FAQ

1 – Quesito

In base al Regolamento Europeo 2016/679, GDPR, le determinazioni/atti amministrativi devono essere pubblicati con testo e allegati per 15 giorni all’albo pretorio on line e poi in amministrazione trasparente per gli anni previsti per legge, solo con l’oggetto privati del testo. Vi sono indicazioni in merito?

Risposta

Quando l’atto da pubblicare contiene informazioni / dati personali di tipo “giudiziario”, o di tipo “sensibile”, in particolare sulla salute o sulla vita sessuale, in riferimento agli art.9 e 10 del GDPR, occorre porre molta attenzione, in quanto occorre verificare se esiste una legge per cui specificatamente tale atto, e/o i dati personali dei soggetti coinvolti  debbano essere pubblicati, e se sia indispensabile la pubblicazione del nome e cognome della persona per raggiungere le finalità di trasparenza amministrativa. Normalmente la finalità di trasparenza, a meno che non esistano leggi specifiche per la pubblicazione, prevede di raggiungere l’obiettivo di rendicontazione delle attività della Pubblica Amministrazione, e come vengono spesi i “soldi pubblici”.

La soluzione, qualora non vi sia una legge specifica che prevede la pubblicazione del nome del contravventore, è di pubblicare l’atto con gli elementi identificativi diretti ed indiretti del contravventore illeggibili.

Si suggerisce di consultare le linee guida del Garante della Privacy del 2014 che aiutano ad interpretare il D.Lgs. 33/2013, ed in particolare attenersi al diagramma di flusso decisionale della pagina 16, reperibile

all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4519681

2 – Quesito

Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali?

Risposta

Dopo aver verificato la sussistenza dell´obbligo di pubblicazione dell´atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono particolari (ossia idonei a rivelare ad esempio l´origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l´adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.

3 – 4 Quesito

 Pagamento retta casa di riposo. la signora xxxx, è in casa di riposo yyy privata, ha un contratto con la casa di riposo yyy a cui versa la sua pensione di 1000 euro, ma la retta è di 1500, quindi la signora xxx ogni anno chiede al comune di integrare. il comune fatto istruttoria e determina integra di 500/mese la retta, pagando tramite fattura inoltrata dalla casa di riposo, la struttura direttamente. Alla casa di riposo si trasmette la determina e la lettera con scritto che per la signora xxx il comune paga 500 euro al mese; la casa di riposo è a scelta della persona con la quale fa direttamente un contratto. Al comune la persona chiede un contributo per la retta a fronte di difficoltà nel pagamento sulla base del regolamento in vigore. La persona autorizza il comune a pagare direttamente al casa di riposo

Risposta

 L’Ente è titolare del trattamento per il trattamento dati inerente il contributo che assegna alla signora xxx. Si suppone che sulla base dell’ISEE la signora xxx abbia un contributo stabilito dal comune sulla retta della casa di riposo. Il comune attraverso la Sig. xxx prende contatti con la cooperativa che gestisce la casa di riposo e mediante una determinazione stabilisce di pagare l’integrazione della retta direttamente alla casa di riposo, in riferimento della Signora xxx.

Di fatto il Comune instaura un rapporto con la casa di riposo, che prevede il pagamento di una quota della retta in capo all’ospite della struttura per effetto di una norma di legge. Di fatto i dati personali che vengono trattati dalla casa di riposo, per effetto del rapporto in essere, è relativo alla gestione contabile amministrativa, alla fatturazione, ma anche indirettamente al grado di autosufficienza economica derivante dall’ISEE dell’utente.

L’elenco degli utenti meno abbienti che percepiscono il contributo dal comune, i dati anagrafici ed eventualmente dei loro familiari, costituiscono un trattamento dati, e per questo trattamento, se pur minimo, è applicabile il paragrafo 1 dell’art. 28 del GDPR; pertanto riteniamo si debba redigere una nomina a responsabile del trattamento specifica per detti trattamenti dati.

5 – Quesito

 La trasmissione di dati personali e o sensibili o particolari ad enti pubblici, tipo azienda ulss (per valutazione situazioni sociali per ingresso in strutture, telesoccorso, utenza seguita da servizi specialistici ecc), ater (per assegnazione case popolari), regione e provincia per bandi per contributi, inps per casellario assistenza (che vuole i dati economici, sanitari degli interventi svolti e effettuati). Tali trasmissioni sono regolate da norme nazionali o regionali e da prassi di lavoro in collaborazione tra servizi.

Risposta

In riferimento al quesito relativo alla trasmissione di dati “particolari” in riferimento all’art. 9 del GDPR, e “relativi a condanne” art. 10 GDPR – la comunicazione ad altro ente deve avvenire con modalità di trasmissione sicure, e l’applicazione di misure tecniche organizzative adeguate in riferimento all’art.32 del GDPR.  Eventualmente con tecniche di cifratura, ad es. una PEC con allegato criptato con una password, la password per aprire l’allegato sarà comunicata in una differente email.

Ogni ente dovuto applicare entro il 31 dicembre 2017 le regole tecniche, dette “misure minime” dell’AGID, che in parte contengono le misure tecniche organizzative che deve mettere in atto il comune.

In ogni caso è corretto che le comunicazioni fra Enti devono avvenire sempre a fronte di una disposizione di legge.

6 – Quesito

Quali adempimenti devono essere eseguiti nel caso in cui l’ente volesse intraprendere il servizio denominato “Pedibus”?

Risposta

Per avviare il servizio è necessario valutare con attenzione se sussistono richieste di informazioni che potrebbero non rispettare il principio di necessità, ovvero secondo l’art. 5 par1 lettera c) del GDPR i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.

Per organizzare il servizio Pedibus occorre che il comune richieda i soli dati necessari a “progettare” ed “erogare” il servizio stesso.

Occorre capire quale “base giuridica” – norma di legge – attribuire a questi trattamenti dati, in quale settore rientra il servizio? Per capire possiamo ragionare su quale capitolo di spesa pagate il fornitore esterno?

In ogni caso, in linea generale, gli adempimenti da porre in essere sono:

– L’informativa specifica (eventualmente breve) che suggeriamo di riportare a tergo del modulo ove vengono raccolti i dati per l’adesione al servizio;

– nomina ad incaricato o integrazione della nomina ad incaricato al personale del comune che utilizzerà il servizio

– nomina a responsabile del trattamento al/ai fornitore di servizi compresa la nomina ad ADS

– inserimento nel registro del specifico trattamento dati.

Occorre ricordare altresì che i dati acquisiti per questo servizio non potranno essere riutilizzati dal fornitore di servizi per altre finalità (es. marketing, e(o profilazione).

7 – Quesito

 Nel caso in cui il Comune volesse installare delle telecamere lungo il perimetro della piattaforma ecologica al fine di identificare eventuali soggetti che abbandonano arbitrariamente rifiuti al di fuori della recinzione. Nel caso in cui da un lato sia prospicente una strada comunale, si chiede se le telecamere possano essere liberamente installate oppure se sia necessario dotarsi preventivamente di qualche autorizzazione e quali accorgimenti in tema di privacy debbano essere adottati.

Risposta

 In via generale il Comune può installare telecamere ed acquisire informazioni con la finalità di repressione dell’abbandono dei rifiuti, sia per l’applicazione di sanzioni amministrative che penali, le riprese possono essere fatte in tutte le aree di pertinenza comunale. L’affissione dei cartelli di videosorveglianza è consigliata dal Garante della Privacy, ma il comune può decidere in autonomia, (meglio se motivando con un documento interno), di non installare i cartelli in alcune aree.

Importante è avere redatto il regolamento sulla videosorveglianza.

 8 – Quesito

E’ necessario predisporre un’informativa per la gestione di istanze e pratiche quali domande per richiesta di prestazioni sociali/sociosanitarie/giuridiche? 

Risposta

 In linea generale:

1) La pubblica amministrazione non è tenuta alla richiesta del consenso da parte degli utenti a cui effettua servizi istituzionali previsti dalla normativa vigente, pertanto si può semplificare ed eliminare il consenso, l’informativa è sufficiente che sia pubblicata, ed esposta presso gli uffici ove vengono raccolti i dati.

2) Il soggetto preposto a rispondere per l’esercizio dei diritti degli interessati in primis è il Titolare del trattamento (art. 15 GDPR), qualora insorgano problematiche allora può essere coinvolto il DPO (responsabile della protezione dei dati), pertanto l’indicazione dei contatti per l’inoltro dell’istanza di accesso ai dati deve essere del comune e non del DPO, mentre i dati di contatto del DPO devono essere comunque indicati.

9 – Quesito

Cosa si deve riportare nel testo dell’ordinanza che il Comune intende pubblicare ove sono presenti dei dati relativi al soggetto destinatario del provvedimento se il soggetto ingiunto è una ditta individuale la cui sede legale coincide con l’indirizzo di residenza del titolare? Inoltre nell’ordinanza si fa riferimento ad una notizia di reato a carico del titolare della ditta.

 Risposta

 Quando l’ordinanza contiene l’applicazione di una sanzione di tipo penale, che rientra nei dati di tipo giudiziari occorre porre molta attenzione, in quanto occorre verificare se esiste una legge per cui specificatamente tale atto, e/o i dati personali del contravventore debbano essere pubblicati, e se sia indispensabile la pubblicazione del nome e cognome della persona per raggiungere le finalità di trasparenza. Normalmente la finalità di trasparenza, a meno che non esistano leggi specifiche per la pubblicazione, prevede di raggiungere l’obiettivo di rendicontazione delle attività della Pubblica Amministrazione, e come vengono spesi i “soldi pubblici”. La soluzione, qualora non vi sia una legge specifica che prevede la pubblicazione del nome del contravventore, è di pubblicare l’atto con gli elementi identificativi diretti ed indiretti del contravventore illeggibili. Si consiglia di inserire alcuni “omissis” per non identificare il soggetto e non pubblicherei l’indirizzo, e inserirei nella descrizione che l’ordinanza n.xxx è disponibile in versione integrale.

Per tali dubbi si vedano linee guida del Garante della Privacy del 2014 che aiutano ad interpretare il D.Lgs. 33/2013, ed in particolare vedere il diagramma di flusso decisionale della pagina 16,

10 – Quesito

Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali?

Risposta

Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono particolari (ossia idonei a rivelare ad esempio l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.”

11 – Quesito

 Il Responsabile della Protezione dei dati come indicato dalla DGR 865/2018 (pagina 6 dell’allegato B), deve controfirmare le informative?

 Risposta

 Il soggetto delegato al trattamento dei dati non è il Responsabile della protezione dei dati personali, ma eventualmente una persona interna delegata dal sindaco, se questo soggetto non è stato delegato allora non si indica nulla.

La firma del responsabile della protezione dei dati sulle informative, che risulta non conforme al GDPR, di fatto il responsabile della protezione dei dati (DPO) è una figura preposta alla verifica, controllo, etc. Ma non all’operatività nella raccolta dei dati.

12 – Quesito

 Entro quale termine ultimo il regolamento va approvato?

Risposta

Non sono disciplinati i tempi di pubblicazione del regolamento. Ricordiamo invece che gli adempimenti previsti dal Gdpr dal 25 maggio 2018 sono pienamente attuativi.  Nel nostro Paese il quadro di riferimento normativo è diventato definitivo dal 19 settembre 2018 con l’introduzione del D.Lgs n. 101/2018 che ha modificato il Codice Privacy, D.Lgs n. 196/03.

Consigliamo di procedere con gli adempimenti e far approvare il regolamento in consiglio alla prima data utile.

13 – Quesito

Il  Manuale del Sistema di gestione della protezione dei dati personali che potrebbe essere adottato dal Comune di xxx, con relativa delibera di Giunta Comunale può essere spunto in riferimento al principio di responsabilizzazione, nonché all’art. 24 del GDPR. Può essere un buon inizio per costruire un Sistema di Gestione di Processo per una futura certificazione ai sensi dell’art. 42 del GDPR?

Risposta

Riguardo agli schemi di certificazione, il riferimento di schema italiano è la ISDP 10003:2018 schema redatto dall’Ente di certificazione INVEO, già ritenuto compliance da ACCREDIA.

