L’art. 1 del D. Lgs. n. 33/2013 (Decreto Trasparenza) descrive la trasparenza come «l’accessibilità totale dei dati e dei documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche».

Allo stesso tempo, le PA sanno ormai bene che il decreto trasparenza non ha richiesto una diffusione indiscriminata di dati e documenti, ma bensì una pubblicazione comparata con altre norme che possono essere coinvolte nel processo di pubblicazione dei documenti, tra cui la normativa in tema di protezione dei dati personali.

Definiamo ancora una volta cosa si intende per dato personale, così come è recitato in modo chiaro e univoco dall’art. 4, par. 1, n. 1, del GDPR (Regolamento generale sulla protezione dei dati 2016/679): ossia «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» ,

Agganciamo a questo articolo la regola che il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 GDPR, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

Una volta fatte proprie queste definizioni, sarà possibile creare un giusto equilibrio tra obblighi di pubblicazione e necessità di rispetto della privacy, e a tal proposito ci viene incontro la Pronuncia 20/2019 della Corte costituzionale, dove è stata dichiarata l’illegittimità costituzionale dell’art. 14, co 1 bis, D. Lgs. n. 33/2013, nella parte in cui prevedeva l’obbligo delle PA di pubblicare i dati di cui all’art. 14, co 1, lett f) D. Lgs n. 33/2013, nello specifico i redditi di titolari di incarichi di amministrazione o di governo.

Ciò che è infatti emerso in modo chiaro dalla sentenza, in linea con la giurisprudenza della Corte di Giustizia UE, è che non vi può essere una prevalenza automatica della trasparenza delle PA a scapito dell’obiettivo della protezione dei dati personali, nel senso che ogni volta che le due normative si confrontano, e per una PA non capita di rado, gli eventuali obblighi di pubblicazione andranno contemperati con i diritti e le libertà fondamentali dei dati personali dei soggetti potenzialmente coinvolti.

Un altro terreno di confronto sono certamente le procedure concorsuali. Sappiamo dall’articolo 19 del D. Lgs. 33/2013 che le PA devono, nel caso di bandi di concorso attivati, pubblicare i criteri di valutazione adottati dalla Commissione d’esame, le tracce delle prove, e le graduatorie finali, aggiornate con l’eventuale scorrimento degli idonei non vincitori.

Appare ovvio che tali obblighi di pubblicazione comporteranno il trattamento dei dati personali dei partecipanti al concorso, e pertanto le disposizioni dell’art. 19 D. Lgs. n.33/2013 dovranno coordinarsi con il Regolamento UE 2016/679 (GDPR) e con il D. Lgs. n. 196/2003 così come novellato dal D. Lgs. n. 101/2018, nello specifico e nel rispetto degli articoli privacy di cui sopra.

Non potranno quindi, ad esempio, essere oggetto di pubblicazione i dati concernenti i recapiti degli interessati (utenza telefonica fissa o mobile, l’indirizzo di residenza e di posta elettronica, il codice fiscale, l’indicatore ISEE, il numero dei figli disabili, i risultati dei test psicoattitudinali o i titoli di studio)

Così come, non sarà assolutamente possibile pubblicare eventuali dati concernenti le condizioni di salute, nonché gli altri dati indicati dall’art. 2-septies, comma 8 D. Lgs n. 196/2003, anche qualora gli stessi si riferiscano a terzi (ad esempio il numero di figli disabili che in alcuni concorsi costituiscono titolo di preferenza). Ricordiamo a tal proposito anche le raccomandazioni che il nostro Garante della Privacy ha fatto in tal senso, nelle sue Linee guida per la pubblicazione su siti web da parte delle PA, pubblicate nel 2014.

La PA interessata dovrà quindi adottare, ogni misura per proteggere i dati personali dei soggetti interessati alla procedura concorsuale, ma allo stesso tempo non potrà sottrarsi agli obblighi di pubblicazione previsti, adducendo la tutela della privacy come giustificazione indiscriminata del proprio inadempimento.