PREMESSA
L’entrata in vigore del Regolamento (UE) 2016/679 ha avuto un impatto significativo non solo nella nostra vita sociale ma anche in quella degli Enti Locali che sono chiamati a rivedere la propria policy in materia di trattamento dei dati per essere compliance con le nuove disposizioni comunitarie e con il Dlgs. n. 101/18 che, in applicazione del Regolamento Ue, ha innovato in modo significato il Dlgs. n. 196/03, meglio conosciuto come “Codice della privacy”.
Infatti, l’applicazione del GDPR (ergo, del Regolamento Ue) non consiste in un mero adempimento formalistico relativo ad obblighi di legge ma, essendo la protezione dei dati personali, un diritto fondamentale dell’uomo, comporta la necessità di una struttura organizzativa che abbia la capacità di evitare violazioni di legge o, comunque, di limitarne la possibilità che ciò avvenga.
Una situazione particolare alla quale deve far fronte l’Ente Locale riguarda l’esercizio del diritto di accesso agli atti esercitato dai consiglieri, in quanto questo diritto, affermato dall’art. 43, commi 1 e 2, Dlgs. n. 267/00[1], ha un valore particolare in quanto è finalizzato al pieno ed effettivo svolgimento delle funzioni assegnate al Consiglio stesso, con la conseguenza che sul Consigliere non grava l’onere di motivare le proprie richieste d’informazione, né gli uffici comunali hanno titolo a richiederle ed a conoscerle, perché in caso contrario quest’ultimi diventerebbero arbitri di stabilire l’estensione del controllo sul loro operato attribuito dalla legge al Consiglio dell’ente.
Infatti, l’art.43 cit. rapporta il diritto di cui trattasi all’ “utilità”, al punto tale che lo stesso riguarda non solo gli atti o documenti ma qualsiasi notizia o informazione necessaria per lo svolgimento della propria attività istituzionale. Tuttavia la previsione legislativa del “segreto” riconduce questa ampia conoscenza, nell’alveo della privacy e la disposizione del Tuel non è in grado, di per sé, a soddisfare gli obblighi di protezione dei dati personali dei quali gli amministratori vengono a conoscenza per le finalità di legge.
L’art. 25 GDPR, affida il al titolare del trattamento obblighi e responsabilità anche di natura personale nella prospettiva della privacy by default e by design e, di conseguenza, deve adottare tutte le misure tecniche ed organizzative necessarie per prevenire un trattamento illegittimo dei dati.
Di conseguenza, in base al combinato disposto delle norme comunitarie con quelle interne di cui al Dlgs. n. 196/03 come novellato dal Dlgs. n. 101/18, è necessario che tutti i soggetti che trattano i dati, e quindi anche i consiglieri degli Enti Locali, devono essere individuati e nominati dal titolare quali soggetti autorizzati al trattamento dei dati.
Il diritto di accesso
Nel nostro ordinamento, se vogliamo individuare una data, il diritto di accesso è “entrato” nel 1986 a seguito dell’entrata in vigore della L. 816/85[2], abrogata dal TUEL, la quale disciplinava tale diritto per gli amministratori degli Enti Locali lasciando le modalità per il suo esercizio agli enti stessi che lo disciplinavano mediante apposito regolamento approvato dall’organo consiliare. In questo regolamento era inserita, di norma, una disposizione che prevedeva le modalità di esercizio del diritto di accesso agli atti quando la richiesta era fatta dall’amministratore ma non come tale ma come semplice cittadino: di fatto si stabiliva che anche i cittadini potevano esercitare tale diritto.
Il diritto di accesso, successivamente, come è noto, ha trovato una sua sistemazione nel cd. accesso documentale, utilizzando un termine attuale, all’indomani dell’entrata in vigore della L. 241/90 per poi evolvere, contemporaneamente, all’introduzione della trasparenza, nel cd. accesso civico, di cui al Dlgs. n. 33/13 per poi “esplodere” con il Dlgs. n. 97/16, con il Freedom of Information Act (Foia). Siamo quindi passati da un diritto d’informazione che si basava sul presupposto di una situazione giuridica qualificata ad un’“accessibilità totale”, sulla base di un “open government” anche di matrice comunitaria. Con il Foia, abbiamo un diritto di accesso, collegato alla trasparenza ma sempre meno a meccanismi di garanzia del singolo interessato, qualificandosi quindi come un autonomo diritto alla conoscibilità: da un lato il cittadino gode di tale diritto e dall’altro l’amministrazione ha il dovere di fare conoscere le informazioni richieste, fatte salve le eccezioni di legge.
