Sintesi: Il presente contributo si prefigge l’obiettivo di analizzare la disciplina dei trattamenti di dati personali svolti in ambito pubblicistico, da parte di soggetti inquadrabili nella nozione di “pubblica amministrazione”, intesa in senso lato. L’analisi svolta prende le mosse dalla considerazione secondo cui la disciplina di riferimento – il GDPR e la normativa interna di attuazione – non prevede sostanziali differenze in considerazione della natura soggettiva del titolare del trattamento, ma si focalizza sulla base giuridica del rapporto-trattamento. Cio trova giustificazione, nella prospettazione che segue, nella circostanza che tutti i rapporti giuridici rientranti nella categoria di “trattamento di dati personali” recano in se l’elemento della soggezione dell’interessato al potere del titolare. Ciononostante, l’entrata in vigore del GDPR e della normativa domestica attuativa ha inciso non marginalmente sulla disciplina dei procedimenti amministrativi incidenti su profili di riservatezza e protezione dei dati personali, tanto da un punto di vista sostanziale, quanto da quello formale-procedurale. In un tale contesto spetta all’interprete e al formante giurisprudenziale, definiti i punti di frizione fra la normativa interna in materia amministrativa e quella multilivello sulla privacy, ridefinire un nuovo equilibrio fra la tutela dei diritti dell’interessato, nella sua duplice accezione di soggetto passivo di un trattamento di dati personali e di individuo parte di un procedimento amministrativo.
Sommario: 1. La tendenziale irrilevanza della natura soggettiva del titolare del trattamento – 2. L’incidenza dell’attivita amministrativa sul diritto alla riservatezza e alla protezione dei dati personali: il regime delle banche dati pubbliche – 3. Il principio di trasparenza amministrativa, il diritto di accesso e la tutela della privacy – 3.1. Segue: profili problematici posti dal GDPR in relazione alla disciplina domestica in materia di diritto di accesso – 4. Altre applicazioni del principio di trasparenza amministrativa: la sentenza 20/2019 della Corte Costituzionale – 5. Conclusioni.
1. La tendenziale irrilevanza della natura soggettiva del Titolare del trattamento
Il GDPR, e sulla scorta di questo il Codice privacy italiano, come novellato dal d.lgs. 101/2018, non fissa una disciplina differenziata per i trattamenti effettuati per finalità pubbliche2, salvo le eccezioni, pur rilevanti, costituite dalla necessita di prevenire reati, tutelare la pubblica sicurezza e combattere il
terrorismo.3Il criterio seguito dal legislatore europeo e di natura squisitamente oggettivo4: ciò che importa non e l’identità o la qualifica del titolare, ma piuttosto il modo d’essere del trattamento, ivi incluso certamente la tipologia di dati trattati.
Ciò e reso evidente dall’art. 6 del Regolamento, il quale contempla fra le basi giuridiche del trattamento la necessita di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui e investito il titolare del trattamento (art. 6, par. 1, lett. e)). La formula e chiaramente applicabile non solo ai trattamenti effettuati dalle Pubbliche Amministrazioni in senso stretto, ma anche da ogni altro soggetto al quale sono attribuiti compiti5 o incombenze, anche contingenti, di rilievo pubblicistico.6
L’inserimento di questa particolare base giuridica non e, peraltro, di scarso rilievo, atteso che, in sua assenza, sarebbe stato possibile legittimare i trattamenti di dati personali in ambito pubblico evocando la necessità di adempiere ad un obbligo legale imposto al titolare del trattamento (art. 6, par. 1, lett. c)).7
In effetti, questa considerazione si basa sull’interpretazione, oggi largamente maggioritaria, del principio di legalità(cd. in senso sostanziale), la quale, com’e noto, individua in esso il “limite positivo” dell’agire amministrativo, nel senso che il potere dell’Amministrazione, per potersi considerare legittimo, deve essere previsto in astratto da una norma di legge, nonché definito nei suoi presupposti e modalità di esercizio.8
Tuttavia, l’attività amministrativa non può essere considerata nella sua interezza come l’oggetto di un obbligo legale, posto che la discrezionalità e un connotato essenziale dell’amministrare, e che esistono una serie di attività di interesse pubblico il cui esercizio e costruito dalla norma attributiva del potere come oggetto di una facoltà, e non di un obbligo.
E proprio in relazione ad esse ed ai connessi trattamenti di dati personali che, per ragioni di chiarezza e coerenza normativa, si rende necessaria la previsione di un’apposita base giuridica, quale risulta quella prevista dall’art. 6, par. 1, lett. e), GDPR.
Esigenze di rispetto del principio di legalità in senso sostanziale emergono anche nel settore della protezione dei dati personali, come dimostra la puntualizzazione contenuta nel considerando 45, a mente della quale i trattamenti che trovino la propria base giuridica nell’art. 6, par. 1, lett. c) ed e), GDPR devono basarsi sul diritto dell’Unione o di uno Stato membro.9
L’art. 6, par. 1, GDPR, inoltre, esclude che i soggetti pubblici nell’esecuzione dei propri compiti possano trattare dati personali ricorrendo al legittimo interesse come condizione di liceità: con ciò si evidenzia come la base giuridica di cui all’art. 6, par. 1, lett. e) e, per siffatti trattamenti, tendenzialmente assorbente rispetto ad ogni altra, in quanto la norma sembra introdurre una presunzione di prevalenza dell’interesse (pubblico) del titolare, esonerando quest’ultimo da ogni ulteriore attività valutativa o ponderativa. In realtà, attraverso un’analisi più approfondita, può notarsi che anche i trattamenti effettuati per finalità pubblicistiche da Amministrazioni dello Stato non vanno esenti da operazioni di bilanciamento, posto che in essi si riverbera la tensione irriducibile fra potere pubblico e diritti dei privati: la peculiarità risiede nel fatto che, in tali casi, la ponderazione in esame non viene svolta dal titolare del trattamento, bensì direttamente dal legislatore ed e consacrata nella norma attributiva del potere dell’Amministrazione, in ossequio al principio di legalità sostanziale.
Questa conclusione trova conforto anche in altro dato testuale. In particolare, l’art. 9, par. 2, lett. g), con riferimento ai “trattamenti di categorie particolari di dati personali”10, pone come possibile condizione di liceità i “motivi di interesse pubblico rilevante”, a patto che: i) siano previsti dal diritto dell’Unione o degli Stati membri; ii) siano proporzionati alla finalità perseguita dal trattamento; iii) la norma che li prevede rispetti “l’essenza del diritto alla protezione dei dati personali”; iv) siano approntate misure appropriate e specifiche a tutela dell’interessato.
