Quale bilanciamento operare nel caso in cui una Amministrazione pubblica debba pubblicare dati sensibili (quali nominativi di persone fisiche alle quali il Comune eroga, ad esempio, dei contributi)?
Sebbene il Comune debba rispettare obblighi di pubblicazione, è necessario in ogni caso valutare quali dati personali possono essere pubblicati da parte del Comune in documenti pubblici (ad es. l’Albo pretorio online), attuando un bilanciamento tra principio di trasparenza dell’amministrazione e norme in tema di protezione dei dati personali (Provvedimento del 22 luglio 2021 Garante Privacy).
In tema di diffusione di dati personali (consistente nel dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione) da parte di soggetti pubblici si afferma che la stessa è ammessa solo se prevista “da una norma di legge o, nei casi previsti dalla legge, da un regolamento”, come previsto dall’art. 2-ter, commi 1, 3, 4, lett. b, del d.lgs. n. 196/2003 (cd. Codice Privacy).
Con riferimento ai principi propri del GDPR, il Garante ha inoltre affermato che il trattamento di tali dati deve avvenire sempre nel rispetto dei principi indicati dall’art. 5 del GDPR, in particolare per quanto riguarda “limitazioni delle finalità” e “minimizzazione dei dati”.
Entrando più nello specifico, in caso di concessione di contributi da parte del Comune a determinati cittadini, identificabili dalle informazioni raccolte dall’Ente stesso, si ricorda che l’art. 26 co. 2 del d.lgs. n. 33/2013 impone la pubblicazione degli atti di concessione “delle sovvenzioni, contributi, sussidi […] a persone ed enti pubblici e privati ai sensi dell’articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro”, prevedendo però, al successivo co. 4, che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie dei predetti provvedimenti, nonché gli elenchi dei relativi destinatari “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati”.
Il Garante, al fine di agevolare le Amministrazioni nell’espletamento dei propri obblighi ha provveduto già nel 2014 a fornire specifiche indicazioni in merito alla diffusione di dati personali nelle ipotesi di obblighi di pubblicazione.
Esemplificando, il Comune, in qualità di titolare del trattamento deve a mettere in atto “fin dalla progettazione (cd. privacy by design) misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie e tutelare i diritti degli interessati” (art. 25 GDPR).
In ossequio alla normativa contenuta nel d.lgs. n. 33/2013, che sancisce in maniera espressa che i dati identificativi da cui sia possibile ricavare informazioni sulla situazione di disagio economico dei soggetti beneficiari di sussidi non possono essere pubblicati, è necessario – nella fattispecie concreta – adottare specifiche tutele nei casi in cui sia necessario diffondere dati personali, anche e soprattutto online, applicando specifiche misure di sicurezza (ad es. associando ad un codice univoco la pratica del cittadino e provvedendo a rendere pubblico esclusivamente quello).
E’ doveroso adottare una misure tecnico-organizzative adeguate per attuare in modo efficace i principi di protezione dei dati in violazione dell’art. 25, paragrafi 1 e 2, del GDPR (es. forme di pseudo-anonimizzazione) al fine di non agire in violazione dell’art. 2 ter, commi 1 e 3, del d.lgs. n. 196/2003, dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b) del GDPR e dell’art. 26, comma 4, d.lgs. n. 33/2013 pubblicando e conseguentemente diffondendo i dati e le informazioni personali di soggetti ammessi al contributo economico.
Inoltre, è necessario sempre rispettare il principio della cd. minimizzazione dei dati, sancito dall’art. 5, par. 1, c), del GDPR.
E’ doveroso pertanto mettere in atto misure organizzative adeguate per evitare la diffusione di dati personali in maniera non conforme alla disciplina sopra richiamata, tra cui, come già esemplificato, mediante la pseudonimizzazione che consiste proprio nel trattare i dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.