Con un Comunicato del Presidente approvato dal consiglio Anac lo scorso 3 luglio, l’Autorità ha ritenuto opportuno richiamare l’attenzione di tutte le Amministrazioni e di tutti gli attori coinvolti sulla necessità di evitare l’inserimento di dati personali tra le informazioni relative alle procedure di affidamento pubblicate mediante le Piattaforme di Approvvigionamento Digitali (PAD), oltre che sui siti istituzionali.
Invero, come già riportato nel “Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle PA” del 7 febbraio 2013, le Amministrazioni sono tenute a garantire la massima attenzione nella selezione dei dati personali da utilizzare, sin dalle fasi iniziali di redazione dei documenti soggetti a pubblicazione, in particolare nel caso di dati sensibili.
A tal riguardo, giova ricordare l’indicazione di non riportare dati personali nel testo di provvedimenti pubblicati online, menzionandoli solo negli atti a disposizione degli uffici, come pure di indicare delicate situazioni di disagio personale solo sulla base di espressioni di carattere più generale o, se del caso, di codici numerici.
L’Anac ritiene poi altresì opportuno evidenziare come la prassi seguita da alcune Amministrazioni di sostituire il nome e cognome dell’interessato con le sole iniziali non è sufficiente a considerare anonimizzati i dati personali contenuti negli atti e documenti pubblicati online.
Il Comunicato rammenta inoltre che la pubblicazione di dati personali tramite la BDNCP e il sistema di pubblicità legale rappresenta una violazione della normativa in materia di protezione dei dati personali, con conseguenti responsabilità in capo all’autore della diffusione e all’Amministrazione.
Da ultimo, l’Autorità invita le Amministrazioni e tutti i soggetti coinvolti a verificare attentamente i contenuti dei documenti pubblicati in relazione alle procedure di affidamento, assicurandosi che non contengano dati personali o informazioni sensibili non necessarie. A tal riguardo, si richiede di coinvolgere adeguatamente i Responsabili per la Protezione dei Dati (RPD) e i soggetti che rappresentano i titolari del trattamento, anche al fine di implementare le opportune misure preventive e correttive.