Si assiste quindi ad una sorta di rivoluzione copernicana, come affermato dal Consiglio di Stato in sede di parere al Dlgs. n. 97/16[3], in cui il diritto di acceso perde la sua centralità in favore di una trasparenza assicurata dalla pubblicazione sui siti istituzionali di dati, informazioni, atti che sono un passaggio fondamentale per la realizzazione del “diritto di conoscere” in un’ottica di open government.[4]
Questo diritto così dirompente nel nostro ordinamento viene a scontrarsi (in realtà è sempre stato così) con il diritto alla protezione dei dati personali dei soggetti interessati e dei controinteressati, in relazione agli atti, ai documenti e alle informazioni che li riguardano e che sono oggetto di “conoscenza”. Accesso e privacy sono stati definiti “diritti di pari rango” e quindi è necessario trovare un adeguato punto di equilibrio la trasparenza e la riservatezza.
Diritto di accesso dei consiglieri degli Enti Locali
Il GDPR, come già ricordato, ha avuto ed ha ancora un grosso impatto sulla vita dei soggetti pubblici e privati che sono chiamati a rivedere la propria policy in materia di privacy per adeguarla alle norme comunitarie che, pur lasciando in essere la normativa nazionale con le dovute modifiche, hanno introdotto regole più stringenti che obbliga tutte le organizzazione a dotarsi di una governance ben delineata con l’individuazione dei ruoli e delle funzioni che devono essere gestiti in parallelo con gli organigrammi e funzionigramma già in essere. Il GDPR imponendo chiarezza nella gestione della privacy si pone in netta discontinuità con il sistema precedente.
Quindi, se da un lato, abbiamo l’istituto della trasparenza, nel suo ampio significato di “accessibilità totale” dall’altro, ai sensi dell’art. 5 par.1, lett. b) GDPR[5] e del Considerando 39[6], sarà sempre più necessario che i dati siano raccolti per scopi determinati, specifici e legittimi e poi trattati in modo legittimo. L’individuazione delle finalità dei trattamenti sarà fondamentale e dovranno essere esplicitate in modo chiaro nell’informativa in modo da stabilire ciò che è necessario trattare da ciò che non lo è. In tal senso dispone l’art.5, par.1, lett. c) GDPR[7] secondo il quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità per i quali sono raccolti e, conseguentemente, trattati.
In termini generali, quindi, il diritto di accesso, quale diritto fondamentale dell’individuo, è esercitabile sia dai cittadini privati per la tutela dei propri diritti ed interessi legittimi anche per il controllo dell’utilizzo delle risorse pubbliche, sia da parte dei soggetti che rivestono un ruolo istituzionale, i quali agiscono in modo particolare per esercitare il controllo sull’operato della Pubblica Amministrazione.
Alla luce delle considerazioni precedenti è evidente come uno degli aspetti più delicati nel rapporto tra accesso e privacy è il diritto che hanno i consiglieri degli Enti Locali, ma allargherei la problematica a tutti gli amministratori di tali enti, di avere accesso ex lege a tutti gli atti, le informazioni e i dati per l’esercizio del proprio mandato soprattutto per quanto attiene la loro attività di controllo nei confronti della gestione dell’ente in particolare in relazione all’attività dell’organo esecutivo. Siamo di fronte, quindi, ad una situazione estremamente delicata caratterizzata da un’attività di natura politica ma che va a “scontrarsi” con aspetti collegati con la riservatezza dei dati personali.
