Privacy e trasparenza sembrano diritti incompatibili. Eppure è possibile farli convivere

Privacy e trasparenza sono due diritti assai diversi, quasi opposti. Da una parte c’è il primo, che tutela la riservatezza delle informazioni personali. Dall’altra il secondo, che – per esempio – impone la pubblicazione di tutte le informazioni relative alle attività della pubblica amministrazione. Ma sono davvero così incompatibili? Dove si pone il confine fra i due?

Per rispondere a queste domande è importante prima definire privacy e trasparenza.

Cos’è la privacy?

Per privacy, o tutela dei dati personali, si intende l’insieme di misure che permettono alle persone di controllare come vengono utilizzati i loro dati personali e di proteggerli da usi impropri. In Europa, è una questione regolata dal GDPR (General Data Protection Regulation) che si applica a tutti i paesi dell’UE e che richiede che le misure di sicurezza per la tutela dei dati personali siano robuste e adeguate.

Inoltre, l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea (TFUE) stabiliscono che ogni persona ha diritto alla protezione dei dati che la riguardano.

Cos’è la trasparenza?

La trasparenza è, invece, un principio di diritto internazionale che impone ai governi e alle amministrazioni pubbliche di rivelare le informazioni sulla loro funzione. Il riferimento normativo nazionale è l’art. 2 della Legge n. 241/1990, che impone l’accesso libero a informazioni sulla gestione e sulle funzioni della PA.

Dunque, la trasparenza è l’obbligo, da parte delle organizzazioni, di fornire informazioni e documenti sulle proprie attività, procedimenti decisionali, bilanci e spese. Lo scopo principale è di garantire un adeguato livello di tracciabilità dei processi decisionali e mettere i cittadini nella condizione di conoscere le attività della PA che li riguardano, in modo da poterle accettare consapevolmente o opporvisi.

Scendendo nel particolare, la Legge n. 241/1990 ha disciplinato l’accesso ai documenti amministrativi, limitandolo solo ai soggetti portatori di interessi specifici e tramite procedure basate sulla richiesta di accesso e sul suo eventuale accoglimento o rifiuto. A questa accessibilità si affianca anche la disponibilità dei dati, per cui la PA deve pubblicare tutti i dati in suo possesso (tranne quelli espressamente esclusi dalla legge) in modo che i cittadini possano controllarli. A ciò ai aggiunge quanto stabilito nel 2009 con il D.lgs. n. 150, che applica il principio di accessibilità totale anche alla pubblicazione delle informazioni sui siti web istituzionali.

Infine, altri provvedimenti che hanno rafforzato il diritto alla trasparenza sono stati il “Decreto trasparenza” (D.lgs. n. 33/2013) e la Legge n. 124/2015.

Il conflitto privacy/trasparenza

In alcune situazioni, l’esigenza di tutelare i dati personali può effettivamente essere in conflitto con il diritto alla trasparenza. Per esempio, nel settore sanitario l’accessibilità delle informazioni può rappresentare una minaccia per la privacy dei cittadini. Lo stesso può capitare nel settore delle telecomunicazioni, soprattutto nel caso delle intercettazioni.

Un altro esempio in cui i due diritti sembrano scontrarsi è la libertà di informazione nel suo rapporto con la giustizia e tutela della riservatezza delle persone coinvolte in procedimenti penali. Il cosiddetto “processo mediatico”,  ovvero l’abitudine dei mass media di cercare il colpevole di un crimine influenzando l’opinione pubblica, ha causato danni all’immagine di numerose persone, anche una volta scagionate. Questo effetto a lungo termine è particolarmente intenso quando si considerano i contenuti pubblicati sul web, i quali rimangono disponibili online a tempo indeterminato, continuando a danneggiare la reputazione dei soggetti coinvolti anche a distanza di molto tempo. Una delle conseguenza di questo fenomeno è stata la nascita del diritto all’oblio, inserito nell’art.17 del GDPR, ovvero il diritto in base al quale i cittadini possono chiedere di avere rimosse dai motori di ricerca e dai social network le informazioni relative alla loro privacy o al loro passato.

Come risolvere il conflitto tra i due diritti

Anche se non sempre semplice, una gestione equilibrata del diritto alla privacy e del diritto alla trasparenza è possibile. E lo strumento per riuscirci è proprio il GDPR, che specifica come “il trattamento dei dati personali dovrebbe essere al servizio dell’uomo” e il cui contenuto ha, da un lato, l’obiettivo di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e, dall’altro, assicurare la libera circolazione dei dati personali tra Stati membri.  

Uno degli articoli principali in tema di trattamento dei dati personali è l’art.5 che, nella sua essenza, già pone dei limiti alla trasparenza. Infatti, secondo l’articolo, i dati personali devono essere trattati in modo:

  • lecito, 
  • corretto,
  • trasparente nei confronti dell’interessato.

Devono poi essere soggetti a:

  • limitazione delle finalità: i dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in un modo che non sia incompatibile con tali finalità;
  • minimizzazione dei dati: il titolare del trattamento è tenuto a raccogliere solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  • esattezza: il titolare deve adottate tutte le misure per cancellare o rettificare dati inesatti rispetto alle finalità per le quali sono trattati;
  • limitazione della conservazione: i dati possono essere conservati in una forma che permetta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  • integrità e riservatezza: i dati devono essere trattati in un modo che garantisca la sicurezza degli stessi e la protezione da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentali. 

Il valore del principio di accountability

Considerando tutto ciò, nella convivenza tra privacy e trasparenza, il GDPR affida un ruolo centrale ai titolari del trattamento dei dati personali, i quali devono sempre bilanciare i due diritti in base alle situazioni, senza privilegiarne uno a discapito dell’altro. È il principio di accountability, molto più di una semplice responsabilizzazione. Esso infatti obbliga il titolare non solo a garantire la tutela della privacy ma anche a dimostrare di aver preso tutte le misure per limitare rischi per i diritti e le libertà degli interessati.