Privacy e trasparenza on line della Pa: le nuove Linee guida del Garante

pubblica-amministrazione-600x383Garanzie per i più deboli Sui siti on line della Pa solo dati esatti, aggiornati e indispensabili. Vietato diffondere informazioni sulla salute. Sì agli “open data”, ma senza pregiudicare i diritti delle persone. Garanzie per i più deboli.

Allo scopo di contemperare le esigenze di pubblicità e trasparenza con i diritti e le libertà fondamentali nonché la dignità delle persone, il Garante privacy ha individuato un quadro organico e unitario di cautele e misure che le Pa devono adottare quando diffondono sui loro siti web dati personali dei cittadini.

Le Linee guida [doc. web n. 3134436], emanate alla luce del recente decreto legislativo n.33/2013, riguardano:

  • sia la pubblicazione di dati e documenti che le Pa devono mettere on line per finalità di trasparenza,
  • sia di quelli finalizzati a garantire altri obblighi di pubblicità degli atti amministrativi (es. pubblicazioni matrimoniali, deliberazioni sull’albo pretorio on line, avviso di deposito delle cartelle esattoriali etc.).

Su tali Linee guida (in corso di pubblicazione sulla G.U.) il Garante ha sentito il Dipartimento della funzione pubblica, l’Autorità nazionale anticorruzione (Anac) e l’Agenzia digitale.

Ecco in sintesi le principali misure indicate per la trasparenza on line.

Principi generali

Le Pa devono pubblicare solo dati esatti, aggiornati e contestualizzati.

Prima di mettere on line sui propri siti informazioni, atti e documenti amministrativi contenenti dati personali, le amministrazioni devono verificare che esista una norma di legge o di regolamento che ne preveda l’obbligo.

Le Pa devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessaria. E’ sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale.

I dati sensibili (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico.

Occorre adottare misure per impedire la indicizzazione dei dati sensibili da parte dei motori di ricerca e il loro riutilizzo.

Qualora le Pa intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel decreto legislativo n.33, devono procedere prima all’anonimizzazione di questi dati, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

Open data e riutilizzo dei dati

I dati pubblicati on line non sono liberamente utilizzabili da chiunque per qualunque finalità.

L’obbligo previsto dalla normativa in materia di trasparenza on line della Pa di pubblicare dati in “formato aperto”, non comporta che tali dati siano anche “dati aperti”, cioè liberamente utilizzabili da chiunque per qualunque scopo. Il riutilizzo dei dati personali non deve pregiudicare, anche sulla scorta della direttiva europea in materia, il diritto alla privacy.

Le Pa dovranno quindi inserire nella sezione denominata “Amministrazione trasparente” sui propri siti web un alert con cui si informa il pubblico che i dati personali sono riutilizzabili in termini compatibili con gli scopi per i quali sono raccolti e nel rispetto del norme sulla protezione dei dati personali.

I dati sensibili e giudiziari non possono essere riutilizzati.

Durata degli obblighi di pubblicazione

Il periodo di mantenimento on line dei dati è stato generalmente fissato in 5 anni dal decreto legislativo n.33. Sono previste però alcune deroghe, come nell’ipotesi in cui gli atti producano i loro effetti oltre questa scadenza. In ogni caso, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti hanno prodotto i loro effetti, i dati personali devono essere oscurati anche prima del termine dei 5 anni.

Motori di ricerca

L’obbligo di indicizzare i dati nei motori di ricerca generalisti (es. Google) durante il periodo di pubblicazione obbligatoria è limitato ai soli dati tassativamente individuati dalle norme in materia di trasparenza. Vanno dunque esclusi gli altri dati che si ha l’obbligo di pubblicare per altre finalità di pubblicità (es. pubblicità legale sull’albo pretorio, pubblicazioni matrimoniali etc).

Non possono essere indicizzati (e quindi reperibili attraverso i motori di ricerca) i dati sensibili e giudiziari.

Specifici obblighi di pubblicazione

Risulta proporzionato indicare il compenso complessivo percepito dai singoli dipendenti (determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione). Non è però giustificato riprodurre sul web le dichiarazioni fiscali o la versione integrale dei cedolini degli stipendi. Esistono invece norme ad hoc per gli organi di vertice politico.

A tutela di fasce deboli, persone invalide, disabili o in situazioni di disagio economico destinatarie di sovvenzioni o sussidi, sono previste limitazioni nella pubblicazione dei dati identificativi.

Vi è invece l’obbligo di pubblicare la dichiarazione dei redditi di politici e amministratori, con l’esclusione di dati non pertinenti (stato civile, codice fiscale) o dati sensibili (spese mediche, erogazioni di denaro ad enti senza finalità di lucro etc.).

Obblighi di pubblicità degli atti per finalità diverse dalla trasparenza

Il rispetto dei principi di esattezza, necessità, pertinenza e non eccedenza, permanenza on line limitata nel tempo dei dati personali, vale anche per la pubblicazione di atti per finalità diverse dalla trasparenza (albo pretorio on line degli enti locali, graduatorie di concorsi etc.).

Al fine di ridurre i rischi di decontestualizzazione del dato personale e la riorganizzazione delle informazioni secondo parametri non conosciuti dall’utente, è necessario:

  • prevedere l’inserimento all’interno del documento di “dati di contesto” (es. data di aggiornamento, periodo di validità, amministrazione, numero di protocollo)
  • ed evitare l’indicizzazione tramite motori di ricerca generalisti, privilegiando funzionalità di ricerca interne ai siti web delle amministrazioni.

Deve essere evitata la duplicazione massiva dei file.

Annunci

Biometria: il Garante detta le nuove regole e apre una consultazione

downloadSarà più semplice utilizzare tecnologie biometriche, come quelle per la lettura delle impronte o l’analisi della firma, per controllare accessi, per autenticarsi o per sottoscrivere documenti informatici. I soggetti pubblici e privati che si atterranno ai limiti e alle rigorose misure di sicurezza individuati dal Garante Privacy potranno infatti procedere direttamente nell’adozione di questi nuovi strumenti senza presentare, caso per caso, richiesta di verifica preliminare.

Con il nuovo provvedimento a carattere generale, l’Autorità ha individuato specifici casi in cui non sarà più necessario effettuare un interpello preventivo per l’adozione di tecnologie biometriche, definendo però un quadro di regole a tutela delle  libertà personali.

Sarà quindi consentito il rilevamento delle impronte digitali:

  • per l’accesso fisico ad aree riservate, oppure
  • per l’attivazione di dispositivi elettromeccanici ed elettronici.

Le impronte e la topografia della mano potranno essere usate anche per “usi facilitativi” (come, ad esempio, accesso banche e biblioteche), ma solo con il consenso degli interessati e purché siano garantite modalità alternative per chi non vorrà usare strumenti biometrici.

Potrà essere adottata senza interpello anche la firma grafometrica per la sottoscrizione di documenti informatici. Non si potranno, invece, realizzare archivi biometrici centralizzati o utilizzare i dati per finalità diverse da quelle specificate.

Logo-Garante-PrivacyL’Autorità ha inoltre messo a punto delle Linee-guida in materia di riconoscimento biometrico e firma grafometrica nelle quali vengono:

  • analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l’obbligo delle verifica preliminare (lettura dell’iride o del tracciato venoso, riconoscimento facciale etc.) e
  • individuate, per ciascuna di queste tipologie, le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della Privacy, che occorre adottare caso per caso.

Particolare attenzione viene rivolta dal Garante alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.

Ogni eventuale violazione o perdita di dati biometrici dovrà, tra l’altro, essere tempestivamente comunicata al Garante per gli opportuni interventi a tutela delle persone.

yourvoice_defData la particolare delicatezza del tema, prima del varo definitivo del provvedimento e delle linee guida, l’Autorità ha deciso di sottoporre i testi a una consultazione pubblica.

Soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazione.biometria@gpdp.it