti strumenti, anche informatici, di rilevazione delle presenze sul luogo di lavoro, in quanto atti pubblici”, riferiti a un dipendente, in un determinato arco temporale.

Nel provvedimento richiamato si precisa che l’ampio diritto all’informazione e alla trasparenza dell’attività delle amministrazioni di cui al decreto 33/2013 resta temperato solo dalla necessità di garantire le esigenze di riservatezza, di segretezza e di tutela di determinati interessi pubblici e privati (come elencati nell’art. 5 bis del d. lgs. 33/2013) che diventano l’eccezione alla regola, alla stregua degli ordinamenti caratterizzati dal sistema FOIA, (l’acronimo deriva dal Freedom of Information Act, e cioè la legge sulla libertà di informazione adottata negli Stati Uniti il 4 luglio 1966).

Si aggiunge, inoltre che, mentre la legge 241/1990 esclude espressamente l’utilizzabilità del diritto di accesso per sottoporre l’amministrazione a un controllo generalizzato, il diritto di accesso generalizzato è riconosciuto proprio «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico».

Ciò vuol dire che, come esplicitato nelle linee guida ANAC (del. 1309/2016) l’Ente che riceve la richiesta è tenuto a effettuare un’attività valutativa con la tecnica del bilanciamento, ponderando gli interessi in gioco tra l’interesse pubblico alla disclosure generalizzata e la tutela dei dati personali che possono venire in evidenza.

Il Tribunale afferma, infatti, che i dati e i fogli di presenza sono da considerarsi quali “atti pubblici”.

Considerando gli interessi in gioco e cioè il diritto a conoscere se un dipendente di una pubblica amministrazione, sia semplicemente presente al lavoro in un determinato periodo e il diritto del controinteressato a che non sia rivelata la presenza perché afferente a un dato personale, appare certamente prevalente il diritto a conoscere del richiedente.

Ad avviso del Collegio, infatti, la documentazione richiesta, dalla quale emergono i rilevamenti delle presenze del personale in servizio, rientra proprio nell’ambito della possibilità di controllo sul perseguimento da parte di un dato ente delle funzioni istituzionali e sull’utilizzo da parte di questo delle risorse pubbliche, finalizzato alla partecipazione al dibattito pubblico.

In conclusione, inoltre, si afferma che, benché si riconosca la necessità di conoscere l’avviso dei controinteressati, “va comunque escluso che l’amministrazione possa legittimamente assumere quale unico fondamento del diniego di accesso agli atti la mancanza del consenso da parte dei soggetti controinteressati, atteso che la normativa in materia di accesso agli atti, lungi dal rendere i controinteressati arbitri assoluti delle richieste che li riguardino, rimette sempre all’amministrazione destinataria della richiesta di accesso il potere di valutare la fondatezza della richiesta stessa, anche in contrasto con l’opposizione eventualmente manifestata dai controinteressati (cfr. sentenza n. 1380 del 9 marzo 2017)”.

Da quanto sopra consegue che la richiesta pervenuta all’ente, relativa alla “attestazione della presenza in servizio” di un determinato dipendente, può essere accolta nella forma dell’accesso civico generalizzato alla documentazione relativa alla registrazione della presenza in servizio per il giorno individuato, allo scopo di verificare il rispetto di tale obbligo anche da parte di uno specifico dipendente.

ho necessità di chiarire il “ruolo” del “Responsabile del Trattamento”, al fine di individuare il soggetto tenuto alla sottoscrizione del disciplinare con la ditta esterna. Infatti nel comune di XXX il Sindaco, con proprio decreto, ha incaricato i Responsabili di servizio del ruolo di “Responsabili del trattamento”, demandando agli stessi di autorizzare i dipendenti assegnati alla propria area, con proprio atto, al trattamento dei dati, e di sottoscrivere il disciplinare integrativo dei contratti di servizio in essere con soggetti esterni.

