fares

Euro

The european project Training Activities to Implement the Data Protection Reform (TAtoDPR) has received funding from the European Union’s Rights, Equality and Citizenship (REC) Programme of the European Union under Grant Agreement No. 769191

The contents of this Journal represent the views of the author only and are his/her sole responsibility. The European Commission does not accept any responsibility for use that may be made of the information it contains.

Home / ISSUES / Issue / Il diritto di accesso dei Consiglieri comunali e la protezione dei dati personali

back print content read pdf content


Il diritto di accesso dei Consiglieri comunali e la protezione dei dati personali

Avv. Giovanna Laurino

L’entrata in vigore del Regolamento 678/16 ha avuto un impatto generale sulla vita delle società e degli Enti locali, chiamati a rivedere le proprie politiche interne di tutela dei dati personali al fine di adeguarle nella prospettiva delle garanzie prescritte dal legislatore europeo.

Nell’ambito del Comune, anche il diritto di accesso del Consigliere comunale, è stato toccato dalla normativa, seppure in maniera indiretta. L’art. 43 TUEL, lega l’ampiezza del diritto di accesso al paradigma dell’«utilità», tanto da ritenere che lo stesso riguardi non solo atti o documenti comunali, ma ogni notizia o informazione necessaria allo svolgimento del munus pubblico rivestito dal Consigliere. Sarà la successiva previsione dell’obbligo del riserbo a riportare quella conoscenza, tanto amplia e tanto delicata, nell’alveo della riservatezza.

Tuttavia, tale intervento precettivo non pare essere sufficiente a rispondere alle esigenze di protezione dei dati richieste dal regolamento europeo che, pur facendo leva sul principio della finalità del trattamento, prescrive in capo al titolare del trattamento, ex l’art.25 GDPR, l’adozione di adeguate misure tecniche e organizzative, tali da prevenire i data breach e soddisfare l’obiettivo della protezione dei dati personali. In questo senso, appare evidente come la protezione dei dati si sposta in capo al titolare del trattamento a cui il legislatore europeo consegna un bagaglio di obblighi e responsabilità nella prospettiva della privacy by default e by design.

Infatti, sia per quanto concerne il Consigliere comunale/provinciale e sia per gli altri soggetti che effettuano trattamento dei dati, la disciplina europea, così come integrata per effetto del D.Lgs 101/2018, impone di dar prova dell’esistenza di una nomina del soggetto autorizzato al trattamento.

A ciò deve aggiungersi la previsione di un preciso obbligo di formazione rivolto ai soggetti designati al trattamento.

Summary:

INTRODUZIONE - LA PROTEZIONE DEI DATI PERSONALI NELL’AMBITO DEL DIRITTO DI ACCESSO DEI CONSIGLIERI COMUNALI - CONCLUSIONI - DOCUMENTO DATA PROTECTION OFFICER: LETTERA DI NOMINA DEL DESIGNATO AL TRATTAMENTO DEI DATI PERSONALI. - NOTE


INTRODUZIONE

Il diritto di accesso deve fare i conti con il profondo cambiamento che lo ha riguardato e che ha determinato un ripensamento della sua funzione in relazione alla trasparenza dell’attività della Pubblica Amministrazione, con cui inevitabilmente viene ad intrecciarsi, ma rispetto alla quale ha finito con il perdere quel ruolo di centralità, atteso l’obiettivo di un moderno “open government” previsto dalla vigente normativa, ed auspicato dagli interventi politici di matrice europea.

In analogia con il diritto di accesso, anche la trasparenza amministrativa pare essersi discostata dal modello delle intenzioni, basato su un diritto d’informazione sganciato dal presupposto di una situazione giuridica qualificata, per farvi, poi, ritorno, sotto forma di “accessibilità totale” dopo aver assunto forme differenti, in cui essa stessa si è atteggiata in termini di “accessibilità personale e condizionata”.

L’emersione di questa nuova prospettiva di trasparenza non sembra subire battute di arresto, stante la pubblicazione di una disciplina ispirata al modello statunitense del freedom of information act: una trasparenza, sempre meno collegabile a meccanismi di garanzia del singolo interessato, e sempre più declinata in termini di autonomo diritto alla conoscibilità, in cui il diritto a conoscere del soggetto convive con il parallelo dovere delle amministrazioni di fare conoscere.

Tuttavia, il progressivo evolversi delle modalità con cui la trasparenza si è realizzata, anche per effetto dell’evoluzione tecnologica, non ne ha intaccato la sua funzione, la quale è rimasta sostanzialmente immutata.

Infatti, la posizione asimmetrica, “bipolare”, che insiste tra il potere pubblico ed il cittadino, ha da sempre comportato un intervento diretto a tutelare il privato da un eccesso di supremazia della Pubblica Amministrazione, ed al contempo ha richiesto un controllo dell’attività amministrativa da parte dei consociati.

Questa concezione esterna ed orizzontale, che corrisponde ad un modello democratico, in cui la partecipazione dei cittadini è prevista non solo a livello politico, ma amministrativo, va ad affiancarsi ad una trasparenza quasi esclusivamente interna, che, invece, propende per un controllo esclusivo da parte del potere politico.

Ed è proprio in ragione di tanto che, appare necessario che la Pubblica Amministrazione, si faccia visibile: «dove un superiore, pubblico interesse non imponga un momentaneo segreto, la casa dell’amministrazione deve essere di vetro»[1].

Non vi è dubbio, infatti, che una democrazia avanzata, il cui modello di amministrazione tende, attraverso la valorizzazione dei principi costituzionali di democraticità e partecipazione, verso un’idea di amministrazione condivisa, debba prevedere l’azione amministrativa come ordinariamente trasparente, e che la trasparenza si affermi come principio e valore generale, mentre i divieti di accesso e di pubblicità si presentino come estremamente limitati.

In tale direzione sembrano, dunque, orientarsi gli interventi politici che si sforzano di modellare un concetto “avanzato” di trasparenza, contraddistinto dai principi di partecipazione e collaborazione, che facendo leva sull’accountability della pubblica amministrazione, sulla protezione dei dati personali dei cittadini e sullo sviluppo digitale mirano a realizzare una maggiore e migliore conoscibilità.

Questo nuovo scenario, comporta necessariamente il dover affrontare concetti nuovi come:“open government[2], “open data”, “openness”, i quali, nel riferirsi all’idea di “amministrazione aperta”, trasversalmente riguardano la mutazione genetica che sta interessando la trasparenza come principio, nonché degli strumenti chiamati a realizzarla.

Ed in tal senso, si assiste ad un forte cambiamento di prospettiva, che vede la perdita di centralità del diritto di accesso in favore di una trasparenza assicurata dalla pubblicazione nei siti istituzionali di informazioni disponibili on line, che pur essendo un prius logico, un passaggio fondamentale che favorisce la realizzazione di quel “diritto a conoscere”, inteso quale conoscibilità delle informazioni contenute in atti e documenti, di fatto non realizza la conoscenza e neppure la comprensione effettiva del fenomeno amministrativo.

Pertanto, affinché si pervenga ad un elevato livello qualitativo di conoscenza e comprensibilità delle informazioni, dati, atti e documenti delle PPAA è necessario che la trasparenza non sia preposta esclusivamente alla soddisfazione di insaziabili esigenze informative, né si riduca a full disclosure, ovvero a superamento del generale dovere di riservatezza, e che non si presenti come mera accessibilità ab externo dell’azione della pubblica amministrazione. Essa dovrà integrare un vero e proprio metodo di Amministrazione, teleologicamente preordinato alla protezione effettiva di concreti beni della vita sia da parte dei soggetti agenti, sia da parte dei destinatari ultimi delle attività.

Tuttavia, il complicato atteggiarsi del rapporto tra pubblicità-trasparenza-conoscibilità lascia ancora irrisolti molteplici interrogativi in ordine all’efficacia, effettività ed idoneità della prima rispetto al raggiungimento della seconda, del modo in cui l’applicazione degli strumenti che affiancano il diritto di accesso possono offrire garanzia di conoscibilità dei documenti dell’organizzazione, dell’organizzazione stessa, del funzionamento e dell’azione delle pubbliche amministrazioni, nella prospettiva di una democrazia partecipata.

Tale questione incrocia, inevitabilmente, quella relativa alla ricerca di un adeguato punto di equilibrio tra la trasparenza, ovvero tra il diritto di accesso, quale cura nei confronti ora dell’arbitrio pubblico, ora dell’inefficienza, ora della corruzione e dei conflitti di interesse e la protezione dei dati personali dei soggetti interessati e contro-interessati, relativamente agli atti, documenti amministrativi che li riguardano e che sono offerti alla conoscenza.

Uno dei terreni si scontro in cui tali aspetti vengono in evidenza è rappresentato dall’esercizio diritto di accesso assegnato dalla legge anche ai Consiglieri comunali e provinciali nell’ambito dell’attività di controllo operata dagli stessi nei confronti del governo comunale, che inevitabilmente porta con sé questioni di matrice politica, oltre che aspetti collegati alla riservatezza e alla protezione dei dati personali.

Pertanto, ci si chiede: in che modo viene gestita dal Sindaco del Comune di Distòpia la richiesta del Consigliere comunale di minoranza di accesso diretto al protocollo informatico mediante proprie credenziali, nonché di accesso a tutti gli atti processuali e documenti detenuti presso il Comune, all’indomani dell’entrata in vigore del Regolamento UE 679/16?

Ci si domanda, inoltre, come verranno affrontati i rilievi del Dpo, il quale, nell’ambito dell’esercizio dei compiti di cui all’art. 39 del GDPR, ritiene auspicabile un intervento del titolare del trattamento che riguardi non soltanto le misure di sicurezza e le procedure da adottare in caso di data breach, ma che soprattutto sia diretto a potenziare le attività di formazione di tutti coloro i quali trattano dati personali. L’obiettivo principale, secondo quanto indicato dal Dpo nella propria relazione, è quello di offrire una corretta interpretazione del significato di “protezione dei dati personali” al fine di  innalzare il livello di consapevolezza dei rischi e delle conseguenti responsabilità.


LA PROTEZIONE DEI DATI PERSONALI NELL’AMBITO DEL DIRITTO DI ACCESSO DEI CONSIGLIERI COMUNALI

L’entrata in vigore del Regolamento 678/16 relativo alla protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ha avuto un impatto generale sulla vita delle imprese come pure degli Enti locali, chiamati a rivedere le proprie politiche interne di tutela dei dati personali al fine di adeguarle nella prospettiva delle garanzie prescritte dal legislatore europeo.

Si tratta di una normativa che sovrappone ed incrocia ambiti diversi, la cui efficacia è strettamente legata alle funzioni aziendali, ovvero amministrative, delle realtà organizzative in cui si va ad innestare.

In tal senso, il Regolamento, che non modifica la normativa nazionale, ma si limita a fissare regole più stringenti per le organizzazioni societarie e pubbliche, per poter funzionare correttamente richiede a queste realtà la sussistenza di un organigramma ben preciso e delineato nei ruoli e nelle funzioni, nonché l’adozione di relative nomine ed incarichi che possono essere gestiti in parallelo a organigrammi e funzionigramma già in atto. Il GDPR, quindi, finisce con l’imporre chiarezza di ruoli e di organizzazione, ed in netta discontinuità con il sistema precedente, pone la trasparenza come principio generale ed essenziale di ogni trattamento dei dati personali, indipendentemente dal rapporto che può sussistere tra il titolare e gli interessati.

L’idea sottesa è quella secondo cui una maggiore trasparenza dell'organizzazione e dell'azione amministrativa diretta a garantire la visibilità, conoscibilità, comprensibilità delle modalità operative e degli assetti organizzativi degli Enti pubblici, rappresenti un indispensabile presupposto al corretto funzionamento del rapporto rappresentativo, oltre ad un fattore capace di rafforzare l’accountability[3] di amministrazioni e funzionari pubblici verso i cittadini, ed elemento determinante per realizzare la protezione dei dati personali.

Difatti, il legislatore europeo raggruppa alla lettera a), par. 1, dell’ art. 5 i principi di liceità, di correttezza e di trasparenza quali presupposti indispensabili per la garanzia di una delle componenti essenziali del diritto alla protezione dei dati, quale appunto è l’autodeterminazione informativa.

Così, se da un lato, la trasparenza della Pubblica Amministrazione si delinea sempre più come accessibilità totale, dall’altro ai sensi dell’art. 5 par. 1 lett. b) del GDPR e del considerando 39, risulterà necessario che i dati siano raccolti per scopi determinati, espliciti e legittimi e successivamente trattati in modo non incompatibile con questi.

Occorrerà, quindi, stabilire gli scopi del trattamento, ed esplicitarli nelle comunicazioni all'interessato, ed in tal modo si procederà a delimitare ciò che è davvero necessario trattare.In tal senso, l’art. 5 par. 1 lett. c) GDPR prevede che i dati devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità per le quali sono trattati.

In buona sostanza, il titolare del trattamento, ivi compresa la Pubblica Amministrazione, deve stabilire, prima dell'inizio del trattamento, gli scopi in base ai quali ha intenzione di raccogliere e trattare i dati personali, i quali non devono essere generici o indefiniti o illimitati, ed inoltre, nel riferirsi ad una precisa disposizione normativa deve comunicare in maniera chiara e comprensibile (principio di trasparenza) agli interessati tali finalità a mezzo dell'apposita documentazione (informativa) che deve essere portata a conoscenza dell'interessato.

In assenza della precisazione della finalità, il trattamento dovrà qualificarsi come illegittimo.

Tuttavia, accanto alla necessità di rendere trasparenti per le persone fisiche le finalità del trattamento, occorrerà altresì, indicare le modalità con cui sono raccolti, utilizzati e consultati o altrimenti trattati i dati, nonché la misura in cui gli stessi sono trattati. Inoltre, si impone che i dati siano minimizzati, e successivamente conservati in una forma tale da consentire l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità sottese al trattamento, ammettendosi una conservazione ulteriore solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o per fini statistici.

Il sistema che viene così a modellarsi per effetto della nuova normativa europea fa leva sul rispetto del principio della finalità, o limitazione della finalità, dei dati, per cui un trattamento potrà dirsi legittimo in relazione al fine indicato per il trattamento stesso.

L’individuazione del perché vengono trattati i dati rappresenta il lietmotiv di tutti i trattamenti, incluse quelle attività che si esauriscono all’interno dalla Pubblica Amministrazione, come pure quelle che invece si rivolgono all’esterno, comportando la diffusione o comunicazione di dati, per le quali la minimizzazione dei dati contenuti nei documenti, atti e provvedimenti amministrativi deve essere calibrata con  maggiore attenzione.

Questa dinamica non viene meno per il solo fatto di operare nell’ambito di una Pubblica Amministrazione, in cui l’esigenza di trasparenza deve necessariamente raccordarsi con la tutela dei dati personali dei cittadini. In tal modo viene a cadere ogni visione antagonista che pone il diritto alla privacy contrapposto alla trasparenza.

Ciò appare ancora più evidente in ragione del fatto che, non solo il diritto alla protezione dei dati non è prerogativa assoluta, e che, pertanto, va considerato alla luce della funzione sociale e contemperato con gli altri diritti fondamentali in ossequio al principio di proporzionalità[4], ma soprattutto per il fatto che è necessario conciliare l’accesso del pubblico ai documenti ufficiale e il riutilizzo delle informazioni del settore con il diritto alla protezione dei dati personali.[5]

L’interazione ponderata e corretta tra trasparenza amministrativa e protezione dei dati personali, consente la realizzazione di forme di controllo diffuso sull'operato della PA, sull’impiego delle risorse e sull'adeguatezza delle prestazioni dirigenziali, che permettono di conseguire molteplici vantaggi sociali e che possono contribuire alla ricostruzione del rapporto di fiducia fra i cittadini, sempre più consapevoli dei diritti loro spettanti, e le amministrazioni pubbliche[6].

In un tale contesto, l’accesso agli atti e ai documenti amministrativi, essendo un utile strumento di controllo ed al contempo uno specifico trattamento, ricade nell’ambito della normativa sulla protezione dei dati, per cui nell’applicare la specifica disciplina di settore, occorrerà preliminarmente verificare che gli scopi, la finalità, per cui si realizza il diritto siano definiti e rispettati scrupolosamente, così contemperando le diverse esigenze in contrasto.

In termini generali, il diritto di accesso, diritto fondamentale dell’individuo, può dirsi esercitabile sia dai privati cittadini per la tutela dei propri diritti ed interessi legittimi e sia da parte di quei soggetti che rivestono un ruolo istituzionale, i quali agiscono prevalentemente nella prospettiva della realizzazione di un controllo sull’operato della Pubblica amministrazione.

Pertanto, l’istanza pervenuta al Sindaco da parte Consigliere comunale di minoranza di accesso diretto al protocollo informatico con proprie credenziali personali si attaglia perfettamente alla dinamica del controllo politico nei confronti dell’azione della maggioranza del governo comunale, e coinvolge la questione relativa alla protezione dei dati personali.

Invero, la suddetta richiesta, nell’investire la problematica relativa al bilanciamento fra il diritto soggettivo di accesso, inteso quale facoltà di visionare e di ottenere copie di documenti al fine di garantire la più ampia informazione possibile, e la corretta funzionalità dell’Ente locale, finisce inevitabilmente per coinvolgere la protezione dei dati personali, soprattutto in termini di adozione delle misure tecniche ed organizzative.

Il riconoscimento del diritto di accesso perviene al consigliere comunale e provinciale, relativamente alle notizie, informazioni, e documenti amministrativi del Comune, dal secondo comma dell’art. 43 del d.lgs. n. 267/2000, a mente del quale: «I consiglieri comunali e provinciali hanno diritto di ottenere dagli uffici, rispettivamente, del comune e della provincia, nonché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni in loro possesso, utili all'espletamento del proprio mandato. Essi sono tenuti al segreto nei casi specificamente determinati dalla legge».

L’esercizio del diritto de quo è fortemente ancorato al concetto di “utilità” all´espletamento del proprio mandato, richiamando, in tal modo la medesima idea finalistica fatta propria dal legislatore europeo. La concezione teleologica del diritto di accesso acquista una dimensione reale in virtù di una consolidata giurisprudenza che offre coordinate determinate e ben precise alla risoluzione di conflitti tra trasparenza-accesso-riservatezza. Quest’ultima, invero, viene imposta al consigliere comunale dalla normativa specifica di settore, non essendo la riservatezza una prerogative esclusiva del regolamento europeo.

In buona sostanza, con il solo obbligo di segreto, nei casi determinati dalla legge, il testo unico degli enti locali riconosce ai consiglieri comunali e provinciali il diritto di accedere a tutti i documenti detenuti dall’ente, di ottenere tutte le notizie e le informazioni utili all’espletamento del proprio mandato, e configura tale potere come diritto di “informazione” sull’attività dell’amministrazione di appartenenza, (comprese le aziende ed enti partecipati), funzionale all’esercizio del munus pubblico, che non necessita di motivazione e che coinvolge anche gli atti coperti da segreto.

Di contro, potrà configurarsi un abuso del “diritto di informazione” in presenza di richieste emulative, sproporzionate, irragionevoli seriali, abnormi, complesse da elaborare, il cui scopo ultimo non è la conoscenza strumentale all’esercizio della funzione ma l’interesse a paralizzare l’attività amministrativa o a condurre un’attività politica ostruzionistica, invadendo competenze riservate, in via esclusiva, agli apparati amministrativi.

Viene in tal modo a delinearsi un diritto di accesso inteso quale diritto soggettivo pubblico, espressione del principio democratico dell’autonomia locale e della rappresentanza esponenziale della collettività, direttamente funzionale non tanto all’interesse personale del singolo consigliere, quanto alla cura di un interesse pubblico connesso al mandato conferito loro dai cittadini elettori.[7]

Si tratta, quindi, di un diritto politico collegato alle funzioni svolte negli enti locali, in cui la tutela dell’interesse pubblico è, al tempo stesso, il presupposto legittimante l'accesso ed il solo fattore che ne delimita la portata. Per tale ragione, la legislazione vigente non impone l’onere di motivazione, che potrebbe determinare un ingiustificato controllo dell’Ente pubblico, e parallelamente non conferisce all’autonomia locale il potere di sindacarla.[8]

L'istituto in questione non rappresenta una novità del Testo unico del 2000, ma rinviene il proprio antecedente sistematico nella previsione di cui all'art. 24 della L. 816 del 1985, a mente del quale: “i consiglieri comunali, i consiglieri provinciali e i componenti delle assemblee delle unità sanitarie locali e delle comunità montane, per l'effettivo esercizio delle loro funzioni hanno diritto di prendere visione dei provvedimenti adottati dall'ente e degli atti preparatori in essi richiamati nonché di avere tutte le informazioni necessarie all'esercizio del mandato”.

Tuttavia, nella prima formulazione della norma l'ampiezza dei poteri e delle facoltà ostensive connesse allo status di consigliere comunale o provinciale risultava in qualche misura più limitato rispetto a quanto consentito dal Testo unico del 2000 e, prima ancora, dall'art. 31, co. 5 della L. 241 del 1990, che aveva modificato in parte i contorni dell'istituto[9].

La disciplina che si è in tal modo delineata, nonostante il legislatore abbia utilizzato la medesima qualificazione, presenta profonde differenze rispetto al diritto di accesso di cui all’articolo 22 e ss della Legge 241 del 1990[10], non soltanto sotto il profilo soggettivo, ma anche per l’ampiezza dell’oggetto che lo contraddistingue, oltre che per la precipua funzionalizzazione. A ciò deve aggiungersi la piena autonomia concettuale del diritto di cui all’art. 43 Tuel anche rispetto a quello attribuito a tutti i cittadini, relativamente agli atti degli enti locali, e disciplinato dall’art. 10 del Tuel[11].

In tal senso, il contenuto normativo richiamato, consente di evidenziare come il diritto di accesso riconosciuto ai rappresentanti del corpo elettorale comunale abbia una ratio diversa da quella che contraddistingue l'ulteriore diritto di accesso agli atti ed ai documenti amministrativi che è attribuito, non solo ai consiglieri comunali o provinciali, ma a tutti i cittadini, ovvero, in termini più generali, a chiunque sia portatore di «un interesse diretto, concreto ed attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso».

Infatti, il diritto consiliare, qualificabile come vero e proprio diritto soggettivo pubblico, si differenzia da quello di cui alla legge n. 241/1990, per la facoltà del consigliere comunale di visionare nono solo i documenti amministrativi[12] tutti gli atti dell'amministrazione, a prescindere dalla dimostrazione di un concreto e personale interesse relativo alla tutela di situazioni giuridicamente rilevanti, risultando sufficiente allo scopo la mera connessione dell'atto da esibirsi con le funzioni attinenti alla carica ricoperta. Più in particolare, si evidenzia, nonostante l'accezione data di azioni e di documento amministrativo dal comma 1, lett. d) dell’art. 22,[13] che l’oggetto dell'accesso non è limitato al solo procedimento amministrativo, ma si estende a tutti i documenti amministrativi perfettamente formati o detenuti dall'amministrazione di appartenenza, e più in generale, riguarda qualsiasi «notizia» ovvero «informazione» che risulti utile ai fini dell’esercizio delle funzioni consiliari.[14]

Il termine «utili» contenuto nella norma in oggetto ha una decisa valenza ampliativa e non già limitante[15].

L’effetto espansivo riconosciuto, quindi, consente di superare i tradizionali limiti di accessibilità agli atti della Pubblica Amministrazione da parte dei singoli cittadini, individuabili nella non ostensibilità degli atti infraprocedimentali[16][17], attribuendo invece ai consiglieri comunali il potere di conseguire la più ampia conoscenza possibile, al fine di valutare con piena cognizione di causa la correttezza e l'efficacia dell'operato del comune, nonché, esprimere un voto consapevole sulle questioni di competenza del consiglio e promuovere, anche nell'ambito del consiglio stesso, le iniziative che spettano ai singoli rappresentanti del corpo elettorale locale.[18]

Il diritto di accesso de quo, pertanto, essendo riferito all'espletamento del mandato, non riguarda soltanto le competenze attribuite al consiglio comunale, ma investe l'esercizio del munus in tutte le sue potenziali implicazioni per consentire la valutazione della correttezza ed efficacia dell'operato dell'amministrazione comunale.[19]

Tuttavia, non va sottaciuta l’esistenza di limitazioni di carattere generale e cogenti all’accesso riferite ad attività che non rientrano all’interno della nozione di “azione amministrativa”, quale espressione di un potere dello Stato[20]. In termini più espliciti, il diritto di informazione di cui all’art. 43 Tuel non va riferito agli atti di natura processuale, o comunque ad un procedimento che si svolge o si sia svolto innanzi ad un’Autorità giudiziaria[21].

In estrema sintesi, l’ampio riconoscimento positivo risulta condizionato da due elementi: la dimostrazione dell’utilità dell’accesso, con le peculiarità evidenziate, e l’obbligo del riserbo delle informazioni acquisite[22].

Invero, gli unici interventi volti a condizionare l'esercizio del diritto di accesso dei consiglieri comunali potrebbero, in tesi, rinvenirsi nella previsione di forme e modalità con cui le istanze devono essere presentante, in modo da comportare il minor aggravio possibile per gli uffici comunali, sia dal punto di vista organizzativo che economico.

In effetti, oltre alla necessità che l’interessato alleghi la sua qualità, permane l’esigenza che le richieste siano formulate in maniera specifica e dettagliata, recando l'esatta indicazione degli estremi identificativi degli atti e dei documenti o, qualora siano ignoti tali estremi, almeno degli elementi che consentano l'individuazione dell'oggetto dell'accesso.

Da ciò si ricava, che non potranno essere formulate istanze estremamente generiche, ovvero meramente emulative, in quanto riferite ad atti chiaramente e palesemente inutili ai fini dell'espletamento del mandato, idonei a determinare intralcio e/o disservizi agli uffici nonché costi elevati e ingiustificati per l'ente al punto da alterarne lo scopo istituzionale[23].

Nel silenzio della legge, le modalità attraverso cui minimizzare tale aggravio possono variare, a seconda delle specifiche condizioni ambientali in cui l’amministrazione concretamente opera.

A ben vedere, non pare corretto qualificare tali aspetti come veri e propri limiti, piuttosto l’esistenza di suddette cautele si presta ad altra lettura, strettamente legata alla circostanza che il consigliere deve esercitare il proprio diritto in maniera corretta e non in contrasto con le finalità della legge, attraverso una condotta che deve arrecare il minore aggravio possibile agli uffici.

Infatti, posto che il diritto all’informazione è finalizzato al corretto svolgimento della dialettica democratica tra gli organi dell’ente locale, nell’interesse della collettività in base al mandato elettivo, il suo esercizio non può trasformarsi in un danno per la medesima, pregiudicando la funzionalità organizzativa dell’ente.

A ciò deve aggiungersi l’esistenza di un generale dovere della pubblica Amministrazione di ispirare la propria attività al principio di economicità, che determina la sussistenza di un dovere di “leale cooperazione”, e che coinvolge non solo sugli uffici tenuti a provvedere alle istanze, ma anche quei soggetti che richiedono prestazioni amministrative, i quali, se appartenenti alla stessa Amministrazione, sono tenuti a modulare le proprie richieste in modo da contemperare i diversi interessi.

Sarebbe, pertanto, discutibile il comportamento del consigliere che chiedesse ed ottenesse copia di documenti non utili per l’esercizio del mandato amministrativo[24].

Appare evidente dal tenore delle norme primarie e dalla cornice costituzionale, che il consigliere agisce all’interno di un sistema di legalità proiettato a consentire l’esercizio di una funzione pubblica con le regole proprie degli apparati amministrativi e con l’ulteriore dovere di adempierle con disciplina ed onore, nella visione dell’articolo 54 della Costituzione. Se ne deduce, quindi, che l’esercizio del diritto di accesso deve avvenire con modalità tali da garantire la funzionalità degli uffici e allo tempo evitare ogni deviazione con il fine pubblico o al di fuori del perseguimento dell’interesse generale. Inoltre, il suo essere “funzionale” al perseguimento di un “interesse pubblico” si rinviene anche dal precetto dell’articolo 78 del citato Tuel, per cui egli sarà obbligato ad astenersi dalla partecipazione ad atti riguardanti “interessi propri o di loro parenti o affini sino al quarto grado”, dovendo mantenere un comportamento “improntato all’imparzialità e al principio di buona amministrazione”, con evidente rinvio ai canoni dell’articolo 97 della Costituzione.

In buona sostanza, si tratta di contemperare esigenze diverse, ma non necessariamente contrapposte, evitando che l’esercizio di un diritto soggettivo pubblico di tale rilievo sia piegato a strategie ostruzionistiche o di paralisi dell’attività amministrativa. [25]

Orbene, il precipitato delle osservazioni conduce a concludere in ordine alla sussistenza in capo al consigliere comunale e provinciale di un non condizionato diritto di accesso a tutti gli atti che possano essere di utilità all’espletamento del suo mandato, al fine di permettere di valutare con piena cognizione la correttezza e l’efficacia dell’operato dell’Amministrazione, nonché per esprimere un voto consapevole sulle questioni di competenza del Consiglio e per promuovere, nell’ambito del Consiglio stesso, le iniziative che spettano ai singoli rappresentanti del corpo elettorale locale.[26]

Proprio tale specifica circostanza comporta che la materia del diritto di accesso, divenga terreno di scontro, soprattutto per i piccoli comuni, i quali cercano di condizionare l’ampiezza del diritto attraverso l’adozione di regolamenti specifici. Il più delle volte, il conflitto si sposta sul rispetto delle modalità previste per l’accesso, la cui regolamentazione potrebbe anche determinare una inammissibile contrazione del diritto stesso.

A tale riguardo, si rileva che l’art. 43 del T.U.E.L., va oggi necessariamente correlato al progressivo e radicale processo di digitalizzazione dell’organizzazione e dell’attività amministrativa, risultante dal Codice dell’amministrazione digitale.

La suddetta disciplina, impone allo Stato, alle Regioni, e agli Enti locali la disponibilità, la gestione, l’accesso e la trasmissione la conservazione e la fruibilità dell’informazione in modalità digitale.  Pertanto, utilizzando le modalità appropriate, le tecnologie dell’informazione e della comunicazione, i dati delle pubbliche amministrazioni dovranno essere formati, raccolti, conservati e accessibili con l’uso della tecnologie dell’informazione e della comunicazione che ne consentono la fruizione e la realizzazione, alle condizioni fissate dall’ordinamento, da parte delle altre  amministrazioni e dei privati.

Il combinato disposto del comma 2 dell’art. 43 dlg 267/2000 e il comma 1 dell’art. 2 del d lgs 82/2005 prevede per un verso che la fruibilità dei dati e delle informazioni in versione digitale debba essere garantita con modalità adeguate alla precipua finalità informativa, e appropriate alla tecnologia disponibile, per altro verso grava sull’amministrazione, in base ad un principio di proporzionalità, l’approntamento e la valorizzazione di idonee risorse tecnologiche, che appaiono in grado di ottimizzare, in una logica di bilanciamento, le esigenze della trasparenza amministrativa.

In tal senso, appare opportuno chiarire il funzionamento del protocollo informatico, quale modalità tecnologica che consente l’esercizio del diritto di accesso.

Innanzitutto, occorre evidenziare l’esistenza di una differenza tra il registro del protocollo, costituito dall’elenco delle informazioni inserite con l’operazione di registrazione di protocollo nell’arco di uno stesso giorno, e i documenti eventualmente digitalizzati contenuti nel programma del protocollo informatico[27].

Questa precisazione risulta rilevante, in quanto l’accesso generalizzato a tutti gli atti protocollati potrebbe qualificarsi come una forma “di controllo specifico, non già inerente alle funzioni di indirizzo e controllo politico amministrativo”, ovvero potrebbe riguardare, trattandosi di protocollo generale dell’Ente, anche documenti ad uso interno concernenti materie coperte dal segreto o da particolari esigenze di riservatezza di terzi.

Infatti, un accesso generalizzato a tutti gli atti protocollati, in un giudizio prognostico, consentirebbe la conoscenza di documenti nei quali il consigliere comunale potenzialmente potrebbe trovarsi in “conflitto di interessi” e/o per i quali sussisterebbe “l’obbligo di astensione”; oppure, abiliterebbe l’accesso indiscriminato ad atti coperti da segreto posto dall’Autorità giudiziaria o all’accesso di atti dello stato civile; ovvero, in presenza di dati e situazioni sensibili, senza il giusto bilanciamento dei diritti di “pari grado” e “dei terzi”.[28]

Tuttavia, il consigliere risulta investito ex lege del poter di prendere visione di atti, documenti, ed ottenere informazioni, e quindi di accedere al protocollo generale, senza esclusione di oggetti e notizie e di materie riservate, in virtù della sussistenza dell’obbligo del segreto.

Percorrendo questa strada, l’interpretazione seguita dall’Amministrazione investita dalla richiesta è stata quella di ritenere che il diritto di accesso si concretizzi nel più ampio diritto a prendere visione di tutto quanto contenuto all’interno del protocollo generale, purché relativamente ad atti ed informazioni utili per l’espletamento del suo mandato, in virtù non solo dell’esistenza dell’obbligo del segreto, salvacondotto che permette di estendere l’ambito oggettivo del diritto di accesso, ma anche per effetto dell’operatività dei principi di pertinenza e non eccedenza in materia di protezione dei dati personali.[29]

L’intreccio tra il diritto di accesso, nella rinnovata veste digitale, e il diritto alla riservatezza appare evidente. Infatti, il diritto all’informazione e il diritto alla privacy costituiscono due interessi di rango primario che, in quanto tali, devono ritenersi entrambi meritevoli di costante ed adeguata tutela da parte dell’ordinamento giuridico.

Pertanto, nelle ipotesi di contrasto tra diritto di accesso agli atti amministrativi e diritto alla riservatezza, quest’ultimo potrà essere salvaguardato mediante modalità, alternative alla limitazione o al diniego dell’accesso, che utilizzino, ad esempio, la schermatura dei nomi dei soggetti menzionati nei documenti, che si dichiarino fermamente intenzionati a mantenere l’anonimato, o che, invece, si avvalgano dell’assenso delle persone di volta in volta indicate nei documenti in questione. Inoltre, la riservatezza dei dati viene garantita attraverso la predisposizione di misure tecniche ed organizzative idonee allo scopo.

In tal modo, il regolamento europeo n. 679/2016 fa il proprio ingresso negli Enti locali, attraverso la creazione di un modello organizzativo privacy che non si occupa troppo della natura e della particolare articolazione dei soggetti o delle varie realtà organizzative. Pertanto, tali soggetti dovranno confrontarsi con la disciplina legislativa che singolarmente li riguarda al fine di definire l’allocazione delle attività e delle competenze.

Nell’ambito degli Enti locali, l’unitarietà della persona giuridica, non contraddice la logica funzionale, che resta la stessa, ed anche ai fini privacy sarà necessario tener conto della propria articolazione interna, distinguendo gli organi di governo o gestione da quelli amministrativi. In tal modo, si giunge a considerare il Comune, ovvero il Sindaco in base al principio di immedesimazione organica, quale titolare del trattamento a cui consegnare un bagaglio di obblighi e di responsabilità[30].

L’accountability che ne deriva comporta che il titolare, soggetto dotato del potere di decisione di direzione in ordine al trattamento dei dati, oltre ad avere l’esclusiva competenza relativamente al rispetto dei principi e delle regole previste dal regolamento europeo, deve essere in grado di comprovarne il corretto adempimento.

Il Sindaco dovrà, quindi, valutare ex ante il rischio inerente a tutte le attività di trattamento[31], adottare una serie di misure tecniche ed organizzative adeguate[32] al contesto e alle specifiche circostanze in cui avviene il trattamento dei dati, nonché specificare le attività, formalizzare i compiti all’interno di una organizzazione idonea a soddisfare la regola della competenza.[33]

L’approccio all’adempimento da parte degli Enti locali dovrà essere tecnologico e garantire un adeguamento della struttura organizzativa a partire dalla figura del data protection officer[34], di nomina obbligatoria, fino ad arrivare alla formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo, passando per la ri-organizzazione di tutto quanto possa avere un impatto sui dati personali.

In buona sostanza, viene a delinearsi, in ragione dell’operatività del principio di accountability, un insieme di precetti che impongono al titolare del trattamento l’adozione di misure di sicurezza indispensabili ad evitare un abuso del diritto di accesso ovvero un uso non conforme a quello consentito dalla legge per finalità istituzionali connesse all’esercizio del mandato di consigliere; che prescrivono la tutela del sistema informatico comunale e dei dati dallo stesso gestiti, e che  prevedono uno specifico intervento del Sindaco volto alla predisposizione di una formale nomina al trattamento e una conseguente predisposizione di un’attività finalizzata alla specifica formazione del designato.

Con riguardo al caso di specie, posto che i consiglieri comunali e provinciali anche di minoranza hanno il diritto di accedere a tutti i documenti, atti e provvedimenti, non già per la sola circostanza di rivestire la carica di consigliere comunale[35], ma piuttosto in quanto l’istanza risulti utile all’espletamento del loro mandato in conformità all’art. 43 TUEL[36], l’istanza del Consigliere comunale di minoranza, tesa all’ottenimento dell’accesso diretto al protocollo informatico appare, ad una prima lettura, legittima.

Tuttavia, l’esercizio del diritto di accesso da parte dei consiglieri potrà essere considerato come lecito trattamento autorizzato di dati e di informazioni funzionali al perseguimento di finalità istituzionali, a condizione che l’accesso stesso risulti essenziale, compatibile ed effettivamente utile per lo svolgimento del mandato.[37]

In tal senso, si rileva come la non applicabilità di limitazioni legate alla qualifica dei soggetti richiedenti l’accesso, appare evidente in base a quanto emerge a chiare lettere relativamente al fatto che le finalità politiche ovvero di interesse generale giustifichino la mancata applicazione dei filtri all’ostensione dei documenti amministrativi previsti per i cittadini.

Questi filtri operando in via preventiva consentano di bilanciare l’accesso con la riservatezza di terzi coinvolti ovvero con le esigenze di funzionalità dell’ente, mentre il solo limite riconosciuto al consigliere è quello del riserbo, che opera ex post, ossia quando ha avuto già conoscenza delle informazioni.

Per altro, la nuova normativa europea nell’imporre, ai sensi dell’art. 5, co. 1, lett. c, del GDPR, che i dati personali siano sempre essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, si affianca alla disciplina di settore nella medesima prospettiva di protezione dei dati personali contenuti all’interno dei documenti amministrativi.

Spetta quindi all’amministrazione destinataria della richiesta accertare l’ampia e qualificata posizione di pretesa all’informazione ratione officii del consigliere comunale.