È del tutto evidente che qualsiasi richiesta dei consiglieri degli Enti Locali quali amministratori riguarda la problematica relativa al bilanciamento del loro diritto soggettivo di accesso di visionare, ottenere copia di atti o avere notizie e informazioni utili per la loro attività istituzionale, coinvolge inevitabilmente la protezione dei dati, soprattutto per quanto riguarda l’adozione delle misure tecniche e di organizzazione da parte dell’ente di appartenenza.
Il diritto dei Consiglieri comunali e provinciali, ergo, dei consiglieri degli Enti Locali discende dall’art. 43 Tuel secondo il quale, come ricordato in nota, hanno diritto di ottenere dagli uffici, nonché delle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato e hanno l’obbligo del segreto nei casi specificatamente determinati dalla legge.
In pratica, il Tuel riconosce ai consiglieri degli Enti Locali il diritto che è funzionale all’esercizio del munus pubblico, ancorato al solo obbligo del segreto, che dimostra come la riservatezza non sia una prerogativa esclusiva del Regolamento Ue.
Ma questo diritto non può diventare un “abuso” qualora le richieste dei consiglieri siano irragionevoli, sproporzionate e spesso destinate solo a paralizzare l’attività amministrativa dell’ente o a fare una politica ostruzionistica. Siamo, invece, di fronte ad un diritto soggettivo pubblico funzionale alla cura di un interesse pubblico connesso al mandato derivante dal risultato elettorale dal quale deriva anche la “non motivazione” per la richiesta e, di conseguenza, qualsiasi richiesta non è sindacabile dall’ente stesso.[8]
Il rapporto sinergico fra il diritto di accesso, anche in modalità digitale, e il diritto alla privacy rappresenta due interessi e diritti di primario e pari rango che, in quanto tali, sono meritevoli di tutela da parte dell’ordinamento giuridico.
Sull’argomento, in relazione al rapporto fra diritto di accesso e diritto alla privacy dei Consiglieri comunali, si era espresso il Garante con un provvedimento del 9 giugno 1998[9] che, rapportandolo al contenuto dell’art. 2-sexies Dlgs. n. 196/03 introdotto dal Dlgs. n.101/18[10], ritengo sia ancora valido in quanto non contrasta con il contenuto della norma citata e dei principi contenuti nel Regolamento Ue 2016/679.
Il Garante ha evidenziato che l’obbligo per il Comune di rendere accessibili i dati in proprio possesso ai Consiglieri comunali rappresenta una delle norme di legge che permettono di trattare dati ed informazioni per il perseguimento di finalità istituzionali o, come oggi afferma l’art. 2-sexies citato, per finalità “di interesse pubblico rilevante”.
Riconosciuto, quindi, in termini generali, il diritto di accesso da parte dei Consiglieri comunali, il Garante ha precisato che:
- Il Consigliere, qualora richieda l’accesso ai sensi dell’art. 43 Tuel, non deve dimostrare, in base alle norme comuni sull’accesso, l’esistenza di un interesse giuridicamente rilevante, essendo sufficiente che rappresenti l’effettiva utilità delle notizie e delle informazioni richieste rispetto al mandato.
Dal canto suo il comune deve rispettare il principio di pertinenza permettendo l’accesso ai dati effettivamente utili per lo svolgimento del mandato.
- In presenza della dichiarazione da parte del Consigliere che la richiesta è utile per l’espletamento del suo mandato sarebbe arbitraria da parte del comune una distinzione che si basi sulla natura dei dati richiesti i quali possono riguardare anche, per esempio, verbali con sui si contestano infrazioni o altri documenti che contengono dati particolari ex art. 9 Regolamento Ue 2016/679.[11]
- L’art. 43, comma 2, Tuel impone ai Consiglieri comunali il segreto qualora accedano ad atti che incidono sulla sfera giuridica e soggettiva di terzi.
- Il diritto di accesso di cui al presente quesito deve essere altresì coordinato con le norme speciali in materia di Coronavirus emanate dal nostro legislatore a seguito della pandemia nonché con quelle relative ai dati particolari dei soggetti interessati.
