Accesso Abbonati

OPEN DATA, TRA TRASPARENZA E PRIVACY: SVILUPPI E TENDENZE FINO AL DECRETO ATTUATIVO DEL GDPR

di Linda Bertolucci

L’open government data è un fenomeno che, nel nostro ordinamento, sta assumendo i tratti sempre più definiti di un paradigma che fa riferimento alle politiche ed alle azioni rivolte all’apertura dei dati pubblici. Nel circoscrivere il perimetro in positivo di tale paradigma, nell’individuare le zone d’ombra che, in maniera altrettanto decisiva, rappresentano battute d’arresto in termini applicativi, l’attenzione sarà rivolta all’aspetto essenzialmente genetico del fenomeno, segnato, inevitabilmente, dal bilanciamento di due valori in gioco: privacy e trasparenza. È un confronto ancora aperto, i cui sviluppi attuali sono determinati, da ultimo, dalla pubblicazione del decreto di armonizzazione del Regolamento europeo per la protezione dei dati personali (GDPR).

UN MODELLO INTERNAZIONALE.  Il termine ≪Open Government data≫ indica uno specifico sottoinsieme di Dati Aperti, ovvero quelli prodotti da soggetti pubblici, dal momento che l’insieme Open data ricomprende anche i dati aperti prodotti da privati. Per questione di semplicità si utilizzerà per essi genericamente il termine “Open data”, nell’accezione comunemente condivisa, cioè quella formulata dalla Knowledge Foundation, organizzazione no profit rivolta alla promozione dell’accesso al sapere nell’era digitale: “I dati aperti sono dati che possono essere liberamente utilizzati, riutilizzati e ridistribuiti da chiunque, soggetti eventualmente alla necessità di citarne la fonte e di condividerli con lo stesso tipo di licenza con cui sono stati originariamente rilasciati”. Tale definizione fissa, seppur in estrema sintesi, un modello di riferimento in termini qualitativi, per dati e contenuti aperti, nel quale non sono ammessi limitazioni all’utilizzo, né discriminazioni di alcun genere. Ovvero, i dati devono risultare disponibili, modificabili, facilmente accessibili dalla rete per un prezzo non superiore ad un ragionevole costo di riproduzione, liberamente riutilizzabili. Fondamentale, ai fini dell’inquadramento di tale modello, il contributo di  Sir Tim Berners-Lee che nella sua nota formulazione “Is your data 5 star”, costruisce una classifica graduata in base al concetto di formato grezzo. Il formato della risorsa digitale è aspetto centrale nella ricostruzione, in quanto esso sottende la forza valoriale della interoperabilità in ogni azione di apertura. Tale azione diventa azione strategica solo nel momento in cui un bacino di dati (chiamato dataset), accessibili e utilizzabili, possono essere mescolati con altri dati. Solo attraverso la combinazione, infatti, è possibile sviluppare nuovi e migliori prodotti e servizi: quanto più il formato risulta essere grezzo, tanto maggiore sarà la facilità di accesso e riuso dei dati, così da assicurarne un apporto valoriale a livello applicativo e informativo. Nella classifica, il primo livello raggruppa file non strutturati, disponibili on line, ma non aperti, poiché su di essi non è possibile alcun tipo di rielaborazione. Nel secondo, troviamo dati strutturati che non sono in formato aperto perché per utilizzarli è necessario un software proprietario. Le tre stelle contraddistinguono i dati in formato aperto che presentano caratteristiche dei precedenti, ma non richiedono l’utilizzo di un software proprietario. Nel quarto livello sono raggruppati dati strutturati e codificati in un formato non proprietario che presentano un indirizzo URL che li rende indirizzabili in rete. In tal caso i dati saranno disponibili e utilizzabili on line attraverso il loro inserimento in una struttura basata sul modello RDF (Resource Description Framework). Infine, i più preziosi con le loro cinque stelle, i linked open data (LOD): oltre a presentare le caratteristiche del gruppo precedente, permettono il collegamento con altri dati esposti da altri (istituzioni, privati e aziende) e ciò consente di creare un “mashup” tra più bacini di dati, così da aumentare esponenzialmente il loro valore.