Assolto tale onere, per quanto concerne l’adozione di misure tecniche e organizzative adeguate a garantire la protezione dei dati, vi è ampia libertà di scelta dell’Ente, che ben potrebbe ritenere preferibile l’autonomia di accesso ai consiglieri, tramite la fornitura di password, ed evitare di aggravare l’ordinaria attività amministrativa, oppure potrebbe considerare, al contrario, tale modalità inidonea a snellire le incombenze.

Nell’odierna fattispecie la valutazione Comune si è orientata nel senso di consentire l’accesso diretto presso la sola sede dell’Ente, attraverso una postazione e un dispositivo della medesima amministrazione, appositamente predisposto dal responsabile dei sistemi informativi, con tutte le cautele necessarie, a livello informatico per evitare rischi di violazione delle misure di sicurezza e diffusione non autorizzata di dati.

In tal senso, il Sindaco ha ritenuto che l’accesso diretto possa essere consentito in relazione ai soli dati di sintesi ricavabili dalla consultazione telematica del protocollo, non potendo essere automaticamente esteso al contenuto della documentazione, la cui acquisizione rimane assoggetta alle ordinarie regole in materia di accesso (tra le quali la necessità di specifica richiesta). Più in particolare, i documenti e i dati allegati a quelli oggetto di registrazione nel protocollo e acquisiti a mezzo di scansione risulterebbero immediatamente fruibili mediante la consultazione del protocollo, anche laddove contenenti dati particolari. Per contro, gli allegati non ancora scansionati non sarebbero accessibili mediante la diretta consultazione al protocollo, e per questi atti, risulterebbe invece, necessaria la richiesta ostensiva seguita dalla messa a disposizione del documento al fine della visione/estrazione di copia.

Inoltre, il titolare del trattamento, di concerto con il responsabile del settore informatico, ha previsto che fosse garantito l’accesso agli atti particolari a protocollo interno riservato, con la previsione delle modalità dirette ad oscurare i dati particolari ove presenti.

Ne consegue che il membro del Consiglio, non potrà vantare alcun diritto all’accesso diretto al sistema informatico dalla propria abitazione, o da altro luogo esterno alla rete informatica del Comune, risultando prevalente il diritto dell’amministrazione di garantire la sicurezza del proprio sistema e delle informazioni e dei dati detenuti nell’esercizio delle funzionalità istituzionali[38].

Per quanto concerne, invece eventuali altre richieste dirette ad ottenere, ad esempio, l’ostensione di tutti i documenti detenuti dall’amministrazione è opportuno osservare che, al di là delle valutazioni su una esagerata richiesta di conoscere e informarsi su tutti i settori dell’attività amministrativa, in ogni caso, bisogna prendere atto di attività già eseguite dal Comune, espletatasi nella trasmissione e ostensione dei documenti a disposizione, sia nell’apertura di nuovi procedimenti, intesi ad acquisire maggiori conoscenze, allo stato non disponibili.

Pertanto, dovrà ritenersi ammissibile l’ostensione di soli atti esistenti presso l’Ente, senza poter pretendere che l’Amministrazione costruisca una documentazione allo stato non ancora esistente.

Infatti, pur ritenendo che la nozione di “notizie e informazioni” sia più lata della nozione di “documenti” ravvisabile nell’art. 22 della l. n.241 del 1990 – e cioè ogni elemento conoscitivo in possesso dell’amministrazione, anche non riferibile alle competenze del Consiglio Comunale, perché sempre inerente al munus rivestito e non solo i provvedimenti adottati, ma anche gli atti preparatori, anche di provenienza privata, anche in tale situazione soggettiva speciale non può non valere il principio[39] secondo cui il rimedio dell'accesso non può essere utilizzato per indurre o costringere l'Amministrazione a formare atti nuovi rispetto ai documenti amministrativi già esistenti, ovvero a compiere un'attività di elaborazione di dati e documenti, potendo essere invocato esclusivamente al fine di ottenere il rilascio di copie di documenti già formati e materialmente esistenti presso gli archivi dell'Amministrazione che li possiede[40].

L’aspetto maggiormente rilevante al fine di realizzare con pienezza la protezione dei dati personali nell’ambito dell’esercizio del diritto di accesso dei Consiglieri comunali e provinciale è legato all’operatività dell’art. 25 GDPR.

Quest’ultima disposizione, nel richiedere al titolare del trattamento l’adozione di misure specifiche dirette a modulare l’esercizio del diritto informazione sulla base della specifica normativa di settore e di quella relativa alla protezione dei dati personali, potrebbe porsi in posizione antagonista rispetto al diritto di cui all’art. 43 Tuel.

Difatti, se per un verso l’accesso ai documenti amministrativi da parte del Consigliere comunale, in relazione alle finalità sottese al munus pubblico, può dirsi, in tesi, scevro da limiti, dall’altro la questione vira inevitabilmente in direzione della necessaria protezione dei dati personali contenuti in documenti amministrativi del Comune, che pone, in capo al titolare del trattamento, il rispetto di una pluralità di obblighi, allo scopo di realizzare la cd. privacy by default e by design.

In tal senso, il nuovo regolamento europeo sulla protezione dei dati personali, nell’affermare il principio dell’accountability, con cui intende informare a trasparenza e responsabilità l’operato dei soggetti, richiede che il titolare, sia in grado di dimostrare di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati, anche attraverso l’elaborazione di specifici modelli organizzativi, la cui mancata attuazione ha delle pesanti ricadute in termini di responsabilità.

Più in generale, può dirsi che il lecito trattamento dei dati personali, non possa prescindere da un atteggiamento proattivo imputabile al titolare del trattamento, come pure, in misura differente, ascrivibile a tutti gli altri soggetti a cui la normativa affida il compito della protezione.

Una prima conseguenza dell’applicazione di questo modello, sotto un profilo formale, si palesa nella necessità di porre in essere un’attività diretta ad inquadrare, all’interno dell’organigramma privacy, così come delineatosi per effetto dell’entrata in vigore del Regolamento Europeo 679/16, la posizione del soggetto, il quale, nell’esercitare il proprio diritto, impatta in documenti della pubblica amministrazione che contengono dati personali.

Una siffatta operazione viene richiesta, in generale, ogni qual volta si presenta la necessità di instaurare una relazione fra un soggetto a cui viene affidato il compito di trattare i dati personali e i dati medesimi.

Infatti, la sussistenza dell’obbligo di predisposizione di misure organizzative adeguate nell’ottica della realizzazione della privacy by design, comporta la designazione formale del Consigliere, il quale dovrà essere nominato con apposito atto allo svolgimento di specifici compiti e funzioni, di fatto riconducibili alle materie di cui all’art. 43 tuel, e connesse al trattamento dei dati personali, ai sensi del GDPR e dell’art. 2-quaterdecies del decreto di adeguamento 101/2018.

Invero, il regolamento europeo, pur non prevedendo espressamente la figura dell'incaricato del trattamento, così come era in origine dall’art. 30 del Codice Privacy, non ne esclude la possibile esistenza, in ragione dell’esplicito riferimento al terzo inteso come le «persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile» di cui all’art. 4, n. 10 del GDPR-

L'emanazione del dlgs 101/18, ha comportato, per espressa volontà del legislatore italiano, una reviviscenza della figura autonoma dell'incaricato del trattamento, circostanza che non si rinviene in nessuna delle altre legislazioni degli Stati membri dell’Unione[41], ma che lo stesso Garante italiano ha ritenuto perseguibile, in quanto le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di accountability di titolari e di responsabili, che prevede l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella sua interezza.[42]

I soggetti attivi vengono, in tal modo, chiamati ad adottare, misure tecniche e di sicurezza organizzative, ovvero di dotarsi di modelli di organizzazione ed imprenditoriali tali per cui la riservatezza, l’integrità, la disponibilità dei dati siano garantite per tutto il corso del trattamento.

Non soltanto, quindi, sarà necessario stabilire l’esatta distribuzione delle responsabilità tra titolare (e responsabile) e designato, ma assume un peso rilevante l’attività di formazione di ogni soggetto autorizzato a trattare i dati personali che dovrà ricomprendere sia l’istruzione materiale su cosa c’è da fare e sia le informazioni sui rischi potenziali, nonché provvedere all’adozione di politiche quali policy, disciplinari, linee guida e circolari.

In tal senso, il Titolare, pur mantenendo la responsabilità ultima, ha il potere, nell’ambito del proprio assetto organizzativo di assegnare specifici compiti e funzioni connessi al trattamento a persone fisiche espressamente designate, ovvero nominare obbligatoriamente i soggetti preposti al trattamento.

L’incaricato assume tale veste non in conseguenza ad uno stato di fatto, bensì solamente a seguito di una decisione presa dal titolare e di espressa designazione[43].

Il ruolo dell’incaricato, pertanto, non deriva dalla natura di un soggetto che tratta dati personali, ma dalla sue attività concrete in un contesto specifico ed in relazione a determinate serie do dati od operazioni. Nell´ambito di tale configurazione del rapporto, il soggetto autorizzato è legittimato ad utilizzare i dati in possesso della struttura pubblica, rimanendo però vincolato ad usarli per le sole finalità perseguite dall´amministrazione e sulla base del particolare regime previsto per quest´ultima.[44]

L’esigenza di designazione, che soddisfa il solo requisito formale, rappresenta un passaggio necessario e preliminare alla successiva fase, di natura sostanziale, diretta alla istruzione, formazione ed informazione dei soggetti designati al trattamento dei dati personali.

Più in particolare, la previsione regolamentare riconducibile alla figura dell’incaricato prevede, ex art. 28, paragrafo 3, lettera b), la garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, mentre gli articoli 29, e 32, paragrafo 4 riguardano un generale obbligo di istruzione.

Si delinea un preciso obbligo di formare gli addetti autorizzati al trattamento dei dati, che concerne due aspetti: l'ordine di servizio, ossia le istruzioni in materia di sicurezza di cui all’art. 32[45], e le necessarie informazioni per poter eseguire gli ordini nel rispetto del trattamento dei dati, il cd. obbligo di formazione del personale di cui all’art. 29[46].

In un tale intreccio, si innesta anche la funzione diretta alla sensibilizzazione e alla formazione del personale che l’art. 39 assegna al data protection officerunitamente all’attività di controllo e di  vigilanza sull’osservanza del regolamento.

In tal modo, la protezione di dati si palesa come una catena solida non soltanto nelle sue maglie principali, di titolare e di responsabile, ma anche in quelle che riguardano gli incaricati, ovvero designati secondo la nuova normativa, i quali contribuiscono sensibilmente alla tenute della protezione.

L’autorizzato al trattamento, anello più debole di questa catena, viene ad atteggiarsi come una figura sostanzialmente passiva che si troverà, tanto incidentalmente quanto sistematicamente, a compiere attività istituzionali dell´amministrazione con limitati margini di autonomia in ordine al concreto svolgimento del servizio e a scelte tecnico-operative, senza essere onerato da specifiche responsabilità circa l’organizzazione e la dotazione di mezzi e risorse necessarie allo svolgimento dell’incarico richiesto.[47]

Proprio tale circostanza, impone che le attività di istruzione, formazione ed informazione per coloro che materialmente eseguono le operazioni di trattamento dei dati si configurino come fondamentali: è l’incaricato colui che vanta le maggiori possibilità di causare un danno.

I soggetti che trattano dati personali devono farlo con cognizione di causa, conoscenza e competenza sufficienti a garantire la riservatezza e la protezione dei dati ed ad evitare data breach.

Pertanto, se da un lato l’istruzione punta più sull’apprendimento tecnico-pratico che, non solo consente di apprendere una serie di nozioni relative ad una materia, ma permette anche di imparare l’esercizio nella pratica di una particolare attività, dall’altro la formazione persegue più lo sviluppo delle competenze (secondo metodi strutturati, comprovati ed efficaci) per dare letteralmente “forma” ad una persona nel senso di contribuire a stimolarne la crescita.

Entrambe le attività, l’una per il taglio pratico, l’altra indirizzata a fornire strumenti teorici, sono volte a creare il bagaglio di conoscenze comunque indispensabili anche nel modo privacy.

Spetta, dunque, al titolare del trattamento rilevare i fabbisogni informativi in funzione delle competenze necessarie ed in relazione agli obiettivi, oltre che in ragione della innovazione normativa e tecnologica.

In tale senso, sarebbe opportuno, in analogia con quanto già accade in altri settori, strutturare un piano formativo, contenente le esigenze formative di tutto il personale, compreso quello collocato in posizione apicale, in virtù del fatto che la materia relativa alla protezione dei dati personali ha un impatto determinante in tutti i settori in cui agisce l’ente comunale.

Nella predisposizione delle iniziative di formazione e di aggiornamento, che potranno essere gestite internamente, ovvero assegnate a soggetti specializzati, appare opportuno modulare le sessioni in considerazione della effettiva conoscenze della materia, e non limitarsi ad offrire una apparente formazione di facciata.

Nei contesti meno complessi può essere sufficiente una dettagliata serie di istruzioni scritte, in altri casi potrebbe rivelarsi opportuna la fruizione di sessioni formative erogate da un soggetto, che abbia una adeguata conoscenza della materia.

Tuttavia, laddove il ruolo demandato agli addetti sia critico in virtù della particolare attività svolta, sarà indispensabile affidare la formazione a dei professionisti, compreso il DPO, che sappiano impartire, con semplicità e incisività, le conoscenze utili al contesto di specie.

Orbene, nel caso in commento , nonostante la previsione legislativa non faccia espresso riferimento alla forma scritta, il Sindaco, quale titolare del trattamento, in virtù del principio dell’accountability e di quel peculiare obbligo di dover rendere conto, provvederà, attraverso un atto scritto di designazione, a formalizzare la posizione del Consigliere.

In tal senso, è opportuno rilevare che in assenza di una formale designazione come soggetto designato al trattamento, i dipendenti delle pubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazioni stesse, con conseguenti rilevanti limiti per la comunicazione e l´utilizzazione dei dati e quindi per la liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di considerare legittimo il flusso delle informazioni personali nell´ambito degli uffici e tra i dipendenti dell´amministrazione titolare del trattamento.[48]

Invero, l’attività di designazione, unitamente a quella prevista di formazione, ma più in generale di revisione della privacy policy, deve riguardare anche altri aspetti della vita dell’Ente locale, quale può essere, a titolo meramente esemplificativo, ma decisivo per le criticità che pone, quello relativo agli studenti che in conseguenza della convenzione sottoscritta con istituti scolastici superiori partecipano a progetti di alternanza scuola-lavoro.

Infatti, sotto un profilo privacy, l’alternanza scuola-lavoro non interessa solo gli istituti di istruzione secondaria stricto sensu, ma anche quelle realtà come enti privati o pubblici che accolgono gli studenti, i quali nella maggior parte dei casi sono minori e sono ontologicamente bisognosi di formazione.


CONCLUSIONI

La disamina delle questione ha fatto emergere come il concetto di finalità sia il perno attorno al quale ruota la normativa nazionale di settore che, ex art. 43 T.U.E.L., nell’attribuire il diritto di accesso al Consigliere comunale e provinciale, finisce, per effetto degli interventi giurisprudenziali, con ampliarne l’oggetto, tanto da far ritenere sussistente, in capo al membro del Consiglio, un diritto ad essere informato su tutto quanto sia necessario allo svolgimento del munus pubblico dallo stesso rivestito.

Invero, è la previsione dell’obbligo del riserbo ad intervenire per riportare quella conoscenza, tanto amplia e tanto delicata, nell’alveo della riservatezza.

Tuttavia, tale intervento precettivo non pare essere sufficiente a rispondere alle esigenze di protezione dei dati richieste dal regolamento europeo che, pur facendo leva sulla finalità del trattamento, prescrive in capo al titolare del trattamento l’adozione di adeguate misure tecniche e organizzative, tali da prevenire eventuali data breach e soddisfare l’obiettivo della protezione dei dati personali.

Infatti, nell’ambito dell’Ente comunale, sia per quanto concerne il Consigliere comunale/provinciale e sia nelle ipotesi altre di soggetti, pure minori, coinvolti nel trattamento dei dati personali detenuti dal Comune, la disciplina europea, così come integrata per effetto del D.Lgs 101/2018, impone, al Sindaco, di dar prova dell’esistenza di una nomina del soggetto quale autorizzato al trattamento.

Tale atto unilaterale, pur trattandosi di un passaggio necessario finisce, però, con il soddisfare il solo requisito formale che è preliminare alla successiva fase di natura sostanziale, diretta all’istruzione, formazione ed informazione dei soggetti designati al trattamento dei dati personali.

In questo contesto, il ruolo svolto dal data protection officer, è di fondamentale importanza, in quanto, di concerto con il titolare del trattamento, opera nel senso di traghettare l’Ente verso una moderna «cultura di protezione dei dati personali», intesa come controllo effettivo dei dati personali degli interessati, e non più come mera non intromissione.

In buona sostanza, la concreta e reale protezione si potrà realizzare soltanto attraverso l’adozione di comportamenti proattivi imposti: al titolare del trattamento, in misura determinante, allo stesso interessato e agli altri soggetti ricompresi nell’organigramma privacy, ciascuno secondo le proprie competenze e responsabilità.

In un tale scenario, tuttavia, permangono molteplici criticità.

In prima analisi, occorre sottolineare che l’effettiva realizzazione delle cautele previste dal Regolamento europeo è cosa ben diversa dal susseguirsi di adempimenti di stampo burocratico-amministrativo da parte dei dirigenti, funzionari e impiegati, alla cui stregua si sono ridotte le previsioni del regolamento medesimo.

Il ruolo della protezione dei dati personali affidato alle pubbliche amministrazioni, che possiedono impressionanti quantitativi di dati, sia comuni che particolari, è stato percepito come un frustrante insieme di seccature relative ad eventi, i dati breach, lontani ed improbabili.

Questa visione dei data breach, ritenuti accidenti imprevisti, viene smentita dalla realtà, in cui, molto spesso, gli attacchi informatici a pubbliche amministrazioni, quando non rimangono in sordina, sono conseguenze di negligenze, anche gravi, nelle più basilari forme di rispetto degli standard minimi di sicurezza dei dati personali.

A ciò deve aggiungersi, per rendere l’idea di quanto il problema della protezione dei dati sia quasi sempre preso sotto gamba, l’importanza assegnata dagli enti territoriali alla figura dell’RPD (Responsabile per la Protezione dei Dati).

L’art. 37, paragrafo 1, lettera a) del GDPR dispone espressamente l’obbligo di nominarne uno quando il trattamento dei dati personali sia effettuato da un’Autorità pubblica, senza ulteriormente soffermarsi sulle modalità esecutive della nomina stessa, o dell’incarico, che restano affidate ai principi di diritto, non avendo quello italiano, dal canto suo, aggiunto nulla alla previsione del Regolamento.

Il successivo articolo 38 descrive le caratteristiche di una tale figura all’interno della realtà amministrativa, di fatto delineando una posizione organizzativa particolarmente delicata, specializzata e con compiti di responsabilità.

Tuttavia, la scelta di preferire un soggetto interno all’amministrazione, anziché affidare l’incarico ad un professionista esterno, adducendo motivazioni di carattere economico-finanziario, di fatto, non ha favorito il venir meno di eventuali conflitti di interesse o problematiche legate al rapporto fra titolare del trattamento e RDP, dipendente del titolare.

L’aver preferito un RPD interno, scelta propria del titolare del trattamento, significa aver sottovalutato la previsione dell’autonomia e della indipendenza che la norma prevede, e che in un contesto di subordinazione lavorativa, appare assai difficile da realizzarsi concretamente.

Queste circostanze sono la rappresentazione tangibile di quanta effettiva utilità  pratica venga assegnata al DPO, dello sguardo corto con cui vengono assunte le decisione sulla protezione dei dati all’interno degli Enti Locali, pur riconoscendo l’esistenza di Enti virtuosi e diligenti.

Quel che, di fatto, è accaduto nella stragrande maggioranza delle amministrazioni italiane è stato designare soggetti spesso privi delle necessarie competenze, senza una specifica posizione organizzativa e in palese conflitto di interessi con il titolare del trattamento, riducendo tali figure, anziché a un’opportunità per nuovi posti di lavoro e/o una efficace tutela dei dati personali, a meri “titoli” vuoti, malpagati o non remunerati e comunicati all’Autorità Garante solo come specifico adempimento burocratico.

Ed anche quando, invece, la scelta è caduta su soggetti capaci e intenzionati a portare avanti un progetto di adeguamento privacy, dall’altro lato tale atteggiamento proattivo è stato percepito come una fastidioso intralcio alle ordinarie attività amministrative, e non invece come una occasione da cogliere al volo.

In tal senso, appare necessario ribadire che l’adozione di comportamenti omissivi da parte del titolare del trattamento ha delle pesanti ripercussioni in termini di responsabilità ai sensi dell’art.83, ad esempio per violazione dell’art. 32 del GDPR.

Oltre ad una responsabilità amministrativa a titolo personale, il titolare del trattamento incorre anche in una responsabilità per culpa in eligendo, qualora il responsabile da lui designato sia carente delle caratteristiche e delle competenze di cui all’art. 28 gdpr, e in una responsabilità per culpa in vigilando rispetto alla mancata adozione, da parte del responsabile di misure di sicurezza adeguate. Anche sotto questo profilo, si evidenzia la centralità del ruolo del titolare del trattamento che diventa un vero protagonista attivo della protezione dei dati personali in conseguenza dell’applicazione del principio dell’accountability.


DOCUMENTO DATA PROTECTION OFFICER: LETTERA DI NOMINA DEL DESIGNATO AL TRATTAMENTO DEI DATI PERSONALI.

COMUNE DI DISTÒPIA

 

Lettera di nomina del designato al trattamento dei dati personali

 

Ai sensi del nuovo Regolamento Europeo 679/2016, in materia di protezione dei dati personali

- Premesso che, l’art. 4 (punto 10) prevede espressamente l’esistenza di “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del Titolare e del Responsabile del trattamento”;

- Rilevato che, l’art. 29 stabilisce che chiunque agisca sotto l’autorità del Titolare o del Responsabile del trattamento ed abbia accesso a dati personali non possa trattare tali dati se non è istruito in tal senso dal Titolare del trattamento;

- Rilevato che, il medesimo obbligo viene ribadito al paragrafo 4 dell’art. 32 che, invece, al suo paragrafo 1 stabilisce in capo al Titolare e al Responsabile del trattamento l’obbligo di “mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”;

 

- Considerato che, l’art.2 quaterdecies del Codice Privacy, così come modificato dal D.lgs 101/18, statuisce al comma 1 che: “ Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”,  mentre al 2 comma prevede che “ Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Il Comune di Distopia (TNA), quale Titolare del trattamento dei dati, nella persona del Sindaco, Avv. BIANCO Giorgetto in qualità di soggetto legittimato a manifestare all'esterno tale titolarità

 

N O M I N A

 

il dott. RxxxxI Mario, nella sua funzione di Consigliere Comunale, quale soggetto autorizzato al trattamento dei dati personali presso il medesimo Ente, Comune di Distopia, ai sensi e per gli effetti dell’art. 43 dlgs 267/2000 e relativamente all’accesso al protocollo informatico generale, nonché rispetto a specifiche istanze che verranno previamente sottoposte al Titolare.

 

In qualità di soggetto autorizzato dal Titolare, il dott. Rossi, svolgerà le proprie attività in piena autonomia, uniformandosi strettamente alle istruzioni da quest’ultimo impartite, come di seguito indicate:

- il trattamento dei dati deve essere effettuato in modo lecito e corretto;

- i dati personali devono essere visionati, raccolti, registrati, ovvero duplicati, unicamente per finalità inerenti l’attività svolta;

- è necessaria la verifica costante dei dati ed il loro aggiornamento;

- è necessaria la verifica costante della completezza e pertinenza dei dati trattati;

- devono essere rispettate le misure di sicurezza predisposte dal Titolare o dal Responsabile del trattamento, qualora vi fosse;

- in ogni operazione del trattamento deve essere garantita la massima riservatezza ed in particolare:

- è fatto divieto di comunicazione e/o diffusione dei dati senza la preventiva autorizzazione del Titolare o del Responsabile del Trattamento;

- l’accesso ai dati dovrà essere limitato all’espletamento delle attività così come specificate ai sensi dell’art. 43 tuel, esclusivamente presso la sede del Comune, negli orari e secondo le modalità indicate dal Titolare del trattamento.

- in caso di interruzione, anche temporanea, delle attività, è necessario verificare che i dati trattati non siano accessibili a terzi non autorizzati;

- le credenziali di autenticazione fornite per l’accesso al protocollo informatico devono essere riservate.

Gli obblighi relativi alla riservatezza, alla comunicazione ed alla diffusione dovranno essere osservati anche successivamente alla cessazione dell’incarico di consigliere.

Alla luce di quanto su esposto, si provvede alla nomina di soggetto designato al trattamento ed in base a tale designazione si autorizza al compimento delle operazioni di trattamento sotto elencate, con l’avvertimento che lo stesso dovrà operare osservando le direttive del Titolare e nel rispetto dei principi di cui in premessa:

- prendere visione ed estrarre eventuale copia dei documenti di cui al protocollo informatico detenuti presso l'Ente avendo cura che l’accesso ad essi sia realizzato dal solo soggetto autorizzato.

Il trattamento di cui al punto precedente è finalizzato all’esercizio del mandato di cui all’art. 43 dlgs 267/2000.

L’autorizzato si impegna a segnalare al Titolare con tempestività eventuali anomalie, incidenti, furti, perdite accidentali dei dati rispetto ai quali vi potrebbero essere ricadute sul trattamento dei dati personali, al fine di attivare le procedura di comunicazioni all’Autorità Garante.

Qualsiasi altra informazione può essere fornita dal Titolare che sovrintenderà all'attività di formazione.

Si precisa che la presente nomina non comporterà l’assunzione di alcun vincolo contrattuale a carico del Comune ne alcun impegno di spesa per l’attività svolta.

Distòpia, lì ___ / ___ / 20___

 

                                                                                                  Il Titolare del trattamento


NOTE

[1] F. TURATI, in Atti del Parlamento Italiano, Camera dei Deputati, sess. 1904-1908, 17 giugno1908, p. 22962.

[2] Con open government si fa riferimento ad un modello di amministrazione improntato non solo su principi di conoscibilità ( e, dunque, alla trasparenza), ma anche a dinamiche di comunicazione e a modelli di relazione “aperti”, e quindi “ a forme di interazione basate su bi-direzionalità, condivisione e partecipazione ai processi decisionali dell’amministrazione”, resi ora possibili ( e più agevoli) grazie ai nuovi strumenti digitali. In http://scienzepolitiche.unipg.it/tutor/uploads/parte_i_-_open_government_pdf.pdf  par. 2.

[3] L'accountability si qualifica come specifica forma di responsabilità verso gli amministrati e definisce un obbligo in capo ai funzionari pubblici di rendere conto alla collettività della loro amministrazione.

[4] Considerando 4 del RU 679/2016.

[5] Considerando 154 del RU 679/2016

[6] E. BARBA, Privacy e trasparenza:due diritti speculari, in http://www.salvisjuribus.it/privacy-e-trasparenza-amministrativa-due-diritti-speculari/

[7] T.A.R. Toscana, sez. I 11 novembre 2009, n. 1607; Cons. di Stato, sez.V, 9 dicembre 2004 n. 7900.

[8] T.A.R. Campania Salerno, sez. II, giugno 2013, n.1234.

[9]M. CIOMMOLA, Il diritto di accesso dopo la legge n. 15del 2005: natura, soggetti legittimati ed ambito applicativo, in http://amministrazioneincammino.luiss.it/app/uploads/2010/04/15502_diritto-di-accesso-ciammola.pdf

[10] Art. 22 L. 241/90 del 7.08.1990 conferisce ai soggetti privati (compreso i portatori di interessi pubblici  o diffusi, il diritto di prendere visione  e/o estrarre copia dei documenti già nella disponibilità della Amministrazione.

[11] Art. 10 del T.U.E.L. del 18.08.2000  n. 267/2000, ha stabilito che tutti gli atti dell’Amministrazione comunale e provinciale sono pubblici ad eccezione di quelli riservati per legge ovvero in ragione di una motivata dichiarazione del Sindaco o del presidente della provincia che ne vieti l’esibizione in quanto la loro diffusione possa pregiudicare il diritto alla riservatezza delle persone, dei gruppi o delle imprese.

[12]Il documento amministrativo è ogni rappresentazione grafica, fotocinematografica, elettromagnetica, o di qualunque altra specie del contenuto di atti anche interni o non relativi a uno specifico procedimento detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale art. 22 comma 1 lettera d L. 241/90).

[13]Art. 22 lettera d) L. 241/90 «per "documento amministrativo", ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale».

[14] Cass. Civ. Sez. III, sent. n. 8480 del 03.08.1995.

[15] Cons. di Stato. n. 6963/2010.

[16] Si tratta di atti preordinati all'emanazione di provvedimenti normativi, quali ad esempio i regolamenti comunali, ovvero i provvedimenti amministrativi generali (es., bandi di gara), nonché pianificatori, programmatori e tributari (ad esempio, P.R.G., ovvero delibera giuntale di aumento dell'aliquota I.C.I.).

[17]Art. 24 della legge n. 241/1990 come da ultimo modificata dalla legge n. 15 dell'11 febbraio 2005; Cons. Stato, Sez. VI, 2 aprile 1998, n. 426.