È ovvio che i dati e le informazioni di cui viene a conoscenza il Consigliere comunale devono essere da questi utilizzati solo per le finalità realmente pertinenti al mandato, rispettando il dovere del segreto nei casi espressamente previsti dalla legge nonché il rispetto dei principi in materia di privacy di cui al Regolamento Ue 2016/679 e al Dlgs. n. 196/03 come novellato dal Dlgs. n. 101/18.
Ovviamente anche la giurisprudenza si è spesso occupata del diritto di accesso dei Consiglieri comunali e, fra le tante, merita una particolare attenzione la Sentenza del Consiglio di Stato 2 gennaio 2019, n. 12 nella quale sono definiti i confini del diritto di accesso dei Consiglieri comunali che è qualificato quale diritto soggettivo pubblico. Di conseguenza, il Giudice afferma che questo diritto è un’espressione delle prerogative di controllo democratico e non incontra alcuna limitazione relativa all’eventuale natura riservata degli atti e/o delle informazioni, considerato anche l’esistenza del segreto d’ufficio, ma, allo stesso tempo, non può che essere strumentale all’esercizio della funzione altrimenti sarebbe una limitazione del diritto stesso.
In via generale, tale diritto di informazione è funzionale al particolare munus espletato dal Consigliere comunale, proiettato all’esercizio della funzione, con piena cognizione di causa, e senza alcuna interposizione da parte degli uffici sul contenuto del diritto.
Quindi non è sufficiente “essere” un Consigliere comunale per avere diritto all’accesso ma è necessario che la domanda muova da un’effettiva esigenza del Consigliere collegata all’esame di questioni proprie del Consiglio comunale.
Pertanto l’esercizio del diritto di accesso è finalizzato, certamente all’espletamento del mandato, costituendone il presupposto che lo legittimo ma è anche, al tempo stesso, un suo limite, in quanto è funzionale esclusivamente allo svolgimento della mission del Consigliere comunale (Cons. Stato, Sez. V, Sent. 26 settembre 2000, n. 5109).
Va ricordato che il diritto di accesso dei consiglieri incontra anche delle limitazioni vincolanti a livello generale riferite ad attività che non possono ricondursi al concetto di “azione amministrativa” quale espressione di un potere dello Stato (Tar Sicilia, Catania, Sez. IV, Sent. 21 dicembre 2018, n. 2485) non potendo proporre l’actio ad exibendum in relazione ad atti concernenti l’esercizio, per esempio, della funzione giurisdizionale o di altro potere dello Stato diverso da quello amministrativo (Cons. Stato, Sez. IV, Sent. 14 febbraio 2012, n. 734).
Deve essere, altresì, evidenziato che il Regolamento UE 679/2016 impone specifiche cautele per particolari dati, prima di richiedere la fronte o la base giuridica per consentire l’accesso o il trattamento in quanto la conoscenza da parte di soggetti terzi di dati particolari e/o giudiziari potrebbe determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto e di eventuali controinteressati, con possibili ripercussioni negative sul piano personale e sociale.
Di conseguenza, anche alla luce delle più recenti pronunce giurisprudenziali, le istanze di accesso presentate dai Consiglieri comunali, ai sensi dell’art. 43, comma 2, Tuel, richiedono un’attenta valutazione istruttoria, con tutti i limiti sulla possibilità di verificare le domande di cui trattasi (che non devono essere motivate), quando sono presenti dati personali, quali quelli particolari e/o giudiziari, in considerazione della vigente disciplina comunitaria e nazionale in materia di privacy, avendo cura di osservare le norme di sicurezza sul trattamento, sulla profilazione e tracciabilità dell’accesso.
È del tutto evidente che il Consigliere agisce all’interno di un sistema di legalità che permette l’esercizio di una funzione pubblica con le regole tipiche degli apparati amministrativi.
Pertanto l’esercizio del diritto di accesso deve evitare ogni deviazione con il fine pubblico o al di fuori del perseguimento dell’interesse pubblico anche ai sensi dell’art. 78, comma 2, Tuel[12] secondo il quale il Consigliere comunale non può partecipare ad atti che lo riguardano personalmente o propri parenti o affini entro il quarto grado, dovendo, quindi tenere un comportamento imparziale anche nel rispetto del principio di buona amministrazione ex art. 97 Costituzione.
