Il diritto di accesso può essere esercitato a condizione che, in seguito a una delicata operazione di bilanciamento di interessi, la situazione giuridica rilevante sottesa alla richiesta di ostensione può essere considerata di rango almeno pari al diritto alla riservatezza di altro consociato. E si badi, una simile comparazione tra diverse se non opposte esigenze - accesso e riservatezza - va effettuata non in astratto bensì in concreto, sulla base dei principi di proporzionalità, pertinenza e non eccedenza.
Va vietato l'Accesso generalizzato, oltre che quello cosiddetto semplice, avente a oggetto la documentazione della Guardia di Finanza suscettibile di rivelare gli aspetti organizzativi - nell'ambito dei quali è essenziale la componente delle risorse umane - costituenti i punti di forza o di debolezza dell'organizzazione delle funzioni pubbliche tutelate. Tale divieto è coerente con l'obiettivo di evitare che la conoscenza di tali informazioni venga utilizzata per mettere in pericolo le funzioni primarie dello Stato.
Il Regolamento Generale sulla Protezione dei Dati, GDPR UE 2016/679, prevede che chiunque in azienda tratta dati personali (rileva presenze, prepara i turni di lavoro, elabora e paga gli stipendi, invia comunicazioni via mail, ecc.), deve essere adeguatamente istruito.
Ha suscitato scalpore il caso di Cambridge Analytica, come se non sapessimo che Facebook non è proprio il miglior amico della nostra privacy. Assorbiti dai suoi aspetti ludici a suon di condivisioni e “like”, avevamo forse dimenticato che se un’azienda fattura 40 miliardi di dollari l’anno fornendo servizi gratuiti ai propri utenti, c'è la concreta possibilità che il reale prodotto siamo noi con le informazioni personali che ci riguardano.
L'autorità finlandese per la protezione dei dati ha inflitto una multa di 100.000 euro a Posti Oy, che è il principale servizio postale della Finlandia, per aver trattato i dati personali in modo non trasparente in violazione a quanto richiesto dall’art.5 del Gdpr. Dopo aver presentato al servizio postale un cambio di indirizzo, molte persone erano state poi contattate da varie società per promozioni commerciali, e questo era dovuto proprio al fatto che Posti Oy aveva divulgato gli indirizzi aggiornati a tali società.
La tutela del dato sensibile prevale sulla trasparenza amministrativa. La Corte di cassazione (sentenza 9382) ha accolto il ricorso del Garante della privacy, contro la sentenza del Tribunale che aveva “salvato” la provincia di Foggia sanzionata dall'Authority per 20 mila euro, per aver diffuso notizie sullo stato di salute di un dipendente. Inutile per l'amministrazione chiarire che per l'illecito, nel caso ci fosse stato, rispondeva il dirigente del servizio.
Cade l’obbligo di pubblicare online i dati personali sul reddito e sul patrimonio dei dirigenti pubblici diversi da quelli che ricoprono incarichi apicali. Con la sentenza n. 20 depositata oggi (relatore Nicolò Zanon), la Corte costituzionale ha infatti dichiarato illegittima la disposizione che estendeva a tutti i dirigenti pubblici gli stessi obblighi di pubblicazione previsti per i titolari di incarichi politici.
Mentre pende la causa di divorzio, una delle parti può conoscere dal Fisco i rapporti che l'altra intrattiene con banche e finanziarie senza che sia il giudice civile a dover ordinare all'amministrazione di esibire i documenti custoditi dall'anagrafe tributaria. E ciò perché la modalità di ricerca telematica dei beni da pignorare serve soltanto ad ampliare i poteri istruttori del giudice e non esclude l'accesso in base alla legge sulla trasparenza amministrativa, la 241/90.
Profilazione più trasparente, no a decisioni completamente automatizzate che possono produrre effetti giuridici per la persona o che incidano su di essa in modo significativo, pieno riconoscimento e tutela dei diritti e delle libertà degli utenti. Questi in sintesi i principi che ispirano le Linee guida su profilazione e decisioni automatizzate adottate di recente dalle Autorità di protezione dati europee alla luce del Regolamento europeo in materia di protezione dei dati personali.
Non tutto si può pubblicare. Nemmeno da parte della pubblica amministrazione. E il parere del Responsabile della protezione dei dati (Dpo) non basta. Così una regione non può pubblicare sul proprio sito un documento riguardante l'esecuzione di una sentenza civile relativa a un debito maturato dall'ente (provvedimento del Garante n. 120 del 2 luglio 2020). Un comune e una unione comunale non possono pubblicare sui rispettivi siti web, nella sezione amministrazione trasparente o nell'albo online, atti amministrativi contenenti dati personali relativi a condanne penali e a reati (newsletter del Garante n. 467 del 27 luglio 2020).