[18]Cons. Stato, Sez. V, 20 ottobre 2005, n. 5879

[19]Cons. Stato, sez. V,  5 settembre 2014, n. 4525; Tar Emila Romagna, Bologna, sez. II, 4 marzo 2013 Cons. Stato, Sez. IV, 12 febbraio 2013, n. 846; Cons. Stato, Sez. V, 20 ottobre 2005, n. 5879.

[20] T.A.R. Sicilia, Catania, sez. IV, 21 febbraio 2012, n. 734.

[21]Con riferimento alle possibili sovrapposizioni con l’esercizio dell’attività giudiziaria, occorre chiarire che l’accesso generalizzato riguarda, atti, dati e informazioni che siano riconducibili a un’attività amministrativa, in senso oggettivo e funzionale. Esulano, pertanto, dall’accesso generalizzato gli atti giudiziari, cioè gli atti processuali o quelli che siano espressione della funzione giurisdizionale, ancorché non immediatamente collegati a provvedimenti che siano espressione dello “ius dicere”, purché intimamente e strumentalmente connessi a questi ultimi. (Linee Guida n. 1309/2016, par. 7,6)

[22] Consiglio di Stato, sez. V, 4 maggio 2004, n. 2716, Tar Trentino Alto Adige, Trento, Sez.I, 7 maggio 2009, n.143.

[23] Consiglio di Stato, Sez. V, n. 5931 del 11.12.2013.

[24] A tale proposito è stato ritenuto legittimo il provvedimento con il quale è stata rigettata una richiesta di accesso avanzata da alcuni consiglieri comunali riguardante un cospicuo numero di copie di "documenti ritenuti utili", risultata non coerente con il mandato ed i compiti, definiti dalla legge, per i predetti soggetti configurandosi, come una forma di controllo specifico e non già inerente alle funzioni di indirizzo e controllo politico amministrativo.

[25] Tuttavia, il limite di natura organizzativa non può essere eccepito dall’organizzazione a ragione del diniego dell’accesso, proprio perché le difficoltà organizzativa rientra tra gli adempimenti a carico dell’Amministrazione pubblica e quindi ogni singola struttura dovrà dotarsi di tutti i mezzi necessari all’assolvimento dei loro compiti necessari all’assolvimento dei loro compiti (T.A.R. Calabria –Catanzaro-, sez. II, 16 gennaio 2014, n. 77).

[26] Consiglio di Stato, n.5895 del 2011

[27]L’introduzione di sistemi informatici per la gestione dei flussi documentali determina un cambiamento profondo riguarda la diversa metodologia di lavoro che l’amministrazione dovrà adottare basata sulla classificazione dei documenti acquisiti o prodotti. Nell’attribuire un numero di protocollo al documento, sarà necessario classificarlo in modo da creare, sin da subito, un collegamento tra il documento, il fascicolo e il relativo procedimento, rendendo agevole il reperimento delle informazioni e dei file all’occorrenza e favorendo una efficiente organizzazione e indicizzazione dei documenti in ciascuna amministrazione. Inoltre, l’utilizzo di criteri uniformi di classificazione e di archiviazione dei documenti favorisce una più efficiente comunicazione tra gli Uffici della stessa amministrazione, soprattutto quando il procedimento interessa più unità. Il documento informatico deve assumere le caratteristiche dell’integrità (deve essere completo e inalterato) e dell’immodificabilità (deve essere garantita la non alterabilità del documento nella forma e nel contenuto). Tali caratteristiche vengono garantite a ciascun documento amministrativo informatico anche attraverso:

- registrazione di protocollo, ossia l’attribuzione di un codice identificativo di almeno sette cifre numeriche;

- segnatura di protocollo, che viene apposta all’originale e, oltre a richiamare il progressivo e la data di protocollo, identifica l’amministrazione o l’area organizzativa che ha prodotto il documento;

- classificazione, per associare i documenti ai fascicoli che dovranno contenerli e ai relativi procedimenti.

Una volta inseriti nel sistema di gestione documentale, i documenti, i fascicoli e/o eventuali aggregazioni documentali informatiche devono essere trasferiti al sistema di conservazione (attraverso la generazione di un pacchetto di versamento) per essere conservati nell’archivio corrente; successivamente i documenti, fascicoli e/o eventuali aggregazioni documentali vengono riversati nell’archivio di deposito costituito presso ciascuna amministrazione. Più precisamente, il trasferimento al sistema di conservazione avviene quotidianamente e genera il registro giornaliero di protocollo con l’elenco delle registrazioni di protocollo giornaliere, mentre il riversamento nell’archivio di deposito dei documenti, fascicoli e/o aggregazioni documentali avviene almeno una volta all’anno rispettando l’organizzazione che i fascicoli e le serie hanno nell’archivio corrente. Infine, i documenti selezionati per la conservazione permanente vengono trasferiti nell’archivio storico ossia negli Archivi di Stato competenti per territorio o nella separata Sezione di archivio, secondo quanto previsto dalle vigenti disposizioni in materia di beni culturali.  In https://www.forumpa.it/pa-digitale/protocollo-informatico-a-regime-entro-agosto-2016-come-cambia-il-lavoro-pubblico/

[28] M. LUCCA, Considerazioni metodologiche sul diritto di accesso del consigliere comunale http://www.segretarientilocali.it/nuovo/A2014/Doc/Lucca_DirittoAccesso.pdf

[29] Relazione del Garante della Privacy del 2004 p. 19-20 in https://www.garanteprivacy.it/documents/10160/10704/1093820.pdf/3d910c3a-a834-49bf-b682-d016ce568dfa?version=1.0

[30] In senso opposto, si legge che «L’intreccio tra ruolo e attività del titolare del trattamento e ordinamento de gli Enti locali porta quindi inevitabilmente a non individuare il titolare nel sindaco, ma ad un modello di “titolare diffuso”, esattamente come avviene per le altre funzioni dell’ente. Occorre cioè che il lungo elenco delle “mansioni”del titolare venga allocato all’organo che secondo l’ordinamento ha il titolo per farlo». In  A. L. TIRABASSI, L’attuazione del GDPR. Un modello organizzativo per gli Enti locali, in Azienditalia 7/2018, 991 ss.

[31] Art. 35 RU 679/2016, GDPR e NORMATIVA PRIVACY  a cura di G. M. RICCIO, G. SCORZA, E. BELISARIO, Wolters Kluwer 2018, 322 ss.

[32] Art. 24 RU 679/2016, op. cit., 326 ss.

[33] A. L. TIRABASSI, op.cit.,  in Azienditalia, 7/2018, 988 ss.

[34] Art. 37 RU 679/2016, op. cit. , 339 ss.

[35] Consiglio di Stato, sez. V, 12 gennaio 2019 n. 12.

[36] T. A.R. Campania, Salerno, sez. II,  4 giugno 2013, n. 1234; T.A.R. Campania, Salerno, sez. II, 16 novembre 2011, n. 1840.

[37] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1507059

[38] In senso opposto, una recente pronuncia la giurisprudenza amministrativa è giunta ad una conclusione diversa, per cui: «l’Amministrazione comunale ha il dovere di dotarsi di una piattaforma integrata di gestione documentale, nell’ambito della quale è inserito anche il protocollo informatico. Corrispondentemente il consigliere comunale ha il diritto di soddisfare le esigenze conoscitive connesse all’espletamento del suo mandato anche attraverso la modalità informatica da accesso da remoto. (T.A.R. Campania, Salerno, sez. II, 4 aprile 2019, n.545;  T.A.R. Sardegna  4 aprile 2019, n.317.) Al ricorrente, va dunque, riconosciuto il diritto di accedere da remoto al protocollo informatico e al sistema informatico contabile dell’Ente, con corrispondente obbligo per il Comune di approntare le necessarie modalità organizzative, sia pure con le necessarie limitazioni. In particolare, al fine di evitare ogni accesso indiscriminato alla totalità dei documenti protocollati, il Collegio è dell’avviso che l’accesso da remoto vada consentito in relazione ai soli dati di sintesi ricavabili dalla consultazione telematica del protocollo, non potendo essere esteso al contenuto della documentazione, la cui acquisizione rimane soggetta alle ordinarie regole in materia di accesso(tra le quali la necessità di specifica richiesta) ». TAR. Basilicata Potenza del 10.07.2019 n. 599.

[39] Consiglio Stato sez. IV, 30 novembre 2010, n. 8359.

[40]E' legittimo il diniego dal Comune alla richiesta dei consiglieri comunali diretta all'estrazione di copie in assenza di motivazione in ordine all'esistenza dei presupposti del diritto di accesso, soprattutto in presenza di numerose e reiterate istanze volte ottenere la documentazione di tutti i settori dell'Amministrazionehttp://www.gazzettaamministrativa.it/servizicu/bancadatigari/viewnews/6cd893da-755c-11e2-89ca-5b005dcc639c

[41] ART. 2-quaterdecies Codice della Privacy, a cura di Riccardo Sciaudone, Eleonora Caravà, Pacini Giuridica, 2019, 165 ss.

[42] https://www.garanteprivacy.it/Regolamentoue/titolare-responsabile-incaricato-del-trattamento

[43]Gruppo di lavoro articolo 29 per la protezione dei dati Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento" https://www.garanteprivacy.it/documents/10160/10704/wp169+-+Parere+1+2010+sui+concetti+di+responsabile+del+trattamento+e+incaric

[44] Garante 19 dicembre 1998, in Bollettino n. 6, pag. 75, doc. web n.40313.

[45] Art. 32 par. 4 «Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri».

[46] Art. 29. «Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri».

[47] M. MASSIMINI, La figura dell’incaricato del trattamento in  https://www.privacy.it/archivio/massimini02.html

[48] Garante 23 maggio 2000, in Bollettino n. 13, pag. 21 [doc. web n.40229]


  • Giappichelli Social