Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su una istanza di accesso civico - 16 novembre 2017 [7273244]

[doc. web n. 7273244]

Parere su una istanza di accesso civico - 16 novembre 2017 [7273244]

Registro dei provvedimenti
n. 476 del 16 novembre 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l'art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

Visto l'art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196 (di seguito "Codice");

Vista la Determinazione n. 1309 del 28/12/2016 dell'Autorità Nazionale Anticorruzione-ANAC, adottata d'intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all'accesso civico di cui all'art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito "Linee guida dell'ANAC in materia di accesso civico");

Visto il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all'accesso civico», in www.gpdp.it, doc. web n. 5860807;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Con la nota in atti, il Responsabile per la prevenzione della corruzione e per la trasparenza delle Istituzioni scolastiche del Lazio (Ufficio Scolastico Regionale per il Lazio del Ministero dell'Istruzione, dell'Università e della Ricerca), ha chiesto al Garante il parere previsto dall'art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013, nell'ambito del procedimento relativo a una richiesta di riesame sul provvedimento di diniego di un'istanza di accesso.

Il predetto accesso, presentato a un istituto comprensivo, aveva a oggetto l'estrazione «in formato elettronico [di] tutta la documentazione in merito ai registri attestanti le presenze e assenze di tutti gli alunni a partire dall'anno scolastico 2014/15 a quello 2016/17».

Dagli atti risulta che la predetta istituzione scolastica ha negato l'accesso «a tutela degli interessi di cui all'art. 5-bis, c. 2, lett. A del D.Lgs 33/2013, come modificato dal D Lgs 97/2016 [relativi alla]"protezione dei dati personali in conformità della disciplina legislativa in materia».

A fronte di tale diniego, l'istante ha proposto istanza di riesame ai sensi dell'art. 5 del d. lgs. n. 33/2013.

Il Responsabile per la prevenzione della corruzione e per la trasparenza, nella richiesta di parere al Garante, ha rappresentato, fra l'altro, che:

- «Nel prendere atto della risposta del Dirigente scolastico al Richiedente […], concernente il non accoglimento della citata richiesta a tutela degli interessi di cui all'articolo 5-bis, comma 2, lettera a) del D. Lgs. 33/2013 ("protezione dei dati personali, in conformità con la disciplina legislativa in materia"), si rappresenta – ai fini di una piena considerazione degli aspetti operativi connessi alla richiesta in argomento – l'impegno eccessivamente oneroso che graverebbe sull'Istituzione scolastica, nell'eventualità in cui quest'ultima dovesse provvedere all'invio a tutti i controinteressati dell'informativa – riferita ad iscritti di ben tre anni scolastici – mediante raccomandata con avviso di ricevimento, ai sensi dell'art. 6, comma 5, del D. Lgs. 97/2016»;

- «l'accesso generalizzato è servente rispetto alla conoscenza di dati e documenti detenuti dalla P.A. "allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico" (art. 5, comma 2, del D. Lgs. 33/2013); laddove la richiesta in questione riguarda documenti contenenti informazioni relative a persone fisiche (oltretutto minorenni) – e in quanto tali, dati personali – non necessarie al raggiungimento del predetto scopo».

OSSERVA

1. Introduzione

La disciplina di settore in materia di accesso civico contenuta nel d. lgs. n. 33/2013 prevede, fra l'altro, che «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis» (art. 5, comma 2).

La medesima normativa sancisce che l'accesso civico è rifiutato, fra l'altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a)).

In tale quadro, si ricorda che per «dato personale» si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b), del Codice).

Con riferimento al procedimento relativo all'accesso civico, il Garante deve essere sentito dal Responsabile della prevenzione della corruzione nel caso di richiesta di riesame, laddove l'accesso sia stato negato o differito per motivi attinenti alla tutela della «protezione dei dati personali, in conformità con la disciplina legislativa in materia» (artt. 5, comma 7; 5-bis, comma 2, lett. a), d. lgs. n. 33/2013).

Ai fini della definizione delle esclusioni e dei limiti all'accesso civico, è previsto che «l'Autorità nazionale anticorruzione, d'intesa con il Garante per la protezione dei dati personali e sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, adott[i] linee guida recanti indicazioni operative» (art. 5-bis, comma 6).

In proposito, l'Autorità Nazionale Anticorruzione-ANAC, d'intesa con il Garante, ha approvato le citate «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all'accesso civico di cui all'art. 5 co. 2 del d.lgs. 33/2013».

2. Profili procedurali

Con riferimento al provvedimento di diniego dell'accesso adottato dall' istituto scolastico, deve ricordarsi che nelle Linee guida dell'ANAC in materia di accesso civico è precisato che «Nella risposta negativa o parzialmente tale, sia per i casi di diniego connessi all'esistenza di limiti di cui ai co. 1 e 2 che per quelli connessi all'esistenza di casi di eccezioni assolute di cui al co. 3, l'amministrazione è tenuta a una congrua e completa, motivazione, tanto più necessaria in una fase sicuramente sperimentale quale quella che si apre con le prime richieste di accesso. La motivazione serve all'amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell'accesso generalizzato, al giudice per sindacare adeguatamente le decisioni dell'amministrazione» (parr. 4.2, 5.3; nonché «Allegato. Guida operativa all' accesso generalizzato», n. 13).

Al contrario, dagli atti risulta che la motivazione contenuta nel provvedimento di diniego dell'istanza di accesso civico adottata dall'istituto scolastico, eccessivamente generale e sintetica, può non aver consentito all'istante di comprendere le effettive ragioni per cui l'ostensione dei dati richiesti determinerebbe «un pregiudizio concreto» alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia (art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013).

3. Sulla valutazione da effettuare in ordine all'esistenza di un pregiudizio concreto alla protezione dei dati personali

Nel merito, per i profili di competenza in materia di protezione dei dati personali, si rinvia, in primo luogo, al contenuto delle Linee guida dell'ANAC in materia di accesso civico, laddove è precisato, in particolare (par. 8.1), che:

- «La disciplina in materia di protezione dei dati personali prevede che ogni trattamento – quindi anche una comunicazione di dati personali a un terzo tramite l'accesso generalizzato – deve essere effettuato "nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale […]", ivi inclusi il diritto alla reputazione, all'immagine, al nome, all'oblio, nonché i diritti inviolabili della persona di cui agli artt. 2 e 3 della Costituzione. Nel quadro descritto, anche le comunicazioni di dati personali nell'ambito del procedimento di accesso generalizzato non devono determinare un'interferenza ingiustificata e sproporzionata nei diritti e libertà delle persone cui si riferiscono tali dati ai sensi dell'art. 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, dell'art. 8 della Carta dei diritti fondamentali dell'Unione europea e della giurisprudenza europea in materia»;

- «Ai fini della valutazione del pregiudizio concreto, vanno prese in considerazione le conseguenze – anche legate alla sfera morale, relazionale e sociale – che potrebbero derivare all'interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto, tenuto conto delle implicazioni derivanti dalla previsione di cui all'art. 3, comma 1, del d. lgs. n. 33/2013, in base alla quale i dati e i documenti forniti al richiedente tramite l'accesso generalizzato sono considerati come "pubblici", sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 7 del d. lgs. n. 33/2013). Tali conseguenze potrebbero riguardare, ad esempio, future azioni da parte di terzi nei confronti dell'interessato, o situazioni che potrebbero determinare l'estromissione o la discriminazione dello stesso individuo, oppure altri svantaggi personali e/o sociali. In questo quadro, può essere valutata, ad esempio, l'eventualità che l'interessato possa essere esposto a minacce, intimidazioni, ritorsioni o turbative al regolare svolgimento delle funzioni pubbliche o delle attività di pubblico interesse esercitate, che potrebbero derivare, a seconda delle particolari circostanze del caso, dalla conoscibilità di determinati dati. Analogamente, vanno tenuti in debito conto i casi in cui la conoscibilità di determinati dati personali da parte di chiunque possa favorire il verificarsi di eventuali furti di identità o di creazione di identità fittizie attraverso le quali esercitare attività fraudolente»;

- «Nel valutare l'impatto nei riguardi dell'interessato, vanno tenute in debito conto anche le ragionevoli aspettative di quest'ultimo riguardo al trattamento dei propri dati personali al momento in cui questi sono stati raccolti, ad esempio nel caso in cui le predette conseguenze non erano prevedibili al momento della raccolta dei dati. Per verificare l'impatto sfavorevole che potrebbe derivare all'interessato dalla conoscibilità da parte di chiunque delle informazioni richieste, l'ente destinatario della richiesta di accesso generalizzato deve far riferimento a diversi parametri, tra i quali, anche la natura dei dati personali oggetto della richiesta di accesso o contenuti nei documenti ai quali di chiede di accedere, nonché il ruolo ricoperto nella vita pubblica, la funzione pubblica esercitata o l'attività di pubblico interesse svolta dalla persona cui si riferiscono i predetti dati»;

- «Tra gli altri fattori da tenere in considerazione ai fini della valutazione della sussistenza del pregiudizio in esame, merita rilievo anche la circostanza che la richiesta di accesso generalizzato riguardi dati o documenti contenenti dati personali di soggetti minori, la cui conoscenza può ostacolare il libero sviluppo della loro personalità, in considerazione della particolare tutela dovuta alle fasce deboli»;

- «va considerato altresì che la sussistenza di un pregiudizio concreto alla protezione dei dati personali può verificarsi con più probabilità per talune particolari informazioni – come ad esempio situazioni personali, familiari, professionali, patrimoniali – di persone fisiche destinatarie dell'attività amministrativa o intervenute a vario titolo nella stessa e che, quindi, non ricoprono necessariamente un ruolo nella vita pubblica o non esercitano funzioni pubbliche o attività di pubblico interesse. Ciò anche pensando, come già visto, alle ragionevoli aspettative di confidenzialità degli interessati riguardo a talune informazioni in possesso dei soggetti destinatari delle istanze di accesso generalizzato o la non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque di tali dati».

Si richiama, inoltre, l'attenzione sulla circostanza che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241/1990 – i dati e i documenti ricevuti a seguito di una istanza di accesso civico sono soggetti a un particolare regime di pubblicità, essendo previsto che «Tutti i documenti, le informazioni e i dati oggetto di accesso civico […] sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell'articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).

In tale contesto, nel caso sottoposto all'attenzione del Garante si evidenzia che la domanda di accesso era volta a ottenere l'estrazione in formato elettronico della documentazione relativa ai registri attestanti le presenze e le assenze di tutti gli alunni, peraltro minorenni, dell'istituto scolastico destinatario dell'istanza, dall'anno 2014/2015 all'anno 2016/2017.

Sul punto, appare opportuno, in primo luogo, evidenziare che, in relazione alla delicata questione del cd. accesso generalizzato avente a oggetto dati personali di minorenni, il Garante nel provvedimento n. 92 del 3/3/2016 recante il «Parere su uno schema di decreto legislativo concernente la revisione e semplificazione delle disposizioni di prevenzione della corruzione, pubblicità e trasparenza [definitivamente approvato con d. lgs. n. 97 del 25/5/2016 che ha modificato il d. lgs. n. 33/2013]» (in www.gpdp.it, doc. web n. 4772830), aveva già avanzato precise riserve sull'eventuale applicazione dell'accesso civico ai predetti dati, rappresentando – considerando l'esistenza fisiologica di un pregiudizio concreto alla tutela del minore nel caso di ampia conoscenza di dati e informazioni personali a lui riferiti – la necessità che l'accesso civico fosse «in ogni caso rifiutato qualora [avesse] comport[ato] la comunicazione […], di dati personali di minorenni» (cfr. punto 4.1 della motivazione e lett. g.1.) del dispositivo).

Ciò ricordato, deve essere comunque evidenziato che, nel caso di specie, l'oggetto dell'accesso investiva non soltanto i meri nominativi di minori che frequentano (o hanno frequentato) un istituto comprensivo, aggregante scuola dell'infanzia, primaria e secondaria di primo grado (informazione già di per sé di natura riservata considerando la vulnerabilità dei soggetti interessati); ma per di più includeva anche la volontà di conoscere ulteriori dati e informazioni di contesto, parimenti delicati, come quelli relativi a tutti gli specifici giorni di presenza o assenza scolastica di ogni singolo alunno, riferiti agli ultimi 3 anni.

Pertanto, si ritiene che – considerando la natura, la specie e la quantità dei dati personali richiesti riferiti a soggetti minorenni, nonché il particolare regime di pubblicità dei dati e documenti oggetti di accesso civico (art. 3, comma 1, del d. lgs. n. 33/2013) – l'istituto scolastico, seppur con una sintetica motivazione, abbia correttamente rifiutato l'accesso civico ricevuto e sottoposto all'attenzione del Garante. Ciò in quanto, ai sensi della normativa vigente e delle richiamate indicazioni contenute nelle Linee guida dell'ANAC in materia di accesso civico, l'ostensione dei dati personali richiesti è suscettibile di determinare, a seconda delle ipotesi e del contesto in cui possono essere utilizzati da terzi, proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall'art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile per la prevenzione della corruzione e per la trasparenza delle Istituzioni scolastiche del Lazio, ai sensi dell'art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 16 novembre 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia