La PA su internet: le regole del Garante per rispettare la privacy di cittadini e dipendenti
On line solo informazioni personali indispensabili. Tempi congrui di permanenza in rete. Misure tecnologiche contro manipolazione e duplicazione massiva dei file. Cautele nel consentire la reperibilità dei dati attraverso motori di ricerca esterni ai siti. Il Garante per la protezione dei dati personali ha fissato le regole in base alle quali le pubbliche amministrazioni possono diffondere on line atti e documenti amministrativi contenenti dati personali senza ledere la riservatezza di cittadini e dipendenti e rispettare i principi stabiliti dalla normativa sulla privacy. Le “Linee guida” appena varate dall’Autorità definiscono infatti un primo quadro unitario di misure e accorgimenti che la P.a. deve adottare sia nel caso che la pubblicazione on line sia effettuata a fini di trasparenza dell’attività amministrativa, di pubblicità degli atti o di consultazione da parte di singoli soggetti.
Il provvedimento, frutto di un complesso lavoro istruttorio, tiene conto anche delle osservazioni pervenute da diverse amministrazioni pubbliche, enti locali e associazioni di consumatori nell’ambito della consultazione avviata nei mesi scorsi dal Garante. Queste in sintesi le principali indicazioni contenute nelle Linee guida. Le amministrazioni pubbliche possono mettere in rete atti o documenti contenenti dati personali solo sulla base di una norma di legge e di regolamento che lo preveda e devono rispettare i principi di necessità, proporzionalità e pertinenza. Rimane fermo il generale divieto di diffondere dati sulla salute. Contro i rischi di cancellazioni, modifiche, estrapolazioni delle informazioni presenti on line devono essere adottate adeguate misure tecnologiche. La reperibilità dei documenti deve essere, se possibile, assicurata attraverso motori di ricerca interni al sito della singola amministrazione e limitando l’indicizzazione dei documenti da parte dei motori di ricerca esterni. L’uso di motori di ricerca interni consente infatti di garantire un accesso coerente con la finalità per la quale i dati sono stati resi pubblici ed evita il rischio di manipolazione e di “decontestualizzazione” dei dati, cioè la estrapolazione arbitraria che rende incontrollabile il loro uso. I dati devono comunque rimanere disponibili soltanto per il tempo previsto dalle norme di settore. In mancanza di queste, le pubbliche amministrazioni devono individuare congrui limiti temporali oltre i quali i documenti devono essere rimossi.
Infine, contro i rischi di riproduzione e riutilizzo dei file contenenti dati personali, devono essere installati software e sistemi di alert che consentono di riconoscere e segnalare accessi anomali al fine di mettere in atto adeguate contromisure.