g-docweb-display Portlet

Parere sullo schema di decreto legislativo recante “Attuazione della Direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell'informazione del settore pubblico" - 26 agosto 2021 [9717493]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9717493]

Parere sullo schema di decreto legislativo recante “Attuazione della Direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell'informazione del settore pubblico" - 26 agosto 2021

Registro dei provvedimenti
n. 308 del 26 agosto 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri-Dipartimento per gli affari giuridici e legislativi;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento) e, in particolare, l’articolo 36, par. 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, formulate ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Dipartimento per gli affari giuridici e legislativi della Presidenza del Consiglio dei Ministri ha richiesto, ai sensi dell’articolo 36, paragrafo 4 del Regolamento, il parere del Garante su di uno schema di decreto legislativo volto a recepire la direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio del 20 giugno 2019, relativa all’apertura dei dati e al riutilizzo dell'informazione del settore pubblico, ai sensi dell’articolo 1, comma 1 (in combinato disposto con il numero 23 dell’Allegato A) della legge 22 aprile 2021, n. 53.

La direttiva è volta ad agevolare l’utilizzo di dati aperti e il riutilizzo, a fini commerciali e non commerciali, delle informazioni detenute da pubbliche amministrazioni, organismi di diritto pubblico e, a determinate condizioni, anche imprese pubbliche, promuovendo la concorrenza e la trasparenza nel mercato dell’informazione.

Lo schema di decreto legislativo- secondo il principio di gratuità del riutilizzo dei dati pubblici- prevede, in particolare: l’incremento dell’offerta di dati pubblici a fini di riutilizzo, estesa anche ai dati della ricerca finanziata con fondi pubblici; la disponibilità di dati dinamici in tempo reale dopo la raccolta e di set di dati con un impatto economico particolarmente elevato, tramite interfacce API adeguate; la determinazione di tariffe, se necessarie, secondo specifici criteri di calcolo; misure di contenimento di nuove forme di accordi di esclusiva o disposizioni limitative della possibilità di riutilizzo dei dati pubblici.

Le disposizioni in esame vengono introdotte in forma di novella al decreto legislativo 24 gennaio 2006, n. 36, essenzialmente ampliando, tanto dal punto vista oggettivo quanto da quello soggettivo, l’ambito applicativo delle misure per il riutilizzo dei dati pubblici. In tal senso, in particolare, il regime di riutilizzo è esteso ai dati della ricerca alle condizioni precisate dall’articolo 9-bis, introdotto dallo stesso schema. Per altro verso, è esteso anche il novero dei soggetti detentori di documenti o dati pubblici da rendere disponibili al riutilizzo, con particolare riferimento a determinate categorie di imprese pubbliche.

Rilevanti anche le norme di carattere definitorio, relative in primo luogo al concetto di riutilizzo, incentrato sulla legittimazione soggettiva ampia del richiedente- il quale non dev’essere portatore di un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento del quale è chiesto l’accesso-, nonché sulla riferibilità a tutti i documenti pubblici, salvo quelli specificamente esclusi, anche in assenza di obbligo di pubblicazione ai sensi dell’articolo 5 del decreto legislativo 14 marzo 2013, n. 33.

Vengono inoltre introdotte, tra le altre, in conformità alle rispettive disposizioni della direttiva, le definizioni di dati dinamici, dati della ricerca, serie di dati di elevato valore, interfaccia tra programmi operativi (API), nonché la definizione di dati di tipo aperto, quest’ultima recante  rinvio alla nozione delineata dall’articolo 1, comma1, lett.l-ter) del decreto legislativo n. 82 del 2005.

Di particolare rilievo risulta la definizione di anonimizzazione, quale procedura  riferibile tanto ai documenti quanto ai dati personali, secondo quanto previsto dall’articolo 2, numero 7) della direttiva in recepimento.

Tra le ipotesi di esclusione del riutilizzo si annoverano, in particolare,  i documenti esclusi dall’accesso procedimentale o dall’accesso civico semplice o generalizzato (art. 3, c.1, lett.g), d.lgs. 36 del 2006, come modificato), nonché- in conformità all’articolo 1, paragrafo 2, lettera h) della direttiva)- i documenti per i quali l’accesso è escluso, limitato o comunque idoneo a pregiudicare la vita privata o l’integrità delle persone, secondo la disciplina di protezione dei dati personali, ovvero le parti di documenti per i quali è consentito l’accesso, ma che contengono dati personali il cui riutilizzo è stato definito per legge incompatibile con tale disciplina (art. 3, c.1, lett.h-quater, d.lgs. 36 del 2006, inserita dall’art.1, c.4, lett.g) dello schema di decreto). 

Si novella, inoltre, la disciplina del procedimento di esame delle richieste di riutilizzo dei documenti, delle condizioni per il diniego e dei rimedi esperibili in tal caso (art. 5 d.lgs. 36 del 2006, come modificato).

