Nessuna pubblicazione di dati personali sulla salute e la vita sessuale, vaglio molto attento delle altre informazioni sensibili (appartenenza politica, credo religioso, origine razziale, ecc.), via libera agli open data ma specificando che non sono riutilizzabili senza limiti e prevedendo licenze standard che specifichino le modalità di riuso, divieto di indicizzazione nei motori di ricerca generalisti dei dati sensibili e giudiziari.
Sono le principali regole che il Garante della privacy detta alle pubbliche amministrazioni attraverso le nuove linee guida sulla trasparenza (vanno, pertanto, in soffitta quelle di marzo 2011) messe a punto alla luce della normativa anticorruzione e, in particolare, del decreto legislativo 33 del 2013.
Il corposo documento, prossimo alla pubblicazione, è diviso in due parti. Nella prima si prendono in considerazione gli adempimenti introdotti dal decreto 33, nella seconda tutti gli obblighi di pubblicazione di dati personali previsti da altre disposizioni per finalità diverse dalla trasparenza (per esempio, pubblicazioni di matrimonio, di cambiamento del nome, di avviso di deposito di cartelle esattoriali, dell’elenco dei giudici popolari di Corte d’assise).
La prima parte è decisamente quella più consistente e quella che richiede maggiore attenzione ai responsabili della privacy all’interno delle amministrazioni. Questi ultimi devono, infatti, trovare (linee guida alla mano) il giusto bilanciamento tra le esigenze di trasparenza allargata volute dal legislatore con il decreto 33 – all’epoca il Garante si mostrò critico sulla decisione di diffondere online una simile quantità di informazioni personali – e il rispetto della privacy. Tanto più che la pubblicazione di dati personali effettuata in assenza di idonei presupposti normativi è punita con la sanzione amministrativa da 10mila a 120mila euro e, nei casi più gravi, con la reclusione.
Ed è proprio questo che i responsabili della privacy degli uffici pubblici devono fare come prima mossa: verificare se i dati che si apprestano a pubblicare sul sito istituzionale, nella sezione «Amministrazione trasparente», abbiano la copertura normativa che ne consenta la diffusione. Devono poi selezionare le informazioni da pubblicare, verificando caso per caso se ricorrono i presupposti per l’oscuramento di determinate notizie personali, così da ridurre al minimo la diffusione di dati indentificativi. In altre parole, devono sempre chiedersi se la pubblicazione di una certa informazione è realmente necessaria e proporzionata alle finalità di trasparenza.
In questo discernimento possono essere aiutati da alcune certezze: non vanno mai pubblicati i dati sulla salute e la vita sessuale. Gli altri dati sensibili possono essere diffusi solo quando la loro versione anonima preclude la trasparenza. Altra incombenza in capo agli “uomini privacy” è di controllare l’attualità dei dati pubblicati e modificarli e aggiornarli.
Il decreto 33 prevede che le informazioni siano diffuse in formato di tipo aperto, così da poterle riutilizzare. Il Garante, però, avverte di fare attenzione: «formato di tipo aperto» è diverso da «dato di tipo aperto», che consente anche un riuso di natura commerciale. Dunque, i dati non sono liberamente riutilizzabili senza limiti ed è bene – suggerisce l’Authority – che le amministrazioni inseriscano nella sezione «Amministrazione trasparente» un alert che spieghi le condizioni di riutilizzo. Così come è indispensabile che predispongano licenze standard in formato elettronico che stabiliscano chiaramente le modalità giuridiche e tecniche per il corretto riutilizzo dei dati.
Il Sole 24 Ore – 27 maggio 2014