Le norme nazionali sulla diffusione e comunicazione dei dati personali si applicano in quanto non violino le norme europee sulla privacy
Abstract: Le norme sulla privacy prevalgono sul diritto di accesso, che non è un diritto assoluto del cittadino ma può trovare accoglimento solo laddove non leda l’obbligo di protezione dei dati personali dell’interesato/controinteressato, non come limite invalicabile ma applicando il principio di proporzionalità e quantificando la quantità di dati conoscibili dal richiedente anche nell’ottica del principio di minimizzazione dei dati (art.5 c.1 Reg.UE 2016/679). Queste valutazioni richiedono anche un costante dialogo con il RDP/DPO dell’ente pubblico che, quindi, deve essere scelto valutando attenhtamente le competenze soprattutto in ambito giuridico.
Keywords: #dirittoaccesso #trasparenza #L24190 #GDPR #RPD #DPO #minimizzazionedeidati #proporzionalità #MassimilianoMancini #ethicasocietas #ethicasocietasupli
La normativa nazionale sul diritto di accesso
La legge 241/90 deve essere applicata coordinatamente e subordinatamente alla normativa sulla protezione dei dati personali. Infatti le norme nazionali, come nella parte ancora vigente del D.Lgs.196/2003 [1], hanno generalmente un valore preminente per il principio di specialità, e la normativa europea, in particolare quella che hanno il carattere dell’autoesecutività (self-executing), come nel caso del Reg.UE 2016/679 GDPR, costituisce norma di rango superiore in quanto conseguente a limitazione di sovranità di cui all’art.11 della Costituzione [2].
Il diritto di accesso è tutelato in via generale come conseguenza del principio di trasparenza fissato dall’art. 1 della legge 241/1990 [3], come modificato dall’art. 1 della legge 15/2005, per consentire la conoscenza reale dell’attività amministrativa ed effettuare il controllo sulla stessa, per verificare, in ogni caso in cui il cittadino abbia un interesse, il rispetto dei principi di imparzialità e buon andamento imposti dall’art.97 della Costituzione [4].
Questo principio generale richiede anche la sussistenza di un interesse particolare e legittimo da parte del richiedente, da verificare da parte della P.A., poiché il diritto di accesso non si configura come un’azione popolare, esercitabile da chiunque, indipendentemente da una posizione differenziata giuridicamente, anzi sono espressamente escluse dalla legge le istanze preordinate a un controllo generalizzato sull’operato della pubblica amministrazione, come dispone il comma 3 dell’art.24 della L.241/90 [5].
Il limite alla sovranità dello Stato
In virtù della limitazione derivante dal Trattato di Lisbona del 2007, ratificato dall’Italia con la legge 2 agosto 2008 n. 130, che ha definito la forza e il valore dell’istituto dei Regolamenti europei, rende applicabile le norme sul diritto di accesso solo in quanto non siano in contrasto con la disciplina europea sul trattamento dei dati personali di cui al Reg.EU 2016/679 GDPR, sovraordinato, in conseguenza della limitazione di sovranità di cui all’art.11 della Costituzione persino alla stessa Costituzione.
Nell’attuazione dei principi di trasparenza da parte della pubblica amministrazione e quindi nella valutazione della legittimità delle richieste di accesso agli atti, laddove essi contengano dati personali e non siano esclusi dall’applicazione del GDPR, si deve valutare una serie di parametri che vanno ben oltre la verifica della sussistenza di un interesse specifico, concreto e attuale, come impone il comma 1 punto b dell’art.22 della L.241/90 [6], e dell’deguata motivazione, come impone il comma 2 dell’art.25 della L.241/90 [7]. Prima di tutto si deve valutare il principio di proporzionalità, già imposto dall’art.24 c.7 della 241/90 [8], e ulteriormente rafforzato dalla normativa europea fondamentale, a cominciare dall.art.5 del Trattato sull’Unione Europea (TUE).
Al bilanciamento degli interessi ai fini della valutazione della sussistenza di adeguata proporzionalità si uniscono tutti gli altri obblighi imposti dalla normativa europea sul trattamento dei dati personali che richiede di verificare, non solo la legittimità del diritto di accesso ma anche la quantificazione dello stesso, decidendo quali documenti fornire e quali parti eventualmente oscurare, attuando il principio di minimizzazione dei dati di cui all’art.5 c.1 del Reg.UE 2016/679 [9].
Tutti questi obblighi sono imposti, sia dalla normativa nazionale di cui alla L.241/90 e sia dalla normativa europea di cui al Reg.UE 2016/679, a carico esclusivamente dell’amministrazione che detiene i dati e che è titolare del trattamento.
La complessità e la delicatezza di queste valutazioni, che possono esporre l’ente non solo al rischio di gravi sanzioni ma anche a quello di risarcmento di danni, richiedono un costante dialogo tra il titolare del trattamento e il RDP/DPO dell’ente pubblico che, quindi, deve essere scelto valutando attenhtamente le competenze soprattutto in ambito giuridico.
NOTE
[1] D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, nella parte modificata dal D.Lgs. 10 agosto 2018, n. 101, Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[2] Costituzione, art. 11 «L’Italia ripudia la guerra come strumento di offesa alla libertà degli altri popoli e come mezzo di risoluzione delle controversie internazionali; consente, in condizioni di parità con gli altri Stati, alle limitazioni di sovranità necessarie ad un ordinamento che assicuri la pace e la giustizia fra le Nazioni; promuove e favorisce le organizzazioni internazionali rivolte a tale scopo.».
[3] L.241/90, art. 1 (Princípi generali dell’attività amministrativa) «1. L’attività amministrativa persegue i fini determinati dalla legge ed è retta da criteri di economicità, di efficacia, di imparzialità, di pubblicità e di trasparenza, secondo le modalità previste dalla presente legge e dalle altre disposizioni che disciplinano singoli procedimenti, nonché dai princípi dell’ordinamento comunitario. 1-bis. La pubblica amministrazione, nell’adozione di atti di natura non autoritativa, agisce secondo le norme di diritto privato salvo che la legge disponga diversamente. 1-ter. I soggetti privati preposti all’esercizio di attività amministrative assicurano il rispetto dei princípi di cui al comma 1, con un livello di garanzia non inferiore a quello cui sono tenute le pubbliche amministrazioni in forza delle disposizioni di cui alla presente legge. 2. La pubblica amministrazione non può aggravare il procedimento se non per straordinarie e motivate esigenze imposte dallo svolgimento dell’istruttoria. 2-bis. I rapporti tra il cittadino e la pubblica amministrazione sono improntati ai princìpi della collaborazione e della buona fede.».
[4] Costituzione, art.97 « I pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l’imparzialità dell’amministrazione. Nell’ordinamento degli uffici sono determinate le sfere di competenza, le attribuzioni e le responsabilità proprie dei funzionari. Agli impieghi nelle pubbliche amministrazioni si accede mediante concorso, salvo i casi stabiliti dalla legge.».
[5] L.241/90, art. 24 (Esclusione del diritto di accesso) «3. Non sono ammissibili istanze di accesso preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni.».
[6] L.241/90, art. 22 (Definizioni e principi in materia di accesso) « 1. Ai fini del presente capo si intende: […omissis…] b) per “interessati”, tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso; […omissis…]».
[7] L.241/90, art. 25 (Modalità di esercizio del diritto di accesso e ricorsi) « 2. La richiesta di accesso ai documenti deve essere motivata. Essa deve essere rivolta all’amministrazione che ha formato il documento o che lo detiene stabilmente.».
[8] L.241/90, art. 24 (Esclusione del diritto di accesso) «7. Deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici. Nel caso di documenti contenenti dati sensibili e giudiziari, l’accesso è consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del decreto legislativo 30 giugno 2003, n. 196, in caso di dati idonei a rivelare lo stato di salute e la vita sessuale.».
[9] Reg.UE 2016/679 art. 5 (Principi applicabili al trattamento di dati personali) lett. c «1. I dati personali sono: …omissis…
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
(«minimizzazione dei dati»);».
GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:
30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT)
DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE
RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE
I PIÙ FREQUENTI CASI DI DATA BREACH
IL FINE NON GIUSTIFICA I MEZZI