Al riguardo vi sono due posizioni differenti in merito, sostenute dalla sottoscritta e dal Responsabile del Servizio Tributi, il quale ritiene dalla lettura dell’art. 28 del Regolamento europeo, e alla luce delle intervenute modifiche di cui al Dlgs 101/2018, il “Responsabile del trattamento” sia solo quello esterno, e che ogni soggetto interno al comune sia un “designato”, e che non si tratti di una questione terminologica o organizzativa (individuare all’interno dell’ente i Responsabili di Trattamento e/o i designati).

Dalla lettura delle norme effettuata dal Responsabile dei Tributi, in particolare il Dlgs n. 101/18 che abroga le disposizioni degli artt. 28/30 del Dlsg 196/03, se all’interno dell’ente tutti i dipendenti, siano Responsabili di Servizio o meno, sono definiti dalla nuova normativa “designati” allo svolgimento delle attività inerenti al trattamento dei dati, non vi sarà un rapporto “a cascata” tra Titolare del trattamento – (che designa) – Responsabile del Trattamento (ovvero Responsabile del Servizio) (che a sua volta designa) e altri dipendenti, ma è il Titolare del trattamento che individua tra i dipendenti, a prescindere dal ruolo, i designati, indicando le loro attribuzioni in materia di trattamento dati… per cui ne consegue che, non essendovi un Responsabile del Trattamento interno, sarà il Titolare che sottoscriverà il disciplinare con la ditta esterna.

La questione in effetti in tal caso non sarebbe solo terminologica, in quanto se il Responsabile è solo quello esterno, o se è invece il “nome” usato anche per il designato interno, comporta differenti conseguenze in ordine a chi ha il potere, ai sensi dell’art. 2 quaterdecies comma 2 del Dlgs 101/18, di “autorizzare le persone che operano sotto la propria autorità” al trattamento dei dati (e quindi incide sui rapporti tra titolare e dipendenti del comune)

Mi avvalgo della Sua collaborazione al fine di chiarire la questione della corretta individuazione del “Responsabile” del trattamento!

La questione da Lei posta riguarda un tema diffuso, tra le pubbliche amministrazioni, che deriva dalla scelta di regolamentare la materia del trattamento dei dati in modo uniforme, sia per le pubbliche amministrazioni, sia per le aziende private, peraltro indipendentemente dalle loro dimensioni, caratteristiche o appartenenza a Stati diversi.

Peraltro, i termini utilizzati nel testo del provvedimento, essendo l’esito di traduzioni dalle versioni originali dei decreti, non possono essere applicati in senso letterale, pretendendo di ricavarne una interpretazione univoca. A ciò si aggiunga la difficoltà di coniugare due diversi sistemi giuridici: quello “continentale” orientato all’affermazione di principi, la cui applicazione è demandata al buon senso e quello “latino” maggiormente prescrittivi e orientato all’applicazione letterale.

Da ciò discende che la regolamentazione operata con il provvedimento europeo ha lo scopo di definire un sistema di regole orientato prevalentemente alla effettività della tutela dei dati, al contenimento dei casi di violazione e all’attribuzione di responsabilità.

Queste ultime, in particolare, nel Regolamento, non sono definite (né potrebbero) in modo puntuale, proprio perché si tratta di un “regolamento generale” che prevede la possibilità che il trattamento o la responsabilità siano affidate, sia a persone fisiche, sia a persone giuridiche.

E’ evidente che se il legislatore europeo avesse voluto dettare un modello unitario avrebbe certamente definito in modo univoco il regime delle responsabilità e degli obblighi connessi in ordine all’attribuzione specifica. E probabilmente avrebbe creato rigidità che non avrebbero consentito la corretta applicazione delle disposizioni o il pieno esercizio consapevole della tutela dei dati.

Certamente l’impianto dettato dal Regolamento generale prevede il “titolare del trattamento” e uno o più “responsabili”.

Al primo corrisponde quanto disciplinato dall’articolo 4, che al punto 7 reca: «titolare del trattamento»: [è] la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

L’ultimo periodo, in particolare. prevede che gli Stati, qualora si tratti di esercizio di funzioni pubbliche, provvedano alla emanazione di “criteri specifici applicabili alla sua designazione”. Questa espressione potrebbe fare ritenere che sia necessaria una integrazione normativa, che nel nostro Paese non è stata emanata, proprio allo scopo di specificare le modalità utili alla “designazione” del Titolare. Anche l’espressione utilizzata “designazione” conferma che il termine non deve essere inteso in modo tassativo (come talvolta accade), come investitura dall’alto, ma come “individuazione” in ragione del ruolo rivestito.

Il riferimento comune alla “persona fisica o giuridica”, inoltre ha lo scopo di fare rientrare nella stessa disciplina qualsiasi tipo di soggetto che operi mediante il trattamento di dati. E’ evidente, però che, poiché la responsabilità è personale, ciò dovrà comunque ricondursi a un soggetto che possa “rispondere” in senso giuridico, del rispetto degli obblighi. Per questa ragione appare convincente la scelta di ritenere, nel caso dei Comuni, titolare, l’Ente locale, nella persona del sindaco pro-tempore.

Ma questo modello organizzativo delle responsabilità deve essere coniugato, inevitabilmente, con il sistema amministrativo vigente in ciascun Paese. Nel nostro Paese, infatti, il Sindaco, pur essendo “rappresentante legale” dell’ente, non ha alcun potere di natura gestionale, né può essere parte in atti di natura negoziale, fatta eccezione per le convenzioni con altre pubbliche amministrazioni, poiché tali atti sono considerati provvedimenti di natura politica.

Il sistema amministrativo delle autonomie locali prevede, infatti, la compresenza di un vertice politico a cui compete la funzione di indirizzo e organizzazione attraverso la designazione dei titolari dei vertici amministrativi ai quali compete l’emanazione di ogni atto che abbia natura dispositiva e di stipula degli atti aventi natura negoziale.

Da ciò consegue che, con riferimento al Regolamento generale, potrebbero configurarsi diversi modelli organizzativi

1. A) titolarità del trattamento attribuita al Comune nella persona del Sindaco pro tempore, a cui compete la designazione dei Responsabili del trattamento
2. B) Titolarità del trattamento all’ente, nel suo complesso, di volta in volta esercitata in relazione al ruolo e alle funzioni attribuite

La prima ipotesi, a mio avviso, maggiormente rispondente al sistema amministrativo vigente, consente al titolare (Sindaco) di provvedere alla individuazione dei Responsabili del trattamento e all’adozione degli atti organizzativi necessari ad assicurare il regolare trattamento dei dati.

La seconda ipotesi, a mio avviso, può essere foriera di confusioni e comunque richiederebbe l’intervento del vertice politico a cui compete sia la definizione dell’organizzazione, sia della individuazione dei titolari delle strutture apicali. In questo caso verrebbe da chiedersi come si potrebbe configurare il vertice politico (supertitolare?). 

Si ha anche notizia di un terzo modello per i quale il Comune sarebbe Titolare del trattamento, come persona giuridica, i Responsabili, soltanto dei soggetti “designati” al trattamento e la Responsabilità sarebbe attribuita a soggetti esterni all’ente.

Su quest’ultima ipotesi preferisco non soffermarmi poiché non ne colgo, né le ragioni, né l’utilità.

Anche la Responsabilità del trattamento ha generato diversità di vedute che hanno portato all’adozione di altrettanti modelli organizzativi.

Al riguardo premetto che, a mio avviso, la diversità di modelli da adottare non è da ritenersi un limite del provvedimento, ma al contrario un’opportunità concessa a ciascun “titolare” di configurare il proprio sistema, purché ciò assicuri la piena tutela delle persone fisiche con riferimento al trattamento dei dati e la sicura definizione dei ruoli e delle responsabilità.

