PA: le linee guida del Garante a tutela della privacy di cittadini e dipendenti

di |

On line solo informazioni personali indispensabili. Tempi congrui di permanenza in rete. Misure contro manipolazione e duplicazione massiva dei file. Cautele nel consentire la reperibilità dei dati attraverso motori di ricerca esterni.

Italia


Francesco Pizzetti

Il Garante per la protezione dei dati personali ha fissato i paletti entro i quali le pubbliche amministrazioni dovranno mantenersi  in caso di diffusione online di  atti e documenti amministrativi al fine di non ledere la riservatezza di cittadini e dipendenti e di rispettare i principi stabiliti dalla normativa sulla privacy.

Le “Linee guida” definiscono un primo quadro unitario di misure e accorgimenti che la PA deve adottare sia nel caso che la pubblicazione online sia effettuata a fini di trasparenza dell’attività amministrativa, di pubblicità degli atti o di consultazione da parte di singoli soggetti.
Il provvedimento, frutto di un complesso lavoro istruttorio, tiene conto anche delle osservazioni pervenute da diverse amministrazioni pubbliche, enti locali e associazioni di consumatori nell’ambito della consultazione avviata nei mesi scorsi dal Garante.

Queste in sintesi le principali indicazioni contenute nelle Linee guida.

Le amministrazioni pubbliche possono mettere in rete atti o documenti contenenti dati personali solo sulla base di una norma di legge e di regolamento che lo preveda e devono rispettare i principi di necessità, proporzionalità e pertinenza. Rimane fermo il generale divieto di diffondere dati sulla salute.
 

Contro i rischi di cancellazioni, modifiche, estrapolazioni delle informazioni presenti online devono essere adottate adeguate misure tecnologiche.

La reperibilità dei documenti deve essere, se possibile, assicurata attraverso motori di ricerca interni al sito della singola amministrazione e limitando l’indicizzazione dei documenti da parte dei motori di ricerca esterni. L’uso di motori di ricerca interni consente infatti di garantire un accesso coerente con la finalità per la quale i dati sono stati resi pubblici ed evita il rischio di manipolazione e di “decontestualizzazione” dei dati, cioè la estrapolazione arbitraria che rende incontrollabile il loro uso.

I dati devono comunque rimanere disponibili soltanto per il tempo previsto dalle norme di settore. In mancanza di queste, le pubbliche amministrazioni devono individuare congrui limiti temporali oltre i quali i documenti devono essere rimossi.

Infine, contro i rischi di riproduzione e riutilizzo dei file contenenti dati personali, devono essere installati software e sistemi di alert che consentono di riconoscere e segnalare accessi anomali al fine di mettere in atto adeguate contromisure.