L’ITALIA E GLI OPEN DATA. Nel nostro ordinamento giuridico è possibile trovare una definizione specifica di Open data. Dapprima contenuta nel comma 3, articolo 68, del Decreto legislativo n. 82/2005 (Codice dell’Amministrazione Digitale – CAD), oggi inserita nelle lettere l-bis e l-ter dello stesso decreto, a seguito delle modifiche apportate dal decreto legislativo n. 217/2017. Il legislatore ha voluto delineare i tratti caratteristici dei dati di tipo aperto, mettendone così in luce una dimensione tricefala: giuridica, tecnologica ed economica. Nella prima, gli open data sono definiti disponibili e utilizzabili da chiunque anche per finalità commerciali in base ai termini di una licenza o previsione normativa. Nella dimensione tecnologica, il legislatore specifica che il dato può considerarsi aperto solo se è possibile accedervi attraverso qualunque strumento ITC e presenti un formato di tipo aperto, ovvero un formato tecnico che permetta la lettura da parte di qualsiasi programma. Infine, viene definito il principio generale di gratuità con il quale vengono resi disponibili i dati. Tuttavia, all’interno del CAD è possibile rinvenire altre disposizioni che, seppur indirettamente, supportano il paradigma dei dati aperti. In particolare, nell’articolo 50, viene descritto il “principio di disponibilità dei dati” secondo il quale i dati delle pubbliche amministrazioni sono in primo luogo formati e conservati, poi resi disponibili e accessibili per la fruizione ed il riutilizzo da parte di altri soggetti pubblici e privati. Ciò trova poi specificazione nell’articolo 52 del CAD che detta il principio dell’Open by default. In base ad esso, i documenti e i dati che le amministrazioni pubblicano con qualsiasi modalità e senza l’adozione di un’espressa licenza standard per il riutilizzo, si intendono rilasciati come dati di tipo aperto ed in formato aperto. È evidente in questi passaggi il favor del legislatore verso gli open data e la sua volontà di razionalizzare il processo di valorizzazione del patrimonio informativo pubblico nazionale. Tale tendenza, si è riscontrata anche in recenti interventi di riforma attraverso i quali il legislatore ha introdotto importanti novità in tema di apertura. Si ricordi, in tal senso, gli aspetti procedurali della pubblicazione obbligatoria e quelli, di ultima definizione, dell’accesso civico generalizzato.

GLI OPEN DATA: TRA TRASPARENZA E PRIVACY.  Il complesso normativo che disciplina i dati aperti nel nostro paese, presenta dei limiti. Da questi, si ricava un quadro applicativo che può essere considerato frutto di delicate operazioni, caratterizzate dalla costante ricerca di un equilibrio fra diversi interessi in gioco. Quella relativa ai dati personali si è dimostra essere tra quelle più ardue. In tal caso, infatti, l’operazione consta di due elementi altamente sensibili che assurgono nel nostro ordinamento a valori di rango costituzionale. La trasparenza, principio chiave, condizione di garanzia delle libertà individuali e collettive, contribuisce alla realizzazione di una amministrazione aperta, al servizio del cittadino. Il secondo elemento, il diritto alla privacy, trova nei processi di apertura del patrimonio informativo pubblico un momento di fisiologica confermazione dei perimetri che definiscono la tutela del diritto alla riservatezza delle informazioni riguardanti la sfera personale del singolo individuo. La questione, pur presentando dei lineamenti specifici in ogni singolo ordinamento giuridico, ha ricevuto attenzioni a livello europeo. A riguardo, la Corte di giustizia dell’Unione europea è più volte intervenuta definendo il principio di proporzionalità alla base del bilanciamento dei due valori. In base ad esso, deroghe o limitazioni alla protezione dei dati personali devono realizzarsi nei limiti dello stretto necessario. Occorre poi ipotizzare, prima di ricorrervi, misure che comportino lesioni meno gravi del suddetto diritto fondamentale e, allo stesso tempo, contribuiscano ad un efficace raggiungimento degli obbiettivi sottesi. Tali analisi devono perciò essere caute e individuare un ragionevole punto di equilibrio tra differenti istanze, parimenti apprezzabili ma non facilmente integrabili. Sempre a livello europeo, si è tornati recentemente sulla questione mediante l’adozione del Regolamento europeo n. 679 del 2016 per la Protezione dei Dati personali. La finalità di tale documento è di garantire un’omogeneità di trattamento, tra i Paesi dell’Unione Europea in tema di protezione dei dati personali. Un passaggio fondamentale è contenuto nel considerando n. 4, secondo il quale “…Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”. Emerge indirettamente un altro principio, volto a dirigere l’operazione di bilanciamento, che si aggiunge a quello di proporzionalità, ovvero quello di complementarietà dei diritti fondamentali della persona e della trasparenza. I primi, infatti, non devono essere enfatizzati in termini assoluti, anzi, devono essere valorizzati per il loro carattere funzionale, essendo strumenti per rendere possibile la seconda. In questo senso, viene offerta una ratio interpretativa per indirizzare gli ordinamenti nazionali: sulla base del principio di complementarietà, non saranno condivisibili le formulazioni che accolgono in esse visioni antagoniste del diritto alla privacy nei confronti della trasparenza. Sulla scorta di tali indicazioni poi, l’Unione affida il compito agli Stati membri di realizzare tale equilibrio. In particolare, in materia di trasparenza, viene affidato a ciascun legislatore nazionale il compito non facile di conciliare le diverse esigenze di riservatezza con la libertà di informazione. Secondo l’articolo 86 del regolamento la legislazione degli Stati membri “…concilia la protezione dei dati personali…con il diritto alla libertà d’espressione e di informazione…”. Una siffatta impostazione è del tutto giustificabile nel nostro ordinamento, in cui la relazione tra trasparenza e privacy è da sempre al centro del dibattito istituzionale e di complessa composizione. Dalla legge n. 241/1990, ovvero dal momento in cui il legislatore ha affermato il valore della trasparenza nella legge sul procedimento, si è resa fisiologicamente necessaria un’operazione di bilanciamento. Tale relazione si mostra oggi, non solo inevitabile, ma anche mobile, cioè suscettibile di costanti rivisitazioni, come conseguenza delle dinamiche indotte dalle trasformazioni delle tecnologie dell’informazione. La tecnologia, infatti, ha progressivamente aperto nuove opportunità di trasparenza: le operazioni di raccolta e di condivisione di dati in rete, da parte di soggetti pubblici e privati, è oggi estremamente facilitata con rilevanti effetti a livello politico, economico e sociale.

