Con la Delibera n. 192 del 7 maggio 2024, l’Autorità nazionale anticorruzione (Anac) ha avviato il nuovo ciclo di attestazione annuale sull’assolvimento degli obblighi di pubblicazione imposti dal d.lgs. 33/2013, il Decreto trasparenza che disciplina il diritto di accesso civico e le misure di pubblicità, trasparenza e diffusione delle informazioni da parte delle pubbliche amministrazioni.
Indice degli argomenti
Attenzione alle verifiche sulla trasparenza avviate per il 2024
Ai sensi dell’art. 43, comma 1, del citato Decreto Trasparenza, l’Anac può richiedere agli Organismi indipendenti di valutazione (OIV) o alle strutture con funzioni analoghe di fornire informazioni relative al controllo dell’esatto adempimento degli obblighi di trasparenza.
La stessa norma stabilisce che gli OIV possono avvalersi della collaborazione del Responsabile per la prevenzione della corruzione e per la trasparenza
(Rpct).
Tale sinergia, anche richiamata in diverse Determinazioni dell’Anac, è finalizzata a consolidare l’efficacia del sistema di accountability pubblica, in chiave di prevenzione della corruzione.
L’attività di attestazione 2024 coinvolge, come prevede la legge, sia le pubbliche amministrazioni sia gli enti pubblici economici e le società a controllo pubblico, con riferimento allo stato di pubblicazione dei dati al 31 maggio 2025.
Tra i dati da pubblicare, e che l’Anac ha selezionato per quest’esercizio, figurano informazioni che impattano direttamente sul trattamento di dati personali, quali quelle relative a consulenti, collaboratori, personale e bandi di concorso.
Trasparenza e privacy: garantire un corretto bilanciamento
A volte trasparenza / privacy sono trattate in modo incoerente pertanto gli Oiv (e i Rpct) possono svolgere un ruolo importante per la ricerca, anche in occasione di questo ciclo di attestazione, per garantire un bilanciamento tra la trasparenza amministrativa e la tutela della riservatezza dei dati personali.
Trasparenza e privacy: il controllo dell’Oiv
In coerenza con quanto previsto dall’art. 6 del d.lgs. 33/2013 e da deliberazioni Anac, la trasparenza non può limitarsi alla pubblicazione formale, ma deve assicurare accessibilità, intellegibilità e fruibilità delle informazioni ovvero deve essere una trasparenza sostanziale.
Ne deriva che gli OIV devono accertarsi, nell’ambito dell’attestazione da rendere che il contenuto della sezione “Amministrazione trasparente” dei siti istituzionali, da alimentare con le previste informazioni, sia indicizzabile dai motori di ricerca e priva di filtri tecnici che ne compromettano l’usabilità.
Tale controllo può dunque essere condotto dall’Oiv avvalendosi delle proprie strutture di supporto e anche attraverso il supporto del Rpct e delle funzioni IT dell’organizzazione (ricordiamo che l’Oiv non ha compiti operativi ma di valutazione e controllo).
Rilevante è anche il rispetto dei limiti temporali di pubblicazione previsti dall’art. 8 del d.lgs. n. 33/2013, che stabilisce un termine massimo di cinque anni, salvo diverse previsioni normative, e di tre anni dalla cessazione dell’incarico per le informazioni riferite agli organi di vertice o a incarichi dirigenziali.
Gli Oiv devono dunque vigilare affinché non permangano online dati personali eccedenti, in ossequio ai principi di minimizzazione, limitazione della conservazione ed esattezza sanciti dal GDPR.
L’eccezione
Nelle ipotesi in cui l’ente non disponga di un Oiv o di struttura analoga, l’Anac prevede (ma non incoraggia) che tale attività possa essere temporaneamente svolta dal Rpct. Ma a condizione che tale surroga sia eccezionale, motivata e di durata contenuta.
Separare le funzioni di Rpct e Oiv
L’Autorità ribadisce, infatti, anche alla luce delle proprie linee guida, l’inopportunità di concentrare le funzioni di Rpct e Oiv nella medesima figura – altrimenti vi è un corto circuito fra soggetto responsabile della trasparenza e soggetto chiamato a verificare il corretto adempimento di legge – salvo che per brevi periodi e in presenza di comprovate ragioni organizzative.
Trasparenza, attenzione alla privacy
Sotto il profilo privacy, tale concentrazione di ruoli andrebbe accuratamente documentata, prestando particolare attenzione:
- alla motivazione formale che giustifica il coinvolgimento del Rpct nel processo di attestazione;
- alla durata temporale della surroga, che, se non correttamente circoscritta e giustificata, potrebbe incidere negativamente sulla liceità dei trattamenti di dati personali effettuati in assenza dei presupposti normativi espressamente previsti.
Il ruolo del Dpo
Un ruolo strategico è infine rivestito dal Data protection officer (Dpo), il quale è tenuto nella sua azione di supervisione e consulenza (in particolare art. 39 c.1 lett b del GDPR) a verificare che i trattamenti di dati personali connessi alla pubblicazione ricadano in trattamenti inclusi nell’apposito Registro e supportati da idonee informative rivolte agli interessati.
Il Dpo, in questo contesto, non si limita alla sorveglianza passiva, ma assume una funzione consulenziale proattiva volta ad assicurare la coerenza normativa e la tutela dei diritti fondamentali.
Sintesi dell’attività di attestazione
- aggiornare la sezione Amministrazione trasparente con lungimiranza: grazie all’approccio nudge dell’Anac, che consente un periodo di adeguamento prima di far scattare i controlli le amministrazioni possono utilizzare il tempo a disposizione i dati pubblicati, garantendo così l’effettiva conformità al 31 maggio, situazione che sarà oggetto di verifica;
- accessibilità senza barriere: la trasparenza è reale solo se i cittadini possono trovare e comprendere le informazioni. È essenziale evitare blocchi tecnici o filtri che ostacolino l’indicizzazione dei contenuti da parte dei motori di ricerca;
- attenzione al ciclo di vita dei dati da pubblicare: il rispetto dei limiti temporali di pubblicazione è un obbligo normativo. Gli OIiv devono attivarsi per la rimozione dei dati non più pertinenti, evitando la permanenza di informazioni eccedenti;
- ruoli distinti, funzioni chiare: la surroga del Rpct nell’attività dell’OIV è prevista solo in casi eccezionali e temporanei. Va attentamente motivata e monitorata per non compromettere la compliance nelle verifiche di trasparenza e l’equilibrio delle funzioni e la liceità dei trattamenti;
- Dpo: presidio strategico e garanzia di legalità: il Dpo svolge un ruolo chiave nel monitoraggio e nella consulenza. Fra tali attività ricade la supervisione sui trattamenti svolti: nella sua agenda, pertanto, dovrebbe esservi anche con riguardo ai profili delle norma sulla trasparenza la verifica della tracciabilità dei trattamenti nel Registro e la coerenza delle informative rivolte agli interessati.
Trasparenza, il ruolo del RPCT
Una breve notazione a margine merita il ruolo del RPCT con riguardo alla trasparenza.
Questa figura, in base all’art. 43 del Decreto Trasparenza, ha il compito di vigilare sull’adempimento degli obblighi di trasparenza previsti dalla normativa vigente, in particolare dall’art. 43, comma 1, del D.lgs. 33/2013, che lo incarica di controllare il rispetto degli obblighi di pubblicazione e accessibilità della documentazione amministrativa.
Ebbene, tale previsione non va intesa come limitata a quanto è previsto che sia pubblicato nella sezione “Amministrazione trasparente”, bensì andrebbe riferita a tutte le fattispecie per le quali un pubblica amministrazione sia tenuta alla pubblicazione.
Ciò per garantire la trasparenza dell’azione amministrativa, favorendo la tracciabilità, l’imparzialità e il buon andamento dell’attività amministrativa.
