La trasparenza amministrativa è da sempre considerata il presidio democratico per eccellenza perché permette ai cittadini di monitorare l’operato delle istituzioni, rafforzando la fiducia e prevenendo derive corruttive.

La sua traduzione in chiave digitale ha fatto però emergere un rischio crescente, cioè la pubblicazione eccessiva e indiscriminata di dati personali in nome della trasparenza.

Il parere del Garante sui nuovi schemi ANAC e la recente sanzione inflitta a un Comune per aver reso pubblici i dati di oltre 1.400 cittadini raccontano la stessa storia: la difficoltà della PA di rispettare un equilibrio sottile tra obblighi di pubblicità e tutela della privacy.

Oltre alle questioni tecniche e normative, spesso l’eccesso di dati online è frutto di superficialità operativa e di prassi consolidate, che vengono replicate quasi in modo automatico, e, soprattutto, come se “mettere tutto online” fosse davvero sinonimo di correttezza amministrativa.

Il quadro normativo: tra obblighi e limiti

Il Decreto Trasparenza e gli schemi standard ANAC

Il d.lgs. n. 33/2013 ha riordinato in un testo unico gli obblighi di pubblicità, trasparenza e diffusione delle informazioni da parte delle pubbliche amministrazioni, introducendo un sistema articolato volto ad assicurare la piena accessibilità ai dati concernenti l’organizzazione e l’attività amministrativa.

Inoltre, gli schemi standard elaborati dall’ANAC, sui quali il Garante si è recentemente pronunciato, rappresentano strumenti operativi utili a garantire uniformità e coerenza nell’applicazione della disciplina.

Tuttavia, tale uniformità si traduce talvolta in una semplificazione eccessiva, che porta alla pubblicazione integrale di registri, delibere o elenchi senza un’adeguata valutazione della pertinenza e proporzionalità delle informazioni diffuse.

Ne deriva un’applicazione meramente “meccanica” della norma, dove la regola finisce per diventare un alibi per eludere l’assunzione di responsabilità connessa a una valutazione critica del dato da rendere pubblico.

I principi del GDPR

Sono tre i principi cardine del GDPR, e cioè necessità, proporzionalità e minimizzazione, che dovrebbero guidare ogni scelta di pubblicazione; tuttavia, la realtà operativa dimostra che troppo spesso questi principi restano lettera morta perché le prassi d’ufficio, una volta consolidate, tendono a cristallizzarsi senza considerare questo quadro normativo.

In pratica, è più semplice perpetuare abitudini errate piuttosto che fermarsi, leggere la norma, correggere i processi.

Le Linee guida del Garante: un faro ancora acceso, ma poco seguito

Un riferimento imprescindibile nel dibattito sulla trasparenza digitale della PA resta il provvedimento n. 243 del 15 maggio 2014, noto come Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web.

Tuttora richiamate in numerosi provvedimenti recenti (incluso quello del 10 luglio 2025 sugli schemi ANAC) queste linee guida stabiliscono principi e cautele che ogni amministrazione dovrebbe tenere in considerazione quando pubblica dati online e cioè: pubblicare solo ciò che è espressamente previsto dalla norma, evitare eccedenze informative, oscurare i dati di natura sensibile, limitare i tempi di permanenza online e impedire che informazioni delicate vengano indicizzate dai motori di ricerca.

Si tratta di indicazioni chiare, tecnicamente praticabili e persino “avanzate” per l’epoca in cui furono scritte, se pensiamo in particolare all’attenzione per il tema dell’indicizzazione, ancora oggi sottovalutato.

Nonostante ciò, la prassi dimostra come le PA abbiamo continuato a interpretare queste indicazioni in modo elastico, quando non le ignorano del tutto.

Tanto che il Garante si trova ancora costretto a citarle come parametro di legittimità nei propri provvedimenti, quasi fossero un monito rimasto inascoltato.

Il parere sugli schemi ANAC: trasparenza sì, ma con cautele

Il parere positivo del Garante ai sei nuovi schemi standard di pubblicazione è stato accompagnato da osservazioni precise:

• Limitazione dei dati: non devono essere resi pubblici dettagli familiari o patrimoniali di chi non ha dato consenso.
• Incarichi sanitari: valgono le stesse regole dei concorsi pubblici, senza pubblicità dei nominativi dei candidati non vincitori.
• Richiamo alle Linee guida del Garante: per garantire coerenza e uniformità interpretativa.

Interessante è la proposta di un periodo transitorio per l’applicazione, motivata dal fatto che le amministrazioni restano spesso ancorate a prassi operative rigide e consolidate e necessitano per questo di un lasso di tempo per adeguarsi; un po’ ad ammettere che il problema non è la norma o la sua complessità, quanto l’inerzia / lentezza degli apparati amministrativi, che spesso continuano ad operare replicando procedure standardizzate piuttosto che rivederle alla luce delle nuove esigenze normative.

Il caso del Comune sanzionato: quando la trasparenza diventa opacità

Il provvedimento contro il Comune che aveva pubblicato in chiaro 1.455 richieste di accesso civico e documentale è emblematico. Nomi, cognomi, indirizzi, persino riferimenti indiretti allo stato di salute: un quadro che rende evidente come la trasparenza possa degenerare in esposizione incontrollata di dati personali.

La giustificazione dell’ente, consistente in una presunta “interpretazione ampia” del principio di trasparenza, è rappresentativa rispetto al nodo della questione: dietro il paravento dello zelo amministrativo si cela la superficialità travestita da legalità.