Tra gli adempimenti imposti alle pubbliche amministrazioni, agli organismi di diritto pubblico e alle imprese pubbliche al fine di garantire il riutilizzo dell’informazione del settore pubblico, vi è anche l’obbligo- sancito dall’articolo 5 della direttiva- di produrre e rendere disponibili i documenti soggetti, appunto, alla disciplina in esame secondo il principio di apertura fin dalla progettazione e per impostazione predefinita (art. 6 d.lgs. 36 del 2006, come novellato). Sovviene, sul punto, il Considerando 16 della direttiva, a chiarire come “il concetto di apertura dei dati si intend[a] generalmente riferito a dati in formati aperti che possono essere utilizzati, riutilizzati e condivisi liberamente da chiunque e per qualsiasi finalità”, funzionali all’ampia “disponibilità (...) dell'informazione del settore pubblico a fini privati o commerciali, con vincoli minimi o in assenza di ogni vincolo di natura  legale, tecnica o finanziaria”, per favorire “la circolazione di informazioni non solo per gli operatori economici ma principalmente per il pubblico” e “promuovere l'impegno sociale nonché avviare e favorire lo sviluppo di nuovi servizi basati su modi innovativi di combinare tali informazioni tra loro e di usarle”. Il considerando precisa, inoltre, che nell’attuare il principio di apertura sin dalla progettazione e per impostazione predefinita, gli Stati “dovrebbero (...) assicurare la protezione dei dati personali anche là dove le informazioni in un insieme di dati individuale possono non presentare un rischio di identificazione o di individuazione di una persona fisica, ma possono, se associate ad altre informazioni disponibili, comportare un siffatto rischio”. Il riferimento a quest’ultima possibilità e alle cautele da adottare al fine di prevenire tale rischio potrebbe essere, peraltro, inserito nello stesso articolato dello schema di decreto, valorizzando in tal modo l’indirizzo suggerito dal considerando.
Con specifico riferimento al riutilizzo, per finalità commerciali o non commerciali, dei dati della ricerca, l’articolo 9-bis, introdotto dall’articolo 1, comma 11, dello schema di decreto, reca una clausola di conformità rispetto alla disciplina di protezione dei dati personali e degli interessi commerciali, della disciplina del diritto di proprietà intellettuale e industriale. Come esplicita la Relazione illustrativa, il riferimento alla disciplina di protezione dei dati personali include, in particolare, il divieto - di cui all’articolo 105 del Codice- di utilizzo dei dati personali trattati a fini statistici o di ricerca scientifica per assumere decisioni o provvedimenti relativamente all’interessato o per scopi di altra natura. 

Si rinvia, poi, l’attuazione del decreto a regole tecniche emanate con Linee guida dell’Agenzia per l’Italia digitale, secondo la procedura descritta dall’articolo 71 del Codice dell’amministrazione digitale, dunque anche con parere del Garante (art. 12 d.lgs. 36 del 2006, come novellato dall’art. 1, c.14 dello schema di decreto).

RILEVATO

Lo schema di decreto su cui si esprime il parere è stato predisposto all’esito di una fase di approfondito confronto con i rappresentanti di diverse autorità ed amministrazioni interessate, tra le quali anche il Garante.

Il testo trasmesso tiene conto di gran parte delle indicazioni rese dall’Ufficio nell’ambito di tali interlocuzioni, anche su aspetti di particolare rilevanza.
In particolare, tali indicazioni hanno riguardato i seguenti profili:

a) l’esigenza di inserire, nel preambolo del decreto legislativo n. 36 del 2006, come novellato, il riferimento anche al Regolamento (UE) 2016/679, quale fonte normativa prevalente, rispetto al tema trattato, in materia di protezione dati, utile come parametro interpretativo della disciplina in ordine ai limiti e alle ipotesi di esclusione del riutilizzo (art. 1, c.1, lett. b) dello schema di decreto);

b) l’opportunità di evitare l’abrogazione, inizialmente disposta, della clausola di salvaguardia (riferita anche al Codice) di cui all’articolo 4 del decreto legislativo n. 36 del 2006 (disposizione ora soltanto novellata dall’articolo 1, comma 5 dello schema di decreto);

c) l’esigenza di chiarire l’ambito di applicazione della definizione di “anonimizzazione”, (comprensiva anche del concetto di anonimizzazione dei documenti, oltre che dei dati personali) in linea con il disposto della direttiva e in maniera tale da evitare ogni possibile antinomia rispetto alle nozioni proprie della disciplina di protezione dati (art.1, c. 3, lett. g), capoverso “c-quinquies” dello schema di decreto);

d) la necessità di coordinare il disposto dell’articolo 9-bis del d.lgs. 36 del 2006, introdotto dall’articolo 1, comma 11, dello schema di decreto, con la disciplina di protezione dati. A tale ultimo riguardo, si introduce nell’articolato un rinvio generale all’applicabilità della normativa, dettagliandolo, in Relazione, con riferimento al disposto di cui all’articolo 105 del Codice, nonché al Considerando 162 del Regolamento, relativi al vincolo di finalità nel trattamento dei dati raccolti a fini statistici (o di ricerca scientifica) e al divieto di utilizzo dei dati personali trattati a tali scopi per assumere decisioni o provvedimenti relativamente all’interessato o per scopi di altra natura;