SVILUPPI E TENDENZE. La disciplina analizzata finora conferma sicuramente una tendenza, da parte del legislatore, nel valorizzare e promuovere tali processi in termini generali. È altrettanto evidente, tuttavia, come queste trasformazioni rappresentino vere e proprie sfide per la protezione dei dati personali. Non a caso, tale relazione ha mostrato nel tempo anche esempi di rigidità concettuale. In particolare, in alcune occasioni si è descritto il rapporto della privacy rispetto alla trasparenza come un alibi, ovvero s’è fatta valere la prima quale limite in termini strumentali, al fine di ostacolare la seconda riguardo ad informazioni che la stessa amministrazione riteneva preferibile non far conoscere. In tal caso, si è parlato di privacy quale meccanismo di protezione del potere. Tali dinamiche assolutizzanti si presentano, potenzialmente, anche sul versante opposto. La trasparenza, infatti, nella sua genesi come valore costituzionale è ben lontana da una dimensione personalistica, poiché si sviluppa essenzialmente sotto un profilo pubblicistico essendo corollario dei principi di imparzialità, responsabilità e buon andamento. Da tale angolazione, la trasparenza è un dovere, prima che diritto. Si disvela cioè, non come fonte di realizzazione dei diritti individuali alla conoscenza, ma una nuova forma di potere rispetto al quale si oppongono le istanze di protezione dei dati personali. Proprio per questo, le definizioni di nuovi punti di equilibrio, appaiono determinanti anche per le future progressioni di strumenti come gli Open Data, in quanto essi stessi rappresentano un crocevia di tali dinamiche. Attualmente, la disciplina appare variegata e differenziata in ragione degli strumenti di apertura adottati dal legislatore. Il range appare molto ampio: si estende da casi di full disclosure, fino ad altri in cui è invece massima l’esclusione dalla circolazione delle informazioni. Nonostante i propositi di integrazione siano ampi e condivisibili, è lo stesso legislatore, in taluni casi, ad alimentare il conflitto mediante la normativa. È quanto accade dalla lettura congiunta dell’articolo 52, comma 2, del CAD con quanto disposto dalle lettere l bis e l ter, del comma 1, articolo 1, del CAD. La prima disposizione prevede espressamente l’applicazione del paradigma degli open data in maniera automatica per i dati e i documenti pubblicati dalle pubbliche amministrazioni titolari. Il regime degli open data descritto nell’articolo di apertura del CAD, invece, è esteso a tutti i dati e documenti pubblicati indipendentemente dal fatto che siano soggetti ad un obbligo di pubblicazione ai sensi del “decreto trasparenza”. Su tale quadro è intervenuto il decreto n. 102/2015 che ha introdotto la lettera h) quater, nell’articolo 3, del decreto n. 36/2006. Sulla base di tale disposizione, infatti, non sono riutilizzabili “documenti, o parti di documenti, che contengono dati personali che non sono conoscibili da chiunque o la cui conoscibilità è  subordinata al rispetto di determinati limiti o modalità, in base alle leggi, ai regolamenti o alla normativa dell'Unione europea, nonché quelli che contengono dati personali il cui riuso e' incompatibile con gli scopi originari del trattamento ai sensi dell'articolo 11, comma 1, lettera b), del decreto legislativo 30 giugno 2003, n. 196, e delle altre disposizioni rilevanti in materia”. In tal senso risulta utile un’impostazione fornita da una parte della dottrina che fissa l’articolo 7 bis, comma 2, del decreto n. 33/2013 come canone interpretativo ai fini del riutilizzo dei dati personali. Sulla base della formulazione legislativa, la finalità della trasparenza, sottesa alla pubblicazione obbligatoria, rappresenta una finalità di rilevante interesse pubblico, compatibile con la disciplina sulla protezione dei dati personali. In questo modo è possibile affermare che i dati personali soggetti a pubblicazione obbligatoria sono gli unici a poter essere riutilizzati. Questa scelta sicuramente riduce di molto il numero dei dati personali pubblicati come dati aperti: essendo il regime open data non applicabile in automatico qualora la pubblicazione riguardi i dati personali. Se, invece, si parla di accesso civico generalizzato, cambia la prospettiva: in tal caso, infatti, non vi è un’imposizione legislativa che renda compatibilmente tollerabili le finalità di trasparenza, sottese all’istituto dell’accesso civico generalizzato, con lo scopo originario del trattamento.  