In conclusione si può affermare, anche seguendo un orientamento giurisprudenziale ormai consolidato, che il Consigliere comunale gode di un incondizionato diritto di accesso a tutti gli atti che possano essere di utilità all’espletamento del suo mandato, al fine di permettere di valutare la correttezza e l’efficacia dell’operato dell’Amministrazione, nonché per esprimere un voto consapevole sulle questioni di competenza del Consiglio e per poter esercitare pienamente le prerogative che la legge assegna a tale figura istituzionale.
Di conseguenza è necessario trovare soluzioni, anche tecniche, per contemperare il diritto di accesso dei consiglieri ed il diritto alla privacy che sono due interessi, come già ricordato. di rango primario che trovano una costante ed adeguata tutela da parte della legge.
Quindi in caso di contrasto tra il diritto di accesso e quello alla privacy, questo potrà essere garantito utilizzando modalità che utilizzino, per esempio la criptazione o la schermatura dei nomi dei soggetti terzi e/o con l’adozione di idonee misure tecniche ed organizzative
Nell’ambito degli Enti Locali, nel rispetto del principio dell’unitarietà della persona giuridica, si arriva a considerare il Comune, ergo il Sindaco in base al principio di immedesimazione organica, quale titolare del trattamento al quale sono attribuiti numerosi obblighi e responsabilità.
L’applicazione del principio comunitario d’ accountability comporta che il titolare, soggetto dotato del potere di decisione di direzione in ordine al trattamento dei dati, oltre ad avere l’esclusiva competenza relativamente al rispetto dei principi e delle regole previste dal regolamento europeo, deve essere in grado di comprovarne il corretto adempimento.
Il Sindaco dovrà, quindi, valutare ex ante il rischio inerente a tutte le attività di trattamento, adottare una serie di misure tecniche ed organizzative, anche al fine di consentire l’esercizio del diritto d’accesso dei Consiglieri comunali garantendo anche il principio di riservatezza dei dati, cui avviene il trattamento dei dati adeguate al contesto e alle specifiche circostanze in, cui avviene il trattamento, nonché specificare le attività, formalizzare i compiti all’interno di una organizzazione idonea a soddisfare la regola della competenza.
In pratica, il principio di accountability, impone al titolare del trattamento l’adozione di misure di sicurezza indispensabili ad evitare un abuso del diritto di accesso ovvero un uso non conforme a quello consentito dalla legge per finalità istituzionali connesse all’esercizio del mandato di Consigliere. Di conseguenza, il Regolamento Ue, nel rispetto dell’accountability, richiede che il titolare, sia in grado di dimostrare di aver adottato le misure giuridiche, organizzative e tecniche per la protezione dei dati, anche attraverso l’adozione di specifici modelli organizzativi, la cui mancata adozione comporta rilevanti responsabilità.
Pertanto, l’esercizio del diritto di accesso da parte dei consiglieri potrà essere considerato come lecito trattamento autorizzato di dati e di informazioni funzionali al perseguimento di finalità istituzionali, a condizione che l’accesso stesso risulti essenziale, compatibile ed effettivamente utile per lo svolgimento del mandato.
In tal senso, si rileva come la non applicabilità di limitazioni legate alla qualifica dei soggetti richiedenti l’accesso, appare evidente in base a quanto emerge a chiare lettere relativamente al fatto che le finalità politiche ovvero di interesse generale giustifichino la mancata applicazione dei filtri all’ostensione dei documenti amministrativi previsti per i cittadini.
Questi filtri operando in via preventiva consentano di bilanciare l’accesso con la riservatezza di terzi coinvolti ovvero con le esigenze di funzionalità dell’ente, mentre il solo limite riconosciuto al Consigliere è quello del riserbo, che opera ex post, ossia quando ha avuto già conoscenza delle informazioni.
