AMMINISTRATORI LOCALI E REGIONALI: LEGITTIMO PUBBLICARE DATA DI NASCITA O C.F.? SE SI’ CHI E’ IL TITOLARE DEL TRATTAMENTO DI TALI DATI PERSONALI ORDINARI?
AMMINISTRATORI LOCALI E REGIONALI: LEGITTIMO PUBBLICARE DATA DI NASCITA O C.F.? SE SI’ CHI E’ IL TITOLARE DEL TRATTAMENTO DI TALI DATI PERSONALI ORDINARI?
Focus sul Ministero degli Interni Titolare del trattamento del dato personale “data di nascita” in ostensione per legge sull’anagrafe degli eletti di Enti Locali e Regioni
21 Ottobre 2024
00 – PREMESSA: L’A,B,C DEL PUBLISHER E NON SOLO.
L’a,b,c delle nozioni basilari in materia di TRATTAMENTO DI DATI PERSONALI ex GDPR 679/2016 e Codice Privacy italiano (D.Lgs. 196/2003), dovrebbe essere noto anche agli addetti ai lavori in materia di TRASPARENZA (D.Lgs. 33/2013 = TUT), atteso che essi ben sanno ex art. 7-bis comma 4 che
“4. Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti (((criterio della NON PERTINENZA))) o, se sensibili o giudiziari, non indispensabili (((criterio della NON INDISPENSABILITA’))) rispetto alle specifiche finalita' di trasparenza della pubblicazione.”.
In una parola, trattasi del principio di MINIMIZZAZIONE, che consiste nell’oscurare - intra provvedimento/dato/informazione da porre in ostensione ex lege/PTPCT - i dati personali non obiettivamente utili allo scopo (ratio) della TRASPARENZA ottenuta tramite l’ostensione sul web.
Un po’ più ampiamente e tecnicamente, detto a, b, c del trattamento (pubblicazione inclusa: essa è uno dei tanti possibili trattamenti di detti dati da parte del Titolare: colui al quale sono pervenuti, previa INFORMATIVA PRIVACY) dei dati personali consiste in sintesi nelle seguenti 3 REGOLE GENERALI CON RELATIVI COROLLARI EX GDPR + DLGS 196/2003 + D.LGS. 33/2013, che in concreto qualunque legittimo ricevente (Titolare) e/o generatore (Responsabile del trattamento: Dirigente delegato al trattamento + suoi collaboratori autorizzati, ma prima informati/istruiti espressamente) e anche pubblicante di atto/documento/informazione da pubblicare deve imparare a memoria e declamare costantemente e soprattutto a-p-p-l-i-c-a-r-e sempre per qualunque dato personale in cui ci si imbatte:
- 1 non trattare mai un dato personale (in nessun modo: pubblicazione inclusa) se non si è dipendenti della PA Titolare del trattamento (GDPR): chi è il Titolare sta scritto nella cd. BASE GIURIDICA (LEGITTIMANTE IL TRATTAMENTO, leggerla bene): individuarlo sempre;
- 2 quando il Titolare del trattamento è una PA rinvenire s-e-m-p-r-e le basi giuridiche del trattamento del dato personale (GDPR + DLGS 196/2003), che esattamente possono essere/consistere UNICAMENTE NELLE SEGUENTI:
2.1 > “c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;”(GDPR art. 6 co. 1= LICEITA’ DEL TRATTAMENTO)
2.2. > “e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;”(GDPR art. 6 co. 1 = LICEITA’ DEL TRATTAMENTO)
NB: il consenso[1] dell’interessato, di norma base giuridica per i soggetti privati Titolari del trattamento, non è per una PA base giuridica: mai, chiaro ???!!! Eliminare da qualunque modulo in uso presso la PA la formula ‘Autorizza/Consente il trattamento…” : è una castroneria e anche fraudolenta e potenzialmente foriera di gravi danni !!!
Ciò perché ove è la PA che tratta il dato personale, essendo essa in posizione di supremazia/superiorità rispetto all’interessato-persona fisica dichiarante potrebbe comunque estorcere, anche subdolamente, tale consenso dalla persona fisica in posizione di inferiorità ontologica.
Chi intra PA tratta il dato basandosi solo sul consenso dell’interessato sul fronte delle sue responsabilità amministrative della PA (sanzione amministrativo-pecuniaria) verso il Garante Privacy non andrà mai esente da responsabilità per aver espresso il consenso: tale consenso, forse (la GR è ancora scarsa) limiterà o azzererà, sul piano civilistico - in presenza di danno da provarsi - il suo diritto al risarcimento del danno per tale trattamento, che però ex lege è e resta illecito perché privo di base giuridica idonea/rilevante.
2.3 > in generale in Italia “1. La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento ((((GDPR))) e' costituita da una norma di legge (A) o di regolamento (B) o da atti amministrativi generali (C) (D.LGS. 196/2003 art. 2-ter co. 1) e NB: ove la legge italiana o GDPR (fonti primarie) stabiliscono in ambiti di trasparenza specifici la trattabilità di un solo tipo di dato o più tipi di dati, né il regolamento né l’atto amministrativo generale né il PTPCT possono estendere per tali specifici ambiti i dati trattabili.[2] Si prenda il caso dell’art. 20 del TUT che a proposito delle informazioni sulla PERFORMANCE DEI DIPENDENTI PUBBLICI (“Obblighi di pubblicazione dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale.”) consente espressamente alla PA Titolare la sola pubblicazione di dati aggregati, mai per singolo individuo, sia esso Dirigente o personale delle cd. Categorie (cioè non dirigente) e nessuna fonte può prevedere ciò. Per accedere a tali dati c’è solo la via dell’accesso agli atti di procedimento (per eventuali analisi critiche comparativa) di valutazione della performance e quindi ex L. 241/1990; mai ex art 5 comma 2 TUT (accesso civico generalizzato: leggere bene l’incipit del comma 2bis di detto art. 5; perché in molti siti web di PA vedo i dati individuali ‘esatti’ della performance dei Dirigenti ??? Scherziamo !!!???
- 3 poi esaminare tali basi giuridiche per vedere esattamente per quale tipo di dato il trattamento deve (e non può!) e per quanto (tempo, a seconda del trattamento: una cosa è la pubblicazione altra è la mera conservazione: attenzione anche alle norme archivistiche sulla protocollazione: si applicano per la conservazione del documento acquisito al protocollo[3]!) essere effettuato per conto della PA (Titolare del trattamento), ricordando che trattamenti (es. la ostensione a mezzo AMM. TRASP.) devono essere sempre nei fatti/in concreto sempre:
3.1 > c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);(GDPR – art. 5 = PRINCIPIO APPLICABILE A QUALUNQUE TRATTAMENTO);
3.2 > assoggettati a “misure tecniche e organizzative intese a ridurre al minimo il trattamento dei dati personali conformemente ai principi di proporzionalità e di necessità.” (CONSIDERANDO N. 156 AL GDPR): rispetto alla ratio = finalità del trattamento (es. ostensione in Amministrazione Trasparente: per cosa/quale scopo?). Non a caso ex art. 35 GDPR (Valutazione di impatto) co. 7 “La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;”.
3.3. > “4. Nei casi in cui norme di legge o di regolamento (((+ atti amministrativi generali ))) prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti (((criterio della NON PERTINENZA))) o, se sensibili o giudiziari, non indispensabili (((criterio della NON INDISPENSABILITA’))) rispetto alle specifiche finalita' di trasparenza della pubblicazione.” (D.Lgs 33/2013 art. 7-bis co. 4)
3.4 > diritto all’oblio[4]: nello specifico per il trattamento pubblicazione da AMM. TRASP. = depubblicare sempre puntualmente decorsi i termini che la base giuridica prevede per l’ostensione obbligatoria: dopodichè (es. ex art. 14 co. 2 TUT) “Decorsi detti termini, i dati e i documenti sono accessibili mediante istanza di accesso civico generalizzato.”, ottenuto il quale però (NB. NB.NB. ex art. ) in via generale “1. Tutti i documenti, le informazioni e i dati oggetto di accesso civico, ivi compresi quelli oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell'articolo 7” = ri-diventano pubblici (ergo massima cautela nell’esaminare le istanze e nel consegnare i testi: spesso vanno parzialmente oscurati !!!).