A mio avviso, il modello maggiormente calzante con il sistema amministrativo italiano è quello che preveda due diversi tipi di responsabilità del trattamento dei dati: interna ed esterna. Laddove la prima riguarda i soggetti che, così come recita il GDPR all’articolo 4, nel punto 8, “tratta dati personali per conto del titolare del trattamento” (cioè dell’Amministrazione dalla quale dipende) e all’articolo 28, “mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Nei casi in cui, invece, il trattamento dei dati sia affidato a un soggetto esterno, si rende necessario che l’ente attribuisca tale funzione a quest’ultimo, relativamente alle fasi del processo e ai dati che vengono trattati per conto dell’ente.

Tale attribuzione di responsabilità, evidentemente, a differenza delle responsabilità di tipo “interno”, rientra in un rapporto contrattuale, non autoritativo, in ragione del fatto che qualunque affidamento di servizi rientra tra le attività previste dall’art. 1, comma 1-bis della legge 241/1990, a meno che non si tratti di attività disposte a seguiti di atti ordinatori.

Da ciò si evince, in piena conformità con l’ordinamento vigente, che l’attribuzione di responsabilità all’esterno, configurandosi come obbligo di tipo adempimentale, connesso alla prestazione affidata, deve risultare all’interno delle disposizioni contrattuali, la cui sottoscrizioni è affidata, inevitabilmente al soggetto che nel nostro ordinamento ha tale potere negoziale.

Peraltro, se può essere utile, lo stesso modello si applica anche nel contesto privato dove non possono certamente configurarsi ipotesi di tipo autoritativo e ogni responsabilità deriva esclusivamente da un rapporto contrattuale, la cui stipula è esercitata, di volta in volta, dal soggetto autorizzato alla conclusione dello stesso contratto a cui si riferisce la fornitura.

Ritornando al Comune di XXX, ritengo doveroso precisare che l’Ente ha già definito il modello di organizzazione del trattamento dei dati, con atto regolamentare che, rappresenta una fonte normativa di secondo grado. Da ciò discende che, pur nel rispetto delle diverse opinioni degli operatori, non è assolutamente consentito disattendere le disposizioni ivi contenute, soprattutto se ciò può comportare la disapplicazione di disposizioni la cui mancata attuazione può arrecare pregiudizio all’ente e alla tutela dei dati personali.

Laddove, in futuro, sorgano nuove questioni interpretative, nel rispetto delle posizioni che possa emergere, suggerisco di invitare, innanzitutto all’applicazione delle norme vigenti, rimandando a un secondo tempo la eventuale trattazione in materia dottrinale, sia per assicurare la certezza delle norme da applicare, sia per evitale l’insorgere di conflitti di posizione ideologica sull’applicazione delle norme.

Sia chiaro che, qualora il Garante per la protezione dei dati personali esprima un avviso diverso da quello da me esposto, sarà mia cura adeguarmi prontamente e conseguentemente informarla.

Il mio ente ha affidato un servizio che richiede il trattamento di dati personali. Abbiamo chiesto alla società affidataria di sottoscrivere la responsabilità del trattamento dei dati, ma ci hanno risposto che loro hanno individuato un responsabile esterno, quindi richiedono al nostro ente di disporre che quel soggetto esterno sia il responsabile del trattamento. E’ corretto?

La responsabilità del trattamento dei dati, riferita a uno specifico servizio, può essere affidata a un soggetto esterno all’ente  esclusivamente nella forma contrattuale, con riferimento alle prestazioni richieste per le quali entra in possesso dei dati

L’ente, infatti, non ha alcun titolo per emettere un provvedimento nei confronti un soggetto terzo, diverso dall’affidatario, che non abbia mai individuato e con il quale non abbia alcun rapporto di tipo contrattuale. Nè può ritenersi idonea a instaurare tale rapporto la segnalazione di un terzo, da parte del soggetto contraente.