Di conseguenza, è il Comune che deve verificare se la richiesta presentata dal Consigliere comunale rientra nella cc. ratione officii del Consigliere stesso e, una volta, valutata l’idoneità dell’istanza, bisogna tener conto dell’art.25 Regolamento Ue, il quale nel richiedere al titolare del trattamento l’adozione di misure specifiche dirette a modulare l’esercizio del diritto informazione sulla base della specifica normativa di settore e di quella relativa alla protezione dei dati personali, sembrerebbe essere in contrasto con il diritto ex art.43 Tuel.
Infatti, una volta riconosciuto, senza limiti, il diritto all’accesso da parte del Consigliere comunale, dall’altro la questione riguarda la protezione dei dati personali contenuti nei documenti amministrativi del Comune, che pone, in capo al titolare, il rispetto di una pluralità di obblighi.
In relazione a tale bilanciamento di interessi, stabilisce che il titolare, sia in grado di dimostrare di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati, anche attraverso l’individuazione ed attuazione di specifici modelli organizzativi, la cui mancata adozioni comporta pesanti ricadute in termini di responsabilità.
Una prima conseguenza pratica nell’applicazione di questo modello, delineato dal Regolamento Ue, consiste nell’esigenza di inquadrare formalmente, la posizione del Consigliere comunale che, per esercitare il proprio diritto, si trova a contatto con documenti pubblici che contengono dati di persone fisiche.
Questa operazione ha portata generale tutte le volte che c’è la necessità di instaurare una relazione fra colui che deve trattare i dati e i dati stessi.
Infatti, la necessità di predisporre misure organizzative, produce l’obbligo di nominare formalmente il Consigliere comunale quale soggetto autorizzato al trattamento dei dati per lo svolgimento di specifici compirti e funzioni riconducili all’art.43 Tuel connesse al trattamento dei dati personali delle persone fisiche, ai sensi del GDPR e dell’art. 2-quaterdecies Dlgs. n. 101/18[13].
Il GDPR non prevede più la figura dell’incaricato del trattamento dei dati, tant’è che l’art. 30 Codice Privacy è stato abrogato, ma non esclude l’esistenza di una figura similare, allorché fa riferimento, all’art. 4, n. 10, a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. [14]
L’incaricato (ergo, l’autorizzato) al trattamento dei dati diventa tale non come conseguenza di uno stato di fatto ma solo a seguito della decisione presa dal titolare e dalla sua espressa designazione. Quindi, questo ruolo, non deriva dall’attività posta in essere dal soggetto autorizzato che opera in un contesto specifico in relazione a determinati atti e/o documenti. In questo ambito, quindi, il soggetto de quo è legittimato ad usare i dati in suo possesso però rimane vincolato all’uso derivante dalle finalità per le quali sono stati ottenuti e nel rispetto delle norme di legge che regolano tale finalità.
Anche se la legge non prescrive alcun adempimento formale è, opportuno nel rispetto del principio di accountability, che il Sindaco proceda ad adottare uno specifico provvedimento, comprensivo di istruzioni, per designare i soggetti, compresi i consiglieri, quali autorizzati al trattamento dei dati. Questo provvedimento è indispensabile per considerare legittimo il flusso dei dati e delle informazioni personali nell’ambito degli uffici e tra i soggetti interessati, in particolare tra i dipendenti dell’amministrazione titolare del trattamento.
L’atto con il quale il titolare autorizza il Consigliere comunale al trattamento dei dati dovrà richiamare l’art. 4, p.10, l’art. 29[15], l’art.32, par. 4 del Regolamento UE[16], l’art. 2-quaterdecies del Dlgs. n. 196/03 introdotto dal Dlgs. n. 101/18 e, naturalmente, l’art. 43 Tuel.
Di seguito uno schema di provvedimento, anche sotto forma di lettera di nomina, che potrebbe essere usato:
Comune/Unione dei Comuni ……/Comunità Montana ……..
IL SINDACO/PRESIDENTE
quale Titolare del trattamento dei dati
Ai sensi del Regolamento Europeo 679/16 e del Codice della Privacy Dlgs. n. 196/03 come modificato e integrato dal Dlgs. n. 101/18 che prevedono che:
– all’art. 4, p.10 l’esistenza “di persone autorizzate al trattamento dei dati sotto l’autorità diretta del Titolare e del Responsabile del trattamento;
– all’art. 29 che chiunque agisca sotto l’Autorità del Titolare o del Responsabile del trattamento ed abbia accesso a dati personali non possa trattare questi dati se non ha ricevuto le indicazioni operative da parte del Titolare del trattamento;
– all’art.32, par.4, si pone in capo al Titolare o al Responsabile del trattamento l’obbligo di “metter in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”;
– all’art.2-quaterdecies Dlgs. n. 101/18 si pone in capo al Titolare o al Responsabile del trattamento di prevedere, “sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento dei di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità” e che “Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.
NOMINA
il Sig. ……… nella sua qualità di Consigliere comunale del Comune di ………. quale soggetto autorizzato al trattamento dei dati personali delle persone fisiche presso il medesimo ente ai sensi e per gli effetti dell’art. 43 Dlgs 267/2000, e relativamente all’accesso (indicare l’oggetto della richiesta), nonché rispetto a specifiche istanze che dovranno essere preventivamente sottoposte al Titolare.
In qualità di soggetto autorizzato dal Titolare, il Sig. ……….., svolgerà le proprie attività in piena autonomia, uniformandosi strettamente alle istruzioni da quest’ultimo impartite, come di seguito indicate:
- il trattamento dei dati deve essere effettuato in modo lecito e corretto;
- i dati personali di cui è venuto a conoscenza devono essere utilizzati solo ed esclusivamente per le attività connesse al proprio ruolo di Consigliere comunale e per le finalità previste dalla legge;
- la verifica, l’aggiornamento, la completezza e la pertinenza dei dati devono essere svolte costantemente;
- le misure di sicurezza predisposto dal Titolare o dal Responsabile del trattamento, qualora vi fosse, devono essere rispettate;
- i dati in possesso non possono essere diffusi e/o comunicati a terzi senza la preventiva autorizzazione del Titolare o del Responsabile del trattamento.
- l’accesso ai dati, agli atti ed alle informazioni dovrà avvenire secondo le seguenti modalità:
- ……..
- ……..
- ……..
- qualora l’attività debba essere interrotta, anche in modo temporaneo, è necessario verificare che i dati trattati non siano accessibili a terzi non autorizzati.
- gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dei dati dovranno essere osservati anche dopo la cessazione dell’incarico di Consigliere.
Il Consigliere autorizzato si impegna a segnalare tempestivamente al Titolare eventuali anomali, incidenti, furti, perdite accidentali dei dati che potrebbero produrre problemi sul trattamento dei dati personali, al fine di attivare l’eventuale procedura di data breach e relativa comunicazione al Garante per la privacy.
Luogo e data
Il Titolare del Trattamento
([1]) – Dlgs. n. 18 agosto 2000, n. 267 – Testo unico delle leggi sull’ordinamento degli Enti Locali.
Art.43 – Diritti dei consiglieri
“1. I Consiglieri comunali e provinciali hanno diritto di iniziativa su ogni questione sottoposta alla deliberazione del consiglio. Hanno inoltre il diritto di chiedere la convocazione del consiglio secondo le modalità dettate dall’articolo 39, comma 2, e di presentare interrogazioni e mozioni.
2. I Consiglieri comunali e provinciali hanno diritto di ottenere dagli uffici, rispettivamente, del comune e della provincia, nonché’ dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato. Essi sono tenuti al segreto nei casi specificamente determinati dalla legge.”
[2] – Legge 27 Dicembre 1985, n. 816 – Aspettative, permessi e indennità degli amministratori locali.
[3] – Consiglio di Stato – Parere 24 febbraio 2016, n. 515 – L’introduzione del nuovo accesso civico segna “il passaggio dal bisogno di conoscere al diritto di conoscere (from need to right to know) e rappresenta per l’ordinamento nazionale una sorta di rivoluzione copernicana, potendosi davvero evocare la nota immagine della pubblica amministrazione trasparente come una casa di vetro”.
