I documenti on line della Pubblica Amministrazione devono rispettare la privacy
D'ora in poi le pubbliche amministrazioni dovranno fare molta attenzione ai contenuti che mettono sul web. L’impatto di un foglio di carta esposto nella bacheca di un ufficio comunale, infatti, è di gran lunga inferiore rispetto a quello di una pagina web vista, potenzialmente, da milioni di persone.
Questo in base al principio secondo cui gli atti e documenti amministrativi che contengono dati personali devono essere diffusi on line senza ledere la riservatezza di cittadini e dipendenti e nel rispetto della normativa sulla privacy.
A varare le "linee guida per la PA" è il Garante per la protezione dei dati personali. Il provvedimento, frutto di un complesso lavoro istruttorio, tiene conto delle osservazioni pervenute da diversi stakeholder (amministratori, consumatori) nell'ambito di una consultazione pubblica avviata nei mesi scorsi. Per chi non riga dritto le sanzioni amministrative e penali (che variano in base alla gravità del danno arrecato) sono quelle previste dal d.lg 196/2003, il cosiddetto Codice della Privacy.
Rispetto alle “operazioni trasparenza” molto in voga di questi tempi, l’Authority precisa che riguardo ai dipendenti pubblici non si possono riprodurre sul web i dati sullo stato di salute, i cedolini dello stipendio, l'orario di entrata e di uscita, l'indirizzo privato, la e-mail personale.
Sono invece conoscibili da chiunque i livelli retributivi, i tassi di assenza, i risultati raggiunti, l'ammontare dei premi collegati alle performance, ma solo se in forma anonima o aggregata. Possono essere diffusi la retribuzione e i curricula di dirigenti, segretari comunali e provinciali, gli incarichi di collaborazione e consulenza, il ruolo dei dirigenti, i ruoli di anzianità e i bollettini ufficiali. Deve essere comunque garantita agli interessati la possibilità di aggiornare periodicamente il proprio curriculum vitae, qualora pubblicato.
Si può inoltre pubblicare l'albo dei beneficiari di contributi, sovvenzioni, crediti, agevolazioni, sussidi o altri benefici. In tali elenchi possono essere riportati i dati identificativi (nome, cognome e data di nascita) ma non il codice fiscale, le coordinate bancarie e le informazioni che descrivano le condizioni di indigenza e le informazioni sullo stato di salute.
Le linee guida trattano anche le particolari esigenze di “pubblicità” delle PA come, ad esempio, il caso degli esiti dei concorsi e le graduatorie finali di concorsi e selezioni pubbliche.
Al riguardo, via libera alle modalità di diffusione on line di graduatorie, esiti e giudizi concorsuali che consentono di rendere agevolmente conoscibili agli interessati i dati personali consultando il sito istituzionale dell'amministrazione pubblica competente, evitando nel contempo che gli stessi dati siano liberamente reperibili utilizzando i comuni motori di ricerca esterni.
E' possibile consentire ai partecipanti ad una procedura concorsuale di accedere agevolmente ad aree del sito istituzionale nelle quali possono essere riportate anche eventuali ulteriori informazioni, rese disponibili ai soli aventi diritto sulla base della normativa in materia di accesso ai documenti amministrativi (elaborati, verbali, valutazioni, documentazione relativa a titoli anche di precedenza o preferenza, pubblicazioni, curricula, ecc.), attribuendo loro credenziali di autenticazione (username o password, numeri di protocollo o altri estremi identificativi forniti dall'ente agli aventi diritto, ovvero mediante utilizzo di dispositivi di autenticazione, come la carta nazionale dei servizi).
Sono pertinenti ai fini della pubblicazione on line gli elenchi nominativi ai quali vengano abbinati i risultati di prove intermedie, gli elenchi di ammessi a prove scritte o orali, i punteggi riferiti a singoli argomenti di esame, i punteggi totali ottenuti.
Eccessiva, invece, la pubblicazione di dati concernenti il recapito di telefonia fissa o mobile, l'indirizzo dell'abitazione o dell'e-mail, i titoli di studio, il codice fiscale, l'indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali.
Simili cautele devono essere adottate in caso di pubblicazioni effettuate nel quadro delle ordinarie attività di gestione di rapporti di lavoro (graduatorie di mobilità professionale; provvedimenti relativi all'inquadramento del personale, all'assegnazione di sede, alla progressione di carriera, all'attribuzione di incarichi dirigenziali).
Ecco, in sintesi, i punti salienti delle linee guida:
- le PA possono mettere in rete atti o documenti contenenti dati personali solo sulla base di una norma di legge e di regolamento che lo preveda e devono rispettare i principi di necessità, proporzionalità e pertinenza. Rimane fermo il generale divieto di diffondere dati sulla salute;
- contro i rischi di cancellazioni, modifiche, estrapolazioni delle informazioni presenti on line devono essere adottate adeguate misure tecnologiche;
- la reperibilità dei documenti deve essere, se possibile, assicurata attraverso motori di ricerca interni al sito della singola amministrazione e limitando l'indicizzazione dei documenti da parte dei motori di ricerca esterni. L'uso di motori di ricerca interni consente infatti di garantire un accesso coerente con la finalità per la quale i dati sono stati resi pubblici ed evita il rischio di manipolazione e di "decontestualizzazione" dei dati, cioè la estrapolazione arbitraria che rende incontrollabile il loro uso;
- i dati devono comunque rimanere disponibili solo per il tempo previsto dalle norme di settore. In mancanza di queste, le pubbliche amministrazioni devono individuare congrui limiti temporali oltre i quali i documenti devono essere rimossi. La diffusione illimitata e continua su Internet di dati personali relativi a una pluralità di situazioni riferite ad una persona, costantemente consultabili da diversi luoghi e in qualsiasi momento, può comportare infatti conseguenze pregiudizievoli per le persone interessate, soprattutto se le informazioni non sono più aggiornate;
- contro i rischi di riproduzione e riutilizzo dei file contenenti dati personali, devono essere installati software e sistemi di alert che consentono di riconoscere e segnalare accessi anomali al fine di mettere in atto adeguate contromisure.