Finalmente il Garante ha emesso un provvedimento che raccoglie alcune delle risposte fornite nel tempo e approfondisce alcune questione in una serie di "Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali". Il provvedimento definisce principi e limiti che gli enti locali sono tenuti a rispettare quando, in particolare, pubblicano e diffondono i dati personali contenuti in atti e deliberazioni dai quali possono anche emergere informazioni su condizioni di salute, handicap o situazioni di disagio di cittadini che concorrono all'assegnazione di alloggi popolari, assistenza e contributi, ammissione di minori agli asili nido o che sono citati in altri documenti destinati alla pubblicazione.

Nelle linee guida il Garante afferma innanzitutto che, prima di  pubblicare gli atti, renderli accessibili a terzi o metterli in rete, l'ente locale deve valutare se le finalità di trasparenza possano essere perseguite senza divulgare dati personali o attraverso modalità che permettano di identificare gli interessati solo se necessario. Negli atti poi devono comparire solo dati pertinenti e non eccedenti rispetto alle finalità che l'ente intende raggiungere. I dati sensibili e giudiziari possono essere diffusi solo se realmente indispensabili e se l'ente abbia adottato il regolamento previsto dal Codice sull'uso di questi dati, in cui siano specificate le operazioni consentite e le tipologie di dati utilizzabili in ciascun trattamento. È sempre vietato diffondere informazioni sulla salute.

Ci vuole un regolamento

L’ente locale dovrebbe quindi, secondo il Garante, cogliere questa l'occasione per definire organicamente la propria politica in tema di trasparenza in rapporto alle diverse procedure amministrative, alle distinte esigenze di trasparenza da perseguire e al genere di mezzi di diffusione utilizzati, compreso Internet, adottando o aggiornando il regolamento previsto dal Testo unico delle leggi sull'ordinamento degli enti locali (art. 10 d.lg. n. 267/2000.). Naturalmente potrebbe essere il caso di rivedere anche i regolamenti relativi ai dati sensibili e giudiziari e al diritto di accesso ai sensi della legge 241/90, in modo da verificare che non esistano punti oscuri o contraddizioni con quanto stabilito dalla norma o tra i regolamenti stessi.

I regolamenti però non bastano: è necessario che le logiche della privacy siano ben comprese e assimilate da tutti coloro che operano nell’amministrazione comunale, dagli amministratori e soprattutto dai funzionati che dovrebbero beneficiare (anche secondo la legge) di una formazione sulla privacy.

Attenzione ai siti web

Alcune disposizioni di legge o di regolamento dispongono la necessaria messa a disposizione di determinati atti e documenti sul sito web dell'ente locale. Ad esempio, l'ente è obbligato a rendere noti, attraverso il proprio sito web, l'organigramma degli uffici corredato dal nominativo dei dirigenti responsabili, nonché l'elenco completo delle caselle di posta elettronica istituzionali attive, oltre al nominativo e l'ammontare della retribuzione dei dirigenti con incarico conferito ai sensi dell'art. 19, comma 6, del d.lg. 30 marzo 2001, n. 165, dei consulenti, e dei titolari di incarichi corrisposti.

Il Garante ha più volte sollecitato anche la pubblicazione dell’elenco dei responsabili del trattamento dei dati personali, nonché delle modalità e delle forme in cui il cittadino può esercitare i propri diritti relativi alla privacy. Naturalmente non devono mancare adeguate informative sul trattamento dei dati da fornire ai relativi interessati e devono essere previste le necessarie misure di sicurezza volte ad assicurare l'integrità di dati e sistemi. Rispetto alla diffusione in rete degli atti, occorre verificare, caso per caso, il quadro normativo di riferimento relativo allo specifico regime di pubblicità dei singoli documenti. Anche per i casi in cui la pubblicazione è consentita, è necessario predisporre dei sistemi che garantiscano il rispetto del diritto all'oblio dell'interessato una volta perseguite le finalità poste alla base del trattamento, ovvero la cancellazione o l’archiviazione in particolari sezioni del sito di quelle informazioni che ormai hanno raggiunto le loro finalità.

Divieto assoluto per i dati relativi alla salute

Qualche giorno fa è stato fermato dal Garante un Comune che aveva reso pubblici i dati relativi alla salute di persone che usufruiscono di contributi socio-assistenziali. Si tratta solo di uno dei molti casi che in questi anni si sono verificati. L'amministrazione comunale, nel procedere all'erogazione di un contributo economico, aveva affisso all'albo pretorio e pubblicato sul proprio sito internet la deliberazione, nella quale veniva fatto esplicito riferimento alla patologia sofferta dal beneficiario, minore d'età. Il Garante ha ricordato che la sola indicazione dell'erogazione del sussidio a favore di soggetti versanti in condizioni di salute problematiche è idonea a rivelarne lo stato di salute. Ha poi osservato che, pur essendo state oscurate alcune parti della deliberazione, quali il nome del minore beneficiario ed il tipo di intervento sanitario previsto, la persistenza delle generalità del padre, l'indicazione del rapporto di parentela tra quest'ultimo ed il beneficiario, costituiscono informazioni comunque idonee ad individuare il minore.

Non sempre è semplice, quindi, adeguarsi alla normativa rispettando sia le istanze di riservatezza sia quelle di trasparenza. In questi casi il Garante consiglia di omettere del tutto i dati personali e sostituirli con diciture generiche o codici numerici.