[4] – Con open governamento si in tende un modello organizzativo che si basa non solo sui principi di conoscibilità e di trasparenza ma anche a dinamiche comunicative e a modelli relazionali “aperti” e quindi a forme di interazione fra cittadino e Pubblica amministrazione che si basano sulla condivisione e la partecipazione ai processi decisionali che sono ora possibili e più agevoli grazie soprattutto all’utilizzo degli strumenti digitali.
[5] – Art. 5 Regolamento Ue 679/16 – Principi applicabili al trattamento dei dati personali
Comma 1 – “I dati personali sono:
lett. b) – “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)”
[6] – Considerando 39 – “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.”
[7] – Art. 5 Regolamento Ue 679/16 – Principi applicabili al trattamento dei dati personali
Comma 1 – “I dati personali sono:
lett. c) – adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);”
[8] – Tar Toscana, Sez. I, Sent.11.11.09, n. 1607; Tar Campania – Salerno – Sez. II, Sent. n. 124/13; Cons. Stato, Sez. V, Sent. 09.12.04, n. 7900.
[9] – Garante Privacy – Provvedimento 9 giugno 1998: “Privacy e trasparenza negli Enti Locali!
[10] – Dlgs. 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Art. 2-sexies – Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
“1. I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
a) accesso a documenti amministrativi e accesso civico;
b) tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero, e delle liste elettorali, nonché’ rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità;
c) tenuta di registri pubblici relativi a beni immobili o mobili;
d) tenuta dell’anagrafe nazionale degli abilitati alla guida e dell’archivio nazionale dei veicoli;
e) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
f) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonché’ documentazione delle attività istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell’attività di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;
g) esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonché’ l’accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche;
h) svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l’accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all’espletamento di un mandato elettivo;
i) attività dei soggetti pubblici dirette all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale ((, comprese quelle di prevenzione e contrasto all’evasione fiscale));
l) attività di controllo e ispettive;
m) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
n) conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonché’ rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza,
adesione a comitati d’onore e ammissione a cerimonie ed incontri istituzionali;
o) rapporti tra i soggetti pubblici e gli enti del terzo settore;
p) obiezione di coscienza;
q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
r) rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
s) attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché’ alle trasfusioni di sangue umano;
u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché’ compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
v) programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio e all’importazione di medicinali e di altri prodotti di rilevanza sanitaria;
aa) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;
b) istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
cc) trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica, nonché’ per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sista);
dd) instaurazione, gestione ed estinzione, di rapporti di lavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell’ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, attività ispettiva.
3. Per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall’articolo 2-septies.
[11] – Art.9 GDPR – Trattamento di categorie particolari di dati personali
“1.È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati
intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2.Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c)il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d)il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i)il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato
3.I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo d segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
4.Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.”
[12] – Dlgs. n. 18 agosto 2000, n. 267 – Testo unico delle leggi sull’ordinamento degli Enti Locali.
Art 78 Doveri e condizione giuridica
2. Gli amministratori di cui all’articolo 77, comma 2, devono astenersi dal prendere parte alla discussione ed alla votazione di delibere riguardanti interessi propri o di loro parenti o affini sino al quarto grado. L’obbligo di astensione non si applica ai provvedimenti normativi o di carattere generale, quali i piani urbanistici, se non nei casi in cui sussista una correlazione immediata e diretta fra il contenuto della deliberazione e specifici interessi dell’amministratore o di parenti o affini fino al quarto grado.
[13] – Dlgs 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Art. 2-quaterdecies – Attribuzione di funzioni e compiti a soggetti designati
“1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.”
[14] – La figura dell’“incaricato” del trattamento è stata fatta “rivivere” dal Dlg.101/18 ma non si trova in nessuna altra legge sulla privacy degli Stati Ue ma il Garante italiano ha ritenuto legittima tale previsione in quanto una simile figura è in linea con le disposizioni e la filosofia del GDPR soprattutto nel rispetto del principio di accountability.
[15] – Art. 29 GDPR – Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento
“Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”
[16] – Art. 32 GDPR – Sicurezza del trattamento
“4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.
