[doc. web n. 9956589]

Parere su istanza di accesso civico - 12 ottobre 2023

Registro dei provvedimenti
n. 469 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

Con nota in atti il RPCT del Ministero della salute ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, in ordine a un provvedimento di diniego parziale di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico avente ad oggetto dati contenuti nell’Anagrafe nazionale dei vaccini e precisamente:

«i dati relativi al numero di soggetti, con indicazione della data di nascita degli stessi, della data di decesso, del luogo di residenza, della data in cui si sono sottoposti a vaccino anti meningococco C, anti influenzale e anti penumococcica, della dose somministrata, del lotto di vaccino anti meningococco C, anti influenzale e anti penumococcica somministrato, Asl di somministrazione e/o Centro Vaccinale/Distretto di somministrazione, previo oscuramento delle generalità dei singoli individui, ai quali sia stata somministrata: - nel periodo 01/06/2019 - 26/12/2021 e che siano deceduti entro 14 giorni dalla somministrazione della dose». In alternativa, nel caso in cui «il programma del data base [del Ministero] ]non permetta di acquisire i dati», è stato richiesto «di fornire l’elenco dei cittadini vaccinati (previo oscuramento delle generalità), l’elenco delle date di nascita e luogo di residenza, l’elenco delle dosi somministrate, del lotto somministrato, l’elenco delle date in cui sono state somministrate, l’elenco dei decessi con indicazione della data in cui sono avvenuti».

Il soggetto istante ha rappresentato nella domanda di accesso di voler ottenere i predetti dati considerando che «i dati richiesti sarebbero fondamentali (se incrociati con altri dati statistici) al fine di meglio valutare gli eventi avversi che possono scaturire dalla vaccinazione anti meningococco C, anti influenzale e anti penumococcica».

Il Ministero ha rifiutato l’accesso, rappresentando che «le informazioni e la specificità del target richiesto rappresentano un concreto pregiudizio per la riservatezza e la protezione dei dati personali dei soggetti interessati. Infatti, l’estrazione dall’Anagrafe Nazionale Vaccini (AVN) dei dati richiesti comporta un elevato rischio di re-identificazione degli interessati, e ciò anche relativamente alla richiesta formulata in via subordinata, di fornire “l’elenco dei cittadini vaccinati (previo oscuramento delle generalità), l’elenco delle date di nascita e luogo di residenza, l’elenco delle dosi somministrate, del lotto somministrato, l’elenco delle date in cui sono state somministrate, l’elenco dei decessi con indicazione della data in cui sono avvenuti”». Il Ministero ha aggiunto che le informazioni richieste «inoltre, rientrano tra i dati personali relativi alla salute, il cui trattamento è espressamente vietato dall’articolo 9 del Regolamento UE n. 679 del 2016, pertanto osta all’accoglimento della presente istanza di accesso civico generalizzato il limite di cui all’articolo 5-bis, comma 2, lett. a), del decreto legislativo 14 marzo 2013, n. 33».

Il soggetto istante, ha presentato richiesta di riesame al RPCT e ha chiesto al Ministero di «rivedere il provvedimento di rigetto in aderenza alla nota sentenza n.2584/2023 TAR Lazio – Roma».

OSSERVA

1. Introduzione

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato art. 5-bis prevede che l’accesso civico generalizzato è “escluso”, nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3) e che è “rifiutato”, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a).

Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b) e c)).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

In relazione ai «dati personali delle persone decedute», la normativa europea in materia di protezione dei dati personali, il RGPD stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27).

In tale quadro, il legislatore italiano ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f, del d. lgs. n. 101 del 10/8/2018).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili (v. provv. n. 2 del 10/1/2019, in www.gpdp.it, doc. web n. 9084520. Sui dati dei deceduti cfr. anche provv. n. 118 del 7/4/2022, ivi, doc. web n. 9772545; n. 90 del 23/3/2023, ivi, doc. web n. 9888188).

2. Il regime di accessibilità dell’Anagrafe nazionale vaccini

La normativa statale di settore contenuta nel decreto del Ministero della salute del 17/9/2018 recante «Istituzione dell'Anagrafe nazionale vaccini» in attuazione dell’art. 4-bis del d.l. n. 73 del 7/6/2017 (su cui il Garante ha reso il parere n. 438 del 26/7/2018, in www.gpdp.it, doc. web n. 9025504), istituisce e disciplina il funzionamento, presso il Ministero della salute, dell’Anagrafe nazionale vaccini «con l’obiettivo di garantire, nell'ambito del monitoraggio dei programmi vaccinali sul territorio nazionale, la verifica delle coperture vaccinali in relazione al Calendario vaccinale nazionale vigente e l'elaborazione di indicatori a livello nazionale, regionale e aziendale, anche a fini comparativi».