Si tratta, dunque, di una riserva di legge relativa rinforzata per contenuto, con la conseguenza che, qualora uno Stato membro, nel proprio ordinamento interno, dovesse individuare con legge un interesse pubblico rilevante, abilitando l’Amministrazione ai relativi trattamenti di dati personali cd. “sensibili”, la legge medesima dovrebbe essere dichiarata illegittima nell’ipotesi in cui difetti degli elementi anzidetti.11
Il legislatore europeo si mostra, altresì, consapevole della particolarità dei trattamenti di dati personali effettuati per finalità pubblicistiche e, sebbene non appresti, come si e detto, una disciplina differenziata, consente agli Stati membri di prevedere deroghe puntuali in settori delicati.
Cosi, ad esempio, il considerando 20, dopo aver ribadito che il Regolamento si applica anche ai trattamenti effettuati da Autorità giudiziarie nell’esercizio delle proprie funzioni, stabilisce che, in relazione ad essi, “il diritto dell’Unione o degli Stati membri potrebbe specificare le operazioni e le procedure di trattamento”: ciò, in particolare, anche per evitare ingerenze del Garante privacy in settori e materie riservate ad altro potere dello Stato.
Altra importante precisazione proviene dal considerando 31, il quale, concludendo comunque nel senso che anche le Autorità pubbliche devono rispettare le norme in materia di protezione dei dati personali secondo le finalità del trattamento, esonera talune Amministrazioni, come ad esempio le Autorità fiscali
e doganali e le Autorità amministrative indipendenti, dall’essere considerate destinatarie ai sensi del
GDPR nelle ipotesi in cui gli siano comunicati dati personali per lo svolgimento di attività d’indagine che rientrano nella loro missione istituzionale.
2. L’incidenza dell’attività amministrativa sul diritto alla riservatezza e alla protezione dei dati personali: il regime delle banche dati pubbliche
Posto che per il GDPR risulta, almeno tendenzialmente, irrilevante la circostanza che il trattamento dei dati personali sia svolto o meno da una Pubblica Amministrazione, la pratica amministrativa, e taluni istituti diretti a regolarla, per loro natura, evidenziano una frizione tra il diritto alla protezione dei dati personali e i principi fondamentali del diritto amministrativo.
L’esercizio efficiente ed efficace delle pubbliche funzioni postula, a monte, la conoscenza approfondita da parte dell’Amministrazione della realtà da governare. Questo comporta che la possibilità di acquisire masse enormi di informazioni e dati si pone come un connotato essenziale dell’azione della PA12, garantita dall’art. 97 Cost., ed e idonea a tradursi in un vantaggio anche per cittadini ed imprese.
Non tutti i dati trattati dalle Amministrazioni sono tecnicamente “dati personali”, tuttavia una larga parte degli stessi rientrano in tale nozione: si pensi, a mero titolo esemplificativo, ai dati trattati dall’Anagrafe civile o tributaria.
In relazione ad essi, i trattamenti effettuati sono per cosi dire “funzionalizzati”13, nel senso che il potere di svolgere le operazioni di trattamento deve – per le ragioni già esposte – essere previsto dalla legge e perseguire le finalità da essa indicate.
In quest’ottica ne deriva, anche alla luce del processo di digitalizzazione che ormai da anni sta investendo la PA14, una sempre più frequente creazione di database condivisi da più enti pubblici, contenenti, fra gli altri, ingenti moli di dati personali.
L’esatta qualificazione giuridica di tali banche dati15, atteso che gli elementi di cui esse si compongono risultano a tutti gli effetti beni immateriali, ruota attorno al citato concetto di funzionalizzazione.16 E’, infatti, proprio su di esso che la giurisprudenza di legittimita17 fa costantemente leva per stabilire la natura demaniale di un bene18, ai sensi dell’art. 822 cod. civ.
In particolare, le banche dati potrebbero considerarsi beni “a destinazione naturale”19, in quanto non necessario un provvedimento amministrativo che ne riconosca la pubblica funzione, posto che essa discende direttamente dalla legge; e riconducibili alle raccolte […] degli archivi di cui all’art. 822, comma 2, cod. civ..
Per giunta, l’ordinamento sembra imputare espressamente alla PA la titolarità dei dati appartenenti alle raccolte: cosi si esprime, infatti, sia l’art. 2, c. 1, lett. i) d.lgs. 36/2006, sia l’art. 1, c. 1, lett. cc) CAD, a mente di quali e “titolare del dato”20 l’ente pubblico che ha originariamente formato per uso proprio o commissionato ad altro soggetto il documento che rappresenta il dato, o che ne ha la disponibilità. Naturalmente, una lettura costituzionalmente orientata della norma, anche considerata la normativa – europea e nazionale – in materia di protezione dei dati personali, non può che condurre ad interpretare
la norma nel senso che l’Amministrazione, la quale ha avuto per prima la disponibilità del dato o del documento lo stesso, e tenuta, ove richiesta e ove sussistano le condizioni legalmente previste, a trasmetterlo ad altra Amministrazione o ai privati. In questa direzione sembra deporre anche l’art. 50
CAD, il quale dispone che ≪i dati delle pubbliche amministrazioni≫ (cioè quelli di cui esse sono titolari ai sensi dell’art. 1, c. 1, lett. cc) del medesimo Codice) ≪sono formati, raccolti, conservati, resi disponibili e accessibili […] alle condizioni fissate dall’ordinamento, da parte delle altre pubbliche amministrazioni e dai privati”, salvo i limiti imposti dalla legge, fra cui quelli in materia di protezione dei dati personali.
Dalla natura demaniale delle banche dati pubbliche discendono importanti conseguenze, come, ad esempio, l’impossibilita per la PA di alienare le stesse, stante i divieti imposti dagli art. 823 e 826 cod. civ.. Inoltre, il tema offre interessanti spunti di riflessione sulla possibilità di configurare il diritto di accesso, che di seguito si analizzerà, ai database pubblici in termini di interesse legittimo, atteso che la presa di visione o l’estrazione di copia di un documento amministrativo si sostanzia in un uso da parte del richiedente legittimato di un bene demaniale, in maniera non dissimile a quanto avviene con l’utilizzo di una strada pubblica.21
3. Il principio di trasparenza amministrativa, il diritto di accesso e la tutela della privacy
L’intera architettura costituzionale della Pubblica Amministrazione si regge sui principi del buon andamento e dell’imparzialità, enunciati, com’e noto, dall’art. 97 Cost., e ribaditi a livello europeo dall’art. 41 Carta di Nizza.
In particolare, il principio di imparzialità si ricollega anche all’art. 3 Cost. e vieta all’agire amministrativo
di effettuare favoritismi ingiusti nei confronti di un soggetto, in danno all’interesse pubblico.
Funzionale al principio di imparzialità risulta essere il principio di trasparenza. Esso e menzionato dall’art. 1 della legge 241/1990, come novellata dalla Legge 11 febbraio 2005, n. 15 ed e preordinato ad eliminare eventuali veli di opacità e segretezza dietro cui potrebbero annidarsi fenomeni di corruzione, mercificazione o, comunque, sviamento della funzione pubblica. L’intento e quello di trasformare l’Amministrazione in una “casa di vetro”, secondo la nota formula adoperata da Filippo Turati nel 1908.
Il principio di trasparenza e, per sua natura, idoneo ad entrare in collisione con il diritto alla protezione dei dati personali, in quanto l’ostensione totale delle informazioni detenute dalla PA comporterebbe l’annullamento e la lesione del diritto dell’interessato al controllo dei propri dati personali. Ciò, peraltro, non soddisferebbe alcun interesse pubblico, bensì mere curiosità, alimentando e favorendo ingerenze inaccettabili nella vita privata degli individui cui le informazioni si riferiscono.
Per tale ragione la trasparenza deve continuamente confrontarsi con il diritto alla riservatezza e le istanze di protezione dei privati.22 Cosi, gli istituti previsti dall’ordinamento per rendere effettivo il principio in esame sono chiamati ad operare un delicato bilanciamento fra l’interesse alla pubblica conoscenza e quello al privato riserbo.
Preme ora evidenziare come il concetto di trasparenza appaia labile e sfocato e che esso si presti ad essere utilizzato in contesti e con finalità molto diversi. Limitandoci all’oggetto della presente indagine, e possibile notare come, se da un lato la trasparenza figura come un (corollario di un) principio fondamentale dell’attività amministrativa, dall’altro esso risulta anche un principio ordinante la materia della protezione dei dati personali, espressamente previsto dall’art. 5, par. 1, lett. a) GDPR.
Se, dunque, e vero che l’Amministrazione, in quanto tale, deve agire trasparentemente nei confronti della generalità dei consociati amministrati, e altrettanto vero che, in quanto titolare di trattamenti di dati personali, ad essa e imposto di comportarsi con trasparenza nei rapporti con gli individui interessati.
Singolarmente, l’applicazione dello stesso principio, in ambiti differenti, produce risultati dissimili. Ciò che muta e il soggetto nel cui interesse e posto l’onere di trasparenza: in un caso la generalità dei consociati, nell’altro l’interessato al trattamento di dati personali.
L’istituto che in origine si intendeva preordinare a tutela della trasparenza e il diritto di accesso.23 Esso fu introdotto in via generale, salve pregresse applicazioni settoriali24, dal Capo V (artt. 22 ss.) della legge
241/1990. Il diritto in questione stravolse il modo d’intendere la Pubblica Amministrazione, la cui attività era, in precedenza, dominata dal principio di segretezza e non divulgazione.25
Nel testo originario, l’art. 22 l. 241/90 sembrava delineare un vero e proprio strumento di controllo da
parte dei cittadini sull’attività amministrativa. Infatti, legittimato all’accesso era chiunque avesse un
interesse per la tutela di situazioni giuridicamente rilevanti≫. Com’e di tutta evidenza, l’interesse sulla cui base si richiedeva l’accesso non era in alcun modo qualificato dalla legge, e ciò consentiva di inoltrare istanze dalle quali il cittadino non avrebbe conseguito un effettivo vantaggio.
Si comprese in breve tempo che il controllo dal basso dell’attività amministrativa non poteva basarsi su un istituto cosi penetrante e potenzialmente lesivo anche del diritto alla riservatezza degli individui. Di conseguenza, con la novella introdotta dalla l. 15/2005, il legislatore, recependo orientamenti giurisprudenziali consolidatisi nel corso degli anni, sottopose il Capo V della l. 241/1990 a una profonda revisione. Dopo aver inserito al primo comma dell’art. 22 una serie di importanti definizioni, coerentemente con la tecnica di drafting legislativo europeo, la novella ha qualificato l’accesso come principio generale dell’attività amministrativa al fine di favorire la partecipazione e di assicurarne l’imparzialità e la trasparenza; risulta invece espressamente esclusa dall’art. 24, comma 3, la finalità di controllo generalizzato dell’operato della PA.
Inoltre, la platea dei soggetti legittimati al suo esercizio e stata limitata a tutti i soggetti privati portatori di un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e
collegata al documento al quale e chiesto l’accesso. L’istante e tenuto a motivare la propria richiesta ai sensi dell’art. 25, comma 2.
Per quel che più rileva in questa sede, l’oggetto del diritto di accesso sono tutti i documenti detenuti da
una PA e concernenti attività di pubblico interesse, ad esclusione, fra gli altri, dei documenti indicati da
regolamento governativo, allo stato ancora non emanato, riguardanti ≪la vita privata o la riservatezza di
persone fisiche o giuridiche.
L’art. 24, comma 7, inoltre, limita l’accesso ai casi in cui esso e “strettamente necessario”, qualora il documento di cui si richiede l’ostensione contenga dati sensibili o giudiziari di terzi.
Peraltro, l’art. 3 d.p.r. 184/200626, colmando una lacuna propria sia della l. 241/1990, sia del Codice privacy, e volto a tutelare la posizione dei cd. “controinteressati”27, ai quali la PA cui e presentata l’istanza di accesso deve inviare comunicazione, al fine di consentirgli, entro 10 giorni dalla stessa, di opporsi motivatamente all’accesso. Per di più, l’art. 5 del suddetto decreto stabilisce che, qualora la PA riscontri la presenza di controinteressati, e obbligata a richiedere all’istante di presentare richiesta di accesso formale, con conseguente avvio di un vero e proprio procedimento amministrativo.
Il Codice privacy, dal canto suo, non deroga, per quanto concerne i dati “comuni”, la disciplina generale del diritto di accesso posta dalla l. 241/1990, cui invece fa espressamente rinvio nell’art. 59. Invece, in relazione ai “dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona”, il successivo art. 60 stabilisce che la richiesta di accesso puo essere accolta solo se la situazione da tutelare attraverso la stessa consista in un diritto o in una liberta fondamentale del richiedente, o comunque sia almeno di pari rango rispetto ai diritti del controinteressato.28 naturalmente una tale valutazione spetta in via esclusiva all’Amministrazione stessa, i cui poteri valutativi sono, in questo senso, di gran lunga più penetranti rispetto a quelli riconosciuti ai titolari di trattamento privati.
Questi ultimi, infatti, non possono valutare richieste di accesso da parte di soggetti diversi dagli interessati, ne su di essi incombe un obbligo legale generale di ostensione di documenti, quale e quello imposto all’Amministrazione in base al principio di trasparenza e tutelabile attraverso l’accesso.
Si consideri, poi, che la decisione della PA sulla richiesta di accesso a documenti che contengano dati personali di terzi e potenzialmente idonea di per se a creare un danno al controinteressato, in ragione del fatto che il ricorso al Giudice amministrativo, al quale e attribuita in questa materia giurisdizione esclusiva, può essere presentato solo successivamente, entro 30 giorni, alla ≪conoscenza della determinazione impugnata29.
Posto, dunque, che la disciplina sul diritto d’accesso e contenuta interamente nella l. 241/1990, e nei decreti che la attuano, salvo i casi particolari sopra menzionati, vi e da chiedersi se l’entrata in vigore del
GDPR abbia comportato una rivisitazione dell’istituto, nel senso di valorizzare e massimizzare la tutela della riservatezza dei controinteressati.
3.1. Segue: profili problematici posti dal GDPR in relazione alla disciplina domestica in materia di diritto di accesso
Vengono in rilievo almeno due questioni: i) se la PA sia abilitata, sulla base della nuova disciplina, a rifiutare l’accesso in ipotesi ulteriori rispetto a quelle legislativamente previste; ii) se la comunicazione ex art. 3 d.p.r. 184/2006 debba contenere tutti i requisiti previsti dall’art. 13 GDPR, in ragione del fatto che l’accoglimento dell’istanza di accesso e la successiva trasmissione dei dati al richiedente configurano un trattamento di dati ulteriore per finalità diversa da quella originaria.
In relazione al primo interrogativo, va subito precisato che il GDPR, come del resto la normativa domestica, non osta, in linea di principio, alla comunicazione o al trasferimento di dati personali da parte delle Autorità pubbliche. Le attività in parola sono, in questo caso, espressione del principio di libera circolazione dei dati, declinato non sotto il profilo della liberta di iniziativa economica, bensì attraverso la lente dell’interesse pubblico o, comunque, di rilevanza pubblicistica30. Cosi, il considerando 111 definisce tali scambi come opportunità, a patto che, lasciata da parte l’ipotesi, non particolarmente problematica, del consenso dell’interessato, essi siano occasionali e necessari in relazione a un contratto o un’azione legale, che sia in sede giudiziale, amministrativa o stragiudiziale≫, oppure sussista un interesse pubblico rilevante per il trasferimento, oppure i dati siano estratti da registri accessibili al pubblico.
Ciò premesso, deve ritenersi, anche in considerazione del fatto che il d.lgs. 101/2018, come si e visto, non ha sostanzialmente innovato l’art. 59 Codice privacy, immutata la previgente disciplina, basata su un rinvio recettizio alla l. 241/199031; tuttavia, residua un’importante precisazione, contenuta nel considerando 31 del GDDPR, a mente del quale ≪le richieste di comunicazione inviate “dalle” autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all’interconnessione di archivi.
Ebbene, se ciò vale per gli scambi di dati fra Pubbliche Amministrazioni, allora deve a fortiori valere anche per le comunicazioni effettuate da una PA a beneficio di un privato.
La l. 241/1990, per la verità , si mostra, sul punto, in linea con le prescrizioni del GDPR, in quanto richiede la motivazione (art. 25, c. 2) e, pertanto, anche la forma scritta; inoltre, la possibilità di esercitare, in relazione ad un determinato provvedimento, il diritto di accesso deve intendersi occasionale, giacche’, in caso di diniego da parte della PA, l’istante ha l’onere di impugnare il relativo provvedimento entro 30 giorni, a pena di decadenza, senza avere la possibilità di reiterare la propria richiesta senza addurre nuovi motivi.32
Ciò che risulta invece innovativa e la previsione secondo cui la comunicazione da parte della PA non può essere effettuata, e quindi l’accesso deve essere negato, nelle ipotesi in cui la richiesta riguardi un intero archivio o sia idonea a interconnettere archivi diversi: calato all’interno della normativa italiana, questo varrebbe, teoricamente, ad escludere l’accesso qualora l’istante, pur dimostrando un proprio interesse differenziato, in linea con i requisiti di cui all’art. 22 l. 241/1990, intenda accedere ad un intero archivio o a dati idonei ad interconnettere più archivi.
Inoltre, il GDPR, nel medesimo considerando 31, specifica con vigore che i trattamenti di dati personali effettuati dalle Amministrazioni devono rispettare le norme in materia applicabili, talché, secondo una lettura costituzionalmente orientata, l’art. 59 Codice privacy, nel disporre che ≪i presupposti, le modalità, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali […] restano disciplinati dalla legge 7 agosto 1990, n. 241≫, deve essere interpretato nel senso di far salve le eventuali ulteriori prescrizioni contenute nel GDPR o nel Codice stesso.
Per ciò che invece attiene alla questione sub ii), le disposizioni contenute nel d.p.r. 184/2006 in tema di comunicazione sembrano idonee ad adempiere, in linea generale, all’obbligo di informativa imposto dall’art. 13 GDPR. In particolare, come si e accennato, si tratterebbe di un’ipotesi di informativa cd.
“ulteriore”, disciplinata dal paragrafo 3 dello stesso articolo, in quanto la comunicazione al richiedente dei dati, veicolati attraverso il documento, sicuramente esula dalla finalità originaria del trattamento.
Affermata, dunque, la conformità al GDPR delle norme nazionali in tema di comunicazioni ai controinteressati, resta da indagare se l’introduzione del Regolamento abbia imposto alle stesse dei particolari requisiti contenutistici.
E’ possibile affermare che le comunicazioni ex art. 3 d.p.r. 184/2006 si configurino come vere e proprie “informative ulteriori”, ai sensi dell’art. 13, par. 3 GDPR, in quanto la P.A. che detiene i dati personali del controinteressato (nell’accezione data allo stesso dalla l. 241/1990), autorizzando l’accesso del terzo
tratta “ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti”.
La circostanza in esame non poneva problemi particolari prima dell’introduzione del GDPR, in quanto la disciplina previgente non prevedeva alcun diritto all’”informativa ulteriore”, e fissava i contenuti dell’informativa riferendosi, sostanzialmente, allo stato di fatto e diritto presente al momento della raccolta dei dati.
Sotto la vigenza del Regolamento e del novellato art. 13 Codice privacy, deve invece ritenersi che, per
considerarsi legittime, e quindi non in contrasto con la disciplina in materia di protezione dei dati personali33, le comunicazioni ex art. 3 d.p.r. 184/2006, facendo le veci delle informative di cui all’art. 13,
par. 3 GDPR, debbano contenere tutti gli elementi pertinenti previsti da quest’ultima norma.
In particolare, dovrà essere indicata la finalità della comunicazione al terzo34, che consiste necessariamente nel rispetto degli obblighi imposti dalla normativa nazionale in tema di diritto di accesso35; nonché la base giuridica del trattamento, rappresentata, a seconda della qualificazione giuridica che si vuol dare all’istituto del diritto di accesso36, alternativamente dalla necessita di adempiere ad un obbligo legale imposto al titolare del trattamento (art. 6, par. 1, lett. c) GDPR) o dalla necessita di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6, par. 1, lett. e) GDPR). Inoltre, vista la particolare attenzione dimostrata dal GDPR per i diritti dell’interessato, deve ritenersi che la comunicazione ex art. 3 d.pr. 184/2006 debba indicare, ove possibili, l’esistenza del diritto di accesso ai propri dati personali, il diritto di rettifica, di limitazione e il diritto di opposizione37 di cui all’art. 21 del Regolamento.
Fortemente ridimensionato negli effetti e, in questo caso, il diritto di limitazione, in quanto l’art. 18, par.
2 stabilisce che, nonostante il suo esercizio da parte dell’interessato, il titolare può continuare a trattare i
dati, non limitandosi alla loro mera conservazione, quando serva accertare o difendere un diritto in sede
giudiziaria, tutelare i diritti di altra persona fisica o giuridica o per motivi di interesse pubblico rilevante.
Rimane escluso il diritto di cancellazione, a norma dell’art. 17, par. 3, lett. b), in quanto sussiste la necessita di adempiere ad un obbligo legale imposto al titolare del trattamento o, comunque, di eseguire un compito inerente ad una pubblica funzione.
L’inserimento delle predette informazioni all’interno della comunicazione ex art. 3 d.p.r. 184/2006 si
rende obbligatorio, naturalmente, solo nel caso in cui l’interessato già non disponga delle stesse, ai sensi
dell’art. 13, par. 4 GDPR.
4. Altre applicazioni del principio di trasparenza: la sentenza 20/2019 della corte costituzionale
Il principio di trasparenza dell’attività amministrativa non si esaurisce esclusivamente nell’istituto del diritto di accesso, cosi come delineato in precedenza.
In effetti, l’ordinamento impone alle Amministrazioni anche ulteriori e più incisivi obblighi di trasparenza.
Tralasciando le normative di alcuni settori, come il diritto ambientale, dove storicamente le esigenze di trasparenza sono maggiormente sentite, va innanzitutto considerato l’istituto dell’accesso civico.
Esso e previsto e disciplinato dal d.lgs. 33/201338, il quale ne distingue, nei primi due commi dell’art. 5,
due tipologie: accesso civico semplice o generalizzato (quest’ultimo anche noto come FOIA).
Attraverso l’accesso civico semplice si consente, in deroga alla disciplina generale di cui alla l. 241/90, di accedere senza necessità di dimostrare alcun interesse a tutti quei documenti che le Amministrazioni hanno l’obbligo di rendere pubblici.
L’accesso civico generalizzato, invece, e diretto esplicitamente a favorire forme di controllo pubblico sull’operato amministrativo – anche sotto questo aspetto in deroga alla l. 241/90, il cui art. 24, c. 3 rende inammissibili istanze di accesso in tal senso rivolte. Si applica a tutti quei dati o documenti non soggetti ad obbligo di pubblicazione ai sensi del medesimo d.lgs. 33/2013, ma e sottoposto ad alcuni limiti, individuati dall’art. 5 bis, a tutela di specifici interessi individuali, fra cui rientra il diritto alla protezione dei dati personali.
Sull’argomento merita attenzione il caso posto all’esame della Corte Costituzionale, deciso con sentenza n. 20 del 21 febbraio 2019.
Davanti al Tar Lazio era stata sollevata questione di legittimità costituzionale dell’art. 14, c. 1 bis e ter del d.lgs. 33/2013 nella parte in cui prevedono la pubblicazione dei dati reddituali e patrimoniali di dirigenti pubblici e dei loro coniugi e parenti entro il secondo grado, prescrivendo, in caso di omessa dichiarazione da parte del dirigente, l’irrogazione di una sanzione amministrativa pecuniaria, parimenti soggetta a pubblicazione.
Nella specie, fra le altre censure, il giudice rimettente evocava la violazione del principio di proporzionalità, pertinenza e non eccedenza, in quanto la norma, nell’imporre un cosi penetrante obbligo di trasparenza, sostanzialmente equiparava la figura del dirigente a quella del politico. Ne sarebbe derivata, sotto questo profilo, la violazione del GDPR, e, secondo il meccanismo della norma interposta, dell’art. 117, c. 1, Cost.
Sotto altro profilo, si prospettava l’incompatibilità della norma con l’art. 3 Cost., in quanto essa non differenziava gli obblighi di pubblicazione in considerazione della tipologia di dirigente considerato, ed inoltre appariva irragionevole poiché la misura della divulgazione on line di una quantità enorme dei dati risultava non necessaria rispetto alle finalità individuate dal legislatore, con frustrazione delle “esigenze di informazione veritiera e, quindi, di controllo, alla base della normativa”.
La Corte Costituzionale, pronunciandosi nel merito, ha accolto parzialmente le censure promosse e ha adottato una sentenza “manipolativa”, la quale assume i tratti di un vero e proprio monito al legislatore, affinché egli riorganizzi l’intera normativa interna sulla trasparenza in senso conforme ai parametri europei e nazionali. Afferma infatti la Corte che ≪vi e una manifesta sproporzione del congegno normativo approntato rispetto al perseguimento dei fini legittimamente perseguiti, almeno ove applicato, senza alcuna
differenziazione, alla totalità dei titolari d’incarichi dirigenziali≫. Il giudice costituzionale e anche, pero,
consapevole del fatto che una declaratoria di incostituzionalità sic et simpliciter determinerebbe una lesione delle esigenze di trasparenza ugualmente meritevoli di tutela.
Nell’intento di salvaguardare, in via provvisoria, anche queste esigenze, il Giudice delle leggi ha stabilito che gli obblighi di pubblicazione previsti dal d.lgs. 33/2013 non devono riferirsi indistintamente a tutti i dirigenti, ma solo ai cd. “dirigenti apicali”, cioè , in particolare, i Segretari generali di ministeri e di direzione di strutture articolate al loro interno in uffici dirigenziali generali e i dirigenti generali.
Stando alla lettura effettuata dalla Consulta, il sistema, peraltro, risulta complessivamente non in equilibrio, con generale tendenza a far prevalere le esigenze di conoscenza e di trasparenza a scapito della tutela della riservatezza – quest’ultima intesa, per dirla con la sentenza in commento, come “diritto a controllare la circolazione delle informazioni riferite alla propria persona”.39 Il legislatore, nel procedere alla ristrutturazione normativa “urgente” dei rapporti fra la riservatezza e la trasparenza, auspicata dalla Corte Costituzionale, secondo autorevole dottrina40 dovrebbe andare oltre le indicazioni fornite dalla Consulta, considerando i tre principi su cui si impernia l’intera materia.
In primo luogo, il principio di trasparenza, funzionale a promuovere, attraverso l’accesso ai dati e documenti da parte dei cittadini, la partecipazione e il controllo sull’operato amministrativo. Vi e, poi, il principio di pubblicità e conoscibilità, il quale può essere considerato come una finalità differente dell’accesso, ed e funzionale all’utilizzo e al riutilizzo, a fini economici, dei dati e delle informazioni in possesso della PA.
Da ultimo, si pone il diritto alla protezione dei dati personali, il quale incrocia entrambi i precedenti principi, e con essi si pone in tensione.
5. Conclusioni
La disciplina della riservatezza e della protezione dei dati personali e destinata ad intrecciarsi indissolubilmente con l’ordinamento amministrativo.
Ciò in quanto, a prescindere dalla circostanza che la legge appresti particolari cautele ai trattamenti di dati effettuati in ambito pubblico, l’attività del titolare del trattamento (anche privato) presenta ontologicamente i caratteri di un potere.
Per tale via, il soggetto inciso dall’esercizio di siffatto potere (non a caso definito “interessato”) e destinatario, a sua volta, di un fascio di posizioni giuridiche attive, in grado di riequilibrare l’ineliminabile asimmetria del rapporto.
I diritti dell’interessato del trattamento di dati personali si inquadrano, e hanno alla base, la pretesa di cooperazione del titolare del trattamento medesimo, in un’ottica solidaristica dalla quale neppure l’Amministrazione può prescindere.
Inoltre, proprio la natura pubblica del titolare del trattamento impone una maggiore trasparenza, ed un
Più forte impegno a garantire la riservatezza e la protezione dei dati dell’interessato.
Questa visione spiega la necessita, poc’anzi segnalata, che le comunicazioni ex art. 3 d.p.r. 184/2006,
facendo le veci delle informative di cui all’art. 13, par. 3 GDPR, debbano contenere tutti gli elementi pertinenti previsti dalla norma. Quello che a prima vista potrebbe sembrare un approccio cartolare e burocratico alla privacy, e, invece, un baluardo contro l’abuso da parte del potere pubblico della propria posizione di privilegio in un rapporto giuridico – qual e il trattamento dei dati – all’interno del quale l’interessato soffre ontologicamente una duplice debolezza nei confronti della controparte pubblica, che, oltre a possedere l’autorità di cui l’ordinamento la dota, accorpa in se anche lo status di “titolare del trattamento”. E, del resto, solo attraverso tali cautele e possibile garantire l’interessato sotto l’ulteriore profilo della par condicio rispetto ad altri soggetti che potrebbero venire in contatto con i dati che lo riguardano, ottenendo l’accesso al patrimonio dei dati detenuti dalle pubbliche amministrazioni. La disciplina di cui al GDPR, in tal senso, mostra tutta la sua dirompenza, intervenendo – come si e visto –sia da un punto di vista sostanziale (con il divieto di permettere l’accesso integrale ai dati contenuti in un archivio o in grado di connettere più archivi), sia da un punto di vista procedurale (con i vincoli contenutistici di cui si e detto in proposito delle comunicazioni in materia di accesso).
Le interazioni fra diritto alla protezione dei dati personali e il diritto amministrativo diverranno progressivamente più intense ed incisive (come dimostra, a mero titolo esemplificativo, il caso deciso
dalla Consulta con sentenza n. 20/2019), e in questo terreno ancora largamente inesplorato spetterà al
regolatore, e ai formanti giurisprudenziali e dottrinali, fissare le cautele procedurali e sostanziali in grado
di bilanciare l’interesse pubblico alla trasparenza e all’efficienza con le istanze private di riservatezza.
_______________________________________________________________________________________________________________________________
2 Ne e dimostrazione l’avvenuta abrogazione ad opera del d.lgs. 101/2018 del Titolo III, Capo II del Codice privacy, rubricato “Regole ulteriori per i soggetti pubblici”. Resta invece in vigore, seppur parzialmente modificato, il Titolo IV (rubricato “Trattamenti in ambito pubblico”), oggi composto dai soli Capi I e II; abrogati, invece, i Capi III, IV e V, che contenevano discipline più settoriali. Sul tema, diffusamente, G. Finocchiaro (a cura di), La protezione dei dati personali in Italia, Zanichelli, Bologna, 2019, p. 194 ss.
3 Tali materie sono specificamente disciplinate dalla direttiva (UE) 2016/680, espressamente richiamata anche dal considerando 16 del GDPR. Sul tema si rimanda a L. Bolognini, E. Pelino, C. Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffré, Milano, 2016, p. 27ss.
4 Cfr. A. Zappia, Il trattamento di dati personali in ambito pubblico, in AA. VV., Privacy e dati personali, Key, Milano, 2018.
5 Sulle difficolta applicative della presente condizione di liceità, in ragione dell’esistenza di trattamenti di dati personali effettuati per finalità pubbliche non tecnicamente configurabili come “compiti di interesse pubblico” si rimanda a WP, op. 6/2014; e al commento di L. Bolognini, E. Pelino, C. Bistolfi, op. cit, 291-292.
6 Sul punto si v. anche il considerando 45 GDPR, il quale prevede che […] Dovrebbe altresì spettare al diritto dell’Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri debba essere una pubblica autorità altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanita pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un’associazione professionale.
7 Si noti, come rileva anche L. Bolognini, E. Pelino, C. Bistolfi, op. cit., loc. ult. cit., che a differenza della disciplina previgente, ai soggetti pubblici risulta ora inapplicabile la clausola di esonero per legittimo interesse.
8 La letteratura sul punto e sterminata: in questa sede e sufficiente rimandare a M. Clarich, Manuale di diritto amministrativo, Il Mulino, Bologna, 2013, p. 64 ss. In generale, sul principio di legalità, si v. M. Vogliotti, Legalità, in Annali, VI, 2013, passim.
9 Prima della novella introdotta dal d.lgs. 101/2018, l’art. 19, c.3 del Codice privacy (oggi abrogato) stabiliva che la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto
pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento≫, dimostrando attenzione alle esigenze di rispetto del principio di legalità.
10 In precedenza noti con la denominazione di “dati sensibili”.
11 Si sottolinea come, nell’ipotesi in questione, il giudice comune chiamato ad applicare la norma interna che non preveda gli
elementi anzidetti – e quindi contrasti con l’art. 9, par. 2, lett. g) del GDPR – dovrebbe sollevare incidentalmente questione di legittimità costituzionale, e non potrebbe limitarsi a disapplicare la legge interna, difettando la norma euro-unitaria di efficacia diretta (ex multis, Corte Cost. 227/2010; 284/2007; 170/1984).
12 L’argomento e efficacemente descritto da G. Carullo, Gestione, fruizione e diffusione dei dati dell amministrazione digitale e funzione amministrativa, Giappichelli, Torino, 2017, p. 22.
13 L’espressione e presente ivi, 202.
14 Cfr. d.lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale; per brevità, di seguito, “CAD”), più volte successivamente modificato.
15 In argomento, si segnala V. Falce, L’insostenibile leggerezza delle regole sulle banche dati nell Unione dell’innovazione, in Riv. dir. ind., 4, 2018, 377 ss., passim.
16 Sul tema della funzionalizzazione del trattamento dei dati personali, v anche N. Vettori, Valori giuridici in conflitto nel regime delle forme di accesso civico, in Dir. amm., 3, 2019, p. 539 ss.; C. M. Bianca, Nota introduttiva, in C. M. Bianca, F. D. Busnelli (a cura di), La protezione dei dati personali. Commentario, I, 2007, XXIII; R. Panetta, Libera circolazione e protezione dei dati personali, Giuffre,
Milano, I, 2006, p. 462 ss. Per un approccio problematico sull’argomento, v. A. Pace, Problematica delle liberta costituzionali Parte speciale, Cedam, Padova, 1992, p. 423 ss., secondo cui ≪La funzionalizzazione comporta infatti l’attribuzione al soggetto di poteri destinati a realizzare interessi estranei alla sua sfera e riconducibili a terzi. E proprio questo legame strumentale che introduce la tecnologia del dovere e quindi la logica del controllo sulla finalizzazione dell’attivita – “funzionalizzata”. Una situazione cosi conformata prospetta evidenti – e insuperabili – problemi di compatibilita con la struttura di una posizione giuridica di liberta≫.
17 V., ex multis, Cass., 20 ottobre 1997, n. 10253, in Giust. civ. Mass., 1997, 1962, secondo cui ≪quando non si tratta di beni del demanio necessario, la demanialità e una qualifica che attiene alla destinazione concreta del bene e alla sua caratterizzazione funzionale secondo taluna delle varie destinazioni ad uso pubblico previste dalla legge per ciascuna delle categorie dei beni demaniali.
18 In generale, sui beni demaniali v. A. Police, A. L. Tarasco, Commento all’art. 822 cod. civ., in A. Jannarelli, F. Macario, Commentario del Codice Civile, Utet, Torino, 2012, p. 97 ss.
19 Secondo la formula utilizzata da F. Francario, Privatizzazioni, dismissione e destinazione “naturale” dei beni pubblici, in Dir. amm., 1, 2004.
20 Per chiarezza espositiva, va sottolineata la differenza fra “titolare del dato”, il quale, come si e detto, e l’ente pubblico che ha originariamente formato per uso proprio o commissionato ad altro soggetto il documento che rappresenta il dato, o che
ne ha la disponibilità (art., c. 1, lett. cc, CAD) e “titolare del trattamento”, definito come la ≪persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri≫ (GDPR, art. 4, par. 1, n.7)). Sulla nozione di “titolare del trattamento”, anche nelle sue differenze con quella di “responsabile del trattamento”, si rimanda approfonditamente a L. Bolognini, E. Pelino, C. Bistolfi, op. cit., p. 123 ss; v. anche C. Del Federico, A. R. Popoli, Capitolo 2. Le definizioni, in G.. Finocchiaro (a cura di), op. cit., p. 94 ss; L. Greco, Capitolo 11. L’organigramma privacy: i soggetti del trattamento, ivi, p. 321 ss.
21 Per questa tipologia di beni la giurisprudenza ha da tempo riconosciuto che i privati utilizzatori degli stessi versino in una
posizione di interesse legittimo, senza vantare un diritto soggettivo: cfr. Cass., 26 agosto 2005, n. 17382; Cass. 18 luglio 2003, n. 11242. In tema di diritto di accesso e nota la disputa dottrinale e giurisprudenziale fra chi ritiene che si tratti di un diritto soggettivo e chi propende per una ricostruzione in termini di interesse legittimo.
22 Il Garante privacy nel parere 7 febbraio 2013, n. 49 [doc web. n. 2243168] sostiene che il diritto alla riservatezza e alla protezione dei dati personali si pongono quali “limiti esterni” al principio di trasparenza.
23 In generale, sul diritto di accesso, v. R. Garofoli, G. Ferrari, Manuale di diritto amministrativo, Nel diritto editore, Roma, 2008,p. 521 ss.; E. Casetta, op. cit., p. 451 ss.; F. G., Scoca, Diritto amministrativo, Giappichelli, Torino, 2014, p. 270 ss.; V. Cerulli Irelli, Lineamenti del diritto amministrativo, Giappichelli, Torino, 2010.
24 Ad esempio, in materia di enti locali, v. art. 25, l. 27 dicembre 1985, n. 816; in materia ambientale, v. art. 14, l. 8 luglio 1986, n. 349, istitutiva del Ministero dell’Ambiente; in materia urbanistica, v. art. 31, l. 17 agosto 1942, n. 1150, come modificato dall’art. 10, l. 6 agosto 1967, n. 765.
25 Per una esauriente analisi del principio di segretezza che informava la PA precedentemente alla l. 241/1990 si rinvia al fondamentale G. Arena, Il segreto amministrativo, CEDAM, Padova, 1983, passim.
26 Si tratta del Decreto del Presidente della Repubblica, 12 aprile 2006, n. 184, “Regolamento recante disciplina in materia di accesso ai documenti amministrativi”.
27 Id est, a norma dell’art. 22, c. 1, lett. c) l. 241/1990 ≪tutti i soggetti, individuati o facilmente individuabili in base alla natura del documento richiesto, che dall’esercizio dell’accesso vedrebbero compromesso il loro diritto alla riservatezza≫.
28 Si noti anche quanto sostenuto da G. Arena, voce Trasparenza amministrativa, in Enc. Giur., XXXI, 1995, 10, secondo cui il RUP, nell’esaminare una richiesta di accesso ad un documento contenente dati personali di terzi persone fisiche dovrebbe valutare anche ≪il modo in cui la comunità cui appartiene il soggetto potenzialmente leso dall’esercizio del diritto di accesso potrà reagire alla conoscenza di determinate informazioni appartenenti alla sua sfera privata≫. L’Autore – che scrive circa un anno prima dell’adozione della direttiva 96/45/CE, e quindi in mancanza di una disciplina legislativa generale del diritto alla riservatezza o della protezione dei dati personali – valorizza molto lucidamente il profilo “culturale” e dinamico del concetto in esame, che varia in relazione al tempo e allo spazio.
29 Art. 116 cod. proc. amm.
30 Per apprezzare la differenza fra le due nozioni si pensi, da un lato, ad uno scambio di dati personali fra PA deputate alla tutela della sicurezza nazionale (interesse pubblico); dall’altro alla trasmissione da parte di una PA ad un privato di documenti nei quali sono contenuti dati personali di terzi al fine di permettere l’esercizio di un’azione giudiziaria (interesse di rilevanza pubblicistica).
31 Preme inoltre segnalare che una consolidata giurisprudenza amministrativa considera le cause di esclusione del diritto di accesso come fattispecie eccezionali e, perciò, di stretta interpretazione: v. Cons. Stato, 24 febbraio 2004, n. 744, in Foro amm.- Cons. Stato, 2004, 406; conforme Cons. Stato, 26 settembre 2000, n. 5105, in Rep Foro it., voce Amministrazione Stato, 2000, 227.
32 Lo ha autorevolmente affermato Cons. Stato, Ad plen., 18 aprile 2006, n. 6.
33 Si noti, che ex art. 82 GDPR, il titolare del trattamento e tenuto a risarcire l’interessato per i danni da quest’ultimo sofferti
per effetto di una violazione della disciplina in materia di protezione dei dati personali. Da questa disciplina non va esente la
PA, nei confronti della quale non può escludersi il diritto dell’interessato a ricorrere per ottenere il risarcimento dei danni subiti, nella specie, a causa dell’informativa inadeguata, sia dinnanzi al G.A., in sede di impugnazione della determinazione amministrativa che ha consentito l’accesso, sia dinnanzi al G.O., in via autonoma. Inoltre, per le stesse ragioni, all’Amministrazione inadempiente potrebbe essere comminata dal Garante una sanzione amministrativa ai sensi dell’art. 83,
par. 5, lett. b) GDPR.
34 A giudizio di L. Bolognini, E. Pelino, C. Bistolfi, op. cit., p. 191-192, l’informativa ulteriore, pur non essendo previsto dalla normativa, dovrebbe evidenziare la base giuridica su cui si fonda la nuova finalità.
35 Deve, invece, escludersi la menzione dell’interesse perseguito dal terzo ed indicato nell’istanza di accesso, atteso che, come già si e spiegato, i concetti di “finalità” ed “interesse” del titolare sono fra loro ben distinti.
36 Rispettivamente di diritto soggettivo o di interesse legittimo.
37 Si intende, ovviamente, il diritto di opposizione di cui all’art. 21 GDPR, il quale comunque e escluso se sussistono motivi legittimi cogenti o se serve difendere o accertare un diritto in sede giudiziaria.
38 Ci si riferisce al Decreto legislativo 14 marzo 2013, n. 33, recante “Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”, come novellato da ultimo dal d.lgs. 97/2016.
39 Sul punto, si noti l’obbligo imposto alle PA dall’art. 9, d.lgs. 33/2013 di pubblicare on line, in formato aperto e facilmente indicizzabile dai comuni motori di ricerca, in apposita sezione denominata “Amministrazione trasparente”, tutti i dati per cui
la pubblicazione e obbligatoria. Ciò, in un certo senso, esaspera il rapporto fra trasparenza e riservatezza, traslando il discorso sulle modalità concretamente idonee a garantirne l’equilibrio, al fine di evitare di alimentare mere curiosità, non funzionali ad alcuna esigenza giuridicamente meritevole di tutela. In argomento, v. A. Corrado, “Gli obblighi di pubblicazione dei dati patrimoniali dei dirigenti alla luce delle indicazioni della Corte Costituzionale”, consultabile in www.federalismi.it.
40 F. Pizzetti, “Sentenza 20/2019 della Consulta e riordino degli obblighi di pubblicità, trasparenza e diffusione delle informazioni della PA: il legislatore non trascuri il riuso delle fonti pubbliche”, consultabile in www.medialaws.eu. Nello stesso senso, O. Pollicino, F. Resta, “Trasparenza amministrativa e riservatezza, verso nuovi equilibri: la sentenza della Corte
Costituzionale”, consultabile in www.agendadigitale.eu.
