Trasparenza amministrativa e protezione dati: il bilanciamento operato da ANAC e Garante Privacy, che nel frattempo sanziona un Comune

In un contesto normativo sempre più attento al bilanciamento tra obblighi di trasparenza delle Pubbliche Amministrazioni (PA) e tutela dei dati personali, il Garante per la Protezione dei Dati Personali (Garante Privacy) ha recentemente emesso due interventi significativi.

Da un lato, ha espresso un parere favorevole su sei schemi standard di pubblicazione predisposti dall'Autorità Nazionale Anticorruzione (ANAC), finalizzati a garantire una maggiore uniformità nelle pratiche di trasparenza online. Dall'altro, ha inflitto una sanzione di 12.000 euro al Comune di Langhirano per la diffusione illecita di dati personali nei registri delle richieste di accesso civico e documentale.

Questi provvedimenti, datati 10 luglio 2025, sottolineano l'importanza di aderire scrupolosamente alle norme del Regolamento Generale sulla Protezione dei Dati (RGPD) e del Decreto Trasparenza (D.Lgs. n. 33/2013), evitando interpretazioni estensive che possano ledere i diritti degli interessati.

Il Parere Favorevole del Garante sugli schemi standard ANAC

Il Garante Privacy ha dato il via libera a sei ulteriori schemi standard di pubblicazione elaborati dall'ANAC, in linea con l'articolo 48 del D.Lgs. n. 33/2013. Questi schemi riguardano specifici obblighi di trasparenza previsti dagli articoli 14, 15-bis, 15-ter, 33, 37 e 41 del decreto, e mirano a standardizzare l'organizzazione e la rappresentazione dei dati pubblicati nelle sezioni "Amministrazione Trasparente" dei siti istituzionali delle PA.

Nel parere, il Garante ha enfatizzato la necessità di rispettare i principi di necessità e proporzionalità nella diffusione di informazioni, al fine di evitare violazioni del RGPD. Ad esempio:

• Articolo 14 (Incarichi politici e dirigenziali): Non deve essere indicato il grado di parentela dei familiari dei titolari di incarichi che non abbiano prestato consenso alla pubblicazione dei dati reddituali e patrimoniali. Il Garante ha suggerito di richiamare le proprie Linee Guida del 2014 (doc. web n. 3134436) per ulteriori indicazioni sulle cautele da adottare.

• Articolo 15-ter (Incarichi a tecnici e coadiutori ANBSC): La pubblicazione deve limitarsi ai nominativi e ai compensi, senza diffondere ulteriori dati personali non previsti dalla norma.

• Articolo 41 (Dirigenza sanitaria): Il Garante ha chiarito che si applicano gli obblighi di cui all'articolo 15 (e non all'articolo 14), evitando così un'erronea estensione degli obblighi di pubblicazione. Per le procedure di conferimento incarichi, non è prevista la diffusione di curricula o nominativi di candidati non vincitori, in linea con l'articolo 19 del decreto, che regola la trasparenza nei concorsi pubblici.

  
  

Questi schemi, revisionati alla luce delle osservazioni del Garante, mirano a prevenire condotte non conformi che potrebbero esporre le PA a sanzioni. Il Garante ha inoltre invitato l'ANAC a considerare un periodo transitorio per consentire un adeguamento graduale, riconoscendo le complessità operative per le amministrazioni.

Questo intervento rafforza il quadro normativo, promuovendo una trasparenza "data protection compliant" e riducendo i rischi di contenzioso. Le PA sono chiamate a limitare le pubblicazioni ai soli dati obbligatori, oscurando informazioni personali non essenziali.

La sanzione al Comune di Langhirano: un caso emblematico di violazione

Parallelamente, il Garante ha sanzionato il Comune di Langhirano con 12.000 euro per aver pubblicato online, nella sezione "Amministrazione Trasparente" del proprio sito istituzionale, i registri delle richieste di accesso civico e documentale relativi a 1.455 istanze presentate tra il 2017 e settembre 2023. I documenti, rimasti consultabili almeno fino ad aprile 2024, contenevano nomi e cognomi dei mittenti e destinatari, numeri di protocollo, oggetti e descrizioni delle istanze. In alcuni casi, emergevano dati sensibili, come informazioni sullo stato di salute di un cittadino (ad esempio, richieste relative a contributi per la rimozione di barriere architettoniche) o nominativi di proprietari di immobili e intestatari di pratiche edilizie.

Il Comune ha motivato la pubblicazione con un'interpretazione "ampia" del principio di trasparenza, tesi respinta dal Garante. L'Autorità ha rilevato violazioni multiple:

• Mancanza di base giuridica: La diffusione contravviene agli articoli 5 (principi di liceità, minimizzazione) e 6 del RGPD, nonché all'articolo 2-ter del Codice Privacy. Non esiste obbligo normativo di pubblicare nominativi nei registri degli accessi; al contrario, le Linee Guida ANAC (Determinazione n. 1309/2016) e la Circolare del Ministro per la PA n. 1/2019 richiedono espressamente l'oscuramento dei dati personali.

• Divieto di diffusione di dati sulla salute: In almeno un caso, i dati rivelavano indirettamente condizioni di salute, violando l'articolo 9 del RGPD e l'articolo 2-septies, comma 8, del Codice.

• Principio di minimizzazione: I dati pubblicati eccedevano quanto necessario per le finalità di trasparenza.

Nel definire l'importo della sanzione, il Garante ha considerato fattori attenuanti: la pronta collaborazione del Comune, la rimozione immediata dei dati, l'assenza di precedenti violazioni e di reclami da parte degli interessati. Tuttavia, la natura colposa della condotta – derivante da un'interpretazione estensiva non supportata dalla norma – e l'ampia platea di interessati (centinaia di persone) hanno giustificato la misura pecuniaria. Il provvedimento include anche l'obbligo di pubblicazione sul sito del Garante come sanzione accessoria.

Questo caso evidenzia i rischi connessi a una gestione non conforme dei registri degli accessi, spesso istituiti su raccomandazione ANAC ma pubblicati senza adeguate anonimizzazioni.

Implicazioni e consigli per le Pubbliche Amministrazioni

Questi interventi del Garante Privacy ribadiscono che la trasparenza non può prescindere dalla protezione dei dati personali. Le PA devono adottare un approccio "privacy by design", verificando preventivamente la base giuridica di ogni pubblicazione e limitandosi ai dati strettamente obbligatori. In particolare:

• Consultare le Linee Guida del Garante e dell'ANAC per standardizzare le procedure.

• Implementare meccanismi di anonimizzazione o pseudonimizzazione nei documenti online.

• Formare il personale responsabile per evitare interpretazioni soggettive.

Per le amministrazioni che gestiscono siti istituzionali, è consigliabile condurre audit periodici sulla sezione "Amministrazione Trasparente" al fine di mitigare rischi sanzionatori.

----

In caso di dubbi o contestazioni, lo Studio Avv. Gabriele De Luca & Partners offre consulenza specializzata in diritto della privacy e amministrativo, assistendo enti pubblici nel compliance al RGPD e al Decreto Trasparenza.

Per ulteriori informazioni o assistenza, contattateci ai recapiti in basso.