[doc. web n. 10120228]

Parere su istanza di accesso civico - 10 marzo 2025

Registro dei provvedimenti
n. 130 del 10 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali – d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (di seguito “RPCT”) dell’Azienda ULSS n. 2 Marca trevigiana presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

VISTA la documentazione in atti;

PREMESSO

Con la nota in atti il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Azienda ULSS n. 2 Marca trevigiana ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, in ordine a un provvedimento di diniego di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata alla predetta Azienda – ai sensi dell’art. 5, comma 2, del d. lgs. n. 33/2013 – una richiesta di accesso civico generalizzato avente a oggetto i «dati relativi alla presenza sul luogo di lavoro del [dipendente identificato in atti], per il periodo dal 1° dicembre 2024 al 15 gennaio 2025». Nello specifico, il soggetto istante ha chiesto copia dei «fogli di presenza e/o corrispondenti strumenti, anche informatici, di rilevazione delle presenze sul luogo di lavoro».

L’amministrazione ha rifiutato l’accesso civico al fine di «evitare un pregiudizio concreto alla tutela degli interessi pubblici e/o privati e nello specifico [alla] protezione dei dati personali, in conformità con la disciplina legislativa in materia» ai sensi dell’art. 5-bis del d. lgs. n. 33/2013.

Il soggetto istante ha, quindi, chiesto il riesame del provvedimento di diniego al RPCT, ritenendo l’atto non legittimo e insistendo nelle proprie richieste. Al riguardo, a sostegno delle proprie ragioni, ha richiamato il contenuto della sentenza del Tar Campania n. 5901 del 13/12/2017.

Il RPCT, ritenendo necessario garantire l’integrità del contraddittorio e opportuno acquisire tutti i possibili elementi utili di valutazioni, ha coinvolto nel procedimento il soggetto controinteressato, che ha presentato opposizione alla richiesta di accesso civico ai propri dati personali. Al riguardo, quest’ultimo ha rappresentato, in primo luogo, come l’istante avesse già formulato diverse istanze di accesso documentale ai sensi della l. n. 241 del 7/8/1990, aventi a oggetto le proprie attività professionali e tale circostanza metterebbe in dubbio che l’iniziativa in questione possa ricondursi, coerentemente allo strumento interessato, a forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche da parte dell’Azienda ULSS 2. Inoltre, secondo il controinteressato la diffusione, in virtù del particolare e ampliato regime di pubblicità dei dati e dei documenti ricevuti a seguito di una istanza di accesso civico, arrecherebbe allo stesso un grave ed evidente pregiudizio concreto, in quanto l’oggetto della richiesta di accesso civico riguarda «dati e informazioni personali per loro natura assai delicati, afferenti alla vita lavorativa, al rapporto di lavoro, ma più in generale, alle stesse abitudini quotidiane di vita [...], la cui generale conoscenza da parte di terzi determinerebbe un’interferenza ingiustificata e sproporzionata nei diritti e nella libertà del dipendente, con possibili ripercussioni negative sul piano professionale, personale e sociale (chiunque, avendo modo di esaminare le timbrature di quasi due mesi consecutivi, verrebbe a conoscere l’orario preciso di ingresso e di uscita e potrebbe farne facilmente usi illeciti». E ciò anche laddove fossero parzialmente oscurate alcune informazioni (es. le cause di eventuali singole assenze dal lavoro), in quanto «i dati personali rilasciati (si pensi anche solo al numero di matricola del dipendente o comunque agli ulteriori dati di contesto o ad informazioni di dettaglio) consentirebbero indirettamente il rischio, se non di identificazione, quantomeno di identificabilità del soggetto al quale le timbrature si riferiscono». Il soggetto controinteressato evidenzia, altresì, che «nel momento in cui i dati sulle presenze sono stati raccolti dall’Azienda, non […] poteva prevedere le conseguenze derivanti dall’eventuale conoscibilità da parte di chiunque delle informazioni oggi richieste con domanda di accesso civico generalizzato».

OSSERVA

1. Introduzione

La disciplina di settore in materia di accesso civico contenuta nel d. lgs. n. 33/2013 prevede che «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

La medesima normativa sancisce che l’accesso civico è rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a) d. lgs. n. 33/2013). Per “dato personale” si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono) tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che i dati e i documenti che si ricevono – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali del soggetto controinteressato, in base al quale decidere se rifiutare o meno l’accesso ai dati e ai documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi sanciti nel RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).