01 - ESAME DEL TRATTAMENTO DA PARTE DELLA PA DEI DATI ORDINARI DELLA DATA DI NASCITA E DEL CODICE FISCALE
Ebbene, se la normazione vigente impone, come impone con l’art 14 del TUT alle PPAA di riferimento, ad esempio Enti Locali o Regioni, di acquisire e pubblicare il dato esterno alla PA definito “curriculum”[5] sic et simpliter dell’eletto e anche del nominato (Assessore), non necessariamente quindi quello in formato europeo (come invece in modo tassativo recitava il chiarissimo ma abrogato comma 8[6] lett. d) dell’art. 10 del TUT) e l’interessato fornisce (comunica) alla PA in detto depositato e f-i-r-m-a-t-o (solo se c’è firma è un CV: se no è una mera scheda informativa, redatta da chi ???) CV (oggettivamente un documento privato contenitore di vari dati personali) dati personali ordinari[7] quali: la data di nascita dell’interessato o il Codice fiscale, che si fa? Lo si pubblica esattamente così come lo si riceve, con tali dati ‘in chiaro’ (sol perché l’interessato li ha resi) ?
Orbene, forti dell’a, b, c sopra esposto ai nn. 1, 2 e 3 si deve ammettere che, non definendo la base giuridica suddetta - esistente dunque (art. 14 TUT comma 1) - il contenuto del CV da acquisire e da pubblicare e dunque esattamente tutti i dati personali da inserirvi essendo a compilazione libera, è compito della PA ricevente e del relativo responsabile del trattamento (se poi è anche il pubblicante o publisher poco cambia) procedere alla preparazione del CV da ostendere applicando LA REGOLA BASE N. 3 E RELATIVI 3 COROLLARI, procedendo alla MINIMIZZAZIONE DEI DATI PERSONALI.
Dunque a che pro pubblicare per il cittadino-amministrato dati quali il CF o la data di nascita che l’amministratore il compilante ha pure inserito[8] nel CV? L’eletto ad es. una volta eletto - e durante la campagna elettorale e nelle liste degli eleggibili trattate per legge dal Ministero degli ineterni (vedi manifesti) la data di nascita c’è eccome, ma siamo su altro Titolare e in altro contesto di TRASPARENZA e poi anche tali manifesti post campagna elettorale vengono rimossi = oblio !!! – deve amministrare, si spera bene: a che pro far conoscere al mondo intero come ai cittadini amministrati la data esatta del suo compleanno o il suo codice fiscale (o ad es. il luogo di nascita o altri dati anagrafici o personali ordinari quali il suo n. di cellulare)? Essi non sembrano proprio PERTINENTI, NECESSARI O INDISPENSABILI: ergo devono essere oscurati[9]: COSI’ AVVIENE LA LORO MINIMIZZAZIONE.
Mutatis mutandis traguardando l’obbligo della PA ex art. 13 di pubblicare dati su organizzazione interna alla PA è di questa estate la seguente notizia riportata su https://www.federprivacy.org/informazione/garante-privacy/trasparenza-siti-web-delle-pubbliche-amministrazioni-il-garante-privacy-chiede-piu-tutele-per-i-dati-personali secondo cui: “Trasparenza siti web delle pubbliche amministrazioni, il Garante Privacy chiede più tutele per i dati personali
Parere favorevole del Garante Privacy ad Anac su 14 quattordici schemi standard di pubblicazione che dettano le regole che le Pa devono seguire per rispettare gli obblighi di trasparenza online. Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013) tengono conto delle diverse osservazioni formulate dall’Ufficio.
Per garantire la riservatezza degli interessati ed evitare il rischio di eventuali sanzioni per violazione della normativa privacy, le Pa dovranno limitarsi, fra l’altro, a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati necessari, come ad es., il numero di telefono, l’indirizzo email e pec dell’ufficio - e non i dati del dipendente - cui il cittadino può rivolgersi per richieste all’amministrazione.”
Insomma, si va delineando (a breve) un nuovo generale ELENCO DEGLI OBBLIGHI DI PUBBLICAZIONE: chi scrive non crede però che sarà pronto...in tempo per inserirlo in PTPCT intra PIAO 2025-2027. Stiamo a vedere. Per ora vige il modello ex delibera 1310/2016 Allegato 1 ANAC (strutturato su 6 colonne) + LLGG ex PNA 2019 (+ altre 5 colonne: 11 colonne in tutto previste solo dal PNA 2019: sfuggite ?! Verificare.)
E se l’amministratore-interessato chiede espressamente alla PA di lasciarli (non oscurarli) tali suoi dati personali ‘eccedenti’ lo scopo/ratio dell’ostensione ex lege imposta e addirittura dà alla PA- Titolare del trattamento il proprio consenso per iscritto, magari intra stesso testo del CV con dichiarazione espressa (iniziale o finale: “Autorizzo/Acconsento al trattamento ...pubblicazione inclusa”)?
Impossibile: consenso (esso solo) irricevibile dalla PA (V. SOPRA SUB PRINCIPIO N. 2): esso non deve produrre e non produrrà l’effetto sperato dall’interessato presso la PA che non deve pubblicare comunque e non pubblicherà detto specifico dato personale. In breve e concludendo: l’amministratore deve trovare altri canali per divulgare presso terzi tali suoi dati personali non utili allo scopo dell’ostensione del suo CV che la legge impone alla PA prescrivendo l’ostensione del CV depositato dall’amministratore.
Ma - obietterà qualcuno degli addetti ai lavori - trattandosi, almeno per la data di nascita, di dato personale notorio (divulgato ex lege, reso quindi già di pubblico dominio), essendo stato divulgato addirittura a mezzo manifesti affissi per le pubbliche vie e sin dentro i seggi elettorali durante la campagna elettorale e nel giorno delle elezioni dal Ministero degli Interni, non diventa per ciò dato non più tutelabile dalla normazione sulla Privacy e dunque pubblicabile liberamente dalla PA come da chiunque altro (si pensi ad un giornalista, perché no)?
Orbene, a chi scrive non risulta che la alla liceità di detto trattamento possa pervenirsi per analogia o per via della notorietà del dato, atteso che la REGOLA è la PRIVACY e il TRATTAMENTO DEL DATO PERSONALE E L’ECCEZIONE (v. l’ostativo art. 14 delle Preleggi!) E DEVE ESSERE ECCEZIONE NORMATA DA BASE GIURIDICA CHE INDICHI IL TITOLARE E LA DURATA DEL TRATTAMENTO ANCHE ESISTENDO IL DIRITTO ALL’OBLIO. Insomma, né nel GDPR né nel Codice privacy italiano, risulta allo scrivente che vi sia indicata quale base giuridica legittimante la circostanza del fatto o meglio del dato notorio, cioè già diffuso.
Invero, nel caso del dato “data di nascita” la diffusione per le elezioni avviene secondo legge[10] anche se la legge dedicata (v. nota 8: da utltimo L. 3/2019) non disciplina la depubblicazione del dato e chi scrive nell’articolo del 2023 così conclude premettendo che CV e Certificato del casellario giudiziale dei candidati pubblicati servono (sua ratio) per le elezioni e non per soddisfare mere curiosità morbose dei cittadini: “La risposta sta nel GDPR (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016) di immediata applicazione in tuttigli Stati membri dell’UE e sicuramente prevale sul D.Lgs. 33/2013, esattamente nel principio della non eccedenza anche sotto il profilo temporale, nel senso sopra esposto.
Sbalorditivamente, il Ministero degli Interni, come si può verificare sul sito – Portale ELIGENDO (https://dait.interno.gov.it/elezioni/trasparenza/elezioni-politiche-2022) riporta ancora oggi (30.3.2023) i CCVV e i certificati del Casellario Giudiziale dei meri “candidati” delle elezioni politiche del 2022 riportando altresì stando al dato sub colonna Lista anche l’orientamento politico della persona fisica specificatamente indicata, che magari oggi potrebbe anche aver strappato la tessera di partito ove l’avesse avuta nel 2022 e cambiato anche schieramento politico, etc.:
-
Qual sarebbe per la collettività lo scopo e la ratio di tale perdurante ostensione secondo il GDPR (esattamente art. 5 comma 1 lettera e): “e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»); ”) e quindi quale sarebbe la base giuridica? Il d.lgs 33/2013 art 8 comma 3? Suvvia….a ciascuno le sue valutazioni IN PUNTO DI DIRITTO !!!”
02 - Focus sul Ministero degli Interni Titolare del trattamento del dato personale “data di nascita” in ostensione per legge sull’Anagrafe degli eletti di Enti Locali e Regioni
Altra diversa ostensione (sul web = TRASPARENZA) del dato personale “data di nascita” – diversa da quella ex L. 3/2019 funzionale (ratio) alle sole elezioni !!! – è quella ex art 76 del D.Lgs. 267/2000 che opera dal momento della proclamazione/nomina e vede però sempre il solo Ministero degli interni come Titolare del trattamento. Di che si tratta? Ecco:
“Art. 76 - Anagrafe degli amministratori locali e regionali.
1. Avvenuta la proclamazione degli eletti, il competente ufficio del Ministero dell'interno in materia elettorale raccoglie (((TRATTAMENTO 1: PRESSO CHI ??? VEDI COMMA 2 ULTIMO PERIODO + INFRA CIRCOLARE MIN. INTERNO OPERATIVO-ESPPLICATIVA))) i dati relativi agli eletti a cariche locali e regionali nella apposita anagrafe degli amministratori locali, nonchè i dati relativi alla tenuta (((TRATTAMENTO N. 2))) ed all'aggiornamento (((TRATTAMENTO N. 3))) anche in corso di mandato.
2. L'anagrafe è costituita dalle notizie relative agli eletti nei comuni, province e regioni concernenti i dati anagrafici (((A: ‘anagrafici’: CIOE’? v. INFRA DA SITO MIN INT link https://dait.interno.gov.it/elezioni/anagrafe-amministratori = Cognome/Nome/Sesso/Data di nascita/Luogo di nascita))), la lista o gruppo (((B))) di appartenenza o di collegamento, il titolo di studio (((C))) e la professione esercitata (((D))). I dati sono acquisiti presso comuni, province e regioni, (((TUTTE PPAA autorizzate a riceverli ma poi solo a TRASMETTERLI AL MIN INT.))) anche attraverso i sistemi di comunicazione telematica.
3. Per gli amministratori non elettivi (((i cd nominati: ASSESSORI))) l'anagrafe è costituita dai dati indicati al comma 2 consensualmente forniti dagli amministratori stessi.(((NB NB NB !!! Le PPAA trasmittenti la hanno agli atti, conservata, la dichiarazione di assenso di questi specifici amministratori, previa INFORMATIVA ex GDPR??? Verificare !!!)))
4. Al fine di assicurare la massima trasparenza è riconosciuto a chiunque il diritto di prendere visione (((OGGI C’E’ PIATTAFORMA CHE PUBBLICA COSTANTEMENTE SUL WEB – PRESSO MIN. INTERNI))) ed estrarre copia, anche su supporto informatico, dei dati contenuti nell'anagrafe.”
Quanto sopra disposto ex lege pro TRASPARENZA sugli eletti presso Enti Locali e Regioni in riferimento a soli 4 dati personali (v. sopra lettere A, B, C e D) non prevede però il termine per depubblicare tale ostensione: secondo la ratio della norma in combinato disposto con il suddetto art. 5 co. 1 lett. e) GDPR chi scrive ritiene trattasi di dati da depubblicare una volta cessato il mandato o gli effetti della nomina, nel silenzio della legge nazionale. Non ha invece alcun senso invocare i 5 o 3 anni dettati dal D.Lgs. 33/2013 semplicemente perché trattasi di TRASPARENZA speciale cioè extra sezione web Amministrazione Trasparente di cui al D.Lgs. 33/2013 che è altra fonte normativa (ma di tipo generale!).
Come si vede in parte sono dati personali diversi da quelli ex art 14 co. 1 TUT: esattamente non c’è neppure il CV - ma il TUT poi che lo prevede non dice più CV ‘europeo’[11] = quello che ha anche il dato ‘data di nascita’ - ma solo diciamo un estratto del suo contenuto ‘naturale’ : vedi lettere A, C, D):
“a) l'atto* di nomina o di proclamazione, con l'indicazione della durata dell'incarico o del mandato elettivo; (((* contenente ovviamente nome e cognome dell’interessato !!!)))
b) il curriculum; (((NB nella versione ante D.Lgs. 97/2016 intra art. 15 era per essi: “b) il curriculum vitae;” e la vita inizia con una nascita ! Sub art. 14 c’è solo “curriculum” sin dalla prima uscita in Gazzetta Ufficiale di detto articolo inizialmente dedicato solo agli AMMINISTRATORI!!!)))