Nello svolgimento delle proprie attività istituzionali le Pubbliche Amministrazioni effettuano trattamenti di dati personali in misura sempre più rilevante. Una parte significativa dei trattamenti di dati personali è legata ancora all’uso di documenti cartacei, specialmente per quanto riguarda l’acquisizione di dati personali degli utenti dei servizi pubblici, come ad esempio moduli, dichiarazioni o documenti raccolti agli sportelli.
Altri documenti possono essere raccolti in formato digitale, sfruttando i canali di contatto digitali che permettono di presentare istanze e documenti comodamente da casa, utilizzando sistemi di identità digitale.
Sempre più spesso le Pubbliche Amministrazioni raccolgono e trattano dati personali con sistemi sofisticati. In alcuni Paesi si stanno diffondendo sistemi di videosorveglianza intelligente che incorporano sistemi di riconoscimento facciale. In altri casi l’attività amministrativa si compie mediante il ricorso ad algoritmi, che elaborano i dati personali in possesso delle PA per adottare provvedimenti amministrativi.
La corretta impostazione dei trattamenti non costituisce soltanto un’attività doverosa per le Pubbliche Amministrazioni in base alla normativa sulla protezione dei dati, ma può diventare un elemento in base al quale valutare la legittimità dell’attività amministrativa.
A questo tema l’avv. Francesco Foltran, Coordinatore Autori e Aree di SmartIUS e avvocato presso BM&A Studio Legale Associato, ha dedicato un workshop nell’ambito del progetto Innovation Lab – Digiti@amo promosso dal Comune di Conegliano. Nel corso della mattinata sono stati affrontati alcuni casi tratti dai più recenti provvedimenti adottati dal Garante Privacy nei confronti di Pubbliche Amministrazioni alle quali era stata contestata la violazione dei principi in materia di protezione dei dati personali nello svolgimento di attività amministrativa.
Il webinar è consultabile su questa pagina e sul canale Youtube dello Studio BM&A.
Le fasi del procedimento amministrativo e le esigenze di protezione dei dati personali da parte delle Pubbliche Amministrazioni
I casi trattati avevano riguardo alle diverse fasi della vita del provvedimento amministrativo: istruttoria, adozione del provvedimento, pubblicazione e comunicazione, accesso agli atti.
Per quanto riguarda la fase istruttoria, vengono in rilievo i principi di minimizzazione dei dati e pertinenza. Le Pubbliche amministrazioni dovrebbero infatti raccogliere soltanto i dati personali necessari all’adozione del provvedimento.
Passando alla fase di redazione del provvedimento, si è riflettuto sulla necessità di bilanciare gli obblighi di adeguata motivazione del provvedimento amministrativo ed i principi di minimizzazione e proporzionalità.
Sono stati dunque esaminati i casi in cui le Pubbliche Amministrazioni sono state sanzionate per violazioni della normativa in materia di protezione dei dati personali connesse alla fase di pubblicazione del provvedimento. In questi casi, il Garante ha più volte ribadito che le esigenze di pubblicità possono essere soddisfatte anche con una pubblicazione per estratto dei provvedimenti, dalla quale devono essere eliminati i dati non necessari.
Da ultimo, nella comunicazione o diffusione di dati per finalità di trasparenza, le Pubbliche Amministrazioni devono sempre tenere in considerazione le esigenze di protezione dei dati.