Ciò non vuol dire che la società affidataria non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento dei dati gestiti all’interno di un servizio. Ma tale scelta attiene all’autonoma determinazione della società stessa, nella scelta dei propri fornitori di servizi. 

Qualora la società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati, nell’ambito del servizio gestito per conto dell’Ente, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio, ma dovrà esclusivamente prendere atto di tale scelta “organizzativa” che, essendo tale, ricade nella piena responsabilità dell’affidatario che dovrà fornire adeguate assicurazioni in ordine alla idoneità del soggetto da lui prescelto, oltre che della regolarità nell’esercizio della responsabilità in ordine al trattamento dei dati.

In particolare, il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, dovrà avvenire nel rispetto delle seguenti modalità:

1. La società affidataria, dovrà sottoscrivere gli impegni previsti, conformemente alle prescrizioni del RGPD, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, avendola specificamente individuata.
2. La società, inoltre, dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata di assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.
3. La stessa società, infine, si impegna a fornire al Responsabile del trattamento, da lei individuato, ogni strumento o informazione utile ai fini dell’espletamento del servizio, assicurandone la continuità e garantendone l’espletamento in caso di interruzione, sospensione o revoca, obbligandosi a informare tempestivamente l’Ente nel caso in cui si verifichi un eventuale avvicendamento.

chiedo  se,  a seguito del decreto attuativo di adeguamento delle norme sulla privacy,  devo indicare i dati personali con foto sul contrassegno per i disabili rilasciato dall’Ente,  ai sensi del regolamento di cui al DPR 495/1992 e ss. mm.

il nuovo contrassegno per i disabili motori si compone di due parti che, una volta plastificate si configurano come due facciate, delle quali una si espone sul parabrezza dell’auto, mentre l’altra rimane nascosta. Nella prima (quella che si espone) è rappresentata l’icona azzurra e indicato esclusivamente il numero dell’autorizzazione e il nome dell’ente che l’ha rilasciata. Nella parte che non si espone sono contenute la fotografia dell’intestatario dell’autorizzazione e le sue generalità. Questo accorgimento è stato adottato proprio al fine di consentire sia l’esposizione, senza l’indicazione delle generalità, sia l’intestazione del permesso, allo scopo di verificarne la correttezza nell’utilizzo.

Da ciò si deduce che l’indicazione delle generalità, come richiesto, non comporta alcune violazione alla riservatezza.

Il codice di comportamento di cui al DPR 62/2013 personalizzato da ogni PA  deve essere modificato/integrato per adeguarlo alla nuova normativa in tema di privacy? Faccio riferimento all’art.20 d.lgs.101/2018.

L’articolo richiamato (20 del dlgs 101/2018) reca nella rubrica “Codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del presente decreto” e fa riferimento alle disposizioni di carattere deontologico richieste agli enti che si caratterizzano per un trattamento di dati ai quali è attribuita particolare attenzione. Tuttavia, il richiamo all’esigenza di codici deontologici è comune a tutti gli enti. Peraltro le pubbliche amministrazioni rientrano centralmente tra qui soggetti che debbono individuare regole specifiche riguardo al trattamento dei dati. A tal fine è opportuno (necessario) che il codice di comportamento dei dipendenti pubblici, di ciascuna amministrazione, sia aggiornato adeguandolo alle disposizioni del Regolamento generale sulla protezione dei dati.

L’art. 12 del DPR 62/2013 già recava, al comma 5 “Il dipendente osserva il segreto d’ufficio e la normativa in materia di tutela e trattamento dei dati personali”. 

L’aggiornamento potrebbe consistere nell’integrazione con la previsione di specifiche disposizioni relative al trattamento dei dati relativi a:

1. a) particolare cura nella conservazione, assicurandone l’integrità e l’utilizzo quando necessario
2. b) utilizzo delle prescrizioni fornite dall’ente riguardo la modifica dei dati che vengono trattati
3. c) rispetto delle disposizioni in materi di accesso e divulgazione dei dati di cui si dispone

In particolare è opportuno evidenziare le responsabilità connesse alle situazioni di violazione individuate dall’art. 4: 

• distruzione
• perdita
• modifica
• accesso
• divulgazione

Peraltro è opportuno precisare che l’inserimento di specifiche disposizioni nel Codice di comportamento ne facilita l’individuazione e se necessario la comminazione di sanzioni

Nel mio Comune i tesserini per il diritto al pasto nella mensa scolastica hanno colore diverso in base alla tariffa applicata e all’esenzione. A suo giudizio possiamo continuare a utilizzare questo sistema o può trattarsi della violazione della privacy?

Il caso che sottopone rientra tra le fattispecie di “privacy by design” che configura i casi in cui un soggetto viene identificato per una delle situazioni che richiedono la tutela della riservatezza, come quella che riguarda la sua capacità economica.

Nel caso in esame, infatti, inevitabilmente si creerà una situazione di palese distinzione che renderà immediatamente identificabili i bambini i cui genitori siano meno abbienti. Certamente, oltre agli aspetti di buon senso, in considerazione delle conseguenze che si possono generare sia nel bambino, sia nel contesto, si tratta della violazione di una informazione “privata”, oltre che “riservata”, fornita senza che sia necessario.

Uno dei dirigenti del mio ente è stato collocato a riposo. A lui era stata attribuita una casella di posta elettronica, il cui indirizzo era regolarmente pubblicato sul sito istituzionale e sicuramente continua a ricevere altre comunicazioni da chi non è al corrente della sua cessazione dal servizio. Nel frattempo, in considerazione di ciò, il CED ha disabilitato l’accesso all’interessato e vuole disporre la cancellazione di tutti i messaggi, senza consentire alcun accesso poiché si tratta di informazioni personali. Ritiene che sia corretto o possiamo incorrere in qualche violazione? Le chiedo gentilmente di volerci suggerire una eventuale soluzione che consenta di risolvere la questione.

La gestione della casella di posta elettronica “istituzionale”, anche se identificata con il nome e il cognome del dipendente è da considerarsi come strumento di comunicazione utilizzato esclusivamente nell’interesse dell’Ente.  In questo caso concorrono due elementi importanti: 1) l’esigenza di un utilizzo corretto e finalizzato all’interesse dell’Ente; 2) il trattamento di dati che possono essere di tipo “personale” o persino “riservato” nei casi in cui la funzione esercitata lo preveda o nei casi di confidenzialità con l’interlocutore.

Da ciò discende la necessità, ogni volta che si attribuisce una casella di posta elettronica, di disciplinarne l’uso prescrivendo quanto segue:

1. la gestione della casella per esclusivo interesse dell’Ente
2. l’obbligo di rimuovere dalla casella ogni informazione di carattere personale che non sia pertinente alle attività dell’Ente
3. l’obbligo di trasferire ogni informazione, documento, immagine, ecc. nel flusso documentale dell’ente, sia ai fini della trattazione, sia ai fini della idonea conservazione.

A mio avviso questo prescrizioni possono aggiungersi nel Codice di comportamento dei dipendenti, prescrivendo una periodica manutenzione della casella di posta elettronica, sia per evitare un inutile ingolfamento, sia per garantire che ogni comunicazione sia stata evasa o rimossa.

Inoltre, per evitare la situazione che descrive, a mio avviso è necessario che, in prossimità della cessazione del servizio, il dipendente abbia l’obbligo di svuotare la propria casella, assicurando la cancellazione dei messaggi non pertinenti e l’inoltro di quelli che richiedono trattazione, consentendo così una corretta rimozione definitiva della casella.

Tutto ciò, inoltre, può risolversi adottando la scelta di attivare esclusivamente caselle di posta elettronica con l’indicazione dell’ufficio e non “nominative”, in modo che, in caso di cambio di titolarità dell’ufficio, l’accesso possa essere trasferito ad altro soggetto (come già fanno i segretari comunali che mantengono casella di posta istituzionale).

Tale scelta non impedisce di istituire caselle di posta nominative che potrebbero essere reindirizzate verso la casella relativa all’ufficio.

L’Amministrazione del mio Ente intende effettuare un censimento della popolazione residente portatrice di disabilità allo scopo di avere un quadro quanto più possibile aderente alla realtà da usare in caso di bisogno a seguito di eventi calamitosi (rischi idrogeologici a seguito abbondanti piogge, allagamenti di vie e piazze cittadine, straripamento dei torrenti che attraversano il territorio comunale ecc.) quale servizio da rendere a questi soggetti particolarmente deboli. L’attività di aiuto e soccorso verso queste persone dovrebbe inserirsi nella redigenda revisione del Piano di Protezione Civile Comunale.

            Trattandosi di dati sensibili relativi alla salute del soggetto Le chiedo le modalità di acquisizione dei detti dati personali anagrafici, (cognome, nome residenza, età, recapito telefonico ecc.) e sanitari (tipo di disabilità, se allettato, se trattasi di disabilità psichica, se esistono soggetti che accudiscono il disabile ecc.). Essi dati  dovrebbero essere forniti dall’utente che li comunica a questo Ente tramite l’inoltro di una apposita comunicazione il cui modello verrebbe fornito dall’Ente. Detti dati saranno poi immessi in un elenco (data base) e usati secondo i fini sopra evidenziati in caso di bisogno.

            Le chiedo:

1. a) Quali indicazioni dovrebbe contenere il modello di comunicazione predisposto da questo Ente?
2. b) Oltre al Sindaco occorre nominare un responsabile del trattamento dati?
3. c) Occorre individuare il soggetto che materialmente inserisce (legge) i dati?
4. d) La predisposizione del registro (data Base) necessita di particolari cautele?
5. e) La possibile presenza di soggetti minorenni necessita di particolari cautele?
6. f) Bisogna indicare il soggetto cui rivolgersi nel caso l’utente intendesse modificare i propri dati o la cancellazione degli stessi?
7. g) esistono particolari procedure in caso di decesso del soggetto?

Il caso che sottopone rientra tra le funzioni che l’Ente esercita nell’interesse pubblico e nel caso di specie dei diretti interessati. Le informazioni, inoltre, rientrano tutte tra quelle che possono ritenersi quali “dati sensibili” in ragione della condizione del soggetti che vengono censiti.

Il modello che l’Ente dovrà predisporre, conterrà tutte le informazioni che lei ha abilmente descritto, con l’aggiunta di dati relativi al contesto delle strutture fisiche, al fine di valutare la facile amovibilità.

Il titolare del trattamento è certamente il Comune, ma è certamente necessario che sia individuato un Responsabile del trattamento, nella persona che avrà la responsabilità del servizio e della organizzazione e gestione dei dati

I soggetti che provvederanno all’inserimento dei dati dovranno essere censiti, ma soltanto ai fini della loro annotazione nel registro del trattamento, senza alcuna necessitò di comunicarli all’interessato

Le cautele richieste sono tutte quelle che riguardano il trattamento dei dati avendo cura della gestione delle informazioni residenti su supporti cartacei, sia per la loro conservazione, sia per la loro eventuale indebita diffusione.

Come negli altri casi, nel testo della “informazione” da fornire ai cittadini, allegata al modello, dovrà essere riportata ogni indicazione relativa al trattamento dei dati, alla possibilità di accedervi, anche per eventuali aggiornamenti, nonché per la cancellazione, se necessario.

Una società che fornisce un servizio informatico all’Ente non vuole assumere l’incarico di Responsabile del trattamento e richiede che l’Ente, con un proprio provvedimento, nomini un soggetto esterno, indicato dalla società stessa. E’ corretto?

Poiché il rapporto tra il Comune di XXX e la società XXX è definito in virtù di una disposizione contrattuale, è evidente che ogni ulteriore definizione di responsabilità relativa alla stessa prestazione, dovrà essere oggetto di una successiva stipula che integri i reciproci impegni già assunti in sede contrattuale. Né potrebbe essere diversamente, poiché il rapporto in essere non deriva da provvedimenti di natura autoritativa avente carattere unilaterale.

Per la stessa considerazione, il Comune di XXX  non potrà affidare l’incarico di Responsabile del trattamento, con atto dispositivo unilaterale a un soggetto terzo che non riveste alcun ruolo nell’ambito della prestazione.

Ciò non vuol dire che la società XXX  non possa avvalersi di un soggetto esterno a cui attribuire la responsabilità del trattamento. Ma tale scelta attiene all’autonoma determinazione della società nella scelta dei propri fornitori di servizi.

Qualora la richiamata società ritenga di affidare a un soggetto diverso la Responsabilità per il trattamento di dati nell’ambito del servizio gestito per conto del Comune di XXX, non dovrà essere quest’ultimo a nominare la società terza quale Responsabile del trattamento, non avendo con essa alcun rapporto contrattuale, né potendo designarla con atti di imperio.

Il ricorso alla responsabilità del trattamento a un soggetto terzo, all’interno di un rapporto contrattuale preesistente, infatti, dovrà avvenire secondo le seguenti modalità:

1. La società XXX, utilizzando il modello di disciplinare già fornito, che riporta fedelmente le prescrizioni contenute nel RGPD, dovrà sottoscrivere gli impegni previsti, precisando che, per suo conto, il ruolo di Responsabile sarà attribuito a una società terza, della cui individuazione e capacità di assolvere agli obblighi richiesti risponde lo stesso contraente, cioè XXX, avendola specificamente individuata.
2. La società XXX dovrà produrre, inoltre, un documento da cui si evinca che la società terza sia stata formalmente incaricata ad assicurare il rispetto degli obblighi e degli adempimenti richiesti e che abbia accettato tale incarico, indicandone la scadenza, oltre alle informazioni di contatto.

Intendo richiedere al Responsabile dell’Anticorruzione (Segretario Comunale), quale ulteriore misura a ridurre e/o scongiurare l’assenteismo, l’attivazione della fotocamera del terminale segna/presenze al fine di verificare la rispondenza tra colui che vidima il badge e l’intestatario di tale badge (fotografia al momento delle timbrature in entrata ed in uscita).
Oltre a segnalare a tutto il personale dipendente tale nuovo sistema di identificazione è necessario, ai fini della privacy, adottare eventuali atti e/o applicare eventuale cartellonistica nel luogo in cui avviene tale operazione.

La segnalazione, come Lei giustamente afferma, deve essere espressa nella forma della “informazione”, nel rispetto delle prescrizioni contenute nell’articolo 13 del Regolamento europeo.
In particolar modo è opportuno che ciascun dipendente sia informato di quanto segue:
1) Finalità e base giuridica del trattamento: richiamando la norma di legge che prevede l’uso delle telecamere al fine di monitorare l’accesso ai luoghi di lavoro
2) Titolare e responsabile del trattamento
3) Destinatari dei dati: precisando chi può accedere alle immagini che vengono catturate,
4) Eventuali gestori esterni a cui l’Ente affida il compito della conservazione delle immagini
5) Eventuale “profilazione”, se attraverso le immagini l’Ente intenda elaborare informazioni o assumere decisioni
6) Diritto dell’interessato, con riferimento alle verifiche sulla regolarità del trattamento e della cancellazione
Per quanto riguarda l’utilizzo di cartelli, se il sistema si attiva esclusivamente in occasione della timbratura e inquadra esclusivamente la persona che timbra, l’informazione può essere circoscritta a un avviso collocato nello spazio in cui avviene l’operazione