Pubblicare tutto significa non voler distinguere, non voler selezionare, non volersi assumere la responsabilità di scegliere cosa sia davvero necessario ai fini della trasparenza.

Trasparenza non è pubblicazione totale

Molte PA faticano ancora a distinguere tra:

• trasparenza come accountability, ossia capacità di rendere verificabile un processo;
• trasparenza come pubblicità integrale, ossia esposizione indiscriminata di dati personali.

La seconda interpretazione, per quanto più semplice da applicare, è in realtà la più pericolosa perché crea confusione, riduce la leggibilità delle informazioni essenziali e, paradossalmente, oscura invece di chiarire. È la cosiddetta “trasparenza opaca”, con tanto rumore di fondo e pochi dati veramente utili.

Innovare le prassi: trasparenza by design

La vera sfida culturale è abbandonare il riflesso condizionato dell’“abbiamo sempre fatto così” a favore di una trasparenza progettata by design, con soluzioni, anche tecniche, che bilancino accesso e protezione, mediante:

• pubblicazione di dati aggregati e anonimizzati;
• oscuramento automatico delle informazioni personali;
• layer informativi differenziati, con accesso graduato;
• formazione mirata degli operatori e coinvolgimento strutturale dei DPO.

È infatti la cristallizzazione delle prassi che alimenta le violazioni, in quanto manca la capacità di mettere in discussione consuetudini amministrative ormai consolidate.

Strumenti di intelligenza artificiale e text mining possono supportare le PA nell’individuazione preventiva dei dati da oscurare. Tuttavia, la tecnologia dovrebbe essere accompagnata dalla governance: un algoritmo può facilitare, ma non sostituire la scelta critica e qui si misura la maturità delle amministrazioni: nel decidere come e perché pubblicare, non solo nel “quanto” pubblicare.

I cittadini come soggetti attivi di tutela (non sudditi passivi)

Negli ultimi anni, si osserva con chiarezza che il “cittadino digitale” è diventato più consapevole dei propri diritti, non accetta più che i propri dati vengano pubblicati “per default” e non esita ad utilizzare gli strumenti di tutela disponibili (reclami, ricorsi, cause collettive) per opporsi a pubblicazioni indebite.

Questo fenomeno ha due implicazioni rilevanti in tema di trasparenza nella PA:

1. Sfiducia preventiva: il timore dei cittadini che ogni contatto con la PA possa tradursi in esposizione ingiustificata di dati; in questo senso, la relazione amministrazione‐cittadino va incontro inevitabilmente a deterioramenti.
2. Pressione correttiva: il ricorso a strumenti legali, anche collettivi, impone alle amministrazioni un ripensamento delle prassi consolidate.

Di seguito alcuni esempi in cui i ricorsi e i reclami al Garante costituiscono strumenti praticati da cittadini (o gruppi di cittadini) per contrastare pratiche di pubblicazione scorrette da parte di enti pubblici.

Il provvedimento del Garante del 17 ottobre 2024 riguarda un reclamo in cui l’ente “ESTAR” aveva pubblicato su un proprio sito istituzionale la graduatoria intermedia di una selezione, con i nominativi e i punteggi dei candidati (anche non vincitori).

Il Garante ha contestato la pubblicazione in assenza di presupposti statutari o normativi, ritenendo che si fosse ecceduto nella pubblicazione dei dati personali (in particolare i punteggi) senza adeguata base giuridica.

Il confronto presente nel provvedimento dimostra come l’interessato abbia sollevato il problema e il Garante abbia effettivamente valutato la discrepanza tra il principio di trasparenza e i limiti imposti dal GDPR.

In ambito contabile/amministrativo, la Corte dei Conti ha iniziato a valutare il danno erariale collegato alla pubblicazione di dati personali oltre i termini legittimi, sottolineando che la responsabilità contabile può essere invocata quando enti pubblici pubblicano dati personali in modo intempestivo o indebito.

Un altro esempio recente conferma quanto il principio di pertinenza sia ancora spesso disatteso nelle prassi delle amministrazioni. In quel caso, un Comune aveva pubblicato online il curriculum di un cittadino contenente dati personali come indirizzo, telefono ed email, nonostante non fosse più in rapporto attivo con l’ente.

A seguito del reclamo dell’interessato, il Garante ha sanzionato l’amministrazione per 10.000 €, ribadendo che la trasparenza non può trasformarsi in diffusione eccedente di informazioni, prive di reale utilità per i cittadini.

Non si tratta solo di sanzioni amministrative, ma di storie di persone che si attivano per difendere la propria vita digitale.

Una trasparenza sostenibile

Il parere sugli schemi ANAC e la sanzione al Comune evidenziano che la trasparenza non può più essere interpretata come adempimento meccanico, ma richiede discernimento, capacità di bilanciare principi, volontà di aggiornare prassi cristallizzate.

La trasparenza del futuro (speriamo prossimo) dovrà essere sostenibile, cioè capace di rendere conto ai cittadini senza esporli a rischi indebiti; non sarà più accettabile la pubblicazione di dati in eccesso solo perché “si è sempre fatto così”.

Se la PA continuerà a trattare la trasparenza come un automatismo di caricamento dati, finirà per essere la stessa cittadinanza a imporre il cambiamento, mediante reclami individuali, ma anche con possibili azioni collettive o strategie legali.

Si tratta di un avviso silenzioso: i cittadini ormai non accettano più di rinunciare alla propria riservatezza per comodità procedurali o “sviste” della PA.