e) l’esigenza di inserire, tra le fonti normative recanti cause di esclusione o limitazione dell’accesso ai documenti (altrimenti suscettibili di riutilizzo), ovvero con le quali il riutilizzo di parti di documenti accessibili, contenenti dati personali, risulti incompatibile,  anche il decreto legislativo 18 maggio 2018, n. 51, che costituisce un plesso normativo, ulteriore rispetto a quello rappresentato dal Codice e dal Regolamento, determinante in materia di protezione dei dati (art. 2, c.4., lett. g), capoverso “h-quater” dello schema di decreto).

RITENUTO

Lo schema di provvedimento, benché redatto in un testo certamente più puntuale rispetto a quello originariamente predisposto, potrebbe essere ulteriormente perfezionato, in alcuni aspetti di seguito descritti.

a) All’articolo 1, comma 4, lettera g), capoverso “h-quater”, si invita l’Amministrazione a valutare l’opportunità di inserire, dopo le parole: “escluso o limitato”, le seguenti:  “e, in particolare, non è conforme al disposto di cui agli articoli 5, paragrafo 1, lettera b) e 6, paragrafo 4, del citato Regolamento, nonché 3, comma 1, lettera b) e 6, comma 1, del decreto legislativo 18 maggio 2018, n. 51”. Tale riferimento al principio di limitazione della finalità (conforme al considerando n. 52 della direttiva) consentirebbe di fornire, all’interprete, un parametro ermeneutico specifico di immediata individuazione, utile ad orientarne l’attività valutativa in maniera più diretta di quanto possa fare il solo rinvio alla disciplina del Codice, del Regolamento e del decreto legislativo n. 51 del 2018, generalmente richiamata;

b) all’articolo 1, comma 7, capoverso “Articolo 6”, al comma 4, si invita  l’Amministrazione a valutare l’opportunità di inserire un riferimento alla conformità della messa a disposizione dei documenti -secondo il principio dell’apertura sin dalla progettazione e per impostazione predefinita- alla disciplina di protezione dei dati personali. Tale riferimento consentirebbe, infatti, di valorizzare le indicazioni del considerando 16- pur non rifluite nell’articolo 5 della direttiva- con particolare riguardo al rischio di identificazione degli interessati mediante associazione, ad altre informazioni disponibili, dei dati basati sul richiamato principio dell’apertura sin dalla progettazione e per impostazione predefinita, contenuti nei documenti soggetti a riutilizzo;

c) all’articolo 1, comma 11, capoverso “Articolo 9-bis”, al comma 1 si invita l’Amministrazione a valutare l’opportunità di inserire un più puntuale riferimento al disposto di cui all’articolo 105 del Codice, utile anche in tal caso a fornire all’interprete un parametro ermeneutico più puntuale e immediato rispetto al rinvio generale (pur, certamente, necessario) alla disciplina di protezione dati. In tal modo, infatti, il limite del divieto di utilizzo dei dati personali trattati a fini statistici o di ricerca scientifica per assumere decisioni o provvedimenti relativamente all’interessato o per scopi di altra natura, risulterebbe più agevolmente individuabile di quanto non risulti in ragione del riferimento contenuto soltanto nell’ambito della Relazione illustrativa.

IL GARANTE

ai sensi degli articoli 36, paragrafo 4, e 57, paragrafo 1, lettera c), del Regolamento, esprime parere favorevole sullo schema di decreto legislativo recante “Attuazione della Direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell'informazione del settore pubblico”, con le seguenti raccomandazioni, volte a invitare l’Amministrazione a valutare l’opportunità di:

a) inserire, all’articolo 1, comma 4, lettera g), capoverso “h-quater”, dopo le parole: “escluso o limitato”, le seguenti: “e, in particolare, non è conforme al disposto di cui agli articoli 5, paragrafo 1, lettera b) e 6, paragrafo 4, del citato Regolamento, nonché 3, comma 1, lettera b) e 6, comma 1, del decreto legislativo 18 maggio 2018, n. 51 ” (punto a) del “Ritenuto”);

b) introdurre, all’articolo 1, comma 7, capoverso “Articolo 6”, al comma 4, un riferimento alla conformità della messa a disposizione dei documenti -secondo il principio dell’apertura sin dalla progettazione e per impostazione predefinita- alla disciplina di protezione dei dati personali, con particolare riguardo al rischio di identificazione degli interessati mediante associazione dei dati contenuti nei documenti soggetti a riutilizzo, con altre informazioni disponibili (punto b) del “Ritenuto”);

c) aggiungere, all’articolo 1, comma 11, capoverso “Articolo 9-bis”, al comma 1, un più puntuale riferimento al disposto di cui all’articolo 105 del Codice (punto c) del “Ritenuto”).

     
Roma, 26 agosto 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei