La sez. I Milano del TAR Lombardia, con la sentenza 24 ottobre 2022, n. 2317, interviene per sostenere l’estensione del diritto di accesso digitale del consigliere comunale, tale da ricomprendere anche i dati a protocollo informatico, con un percorso argomentativo che sicuramente desterà più di qualche perplessità e apre la strada per un controllo generalizzato senza restrizioni, segnando una gerarchia di tutele, dove il bilanciamento dei diritti – di pari grado – potrebbe sfumare.
Al contempo ha il pregio di riaffermare l’obbligo di garantire l’uso delle tecnologie digitali (ICT, Information and Communications Technology) nei rapporti della/con la PA, anche con i consiglieri comunali, dove la mancata sicurezza informatica (sicurezza IT e cyber sicurezza) non può mai costituire giustificazione per impedirne l’uso.
Le lamentele del ricorrente
La questione posta all’attenzione del GA (giudice amministrativo) verte sul diniego di accesso alla documentazione amministrativa manifestato sotto forma di divieto, di continuare ad inviare report settimanali del protocollo comunale, sottoscritto dal Sindaco con ordine di servizio, ritenendo:
- violato lo status abilitante all’accesso da parte di un eletto dal popolo;
- la sua sospensione sine die del conseguente esercizio del munus publicum (il c.d. esercizio utile);
- l’indifferenza sull’aggravio organizzativo di questa attività di estrazione dati.
La richiesta veniva inoltrata ai sensi del comma 2, dell’art. 43, Diritti dei consiglieri, del decreto legislativo 18 agosto 2000, n. 267 (TUEL), nello specifico consisteva nell’avere «accesso al protocollo comunale, in entrata e in uscita, <<tramite report settimanale con numero di protocollo e oggetto>>, a far data dall’1 dicembre 2021 e per gli anni successivi 2022 e 2023, nonché l’accesso ai report dall’1 gennaio 2021 al 30 novembre 2021».
La difesa
Il Comune in prima battuta trasmetteva al ricorrente la documentazione richiesta, sino al 21 febbraio 2022, mediante l’invio, con cadenza settimanale, di una mail all’indirizzo privato di posta ordinaria, successivamente giungeva l’ordine del Sindaco al Responsabile «<<di sospendere immediatamente l’invio del protocollo settimanale al Consigliere comunale …>>, atteso che <<l’assoluta incertezza>> che si registra in materia di accesso generalizzato esporrebbe il Comune al rischio di incorrere nelle <<pesantissime sanzioni previste dalla normativa europea>> per violazione della riservatezza», ed in ogni caso «l’invio del protocollo settimanale al consigliere comunale dovrà essere sospeso, almeno fino a quando non sarà affidato l’incarico di responsabile per la protezione dei dati e non sarà adottato <<un regolamento specifico>>».
La sospensione motivata:
- per gli effetti incidenti sulla riservatezza dei dati personali presenti nel protocollo;
- una carenza organizzativa (e regolamentare) su una nomina prevista obbligatoria del legislatore (Data Protection Officer);
- la mancata adozione di misure minime di sicurezza.
Il diritto di accesso del consigliere
Il ricorso viene ritenuto fondato, con condanna alle spese, essendo il diritto di accesso del consigliere conformato per legge ad acquisire («ottenere») dalla struttura (senza alcuna intermediazione politica) «tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato», con un’estensione che differisce dall’accesso documentale dell’atto ex se, di cui agli artt. 22 ss. della legge n. 241/1990.
Un accesso non limitato al singolo interesse qualificato, ma a tutta una serie di dati, informazioni e documenti presenti negli uffici, ossia detenuti dalla PA anche se da essa non prodotti, che non incontra limiti in materia di legittimazione e di dimostrazione di un interesse, essendo strumentali all’esercizio del mandato amministrativo, e, quindi, incensurabile sul profilo motivazionale non potendo scrutinare le ragioni della richiesta, senza violare il diritto garantito dal TUEL.
Neppure, si potrebbe anteporre motivi di riservatezza visto che il periodo finale del comma 2, del cit. art. 43, prevede espressamente che «Essi sono tenuti al segreto nei casi specificamente determinati dalla legge»: un obbligo a carico del consigliere che corrisponde al pieno accesso.
Si potrebbero sintetizzare le modalità del diritto:
- accesso a tutti i dati, informazioni e documenti detenuti dall’Ente locale;
- alcun onere motivazionale (rectius dimostrazione dell’interesse);
- nessuna limitazione giustificata dalla tutela della riservatezza dei terzi.
Accesso del consigliere e modello FOIA
Il modello FOIA, nella sua peculiarità di diritto di accesso civico e generalizzato, ex art. 5, commi 1 e 2, del decreto legislativo 2013, n. 33 (c.d. Decreto Trasparenza), presenta delle finalità estese alla Comunità, erga omnes, senza l’esigenza di motivare la richiesta, distinguendosi da una parte (l’accesso civico semplice), nell’obbligo di pubblicazione la cui omissione costituisce un inadempimento sanzionabile, dall’altra parte (quello generalizzato), riconosciuto a «chiunque» con lo scopo di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (dovendo motivare puntualmente il diniego con l’indicazione dell’interesse da tutelare).
Il consigliere comunale gode di un diritto più esteso che si sovrappone rispetto a quello del Decreto Trasparenza, non trovando alcuna limitazione di natura soggettiva (presente invece nell’art. 5 bis, Esclusioni e limiti dell’accesso civico), essendo la ratio della norma del TUEL del tutto diversa.
Il modello FOIA manifesta l’evoluzione della visibilità del potere pubblico (quel “rendere conto”), con la conseguente accessibilità generalizzata dei suoi atti in una funzione sia partecipativa che conoscitiva: un «lento cammino verso la democrazia e, con il progressivo superamento degli arcana imperii di tacitiana memoria, garantisce la necessaria democraticità del processo continuo di informazione e formazione dell’opinione pubblica»[1].
Si comprende la diversa latitudine e base giuridica dell’accesso del consigliere comunale che non può essere assimilabile al diritto di accesso civico semplice o generalizzato visto che i consiglieri sono titolari di un diritto più ampio ed esaustivo riferito a tutte le notizie relative all’organizzazione amministrativa, non tanto in funzione di un controllo sull’attività quanto al fine di favorire lo svolgimento del loro mandato: una verifica e un controllo esteso sia all’organizzazione che all’attività degli organi dell’Ente locale.
Rispetto al modello FOIA il consigliere non trova alcuna limitazione all’accesso ai dati, documenti e informazioni se la conoscenza sia utile all’espletamento del mandato rappresentativo, senza che sia richiesta anche la sussistenza di uno specifico nesso funzionale tra tale conoscenza e l’esercizio del mandato, neppure si potrebbe argomentare che l’accessibilità si possa includere all’interno del quadro previsto dagli obblighi dell’accesso civico semplice o non possa superare le esclusioni relative o assolute dell’accesso generalizzato.
Il fondamento del diritto di accesso digitale del consigliere
Il Tribunale richiama il consolidato orientamento giurisprudenziale secondo il quale «il fondamento del diritto di accesso del consigliere comunale trova ragione e limite nell’utile esercizio della funzione di componente dell’organo di cui è parte>>, per cui non può essere esercitato <<in contrasto con il principio costituzionale di razionalità e buon funzionamento dell’azione amministrativa (art. 97 Cost.)>> né con modalità eccedenti il <<livello di digitalizzazione della amministrazione (cfr. art. 2, comma primo, d.lgs. 7 marzo 2005, n. 82)»[2].
Sulla base di questa massima, si perviene a ritenere legittime le richieste di accesso ai dati e alle informazioni «contenute nel protocollo dell’ente, per gli atti in entrata e in uscita, relative al numero di protocollo e all’oggetto, poiché tali informazioni sono necessarie all’espletamento del proprio mandato».
A rafforzare la motivazione si entra nel merito della richiesta quando si afferma che «è infatti evidente che la conoscenza della cronologia degli atti registrati in entrata e in uscita e del loro oggetto è idonea ad agevolare la valutazione dell’efficacia dell’azione amministrativa del Comune ed a stimolare la promozione di ulteriori attività in favore della collettività rappresentata».
La presenza di dati particolari (sensibili e giudiziari) e la tutela bilanciata
Invero, un diverso orientamento manifesta piena contraddittorietà ad un accesso invasivo (pervasivo, ossia senza rigore), da assumere le connotazioni di un controllo generalizzato da remoto degli atti pervenuti a protocollo, fuoriuscendo dai limiti della disposizione normativa finalizzata ad un accesso in relazione all’espletamento del mandato, il quale costituisce il presupposto legittimante ma anche il limite dello stesso, configurandosi come funzionale allo svolgimento dei compiti del consigliere[3].
Questo filone argomentativo annota che l’acquisizione incondizionatamente, anche per fini meramente esplorativi, di un patrimonio conoscitivo che potenzialmente è pari alla latitudine dell’intera amministrazione (inclusi, evidentemente, i rapporti con terzi, pubblici o privati che siano), e indipendentemente da ogni relazione effettiva con i ricordati poteri di sindacato propri, introducendo, così facendo, un accesso digitale senza più forma, riscontro, termini temporali travalicante il limite intrinseco della utilità per l’espletamento del mandato, che perimetra tale particolare forma di accesso che, pur estendendosi alle “notizie” e alle “informazioni” in possesso dell’ente, va, in concreto, esercitato in maniera necessariamente proporzionale, ragionevole e congrua al vincolo di funzionalità che lo connota, essendo mero strumento per svolgere in maniera consapevole (non il fine dell’accesso ma uno strumento per), informata, adeguatamente preparata e, occorrendo, costruttivamente critica il ruolo di componente dell’organo consiliare[4].
In termini più divulgativi, l’accesso tout court al protocollo comunale, anche se resi disponibili in forma di mera sintesi, possono rendere immediatamente consultabili “dati”, anche personalissimi, che non possono considerarsi in alcun modo attratti nella sfera di necessaria conoscenza e/o conoscibilità che deve essere assicurata ai consiglieri comunali, sì da rendere, conseguentemente, ingiustificato il “trattamento” che in tal modo verrebbe effettuato in assenza delle necessarie garanzie (di cui al Regolamento UE 679/2016 e d.lgs. n. 196/2003), essendo evidente che il “segreto” cui sono tenuti i consiglieri comunali nulla ha a che vedere con le garanzie che devono, per l’appunto, presidiare il trattamento dei dati personali (senza volere estendere ad una serie di procedimenti che sono presidiati da norme specifiche sulla segretezza, invalicabili anche al consigliere comunale)[5].
La valutazione che conduce di attribuire al diritto un carattere “incondizionato” ogniqualvolta esso riguardi atti dell’Amministrazione che «possano essere utili all’espletamento delle proprie funzioni», si pone nella prospettiva ricostruttiva di un diritto “tiranno” nei confronti delle altre situazioni giuridiche costituzionalmente riconosciute e protette, che costituiscono, nel loro insieme, espressione della dignità della persona, dovendo semmai sostenere che in un ordinamento costituzionale in cui i diritti fondamentali tutelati dalla Costituzione si trovano «in rapporto di integrazione reciproca», non ordinato su base gerarchica, non potendo «individuare uno di essi che abbia la prevalenza assoluta sugli altri», e dunque una «illimitata espansione» dei primi a danno di questi ultimi: gli stessi diritti vanno invece coordinati secondo «un ragionevole bilanciamento», a tutela della dignità della persona, e dunque nel rispetto del principio personalistico che trova nei principi di uguaglianza formale e sostanziale dell’individuo e nei doveri di solidarietà sociale la sua formale enunciazione (ex artt. 3, commi 1 e 2, e 2 Cost.)[6].
L’approdo impone di non sacrificare una regola di ragionevole bilanciamento, propria dei rapporti tra diritti fondamentali di pari rango (accesso e riservatezza), non potendo sottrarre (questa operazione logica, prima che formale) l’accesso del consigliere comunale, postulando una sua estensione che non implicasse che esso possa sempre e comunque esercitarsi con pregiudizio di altri interessi riconosciuti dall’ordinamento (non solo nazionale) meritevoli di tutela, e dunque possa sottrarsi al necessario bilanciamento con questi ultimi, specie ove si consideri il perimetro del diritto con il richiamo alla “utilità” delle notizie e delle informazioni possedute dall’Ente locale rispetto alla funzione di rappresentanza politica del consigliere comunale[7].
Il descritto quadro implica un confino che non può oltrepassare o essere avulso (insensibile) dal bisogno di conoscenza del titolare della carica elettiva in rapporto di strumentalità con la funzione «di indirizzo e di controllo politico – amministrativo», di cui nell’ordinamento locale è collegialmente rivestito il Consiglio comunale (ex art. 42, comma 1, del TUEL), e alle prerogative attribuite singolarmente al componente dell’organo elettivo: lo scopo del diritto di accesso del consigliere comunale è quello di valutare – con piena cognizione – la correttezza e l’efficacia dell’operato dell’Amministrazione, nonché per esprimere un voto consapevole sulle questioni di competenza del Consiglio e per promuovere tutte le iniziative che spettano ai singoli rappresentanti del corpo elettorale locale.
Accesso e riservatezza obbliqua
In definitiva, non è sufficiente rivestire la carica di consigliere per essere legittimati sic et simpliciter all’accesso, ma occorre dare atto che l’istanza muova da un’effettiva esigenza collegata all’esame di questioni proprie dell’assemblea consiliare, nell’equilibrato bilanciamento tra le prerogative ad essa connesse con le contrapposte esigenze di tutela della riservatezza della persona[8].
Su questo profilo di riservatezza (ovvero, la presenza nel protocollo informatico di atti che contengono dati ex sensibili e giudiziari) il GA si orienta in modo dissimile, ritenendo «che le motivazioni del diniego di accesso siano inconferenti, atteso che le esclusioni ed i limiti all’accesso civico, di cui all’articolo 5, comma 2, del decreto legislativo 2013, n. 33, in particolare quella prevista per gli atti, i dati e le informazioni riconducibili ad attività amministrative che siano confluite in un procedimento penale, non si applicano alla diversa fattispecie dell’accesso di cui all’articolo 43, comma 2, del decreto legislativo 18 agosto 2000. Il consigliere comunale è infatti tenuto al rispetto del segreto istruttorio di cui all’articolo 329 del codice di procedura penale e di qualunque altro vincolo di riservatezza, incluso quello che grava sui dati sensibili e giudiziari».
La sentenza in commento ribalta, quindi, la prospettiva sulle modalità dell’esercizio del “diritto di accesso consapevole”, ammettendo un esercizio in modo generalizzato e fuori controllo, scollegato da ogni correlata utilità istituzionale, ovvero introducendo un accesso indiscriminato che, per la sua natura si presta ad essere definito emulativo, indifferente o neutro alle necessità di mandato: un accesso al protocollo libero senza intermediazione, senza una selezione degli oggetti degli atti di cui si chiede l’esibizione, in controtendenza con la base giuridica del sistema ordinamentale sui cui si regge la tutela dei dati personali nella sua essenza e interezza di diritto alla riservatezza: the right to be let alone (“diritto di essere lasciato da solo”)[9].
Un rapporto tra due diritti di pari rango che appare differenziato, quasi a glorificare la trasparenza dell’accesso del consigliere comunale sulla tutela dei dati personali presenti nel protocollo, con un effetto a cascata (c.d. contagio) teso ad emarginare la riservatezza in una dimensione obbliqua: uno sbilanciamento di valori non indifferenti sulle libertà del singolo.
Sulle modalità dell’accesso digitale (da remoto)
Una volta ritenuto legittimo (con le riserve esposte a commento) l’accesso digitale da remoto al protocollo, appare evidente che sotto l’aspetto organizzativo si tratta di una operazione informatica di trasmissione, che una volta eseguita (impostata), risulta seriale senza l’esigenza di alcuna misura di carattere organizzativo, in relazione alla sua ripetitività, periodicità e automaticità: la digitalizzazione consente una tracciabilità di ogni processo senza il contributo umano (gli esempi non mancano: nei regimi autoritari sono la regola).
Ed il giudice non può non esprimere – sulla trasmissione «dei report settimanali» – l’assenza di criticità organizzative, semmai si tratterebbe di approntare (come è previsto dalle linee guida AgID) l’adozione delle misure minime di sicurezza: «tali dati, pacificamente ricompresi tra quelli ostensibili ai sensi dell’articolo 43, comma 2, del decreto legislativo 18 agosto 2000, n. 267, possono essere infatti acquisiti con modalità da remoto, solo ove venga garantito un elevato livello di sicurezza della loro trasmissione».
Vengono date, altresì, delle indicazioni operative sull’an e sul quomodo, ritenendo che in mancanza di misure di sicurezza (volte ad affrontare le insidie che si affacciano sulla dimensione della sicurezza cibernetica o della c.d. cybersicurezza) l’Amministrazione civica dovrà «individuare modalità alternative di trasmissione, quali, ad esempio, l’utilizzo di postazioni informatiche sicure presso i locali dell’ente o la consegna dei dati di sintesi su supporto analogico».
Occorre evidenziare che questa affermazione esprime (di riflesso) un “richiamo” (alias dovere) ad adottare ciò che prevede la legge, aspetto di competenza del Responsabile della struttura per l’organizzazione, l’innovazione e le tecnologie, come indicato nell’art. 17, Responsabile per la transizione digitale e difensore civico digitale, del d.lgs. 82 del 2005, CAD (in sua assenza, del dirigente designato): il dirigente responsabile dell’attuazione avrebbe dovuto compilare e firmare digitalmente il “Modulo di implementazione”, allegato alla circolare AgID n. 2 del18 aprile 2017, riferito proprio alle misure minime di sicurezza ICT che devono essere adottate da parte di tutte le Pubbliche Amministrazioni entro il 31 dicembre 2017.
Questa giustificazione non regge, dunque, al vaglio del Collegio giudicante che perentoriamente impone «la necessità di adeguare il proprio protocollo informatico ai principi ed alle regole eurounitarie per il trattamento dei dati personali», i quali assecondano tutte le criticità segnalate dalla PA per impedire la continuità del “servizio” di trasmissione report al consigliere comunale.
Ed anche ammettendo o accertando tale mancanza di sistema (quello della rete informatica), questo impedimento strutturale sulla sicurezza non risulta per sé «sufficiente a giustificare la privazione del diritto di informazione… il quale deve essere comunque assicurato in forma integrale con l’individuazione, da parte del Comune, delle modalità che assicurino la trasmissione dei dati in tutta sicurezza (accesso al protocollo informatico mediante predisposizione di postazioni informatiche protette all’interno degli uffici comunali o mediante consegna dei documenti su supporto analogico)».
Segue l’ordine al Comune di trovare «la formula organizzativa che riterrà più idonea» per assicurare il diritto di accesso digitale del consigliere comunale: «diritto di accedere ai dati ed alle informazioni richieste (numero di protocollo ed oggetto degli atti in entrata e in uscita) contenuti nel protocollo informatico del Comune».
Obbligo delle misure minime di sicurezza
Al di là del contenuto della sentenza sulla piena estensione del diritto di accesso digitale del consigliere comunale, oltre ogni limite, anche con riferimento a discipline settoriali che militano in senso contrario, la questione posta impone di riaffermare una doverosa attività di investimento sulla ITC, dove – in ogni caso – deve essere assicurata la trasmissione dei dati[10], non potendo limitare questa attività, così come tutta l’attività on line, (ex comma 1, dell’art. 3, Diritto all’uso delle tecnologie, del CAD: «Chiunque ha il diritto di usare, in modo accessibile ed efficace, le soluzioni e gli strumenti di cui al presente Codice nei rapporti con i soggetti di cui all’articolo 2, comma 2, anche ai fini dell’esercizio dei diritti di accesso e della partecipazione al procedimento amministrativo») ad una carenza interna, nel senso di non aver approntato le c.d. misure minime di sicurezza (da ricomprendere la valutazione di impatto della protezione dei dati, DPIA), pena una responsabilità imputabile all’organizzazione[11].
Impedire l’esercizio dei diritti del singolo consigliere, e più in generale del cittadino, adducendo l’“insicurezza” della rete di “trasmissione dati” e affidarsi ricorrendo all’analogico (il cartaceo sull’obbligatorietà di passare alla dematerializzazione, ex art. 40, Formazione di documenti informatici, CAD), quando specie dopo l’identità digitale, lo smart working, il tracciamento “verde”, significherebbe mancare ad uno dei fondamenti della transizione digitale (pilastro del PNRR, con il rafforzamento della cybersicurezza nazionale: Missione 1, Componente 1.1., Investimento 1.5, in rapporto direttamente proporzionale tra digitalizzazione ed minacce cyber), uno degli elementi di maggiore rilevanza nel nuovo quadro normativo.
In breve, la responsabilizzazione (c.d. accountability) dei titolari nei confronti dei trattamenti dati, dovendo garantire non soltanto l’osservanza delle disposizioni nazionali e comunitarie ma anche e soprattutto dimostrare concretamente le misure con le quali garantiscono tale osservanza: il riferimento non può che ricadere alle misure minime di sicurezza che devono presidiare l’organizzazione pubblica per la sua stabilità.
(pubblicato, ictsecuritymagazine.com, 11 novembre 2022)
[1] Cons. Stato, A.P., 2 aprile 2020, n. 10.
[2] Cons. Stato, sez. V, 3 febbraio 2022, n. 769 e 2 gennaio 2019, n. 12.
[3] TAR Friuli Venezia Giulia, Trieste, sez. I, 9 luglio 2020, n. 253.
[4] Cons. Stato, sez. V, 2 gennaio 2019, n. 12.
[5] Ci si riferisce alla disciplina della legge 5 febbraio 1992, n. 104, Legge-quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate, del decreto legislativo 26 marzo 2001, n. 151, Testo unico delle disposizioni legislative in materia di tutela e sostegno della maternità e della paternità, a norma dell’articolo 15 della legge 8 marzo 2000, n. 53, sugli atti relativi ai TSO, sugli interventi assistenziali su disposizione del Tribunale per i minorenni, sul Codice dei contratti, di cui all’art. 53, comma 2, lett. a) e b), e comma 3, del d.lgs. n. 50/2016.
[6] Corte Cost., 19 maggio 2013, n. 85.
[7] Cfr. LUCCA, Osservazioni sull’accesso dei consiglieri comunali ai procedimenti di erogazione contributi COVID-19 (c.d. buoni alimentari), LexItalia.it, 26 giugno 2020, n. 6, sostenendo che una richiesta generalizzata, da parte del consigliere comunale, ad una serie di atti e/o determinazioni, porterebbe a dubitare della correttezza delle esigenze conoscitive per debordare in esigenze di natura meramente emulativa o conoscitiva (mera curiosità), senza alcuna attinenza all’attività dell’Ente locale o al ruolo ricoperto all’interno del Consiglio comunale.
[8] Cons. Stato, sez. V, 11 marzo 2021, n. 2089, nella sentenza si chiarisce, inoltre, che il segreto a cui si riferisce la parte finale del comma 2, dell’art. 43 del d.lgs. n. 267/2000, comporta che i dati e le informazioni acquisite siano utilizzati esclusivamente per l’esercizio del suo mandato e a vietare per contro qualsiasi uso privato; lo stesso obbligo non tutela invece la riservatezza delle persone, la quale verrebbe comunque lesa se l’accesso venisse consentito.
[9] Cfr. LUCCA, Limiti (abuso) del diritto di accesso del consigliere (regionale, provinciale e comunale) alle credenziali del sistema informatico, segretaricomunalivighenzi.it, 9 settembre 2019, dove a commento della sentenza n. 285 del 3 settembre 2019, della prima sez. del TAR Molise, sul diritto di accesso del consigliere comunale, che non può pretendere – in funzione della digitalizzazione della P.A. – di acquisire le credenziali per accedere al sistema informatico della P.A., con un uso da remoto, generalizzato e indiscriminato di accesso agli atti e informazioni detenute dall’Ente di appartenenza, osservando che una dimensione, così pensata, del diritto di accesso on line se da una parte, collide con le misure di sicurezza (che potrebbero essere, comunque, assunte), dall’altra, costituirebbe un’alterazione all’esercizio della funzione e della formazione del diritto di accesso del consigliere comunale, per costituire una figura mostruosa e mitica (Leviathan) già descritta dall’inglese HOBBES. Concludendo, di converso, rilevando che un accesso “a distanza”, così voluto, altererebbe i principi di democrazia che si vorrebbero tutelare, andrebbe ben oltre alla “trasparenza amministrativa” e ai fondamenti costituzionali di uguaglianza, sarebbe invasivo e sproporzionato rispetto al fine non bilanciando le posizioni delle parti e gli interessi sottesi, trasformandosi inesorabilmente in un pericolo alle libertà individuali e dei cittadini, e alla loro riservatezza. Si rinvia, Garante della privacy, L’universo dei dati e la libertà della persona, Relazione 2018, Roma, 7 maggio 2019.
[10] Non è superfluo ricordare una delle prime comunicazioni della Commissione europea del 6 giugno 2001, Sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo, COM (2001) 298, par. 2.1., secondo cui «la sicurezza delle reti e dell’informazione va pertanto intesa come la capacità di una rete o di un sistema d’informazione di resistere, ad un determinato livello di riservatezza, ad eventi imprevisti o atti dolosi che compromettono la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei servizi forniti o accessibili tramite la suddetta rete o sistema». In questo senso, la circolare 21 aprile 2022, n. 4336, dell’Agenzia per la cybersicurezza nazionale, Attuazione dell’articolo 29, comma 3, del decreto-legge 21 marzo 2022, n. 21. Diversificazione di prodotti e servizi tecnologici di sicurezza informatica, intende fornire indicazioni operative sulle categorie di prodotti e servizi tecnologici di sicurezza informatica per le quali le PA dovranno procedere a diversificazione, in ragione dell’esigenza di aumentare la protezione delle reti.
[11] Cfr. LUCCA, Accesso, sicurezza informatica e tutela dei dati personali (e responsabilità), ictsecuritymagazine.com, 9 novembre 2020, configurata come “colpa di organizzazione”, da intendersi, in senso normativo, come rimprovero derivante dall’inottemperanza da parte dell’Amministrazione dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti, peraltro attinente alle misure specifiche di sicurezza informatica per evitare tale genere di rischio, Cass. civ., sez. II, ord. 3 settembre 2020, n. 18292.