Con tali premesse, appare utile l’analisi dell’articolo 7-bis, del decreto 33/2013, introdotto dal decreto legislativo n. 97/2016. La disposizione, che si occupa di riutilizzo dei dati pubblici, in realtà è quanto più di rappresentativo dell’opera di bilanciamento tra trasparenza e privacy realizzata dal legislatore. In essa vengono dettati i limiti alla pubblicazione, disegnando così un sistema di protezione in ragione della tipologia di dati, in livelli a chiusura progressiva. Viene ammessa, in prima battuta, la diffusione dei dati personali attraverso siti istituzionali, indicizzazione, rintracciabilità e riutilizzo sulla base di obblighi di legge. Tuttavia, nel comma 4, il legislatore specifica che, qualora le norme di legge o di regolamento prevedano la pubblicazione di atti e documenti, le pubbliche amministrazioni dovranno operare una valutazione e realizzare un’operazione per cui i dati personali non pertinenti dovranno essere resi non intelligibili. Con riguardo ai dati sensibili e giudiziari, è ammessa la loro pubblicazione, indicizzazione e riutilizzabilità solo ove vi sia una chiara disposizione legislativa che ne preveda la pubblicazione e una valutazione circa la loro indispensabilità rispetto alle specifiche finalità di trasparenza della pubblicazione. Di contro, il legislatore vieta la pubblicazione dei dati “super sensibili”, cioè quelli idonei a rivelare lo stato di salute, la vita sessuale, lo stato economico-sociale delle persone. Alla radice del bilanciamento, in sostanza, c’è quindi una scelta legislativa che, a priori, qualifica certi contenuti come elementi per i quali prevalgono le esigenze di riservatezza. Sulla base, poi, di doveri di pubblicazione, sarà l’amministrazione ad operare la valutazione sulla base di principi di “pertinenza”, per i dati personali, ed “indispensabilità”, per i dati sensibili e giudiziari. A fronte di un equilibrio fissato ex ante, poi, si sono rivelate non poche contraddizioni che dimostrano quanto le formule legislative si dimostrino deboli di fronte alla complessità relazionali tra i due sistemi geneticamente contrapposti. In tal senso, il Garante della privacy - già nelle linee guida del 2014 – ha esposto la propria visione in merito al riutilizzo dai dati, prevedendo che i dati oggetto di pubblicazione obbligatoria non siano liberamente riutilizzabili da chiunque e per qualunque finalità. Questo lo fa riprendendo il distinguo tra il “formato aperto”  e  il “dato aperto” offerto dal CAD nelle citate lettere l-bis e l-ter, nel quale il primo elemento risponde ad un obbligo sancito dall’articolo 7 del decreto trasparenza che impone che il dato sia pubblico e neutro rispetto agli strumenti tecnologici per la fruizione dei stessi; il secondo, invece, comporta che il dato sia riutilizzabile da chiunque, anche per scopi commerciali. I dati personali, in particolare, saranno riutilizzabili solo in maniera compatibile con gli scopi per i quali sono raccolti e nel rispetto delle disposizioni sulla privacy (pertinenza, non eccedenza, necessità e finalità). Questa impostazione ha destato non poche perplessità in una parte della dottrina, che ritiene tale formulazione puramente ideologica e, aprioristicamente, di esclusione di soluzioni alternative. La stessa dottrina propone una lettura che parte, invece, dalla costruzione lessicale dell’’articolo 7, infatti rubricato “dati aperti e riutilizzo”, che non lascia spazio, chiaramente, a possibili dubbi o incertezze.  La questione appare, tuttavia, non del tutto risolta e caratterizzata, anzi, da resistenze, evidenti squilibri, restando potenzialmente aperta a nuovi sviluppi. Permangono, cioè, rigidità che riflettono i percorsi culturali opposti dai quali sono stati costruiti i due sistemi coinvolti: da una parte la privacy, dall’altra la trasparenza. L’atteggiamento di totale favore del legislatore per i dati aperti, rilevato da una disciplina coraggiosa e di rottura, si scontra, nel caso specifico, con energie di segno opposto che, con altrettanta fermezza, rivendicano un perimetro invalicabile a priori, senza la possibilità, cioè, di valutare nel merito quella scelta. Bilanciamento, questo, preventivamente e volutamente a favore di uno dei due valori in gioco, che però sta segnando un risultato negativo per il paradigma degli Open data.  

L’ARMONIZZAZIONE. La recentissima pubblicazione del decreto legislativo n. 101/2018, di armonizzazione dell’ordinamento italiano al Regolamento n. 679 del 2016 (GDPR), rappresenta il più recente sviluppo della questione. Approvato durante il Consiglio dei ministri dell’8 agosto scorso, sulla base della delega di cui alla legge n. 163/2017, il decreto abroga ed integra il testo del Codice in materia di protezione dei dati personali di cui al decreto legislativo n. 196/2003. La prima parte del novellato Codice, relativa alle disposizioni generali, è quella maggiormente sottoposta a revisione. In essa viene definito un quadro normativo totalmente nuovo, ispirato al principio di accountability, nel quale centrale è il ruolo del Garante. In tal senso, rilevano, ai fini della trattazione, gli articoli nei quali vengono affidati all’Autorità numerosi compiti di regolazione per modulare la normativa in specifici settori. Quello che sarà svolto dal Garante sarà un ruolo di traduzione operativa e di semplificazione della normativa, soprattutto in quei settori non pienamente coinvolti dal processo di armonizzazione legislativa. Se il rischio, temuto da alcuni, è quello di vedere materializzate le costanti finora esposte, è da rilevare come il nuovo testo del Codice attribuisca, con tutta evidenza, un nuovo profilo all’Autorità. In particolare, la normativa prospetta momenti di concertazione tra l’Autorità e gli stakeholders (articolo 2 quater) al fine di elaborare regole condivisibili ed efficaci. Questo sicuramente dona una visione più distensiva ed aperta del Garante, la cui azione di contemperamento dei differenti interessi in gioco può potenzialmente incidere sugli assunti culturali originari. Inoltre, bisogna tener presente come l’intero Codice debba necessariamente essere interpretato ed applicato in conformità del nuovo regolamento europeo. Di conseguenza, i principi contenuti nel GDPR hanno una forza preminente, in termini applicativi, sia sulle norme contenute nel decreto, sia su tutte le norme dell’ordinamento italiano relative alla protezione dei dati personali. Principi che, è doveroso precisare, presentano alla base della loro costruzione, una stretta connessione tra la garanzia della libera circolazione dei dati all’interno dell’Unione e la tutela dei dati personali. Sono evidenti, quindi, i numerosi spunti di riflessione che prospettano queste nuove strategie di bilanciamento per i dati aperti. Vero è che, per fornire un’analisi più estesa, sarà necessario attendere il recepimento del testo e la sua completa metabolizzazione da parte degli addetti ai lavori. Per questo, si auspica che i futuri interventi istituzionali considerino tutte le potenzialità insite nell’utilizzo dell’informazione digitale, cercando di restare fedeli a quelle direttrici che hanno dato il via al cambiamento. In sostanza, la bontà della regolamentazione si misurerà nella capacità di agevolare gli strumenti evolutivi come gli Open data, assicurando la tutela di quei diritti costituzionalmente protetti e senza, tuttavia, creare barriere ideologiche capaci di alimentare approcci conflittuali e rigidità tali da ingenerare immobilismo o, ancor peggio, involuzioni di sistema.       

Letto 5781 volte

Copyright © 2021 OggiPA.it Tutti i diritti riservati.

Direttore di Redazione: Dott. Arturo Bianco

Editore: Pubbliformez s.r.l. - Autorizzazione Tribunale di Catania n°7/2013

Sede: Via Caronda 136 - 95128 Catania - P.IVA 03635090875

Recapiti: Tel. 095/437045 - Fax 095/7164114 - email: claudiogagliano@oggipa.it