Il citato decreto del 17/9/2018 prevede, in particolare, che nella predetta anagrafe siano registrati a livello nazionale, fra gli altri dati, i soggetti vaccinati e da sottoporre a vaccinazione, le dosi e i tempi di somministrazione delle vaccinazioni effettuate, il luogo di residenza, le date di eventuale decesso.

Il regime di conoscibilità delle predette informazioni e delle altre contenute in anagrafe è regolamentato nell’art. 4 del citato decreto intitolato «Accesso ai dati», che disciplina le modalità di accesso, da parte dei soggetti istituzionali, ai dati degli assistiti, accordando diversi livelli di conoscibilità a seconda della finalità (es.: monitoraggio e verifica delle coperture vaccinali, svolgimento delle funzioni e dei compiti amministrativi, aggiornamento delle anagrafi regionali vaccinali) e da parte dei soggetti istituzionali interessati (esclusivamente le unità organizzative competenti delle regioni e delle province autonome; nonché le unità organizzative competenti del Ministero della salute in taluni casi specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario).

In tale quadro – salvo i casi di accesso ai dati personali della generalità degli assistiti da parte delle unità organizzative, specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario del Ministero della salute (art. 4, comma 1, seconda alinea, del D.M. cit.) – per l’attività di monitoraggio dei programmi vaccinali sul territorio nazionale e la verifica delle coperture vaccinali è previsto che le stesse «unità organizzative competenti delle regioni e delle province autonome» (come individuate da provvedimenti regionali e provinciali) possano accedere ai dati esclusivamente «in forma aggregata e anonima» e limitatamente ai propri assistiti. Analogamente, anche per «lo svolgimento delle funzioni e dei compiti amministrativi concernenti la raccolta e lo scambio di informazioni con gli organismi comunitari ed internazionali e la redazione delle relazioni da presentarsi al Parlamento e le altre relazioni o rapporti di carattere nazionale» gli stessi uffici i competenti del Ministero della salute possono accedere ai dati dell’anagrafe vaccinale solo «in forma aggregata e anonima».

3. Il caso sottoposto all’attenzione del Garante

Entrando, quindi, nel merito del caso in esame, si evidenzia che oggetto di accesso civico sono informazioni di natura particolarmente delicata in quanto riguardanti dati aggregati e disaggregati di soggetti sottoposti a vaccino anti meningococco C, anti influenzale e anti pneumococcica, nel periodo 01/06/2019 - 26/12/2021 e che siano deceduti entro 14 giorni dalla somministrazione.

In particolare oltre al numero dei soggetti vaccinati – che risulta essere un dato aggregato per il quale non è possibile richiamare alcun motivo di protezione dei dati personali – sono stati chiesti con riferimento ai soggetti sottoposti ai tre vaccini soprarichiamati informazioni in forma individuale (e quindi disaggregata), quali: tutte le date di nascita (e quindi l’età degli assistiti), il luogo di residenza, la data di somministrazione del vaccino, la data della dose somministrata e del lotto del vaccino, la Asl di somministrazione, la data di decesso.

In alternativa, nel caso in cui il database del Ministero non permettesse l’acquisizione dei dati descritti (ad esempio perché comporterebbe un elaborazione) è stato richiesto di fornire tutto l’elenco dei cittadini vaccinati (previo oscuramento delle generalità), l’elenco delle date di nascita e luogo di residenza, l’elenco delle dosi somministrate, del lotto somministrato, l’elenco delle date in cui sono state somministrate, l’elenco dei decessi con indicazione della data in cui sono avvenuti.

Nel caso in esame, i vaccini richiesti, pur non essendo obbligatori, sono rivolti a soggetti a cui deve essere garantita una tutela rafforzata in quanto somministrati nei confronti di neonati e minori (cfr. vaccino anti meningococco C o anti-pneomococco), oppure raccomandati a specifiche categorie di destinatari (cfr. vaccino antinfluenzale) quali persone con più di 60 anni, donne in gravidanza e post partum, ricoverati in lungodegenza, persone con malattie croniche come diabete, malattie cardiache e respiratorie o problemi al sistema immunitario, ecc.

Un’eventuale ostensione delle informazioni richieste altera inoltre il regime e le misure di sicurezza adottate dal Ministero ai sensi dell’art. 32 del RGPD, e le regole in materia di accountability e le valutazioni del rischio di re-identificazione effettuato dal Ministero della salute mediante la valutazione d’impatto prevista dall’art. 35 del RGPD per i trattamenti a rischio elevato, considerando che si tratta di dati riferiti a soggetti deboli trattati su larga scala (cfr. par. Gruppo Art. 29, Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, del 4 aprile 2017).

Pertanto, si ritiene quindi dirimente effettuare un’adeguata valutazione, anche alla luce di quanto dichiarato dal soggetto istante, circa il rischio di re-identificabilità dei soggetti interessati (fra cui minori e soggetti deboli) tramite l’ostensione dei dati richiesti, derivante anche dal possibile raffronto o incrocio dei dati con altre fonti, banche dati o dati statistici che possono fornire informazioni ulteriori sugli stessi assistiti.

4. Il dato anonimo

Per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, del 10/4/2014, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf).

Come sancito dal RGPD, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (cons. n. 26).

Anonimizzare un documento o un database significa, quindi, effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è, infatti, il risultato del trattamento di dati personali volto a impedire irreversibilmente l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, cit.). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ivi). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ivi).

5. Osservazioni sul rischio di re-identificazione nel caso in esame

Nel quadro descritto, si evidenzia che si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» e che «Il valore minimo attribuibile alla soglia è pari a tre» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677).

Il rischio di re-identificazione dell’interessato va, pertanto, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

Pertanto, è necessario valutare adeguatamente il rischio di re-identificazione, rispettando le opportune soglie di aggregazione dei dati che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute.

Sul punto, si ricorda che, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione. In aggiunta, possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

Nel caso sottoposto all’attenzione di questa Autorità – come d’altronde evidenziato dallo stesso Ministero della salute – è stato precisato che l’amministrazione non può fornire i dati richiesti sulla base del fatto che «le informazioni e la specificità del target richiesto rappresentano un concreto pregiudizio per la riservatezza e la protezione dei dati personali dei soggetti interessati. Infatti, l’estrazione dall’Anagrafe Nazionale Vaccini (AVN) dei dati richiesti comporta un elevato rischio di re-identificazione degli interessati, e ciò anche relativamente alla richiesta formulata in via subordinata, di fornire “l’elenco dei cittadini vaccinati (previo oscuramento delle generalità), l’elenco delle date di nascita e luogo di residenza, l’elenco delle dosi somministrate, del lotto somministrato, l’elenco delle date in cui sono state somministrate, l’elenco dei decessi con indicazione della data in cui sono avvenuti”». Il Ministero ha aggiunto inoltre che le informazioni richieste «rientrano tra i dati personali relativi alla salute, il cui trattamento è espressamente vietato dall’articolo 9 del Regolamento UE n. 679 del 2016, pertanto osta all’accoglimento della presente istanza di accesso civico generalizzato il limite di cui all’articolo 5-bis, comma 2, lett. a), del decreto legislativo 14 marzo 2013, n. 33». Tale ultima osservazione risulta supportata dalla circostanza che i vaccini cui si fa riferimento, come sopra anticipato, sono in molti casi somministrati a soggetti deboli, con malattie croniche o immunodepressi con la conseguenza che in caso di re-identificazione del soggetto interessato si potrebbe venire a conoscenza anche del relativo stato di salute.

Allo stato degli atti, quindi, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dal Ministero – sul quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati richiesti e al rischio di re-identificazione dei soggetti interessati (art. 5, par. 2, e 24 del RGPD).

Ciò, tenendo conto del rischio di re-identificabilità dei soggetti interessati connessi alla ostensione dei dati richiesti in forma disaggregata (tipo di vaccino somministrato, data di nascita e quindi età degli assistiti, luogo di residenza, data di somministrazione del vaccino, Asl di somministrazione, data di decesso), nonché della possibilità (e volontà) rappresentata dal soggetto istante (o, dato il regime di pubblicità propria dell’accesso civico, anche di soggetti terzi) di incrociare e raffrontare i dati richiesti con altre informazioni (banche dati o dati statistici).

Le esigenze conoscitive dichiarate dal soggetto istante (ossia valutare meglio gli eventi avversi che possono scaturire dalla vaccinazione anti covid-19) debbono poter essere raggiunte in conformità alla disciplina in materia di protezione dei dati personali.
Nulla osta, pertanto, alla possibilità di consentire l’accesso civico senza fornire elementi (come quelli richiesti) che possano consentire di identificare, anche in maniera indiretta o a-posteriori, i soggetti vaccinati interessati ancorché deceduti.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della trasparenza del Ministero della salute, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei