[doc. web n. 10061232 ]

Parere su istanza di accesso civico - 3 maggio 2024

Registro dei provvedimenti
n. 265 del 3 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) della Regione Toscana, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con nota in atti il RPCT della Regione Toscana ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, in ordine a un provvedimento di diniego di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico avente ad oggetto «tutti i dati, in qualunque modo detenuti e/o raccolti, relativi a: A) numero totale di residenti nella Regione in epigrafe, suddivisi per provincia, sesso, classe quinquennale di età (0-4; 5-9; ecc.), nonché status vaccinale Covid-19 indicando numero di dosi effettuate e relativi periodi di inoculazione (si precisa che per vaccinati/status vaccinale si intendono tutti i soggetti che hanno ricevuto almeno una dose di vaccino a prescindere dai giorni intercorsi da ciascuna inoculazione), per mese ed anno di calendario dal 2018 al 2023. B) numero di decessi totali relativi ai residenti suddivisi per provincia, sesso, classe quinquennale di età (0-4; 5-9; ecc.), cause di morte, nonché status vaccinale Covid-19, indicando per i vaccinati il numero di dosi effettuate e relativi periodi di inoculazione (si precisa che per vaccinati/status vaccinale si intendono tutti i soggetti che hanno ricevuto almeno una dose di vaccino a prescindere dai giorni intercorsi da ciascuna inoculazione), per mese ed anno di calendario dal 2018 al 2023». Il soggetto istante ha dichiarato in atti di avere effettuato la medesima richiesta di dati anche ad altre Regioni.

La Regione Toscana ha rigettato l’istanza in questione, sul presupposto che «i dati oggetto della richiesta sono riconducibili nel novero dei dati relativi alla salute» e che i dati richiesti sono «dati individuali dei singoli assistiti con l’indicazione di informazioni puntuali quali lo status vaccinale Covid-19, il numero di dosi ricevute, il mese e l’anno di somministrazione della vaccinazione che, anche se privati del nome e del cognome, non possono essere considerati “anonimizzati”, né tanto meno aggregati». Ciò anche considerato che «i dati oggetto di richiesta sono circoscritti al solo territorio toscano, dunque ad un ambito territoriale particolarmente ristretto, il che rende ancor più agevole l’identificazione degli interessati», da ciò derivando «che il rischio di re-identificazione del singolo soggetto è sicuramente elevato, considerando anche l’eventualità che tali dati possono essere raffrontati o incrociati con altre fonti, banche dati o dati statistici dai quali ricavare informazioni ulteriori sugli assistiti». La Regione ha, pertanto, rifiutato l’accesso civico «in quanto l’ostensione dei dati richiesti determinerebbe un’interferenza ingiustificata e sproporzionata nei diritti e nelle libertà dei controinteressati» “, osservando, peraltro, che «nel caso di specie, la predisposizione del documento richiederebbe un’attività di elaborazione dei dati particolarmente complessa e sicuramente non ordinaria, che comporterebbe la creazione di un nuovo documento, in contrasto sia con i principi che regolano l’attività amministrativa».

Il soggetto istante ha presentato al RPCT una richiesta di riesame del provvedimento della Regione, sostenendo fra l’altro che «le motivazioni del diniego di accesso appaiono infondate e generiche» e che «i dati richiesti poss[o]no essere forniti senza incorrere nel rischio di violazione della privacy e [possono essere] agevolmente reperibili […] senza la necessità di un’elaborazione dati particolarmente complessa». Ciò richiamando anche «il parere del Garante Privacy n. 155/2020 che ha legittimato la fornitura da parte di una Regione di dati sull’emergenza sanitaria».

OSSERVA

1. Introduzione e precedenti del Garante

Nel caso in esame oggetto di accesso civico sono informazioni di natura particolarmente delicata in quanto riguardanti i dati vaccinali detenuti da una singola regione riferiti ai propri assistiti a cui sono stati somministrate una o più dosi del vaccino anti Covid-19 dal 2018 al 2023 e dei soggetti deceduti nel medesimo periodo. I dati richiesti sono aggregati per regione, provincia, per mese, anno, sesso, fascia di età quinquennale (es. 0-4, 5-9… ecc.), numero di dose, eventuale decesso, causa del decesso.

La questione dell’accesso civico generalizzato ai dati vaccinali è stata esaminata più di una volta, sotto diversi profili, da questa Autorità in precedenti pareri le cui motivazioni, per esigenze di chiarezza espositiva, vengono riportate nel loro complesso anche in questa sede coordinandole – dato il tenore dell’istanza di accesso civico – anche con le indicazioni fornite dal Gruppo art. 29 in tema di anonimizzazione dei documenti (cfr.  pareri n. 82 del 22/2/2024, doc. web n. 9996647, che, peraltro, è stato reso alla stessa Regione Toscana; n. 83 del 22/2/2024, doc. web n. 9999918; n. 469 del 12/10/2023, doc. web n. 9956589; n. 552 del 27/11/2023, doc. web n. 9967883).

2. La disciplina applicabile e le indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

Al riguardo, come evidenziato anche nelle Linee guida dell’ANAC in materia di accesso civico, dalla «lettura dell’art. 5 bis, co. 1, 2 e 3 del decreto trasparenza si possono distinguere due tipi di eccezioni, assolute o relative. Al ricorrere di queste eccezioni, le amministrazioni, rispettivamente, devono o possono rifiutare l’accesso generalizzato. La chiara identificazione di tali eccezioni rappresenta un elemento decisivo per consentire la corretta applicazione del diritto di accesso generalizzato» (par. 5). La differenza fra eccezioni assolute e relative risiede, in altre parole, nella circostanza che al ricorrere delle prime l’amministrazione deve escludere l’accesso civico senza effettuare alcun tipo di bilanciamento.

In tale contesto, come riportato anche nelle predette Linee guida, nella «valutazione dell’istanza di accesso, l’amministrazione deve quindi verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3».

Casi di esclusione dell’accesso civico in presenza di eccezioni assolute previste dal citato comma 3 dell’art. 5-bis, come indicato anche da ANAC, ricorrono, fra l’altro, quando:

- sussistono «divieti di accesso o divulgazione previsti dalla legge» (es. art. 2-septies, comma 8, del Codice con riferimento ai «dati relativi alla salute» ossia dei «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», art. 4, par. 1, n. 15, del RGPD);

- «l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti […]» (si consideri ad esempio la disciplina sugli atti dello stato civile e quella sulle informazioni contenute nelle anagrafi della popolazione conoscibili nelle modalità previste dalle relative discipline di settore ai sensi degli artt. 33 ss. del d.P.R. n. 223/1989; artt. 106 ss. del d.P.R. n. 396/2000).

Per altro verso le amministrazioni devono “rifiutare” l’accesso civico, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a). Si tratta di una cosiddetta eccezione relativa, nel senso che «Il legislatore non opera, come nel caso delle eccezioni assolute, una generale e preventiva individuazione di esclusioni all’accesso generalizzato, ma rinvia a una attività valutativa che deve essere effettuata dalle amministrazioni con la tecnica del bilanciamento, caso per caso […]» (cfr. par. 5.2, Linee guida ANAC).

In tale contesto, per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati o documenti, tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di un’istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico).

In relazione ai «dati personali delle persone decedute», il RGPD stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27).

In tale quadro, il legislatore italiano ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f), del d. lgs. n. 101 del 10/8/2018).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del RGPD prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili (v. provv. n. 2 del 10/1/2019, in www.gpdp.it, doc. web n. 9084520. Sui dati dei deceduti cfr. anche provv. n. 118 del 7/4/2022, ivi, doc. web n. 9772545; n. 90 del 23/3/2023, ivi, doc. web n. 9888188).

3. Anagrafe nazionale e regionale dei vaccini: regime di accessibilità

La normativa statale di settore contenuta nel decreto del Ministero della salute del 17/9/2018 recante «Istituzione dell’Anagrafe nazionale vaccini» in attuazione dell’art. 4-bis del d.l. n. 73 del 7/6/2017 (su cui il Garante ha reso il parere n. 438 del 26/7/2018, in www.gpdp.it, doc. web n. 9025504), istituisce e disciplina il funzionamento, presso il Ministero della salute, dell’Anagrafe nazionale vaccini «con l’obiettivo di garantire, nell’ambito del monitoraggio dei programmi vaccinali sul territorio nazionale, la verifica delle coperture vaccinali in relazione al Calendario vaccinale nazionale vigente e l’elaborazione di indicatori a livello nazionale, regionale e aziendale, anche a fini comparativi».

Il citato decreto del 17/9/2018 prevede, in particolare, che nella predetta anagrafe siano registrati a livello nazionale, fra gli altri dati, i soggetti vaccinati e da sottoporre a vaccinazione, le dosi e i tempi di somministrazione delle vaccinazioni effettuate, il luogo di residenza, le date di eventuale decesso.

L’Anagrafe nazionale vaccini è alimentata dai dati delle anagrafi vaccinali regionali esistenti (art. 2, comma 1, del citato decreto e art. 4-bis, comma 2, d.l. n. 73/2017).