Occorre tenere conto di alcune considerazioni:

– Tutto quanto viene citato nel manuale va implementato, ivi comprese le procedure e le istruzioni operative;

– E’ un percorso abbastanza complesso e con tempistiche non immediate;

– Inserirei un capitolo per la calendarizzazione/priorità di sviluppo delle procedure al fine di ottemperare agli adempimenti principali quali (nomina a responsabile, incaricati, valutazione dei rischi, valutazione di impatto, procedura data breach)

 14 – Quesito

 Una scuola paritaria che ha sede nel nostro Comune, chiede l’elenco dei bambini di età 2-5 anni per poter programmare/promuovere la sua offerta formativa rivolta ai bambini di età 2-5 anni. Possiamo rilasciare gli elenchi richiesti?

Risposta

 I dati dall’anagrafe comunale non possono essere estratti e comunicati a terzi per finalità promozionali di terzi (in questo caso la scuola). Il Comune è uno dei soggetti responsabili dell’obbligo di formazione, (così come disciplinato dalla normativa vigente, non ultimo il Decreto Legislativo 15 aprile 2005, n. 76 “Definizione delle norme generali sul diritto-dovere all’istruzione e alla formazione, a norma dell’articolo 2, comma 1, lettera c), della legge 28 marzo 2003, n. 53” pubblicato nella Gazzetta Ufficiale n. 103 del 5 maggio 2005). Questo non giustifica la comunicazione dei dati della popolazione residente (nella fattispecie dati di minori) a terzi soggetti per finalità di promozione delle iscrizioni scolastiche. Le scuole hanno la possibilità di organizzare  autonomamente eventi per l’orientamento e la presentazione dei servizi formativi.

Per disciplinare l’anagrafe degli studenti è stata istituita l’ANS ovvero l’Anagrafe Nazionale degli Studenti, Il DM 692 del 25_9_2017 riordina in un unico provvedimento la normativa di carattere secondario adottata nel tempo per la gestione dell’Anagrafe.

 15 – Quesito

 Gli elenchi dei residenti non possono essere trasmessi alle istituzioni scolastiche per fini pubblicitari. Questo vale per le scuole pubbliche e quelle private?

Risposta

La regola generale da tenere conto per la comunicazione a terzi di dati il cui Titolare del trattamento è la pubblica amministrazione consiste nella verifica dell’esistenza di una specifica norma di legge o regolamento che lo preveda. Appurato che nella normativa vigente non vi sono riferimenti in tal senso, l’altra ulteriore considerazione è sulla finalità e base giuridica (art. 6 del Reg. UE 2016/679), che nella fattispecie può solamente essere per “esecuzione di un compito di rilevante interesse pubblico”. Nello specifico il Comune è quel soggetto unicamente reputato a verificare gli obblighi di frequenza ed iscrizione da parte dei minori alla scuola dell’obbligo, ricevendo i dati degli iscritti dalle scuole.

Il processo inverso non è invece previsto dalla normativa, ovvero non è possibile che il comune comunichi alla scuola i dati dei residenti e la scuola li chiami o ne faccia oggetto di promozione.

L’attività di promozione per l’iscrizione alla scuola è un attività propria degli istituti scolastici (pubblici e privati – equiparati), e deve essere svolta con canali tradizionali di pubblicità, quali ad esempio previsione di giornate di orientamento… Riferimenti di legge – D.Lgs. 196/2003 così come modificato dal D.Lgs. 101/2018

Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) comma 3

“La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1” (ovvero se previsto dalla legge); e all’art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante)   comma 1 “trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonche’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”. E art 2-sexies comma 2 lettera aa).

16 – Quesito

 Un ente pubblico può rilasciare le liste elettorali a chiunque ne faccia richiesta?

Risposta

Il rilascio di copie delle liste elettorali è consentito nei limiti di cui all’articolo 51 del D.P.R. n. 223/1967, nel testo modificato nel 2003. Con l’avvenuta abrogazione dell’articolo 177 del Codice della Privacy di cui al Decreto legislativo del 2003, da parte del decreto correttivo, D.Lgs. n. 101/2018, è sorta la problematica relativa alla vigenza o meno dell’articolo 51 del D.P.R. n. 223/1967, che disciplina il rilascio di copie delle liste elettorali dei comuni. Nello specifico, la versione originaria dell’articolo 51 consentiva a chiunque di copiare, stampare o mettere in vendita le liste elettorali del comune. Il Codice della privacy di cui al D.Lgs. n. 196/2003 ha modificato l’articolo 51 restringendo la possibilità di avere le liste nel senso che esse potevano essere rilasciate in copia solo per determinate finalità. In materia è intervenuto i l testo del Codice della privacy modificato dal D.Lgs. n. 101, entrato in vigore il 19 settembre 2018, che ha abrogato l’articolo 177, la norma che in precedenza aveva modificato l’articolo 51 del D.P.R. n. 223/1967. Da qui, il quesito se l’ abrogazione dell’ articolo 177 significhi abrogazione della versione dell’ articolo 51 come modificata dall’ articolo 177 medesimo.   Una soluzione alla questione si potrebbe rinvenire i n base ai principi in materia di redazione dei testi legislativi, per cui si può ritenere che l’abrogazione dell’articolo 177 del Codice privacy non abbia cancellato il regime di conoscibilità delle liste risultante dall’ultima versione dell’articolo, ovvero quella modificata nel 2003. Pertanto, è ancora vigente la norma sull’accesso alle liste elettorali dei comuni solo per specifiche finalità.   Del resto, la possibilità di reviviscenza del testo originario dell’articolo 51 implicherebbe una diffusione indiscriminata di dati contenuti nelle liste, non rispettando i principi generali a tutela della privacy ad oggi in vigore. In conclusione, i l comune, nell’applicazione dell’articolo 51 del D.P.R. n. 223/1967, deve confrontare attentamente le finalità indicate dallo stesso con gli scopi dichiarati dal richiedente le copie. Si precisa che è stato pubblicato dal Garante un Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019

17 – Quesito

Come deve procedere l’ente per la gestione di convenzioni per la fruibilità dei database dello stesso?

Risposta

Al fine di definire come procedere, si possono utilizzare le Linee Guida Agid, in base alle quali l’Amministrazione deve fornire le credenziali di accesso e se del caso individuare un supervisore. Si riporta il link https://www.agid.gov.it/sites/default/files/repository_files/linee_guida/linee_guida_convenzioni_fruibilita_dati_delle_pa_art_58_cad_0.pdf

18 – Quesito

In linea generale quali adempimenti spettano agli enti relativamente alla pubblicazione di atti sul sito web?

Risposta

Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono particolari (ossia idonei a rivelare, ad es., l’origine razziale od etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.

Prima di procedere alla pubblicazione sul proprio sito web è necessario:

  • individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
  • verificare, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni;
  • sottrarre all’indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordato al punto precedente.

In ogni caso è vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Le linee guida del Garante  del 2014, pubblicate su questo portale, si occupano nello specifico di determinati obblighi di pubblicazione:

  • i curricula professionali (ad esempio, dei titolari di incarichi di indirizzo politico o amministrativi di vertice), nei limiti dei dati pertinenti alle finalità di trasparenza perseguite;
  • le dichiarazioni dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari, sempre nel rispetto dei principi di pertinenza e non eccedenza e delle previsioni a tutela dei dati sensibili;
  • i compensi di alcuni soggetti (ad esempio, i titolari di incarichi amministrativi di vertice) evitando di pubblicare la versione integrale dei documenti contabili e fiscali o altri dati eccedenti (ad esempio, i recapiti individuali e le coordinate bancarie utilizzate per effettuare i pagamenti);
  • i provvedimenti amministrativi (ad esempio, concorsi e prove selettive);
  • gli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e l’elenco dei soggetti beneficiari.

Riguardo gli atti di concessione di benefici economici a determinate categorie di soggetti non possono essere pubblicati:

  • i dati identificativi dei soggetti beneficiari di importi inferiori a mille euro nell’anno solare;
  • le informazioni idonee a rivelare lo stato di salute o la situazione di disagio economico-sociale degli interessati;
  • i dati eccedenti o non pertinenti.

Si ricorda che, una volta trascorso il periodo temporale previsto dalle singole discipline per la pubblicazione degli atti e documenti nell’albo pretorio, gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi.

Pertanto, se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti ed i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali.

In questi casi, quindi, è necessario provvedere ad oscurare nella documentazione pubblicata i dati e le informazioni idonei ad identificare, anche in maniera indiretta, i soggetti interessati.

19 – Quesito

Come deve procedere un ente per la pubblicazione sul proprio sito web di una graduatoria (comprensiva di nomi, punteggi e idoneità) per una selezione pubblica di personale?

Risposta

L’ordinamento prevede particolari forme di pubblicità per gli  esiti delle prove concorsuali e delle  graduatorie  finali  di  concorsi  e selezioni pubbliche (es.  affissione  presso  la  sede  degli  esami, pubblicazione nel bollettino dell’amministrazione interessata).

Tale  regime  di  conoscibilità assolve principalmente alla funzione di  rendere  note  le  decisioni adottate  dalla  commissione  esaminatrice   e   dall’ente   pubblico procedente anche per consentire il controllo sulla regolarità  delle procedure concorsuali o selettive da parte dei soggetti interessati. Le  previsioni  normative  che  disciplinano  la   pubblicazione   di graduatorie, esiti e giudizi concorsuali prevedono  espressamente  la diffusione dei relativi dati personali, anche mediante l’utilizzo del sito istituzionale dell’amministrazione di riferimento.

Al riguardo, il Garante indica come appropriate modalità di diffusione che consentono agli interessati di conoscere i dati personali consultando il sito istituzionale dell’amministrazione competente, evitando nel contempo che i medesimi dati siano liberamente reperibili utilizzando i comuni motori di ricerca esterni

È, invece,  possibile  consentire   ai partecipanti alla procedura concorsuale di  accedere   ad aree del sito istituzionale  nelle  quali  possono  essere  riportate anche eventuali  ulteriori  informazioni  rese  disponibili  ai  soli aventi diritto sulla base della normativa in materia  di  accesso  ai documenti   amministrativi    (elaborati,    verbali,    valutazioni, documentazione relativa a titoli anche di  precedenza  o  preferenza, pubblicazioni, curricula, ecc.), attribuendo agli stessi  credenziali di autenticazione (es. username o password, n. di protocollo o  altri estremi identificativi forniti dall’ente agli aventi diritto).

Devono ritenersi certamente pertinenti ai fini della pubblicazione on line gli elenchi nominativi ai quali vengano abbinati i risultati  di prove intermedie, gli elenchi di ammessi a prove scritte o  orali,  i punteggi riferiti a singoli argomenti di  esame,  i  punteggi  totali ottenuti.

Appare invece eccedente  la  pubblicazione  di  dati  concernenti  il recapito di telefonia fissa o mobile, l’indirizzo  dell’abitazione  o dell’e-mail, i titoli di  studio,  il  codice  fiscale,  l’indicatore Isee,  il  numero  di   figli   disabili,   i   risultati   di   test psicoattitudinali.

20 – Rapporti formali, convenzioni e precise regole di sicurezza a tutela della privacy e dei principi di proporzionalità e necessità per l’accesso da parte  delle forze di Polizia di Stato alla banca dati locale generata dai sistemi automatici provinciali di controllo del traffico

Risposta

L’accesso da parte delle forze di polizia dello stato ai dati acquisiti dalla polizia locale con le telecamere di lettura targhe e gli autovelox non può essere giustificato solo con generici motivi di sicurezza. Servono sempre rapporti formali, convenzioni e precise regole di sicurezza a tutela della privacy e dei principi di proporzionalità e necessità. Lo ha chiarito il garante della privacy con *l’inedito parere n. 13588/2019* inviato alla provincia di Brescia.

Alcune forze di polizia dello stato hanno richiesto alla provincia di Brescia l’accesso, per motivi di sicurezza e di controllo del territorio, alla banca dati locale generata dai sistemi automatici provinciali di controllo del traffico. La provincia ha tentato di formalizzare l’accesso richiedendo poi il nulla osta al garante ai sensi dell’art. 2-ter del codice privacy.

A parere dell’autorità centrale il trattamento dei dati personali per finalità di polizia non ricade nella previsione del regolamento Ue 2016/679 e nel correlato codice privacy ma nella disciplina speciale introdotta dal dlgs 51/2018 che ha recepito nell’ordinamento la direttiva Ue 2016/680. Anche l’acquisizione dei dati da parte delle forze di polizia deve avvenire in ogni caso in conformità alle disposizioni normative, specifica il parere. E se si tratta di dati acquisiti da soggetti terzi occorre che il titolare sia autorizzato a trattarli per le stesse finalità di polizia.

Nel caso sottoposto all’attenzione del garante la provincia stava elaborando dati per finalità amministrative di controllo stradale. Quindi su un piano diverso da quello previsto per la videosorveglianza urbana integrata disciplinata dalla direttiva 680.

In ogni caso, conclude il garante, l’utilizzo per finalità di polizia «di un dato acquisito ad altro fine da parte di una p.a. costituisce una forte interferenza con il diritto alla vita privata» e quindi deve rispettare i principi di necessità e proporzionalità. In particolare nel caso di accesso telematico massivo interforze è quindi sempre necessario regolare formalmente i rapporti tra i diversi titolari del trattamento prevedendo procedure di sicurezza e convenzioni ad hoc, con tanto di eventuali accordi di contitolarità.

 

21 – La posta in entrata pervenuta al Protocollo generale è visionabile da tutti i dipendenti comunali muniti di credenziali per l’accesso?

Risposta

No, il sistema informatico in questo caso è impostato in modo erroneo. Sarebbe opportuno che la visibilità degli atti in entrata fosse consentita solo ad un numero limitato di persone quali, ad esempio, il Sindaco, il Segretario generale ed il responsabile dell’ufficio protocollo ed i relativi addetti. Ogni sistema di gestione e di conservazione dei documenti digitali deve basarsi sul principio della sicurezza dei dati e del trattamento delle informazioni personali. In questa ottica, il protocollo informatico può essere considerato un valido strumento di garanzia della privacy. Infatti in esso sono descritte le tecnologie e le prassi, sono individuati i responsabili e le misure adeguate a tutelare il sistema di conservazione e di gestione dei documenti digitali da  eventuali minacce endogene ed esogene. La P.A.  può protocollare la documentazione in un’ottica di trasparenza dell’azione amministrativa, di miglioramento dei servizi nonché di contenimento dei costi. Negli ultimi anni sono state introdotte regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale o su supporti ottici, dei documenti informatici. Ad una attenta osservazione, il sistema  di protocollazione presenta indubbiamente il vantaggio di certificare la provenienza e la data di acquisizione dei documenti, identificandoli in maniera univoca ed assicura, tra le altre cose, l´univoca identificazione ed autenticazione degli utenti, la protezione delle informazioni relative a ciascun utente nei confronti degli altri e la registrazione delle attività rilevanti, ai fini della sicurezza, svolte da ciascun utente; in particolare, il sistema deve consentire il controllo differenziato dell´accesso nonché il tracciamento di qualsiasi evento di modifica delle informazioni. Una semplice valutazione delle misure di sicurezza previste per implementare la gestione del protocollo informatico presenta una spiccata simmetria con le misure minime di sicurezza previste in materia di privacy. Infatti, sono comuni l’autenticazione, l’autorizzazione, il backup, la continuità del servizio, oltre alla registrazione delle attività svolte. L’incuria o l’imperizia nell’ideazione e nell’attuazione del protocollo informatico per la gestione e la conservazione dei documenti può rivelarsi un serio rischio di violazione della normativa sul trattamento dei dati personali con conseguenti sanzioni.

 

 

22 – Il consigliere comunale può accedere al protocollo informatico?

Risposta

L’art.43, comma 2, del T.U.E.L. prevede che i consiglieri comunali hanno diritto di ottenere dagli Uffici tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato e, al contempo, sono tenuti al segreto nei casi specificamente previsti dalla legge.

La giurisprudenza amministrativa( recentemente Tar Sardegna sez. I del 4 aprile 2019 n. 317) ritiene che l’accesso alle informazioni possa avvenire anche tramite l’accesso al protocollo informatico ed ai programmi in uso presso il comune, attraverso il rilascio di proprie credenziali e relativa password, in modalità di sola consultazione.
Tale possibilità non riguarda l’accesso diretto al contenuto degli atti in arrivo o in uscita, ma ai dati di sintesi ricavabili dalla consultazione telematica del protocollo.

23 – Può essere rilasciato al consigliere comunale l’elenco nominativo dei soggetti morosi verso il Comune, con l’indicazione delle somme dovute e dello stato aggiornato della situazione debitoria?

Risposta

Il “diritto di accesso” dei consiglieri comunali in ordine agli atti in possesso dell’Amministrazione comunale trova la sua disciplina specifica nell’art. 43 del decreto legislativo n. 267/00 e non può essere soggetto ad alcun onere motivazionale perché in tal caso sarebbe introdotta una sorta di controllo dell’ente, attraverso i propri uffici, sull’esercizio del mandato del consigliere comunale (V. Commissione per l’accesso ai documenti amministrativi – parere in data 9 aprile 2014).

Nello specifico, il termine “utili”, contenuto nell’articolo 43 del citato decreto legislativo n. 267/00, assicura che tale diritto sia esteso a qualsiasi atto considerato di utilità all’esercizio del mandato senza limitazione alcuna derivante dalla natura riservata delle informazioni richieste. In considerazione del fatto che il consigliere è vincolato al segreto d’ufficio, la suddetta Commissione sia con il richiamato parere del 9 aprile 2014, sia con il precedente plenum datato 6 aprile 2011, ha ritenuto che gli unici limiti all’esercizio del diritto di accesso dei consiglieri comunali si rinvengono, per un verso, nel fatto che esso non deve consistere in richieste assolutamente generiche, ovvero meramente emulative, e per altro verso, nel fatto che esso debba avvenire con il minor aggravio possibile per il comune.
Tuttavia, l’Ente, a tutela proprio degli utenti, può predisporre elenchi in cui vengano riportati i soli dati necessari all’individuazione dei soggetti interessati e l’esercizio finanziario relativo al debito. Infatti non è giustificato diffondere ulteriori dati non pertinenti, quali l’indirizzo di abitazione, il codice fiscale, coordinate bancarie ovvero informazioni che descrivano condizioni di indigenza in cui versi l’interessato.

 

24 – Se la documentazione della quale è chiesta l’ostensione non riguarda un atto prodotto nell’esercizio delle competenze proprie dell’Amministrazione comunale, bensì una documentazione proveniente ad es. dalla Procura della Corte dei Conti afferente ad un’indagine promossa dalla stessa Procura, alla richiesta di accesso del consigliere comunale si applica la disciplina prevista dall’art. 43 TUEL?

Risposta

In primo luogo non appare sufficiente rivestire la carica di consigliere comunale per essere legittimati sic et simpliciter all’accesso, ma occorre dare atto che l’istanza muova da un’effettiva esigenza collegata all’esame di questioni proprie dell’Assemblea consiliare.

Inoltre, è doveroso precisare che il diritto di accesso (anche nelle sue forme di diritto all’informazione) va riferito ai documenti amministrativi e tali non possono essere considerati gli atti di natura processuale o, comunque, relativi ad un procedimento che si svolge o si sia svolto innanzi a un’Autorità giudiziaria, «con riferimento alle possibili sovrapposizioni con l’esercizio dell’attività giudiziaria, occorre chiarire che l’accesso generalizzato riguarda, atti, dati e informazioni che siano riconducibili a un’attività amministrativa, in senso oggettivo e funzionale. Esulano, pertanto, dall’accesso generalizzato gli atti giudiziari, cioè gli atti processuali o quelli che siano espressione della funzione giurisdizionale, ancorché non immediatamente collegati a provvedimenti che siano espressione dello “ius dicere”, purché intimamente e strumentalmente connessi a questi ultimi» (Linee Guida ANAC n. 1309/2016, c.d. FOIA, par. 7.6.).