Il difficile equilibrio tra accesso e privacy

Transcript

1 Approfondimento 11 Il difficile equilibrio tra accesso e privacy 1. La riservatezza e l accesso Tra i limiti che vengono posti all esercizio del diritto di accesso, estremamente delicata è la problematica dei rapporti fra accesso e riservatezza. Si tratta di due importanti diritti, che pur avendo il medesimo ambito di applicazione, costituiscono, allo stesso tempo, l uno il limite dell altro. Infatti, la riservatezza concerne dati personali che possono essere inseriti in documenti amministrativi, a loro volta suscettibili di accesso. Si capisce, pertanto, che bilanciarli nel concreto è davvero complicato. 2. La tutela della privacy. Normativa di riferimento e principi La disciplina in materia di trattamento dei dati personali, cd. privacy, contenuta nel D.Lgs. 196/2003, Codice privacy, è stata rivoluzionata in seguito all approvazione del regolamento (UE) 2016/679, cd. Regolamento generale per la protezione dei dati personali - General Data Protection Regulation o GDPR, divenuto operativo negli Stati membri dell Unione in data 25 maggio Lo scopo del regolamento europeo è stato quello di adeguare la disciplina sul trattamento dei dati personali alle moderne tecnologie che, soprattutto nell «era del digitale» che stiamo vivendo, sono divenute strumenti di controllo della vita di ciascuno: tale obiettivo è stato realizzato approntando una normativa, più incisiva rispetto a quella del passato, a garanzia della libertà degli individui di far conoscere di sé solo ciò che si vuol far conoscere. Tale regolamento si è poi reso necessario per assicurare un livello coerente di protezione della privacy delle persone fisiche in tutta l Unione al fine di prevenire disparità che possano ostacolare la libera circolazione dei dati personali: la protezione prevista dal regolamento deve trovare applicazione, per tale motivo, alle persone fisiche, in relazione al trattamento dei loro dati personali, a prescindere dalla nazionalità o dal luogo di residenza. Il regolamento promuove la tutela dei dati personali in base alla responsabilizzazione dei soggetti titolari del trattamento (accountability) e introduce novità importanti per cittadini, imprese, enti pubblici, associazioni e i liberi professionisti. Tra queste ricordiamo: il diritto all oblio: sarà possibile chiedere ed ottenere la cancellazione dei propri dati personali, anche on line, da parte del titolare del trattamento, se ricorrono alcune condizioni previste dal Regolamento stesso; una più rigorosa valutazione del rischio nell ambito dei trattamenti dei dati personali: ogni volta che un trattamento presenti dei rischi elevati per i diritti di libertà delle persone fisiche, il titolare del trattamento è tenuto ad effettuare una preventiva valutazione dell eventuale impatto negativo del detto trattamento. Qualora, poi, un trattamento comporti la violazione dei dati personali, il titolare del trattamento deve darne celere informazione al Garante (cd. data breach); 1

2 l introduzione della nuova figura del Responsabile della protezione dei dati (Data Protection Officer o DPO), avente, tra gli altri, il compito di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e di porsi quel referente principale presso ogni ente o struttura. La decisione del legislatore europeo di utilizzare il regolamento, quale strumento per realizzare una disciplina omogenea in tutti gli Stati membri, ha comportato che le normative nazionali (in precedenza) vigenti venissero travolte dalle disposizioni europee di diretta applicazione. Così è stato, anche nel nostro ordinamento, per il D.Lgs , n. 196, cd. Codice della privacy, completamente e profondamente modificato con il D.Lgs , n. 101, con il quale si è armonizzata la normativa interna con quella sovranazionale. All esito di tale modifica normativa, il sistema normativo in materia di privacy si è fatto più complesso, considerato che il trattamento dei dati personali deve avvenire sia secondo le norme di cui al citato regolamento (UE) 2016/679 che del D.Lgs. 196/2003, come modificato dal legislatore del 2018, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona (art. 1 Cod.). 3. Il Garante per la protezione dei dati personali Il Garante per la protezione dei dati personali è l autorità di controllo indipendente incaricata di sorvegliare l applicazione della normativa al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all interno dell Unione (art. 2 Codice privacy). Tra i compiti affidati al Garante si devono ricordare i seguenti: controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico; trattare i reclami presentati ai sensi della normativa vigente; denunciare i fatti configurabili come reati perseguibili d ufficio, dei quali viene a conoscenza nell esercizio o a causa delle funzioni; assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento europeo e allo stesso Codice. 4. Principi generali Il regolamento europeo e, dunque, la normativa nazionale di adeguamento, si applicano al trattamento dei dati personali delle persone fisiche, laddove, per dato personale deve qualsiasi informazione riguardante una persona fisica identificata o identificabile. La normativa oggi in vigore si discosta notevolmente dalla precedente impostazione e le originarie definizioni di dati sensibili e i dati giudiziari, lasciano il posto alle più generiche categorie particolari di dati personali (art. 9 reg.) e dati personali relativi a condanne penali e reati (art. 10 reg.), richiamati pedissequamente nella nuova formulazione del nostro Codice. In particolare, secondo l art. 9 del regolamento nel novero delle categorie particolari di dati personali rientrano, poi, i dati personali che rivelino l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l appartenenza sindacale, nonché i dati ge- 2

3 netici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all orientamento sessuale della persona. Il dato personale è trattato quando è sottoposto a qualsiasi operazione o insieme di operazioni, compiute con o senza l ausilio di processi automatizzati ed applicate a dati personali o insiemi di dati personali: la raccolta, la registrazione, l organizzazione, la strutturazione, la conservazione, l adattamento o la modifica, l estrazione, la consultazione, l uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, comma 1, n. 2, reg.). I dati personali, ai sensi dell art. 5 del regolamento n. 2016/679 devono essere: a) trattati in modo lecito, corretto e trasparente nei confronti dell interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in un modo che non sia incompatibile con tali finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati («limitazione della conservazione»). Non meno importante è la previsione che il trattamento deve garantire un adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Il regolamento detta disposizioni affinché il trattamento sia lecito. A tal fine è necessario che ricorra almeno una delle condizioni indicate: a) che l interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) che il trattamento sia necessario all esecuzione di un contratto di cui l interessato è parte o all esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) che il trattamento sia necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) che il trattamento sia necessario per la salvaguardia degli interessi vitali dell interessato o di un altra persona fisica; e) che il trattamento sia necessario per l esecuzione di un compito di interesse pubblico o connesso all esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) che il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell interessato che richiedono la protezione dei dati personali, in particolare se l interessato è un minore (art. 6). 5. Il trattamento di categorie particolari di dati personali I dati personali che rivelino l origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all orientamento sessuale della persona, non possono essere trattati (art. 9 GDPR). Vi sono però delle eccezioni. Il trattamento di tali categorie di dati può essere, infatti, consentito in una serie di ipotesi, tra le quali si ricordano, ad esempio, quelle in cui: l interessato 3

4 ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche; il trattamento è necessario per tutelare un interesse vitale dell interessato o di un altra persona fisica qualora l interessato si trovi nell incapacità fisica o giuridica di prestare il proprio consenso; il trattamento riguarda dati personali resi manifestamente pubblici dall interessato; il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; il trattamento è necessario per motivi di interesse pubblico, rilevante sulla base del diritto dell Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell interessato. Correlativamente alla previsione europea, il nuovo art. 2sexies del Codice della privacy stabilisce che i trattamenti delle categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante ai sensi dell art.9, par. 2, lett. g), del regolamento, sono ammessi qualora siano previsti dal diritto dell Unione europea ovvero, nell ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali dell interessato. 6. Il trattamento di dati personali relativi a condanne penali e reati Il trattamento di questa peculiare categoria di dato personale che coincide sostanzialmente con i precedenti dati giudiziari secondo il legislatore europeo per essere lecito, e quindi consentito, deve avvenire soltanto sotto il controllo dell autorità pubblica o se il trattamento è autorizzato dal diritto dell Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art. 10). Di rimando, il nuovo art. 2octies del Codice della privacy prevede che il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza che non avviene sotto il controllo dell autorità pubblica, è consentito, ai sensi del citato art. 10 del regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti dei dati in questione nonché le dette garanzie sono individuati con decreto del Ministro della giustizia, sentito il Garante. 7. Il bilanciamento tra accesso e privacy Quando, ai sensi degli artt. 22 e seguenti della legge sul procedimento amministrativo, L. 241/1990, si chiede di accedere a documenti amministrativi che investono posizioni di soggetti terzi, si pone il problema di conciliare il diritto di questi ultimi alla riservatezza dei propri dati personali con il diritto di accesso dell istante. Il legislatore ha risolto codificando una serie di principi-guida, contenuti sia nella legge sul procedimento che nel Codice sulla privacy, che devono essere seguiti per trovare, nei casi concreti, un punto di equilibrio tra accesso e riservatezza. 4

5 Si tratta di un sistema di bilanciamento degli opposti interessi che può portare ad una graduazione del diritto di accesso in relazione alla tipologia di dati personali che, nello specifico, viene in rilievo. Nella L. 241/1990, la disposizione di riferimento è data dall art. 24, il cui comma 7 afferma, in primo luogo, ed in via generale, la prevalenza del diritto di accesso in tutte le ipotesi in cui questo è preordinato all esercizio del diritto di difesa di un interesse giuridicamente rilevante: «deve comunque essere garantito ai richiedenti l accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici». Immediatamente dopo, la norma stabilisce che nel caso di documenti contenenti i dati individuati dagli artt. 9 e 10 del regolamento (UE) 2016/679, l accesso è consentito nei limiti in cui sia strettamente indispensabile, mentre in presenza di dati idonei a rivelare lo stato di salute e la vita sessuale (usualmente definiti come dati supersensibili o sensibilissimi) l accesso è consentito nei termini previsti dall art. 60 D.Lgs. 196/2003, come novellato al D.Lgs. 101/2018. Anche l art. 59 del Codice della privacy conferma questa impostazione, prevedendo che i presupposti, le modalità, i limiti per l esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale restano disciplinati dalla L. 241/1990 anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del regolamento e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. Parallelamente, i presupposti, le modalità e i limiti per l esercizio del diritto di accesso civico restano disciplinati dal D.Lgs. 33/2013 (art. 59, comma 1bis, cod.). Per quanto riguarda specificamente i dati relativi alla salute o alla vita sessuale o all orientamento sessuale di un soggetto, il rimando all art. 60 del Codice della privacy, contenuto nell art. 24 L. 241/1990 comporta che il trattamento degli stessi è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, sia di rango almeno pari ai diritti dell interessato, ovvero consista in un diritto della personalità o in un altro diritto o libertà fondamentale Contro il rifiuto al rilascio di dati e documenti il cittadino potrà ricorrere al responsabile trasparenza, al difensore civico e/o al T.A.R. 5