Il regime di conoscibilità delle predette informazioni e delle altre contenute in anagrafe è regolamentato nell’art. 4 del citato decreto intitolato «Accesso ai dati», che disciplina le modalità di accesso, da parte dei soggetti istituzionali, ai dati degli assistiti, accordando diversi livelli di conoscibilità a seconda della finalità (es.: monitoraggio e verifica delle coperture vaccinali, svolgimento delle funzioni e dei compiti amministrativi, aggiornamento delle anagrafi regionali vaccinali) e da parte dei soggetti istituzionali interessati (esclusivamente le unità organizzative competenti delle regioni e delle province autonome; nonché le unità organizzative competenti del Ministero della salute in taluni casi specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario).

In tale quadro – salvo i casi di accesso ai dati personali della generalità degli assistiti da parte delle unità organizzative, specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario del Ministero della salute (art. 4, comma 1, seconda alinea, del D.M. cit.) – per l’attività di monitoraggio dei programmi vaccinali sul territorio nazionale e la verifica delle coperture vaccinali è previsto che le stesse «unità organizzative competenti delle regioni e delle province autonome» (come individuate da provvedimenti regionali e provinciali) possano accedere ai dati esclusivamente «in forma aggregata e anonima» e limitatamente ai propri assistiti. Analogamente, anche per «lo svolgimento delle funzioni e dei compiti amministrativi concernenti la raccolta e lo scambio di informazioni con gli organismi comunitari ed internazionali e la redazione delle relazioni da presentarsi al Parlamento e le altre relazioni o rapporti di carattere nazionale» gli stessi uffici i competenti del Ministero della salute possono accedere ai dati dell’anagrafe vaccinale solo «in forma aggregata e anonima».

In ogni caso, è previsto che i «dati contenuti nell’Anagrafe nazionale vaccini possono essere diffusi esclusivamente in forma anonima» (art. 5, comma 2, D.M. 17/9/2018, cit.).

Ciò premesso, considerando le osservazioni presentate dal soggetto istante nella richiesta di riesame e dalla Regione Toscana contenute nella documentazione in atti, entrando nel merito di quanto richiesto, si osserva quanto segue.

4. Valutazioni sui dati richiesti dal soggetto istante

Le informazioni individuali contenute nell’Anagrafe vaccinale regionale dei vaccini richieste nel caso in esame (al pari di quelle contenute nell’anagrafe nazionale) sono di natura particolarmente delicata in quanto riferite a soggetti che hanno ricevuto una o più dosi di vaccino e che sono eventualmente deceduti (con indicazione della causa di morte).

Un’eventuale ostensione delle informazioni così richieste altererebbe il regime e le misure di sicurezza adottate dalla Regione e dal Ministero della salute ai sensi dell’art. 32 del RGPD, nonché le regole in materia di accountability e le valutazioni del rischio di re-identificazione effettuato dalla Regione o dal Ministero mediante la valutazione d’impatto prevista dall’art. 35 del RGPD per i trattamenti a rischio elevato (cfr. Gruppo Art. 29, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, del 4/4/2017, par. III.b). Ciò considerando che si tratta di dati riferiti a soggetti vaccinati trattati su larga scala e alle dosi di vaccino effettuate, il cui numero potrebbe essere idoneo a rivelare – nel caso ad esempio dell’effettuazione di una sola dose o del mancato completamento del ciclo vaccinale – l’esistenza di possibili casi di esonero successivo o differimento connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti (con la conseguente riconducibilità alle «categorie particolari di dati personali» di cui all’art. 9 del RGPD) oppure altre convinzioni personali.

Si ritiene quindi dirimente effettuare un’adeguata valutazione circa il rischio di re-identificabilità dei soggetti interessati (fra cui minori e soggetti deboli) tramite l’ostensione dei dati richiesti, derivante anche dal possibile incrocio dei dati con altre fonti, banche dati o dati statistici che possono fornire informazioni ulteriori sugli stessi assistiti.

Ciò anche considerando che, da una parte, come risulta dagli atti, il soggetto istante ha effettuato la medesima richiesta di dati anche ad altre Regioni, e, dall’altra, come emerge da precedenti di questa Autorità (v. i già citati pareri nn. 82 e 83 del 22/2/2024, nonché il parere n. 552 del 27/11/2023, doc. web n. 9967883), sono nella disponibilità di soggetti terzi ulteriori database, in cui sono contenute informazioni in forma individuale e disaggregata (ossia per singolo assistito), prive del nome e cognome, pari a più di 45 milioni di soggetti vaccinati dei quali sono stati indicati: data di nascita, data di eventuale decesso; data della prima dose; data della eventuale seconda dose; data della eventuale terza dose; data della eventuale quarta dose.

5. Dati aggregati, dati anonimi e osservazioni sul rischio di re-identificazione

Ricordando che anche la disciplina nazionale di settore prevede la possibilità in taluni casi di accedere ai dati vaccinali solo in forma aggregata e anonima (cfr. supra par. 3), prima di valutare nel merito la richiesta di accesso civico nel caso in esame, si ritiene necessario chiarire le nozioni di dato aggregato e di dato anonimo, richiamando l’attenzione sul rischio di re-identificazione per i soggetti interessati, nei casi in cui le tecniche di anonimizzazione e aggregazione impiegate non siano adeguate.

5.a. Il dato aggregato

L’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques, del 10/4/2014”, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, par. 3.2.1.).

Dal punto di vista tecnico, per effettuare la predetta operazione è necessario sottoporre «i valori degli attributi […] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore» (ibidem).

Affinché la tecnica di aggregazione dei dati sia efficace al fine di ridurre il rischio di re-identificazione, è necessario rispettare le opportune soglie di aggregazione dei dati, che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute. Ciò in quanto, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» e «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

In tale contesto, si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677). Il «valore minimo attribuibile alla soglia è pari a tre» (ibidem).

5.b. Il dato anonimo

Come sancito dal RGPD, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (considerando n. 26).

Va ricordato, che – come evidenziato a livello europeo – per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques”, cit., par. 2.2.2.).

Anonimizzare un documento o un database significa effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è il risultato del trattamento di dati personali volto a impedire “irreversibilmente” l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, «Opinion 05/2014 on Anonymisation techniques», cit., par. 2.2., e passim). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi, cfr. par. “sintesi”).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ibidem). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ibidem).

5.c. Sul rischio di re-identificazione

Il rischio di re-identificazione dell’interessato va accuratamente valutato tenendo conto di «tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del RGPD e WP29 “Opinion 05/2014 on Anonymisation techniques”, cit.).

Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo a impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

6. Osservazioni sulla richiesta di accesso civico nel caso in esame

Nel caso sottoposto all’attenzione di questa Autorità, la Regione ha motivato il diniego dell’accesso civico generalizzato, evidenziando che i dati oggetto dell’accesso civico «anche se privati del nome e del cognome, non possono essere considerati “anonimizzati”», tenuto, altresì, conto che «i dati oggetto di richiesta sono circoscritti al solo territorio toscano, dunque ad un ambito territoriale particolarmente ristretto» e dell’«eventualità che tali dati possono essere raffrontati o incrociati con altre fonti, banche dati o dati statistici dai quali ricavare informazioni ulteriori sugli assistiti», essendo, pertanto, «il rischio di re-identificazione del singolo soggetto […] sicuramente elevato». 

Nel caso in esame, fornire i dati così come richiesti nell’istanza di accesso civico e secondo i criteri di aggregazione proposti – come correttamente osservato dalla Regione nel riscontro all’accesso civico – comporta che «il rischio di re-identificazione del singolo soggetto è sicuramente elevato, considerando anche l’eventualità che tali dati possono essere raffrontati o incrociati con altre fonti, banche dati o dati statistici dai quali ricavare informazioni ulteriori sugli assistiti». Ciò considerato il ristretto e limitato ambito territoriale di riferimento (provincia e regione), la quantità e granularità dei criteri di classificazione della popolazione considerata, quali il sesso, la fascia quinquennale di età, il numero di dosi effettuate e i periodi di somministrazione della singola dose di vaccino per mese e anno (dal 2018 al 2023), l’eventuale decesso con indicazione della causa di morte individuale. E questo, a maggior ragione, in relazione a quegli interessati che ricadono nei valori estremi delle classi quinquennale di età che potrebbero includere un numero limitato o estremamente limitato di soggetti (es.: bambini, ragazzi, grandi anziani delle classi 0-4; 5-9; 10-14; 15-18 … 75-79; 80-84 ecc.).

Tali elementi, devono essere prudentemente valutati tenendo conto di quanto sopra evidenziato in merito alle condizioni al ricorrere delle quali l’aggregazione può essere ritenuta un’efficace tecnica di anonimizzazione (cfr. supra par. 5.a) e, in particolare, alla necessità che le soglie di aggregazione dei dati siano proporzionate al campione di riferimento e alle informazioni ivi contenute, in maniera tale che le diverse combinazioni di modalità siano associate a una frequenza non inferire a tre (ibidem) e in modo da poter evitare che, nel caso in esame, sia possibile isolare una determinata persona nel gruppo di riferimento (single-out) o collegare il dato a altri dati riferibili alla persona presenti in distinto insieme di dati (linkability).

In tale contesto, il parere di questa Autorità citato dal soggetto istante nella richiesta di riesame a sostegno dell’accoglimento integrale della propria domanda (provv. n. 155 del 3/9/2020, doc. web n. 9461036), non risulta conferente, in quanto in tale sede il Garante ha ribadito la necessità di «evitare l’ostensione di dati e informazioni che possano rivelare, anche indirettamente, l’identità di soggetti interessati e il connesso stato di salute». Inoltre, i dati forniti dal titolare del trattamento al soggetto istante risultavano di natura diversa da quelli del caso in esame e aggregati con criteri differenti da quelli richiesti dal soggetto istante.

Allo stato degli atti, quindi, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dalla Regione Toscana – sulla quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati richiesti e al rischio di re-identificazione dei soggetti interessati derivante dalla richiesta di ostensione dei dati richiesti prima descritti (art. 5, par. 2, e 24 del RGPD). Ciò tenendo conto anche della possibilità per il soggetto istante (ma, dato il regime di pubblicità propria dell’accesso civico, anche per soggetti terzi) di incrociare e raffrontare i dati ottenuti con altre informazioni ausiliarie già conosciute o contenute in ulteriori banche dati o in dati statistici.

La conoscenza delle informazioni richieste di natura delicata peraltro su larga scala e, in taluni casi, come detto, anche idonee a rivelare convinzioni personali o dati sulla salute per i quali l’accesso civico è escluso (art. 9 del RGPD), determinerebbe, infatti, un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati e la relativa ostensione – in relazione ai casi e al contesto in cui possono essere utilizzati da terzi – può determinare proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Si tratta infatti di informazioni che, per motivi individuali, non sempre si desidera portare a conoscenza di altri soggetti e per le quali occorre tenere in considerazione anche le ragionevoli aspettative di confidenzialità degli interessati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dall’amministrazione, nonché la non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti a questi ultimi dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

Conformemente ai precedenti orientamenti di questa Autorità, si ricorda, in ogni caso, che le esigenze conoscitive dichiarate dal soggetto istante debbono poter essere raggiunte in conformità alla disciplina in materia di protezione dei dati personali. Nulla osta, pertanto, alla possibilità di consentire l’accesso civico a dati anonimi e aggregati, senza fornire elementi che rendano il rischio di re-identificazione più elevato di quanto necessario al soddisfacimento delle esigenze di trasparenza dichiarate dall’istante (cfr. i già citati pareri nn. 82 e 83 del 22/2/2024 e i precedenti in essi richiamati).

Spetta pertanto alla Regione Toscana valutare la possibilità di comunicare dati adeguati a evitare ogni singolarità, secondo criteri idonei di aggregazione. In tale contesto, l’Ente potrà altresì tenere conto delle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico (in particolare par. 4.2. e punto n. 5 dell’«Allegato. Guida operativa all’accesso generalizzato») e nella Circolare del Ministro per la semplificazione e la pubblica amministrazione n. 2/2017 recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)» (parr. 7 e 8), laddove si invita l’amministrazione prima di decidere sulla domanda, a eventualmente contattare il richiedente per avviare un “dialogo cooperativo” nel tentativo di poter ridefinire l’oggetto della richiesta entro limiti compatibili con le regole in materia di protezione dei dati personali oltre che con i principi di buon andamento e di proporzionalità. Ciò anche considerando quanto dichiarato dalla Regione nel riscontro all’istanza di accesso civico con particolare riferimento alla circostanza che «la predisposizione del documento richiederebbe un’attività di elaborazione dei dati particolarmente complessa e sicuramente non ordinaria, che comporterebbe la creazione di un nuovo documento, in contrasto sia con i principi che regolano l’attività amministrativa».

Resta, peraltro, fermo che, anche in caso di ostensione dei dati, eventuali operazioni applicate al database in esame, volte a re-identificare gli interessati, non potranno ritenersi compatibili con la normativa in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole in merito alla richiesta del Responsabile della trasparenza della Regione Toscana, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013, a condizione che, dopo una valutazione in concreto della natura identificativa dei dati richiesti e del rischio di re-identificazione dei soggetti interessati condotta ai sensi dell’art. 5, par. 2, e 24 del RGPD, la Regione Toscana comunichi dati aggregati nei sensi sopra esemplificati, evitando casi di singolarità.

In Roma, 3 maggio 2024

IL PRESIDENTE
Stanzione