In tale contesto, occorre tenere conto anche delle ragionevoli aspettative di confidenzialità del soggetto interessato e della non prevedibilità delle conseguenze derivanti a quest’ultimo dalla conoscibilità da parte di chiunque dei dati personali richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Osservazioni sul caso sottoposto all’attenzione del Garante

Nel caso sottoposto all’attenzione di questa Autorità, oggetto dell’accesso civico risultano essere dati e informazioni di carattere personale, relativi alla presenza sul luogo di lavoro di un dipendente di un’azienda sanitaria, per un periodo di circa un mese e mezzo. Si tratta di informazioni di carattere delicato che, per motivi personali, non sempre si desidera portare a conoscenza di soggetti estranei, in quanto tramite esse si viene a conoscenza di specifiche attività e abitudini lavorative, capaci di rivelare – considerando anche il significativo arco temporale di riferimento – anche la condotta e la routine quotidiana o lo stile di vita giornaliero. Nei fogli di presenza (e nei corrispondenti strumenti, anche informatici, di rilevazione delle presenze sul luogo del lavoro), in taluni casi possono essere, inoltre, contenuti dati riservati (fra i quali anche dati di carattere particolare di cui all’art. 9 del RGPD), come l’orario di entrata e di uscita o della pausa pranzo, oppure indicazioni sui motivi di eventuali assenze (es.: ferie, assenza per malattia, permessi ai sensi della l. n. 104 del 5/2/1992 sull’«assistenza, l’integrazione sociale e i diritti delle persone handicappate», ecc.).

La disciplina statale in materia di trasparenza «allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche» (art. 1, comma 1, del d. lgs. n. 33/2013) prevede un preciso regime di trasparenza per le informazioni riguardanti le assenze dei dipendenti, sancendo la necessità di pubblicare online specifici dati aggregati privi di dati personali. In particolare, è prevista la pubblicazione, con cadenza trimestrale, dei «dati relativi ai tassi di assenza del personale distinti per uffici di livello dirigenziale» (art. 16, comma 3, ivi).

Fatta eccezione per i dati sopradescritti, la disciplina statale in materia di trasparenza, non prevede obblighi di pubblicazione o di conoscibilità delle presenze dei singoli dipendenti (né apicale, né operativo).

Questa Autorità si è, inoltre, già espressa con ampiezza di argomentazioni in numerosi casi sull’accesso civico a dati relativi alle timbrature e alle presenze dei lavoratori, ritenendo sussistere il limite previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 (cfr., fra gli altri, i pareri contenuti nei seguenti provvedimenti: n. 54 del 24/1/2024, in www.gpdp.it, doc. web. n. 9977461; n. 152 del 17/8/2020, ivi, doc. web n. 9477809; n. 61 del 14/3/2019, ivi, doc. web n. 9113854; n. 60 del 14/3/2019, ivi, doc. web n. 9102014; n. 516 del 19/12/2018, ivi, doc. web n. 9075337; n. 190 del 10/4/2017, ivi, doc. web n. 6383028; n. 369 del 13/9/2017, ivi, doc. web n. 7155944).

In tale contesto – conformemente ai precedenti orientamenti del Garante – si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico, l’Azienda sanitaria abbia correttamente respinto l’accesso civico ai dati e alle informazioni richiesti sopra descritti. Al riguardo, infatti, la relativa ostensione – stante l’amplificato regime di pubblicità previsto dal legislatore, che incrementa la potenzialità lesiva dell’eventuale diffusione delle predette informazioni – può arrecare a seconda delle ipotesi e del contesto in cui le informazioni fornite possono essere utilizzate da terzi, proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Ciò anche considerando il ruolo svolto e la posizione lavorativa assunta all’interno dell’Azienda sanitaria dal soggetto controinteressato.

Sul punto si condividono le osservazioni contenute nell’opposizione presentata da quest’ultimo, laddove sostiene che i dati e le informazioni personali richieste sono «per loro natura assai delicati, afferenti alla vita lavorativa, al rapporto di lavoro, ma più in generale, alle stesse abitudini quotidiane di vita» e la relativa generale conoscenza da parte di terzi, potrebbe determinare un’interferenza ingiustificata e sproporzionata nei propri diritti e nella proprie libertà. Al riguardo è, infatti, necessario considerare le ripercussioni sul piano personale e lavorativo, nonché la reale possibilità che chiunque, «esamina[ndo] le timbrature di quasi due mesi consecutivi», sarebbe in grado di conoscere i dati sui giorni di presenza giornaliera con ripercussioni sulla sicurezza stessa del lavoratore di cui si renderebbero conoscibili le abitudini, facilitando anche possibili usi illeciti da parte di terzi estranei (fra cui, ad esempio, anche il pericolo di eventuali azioni poste in essere da terzi e dirette a turbare il regolare svolgimento dell’attività lavorativa). Tali pericoli non sono superabili dalla possibilità di oscurare alcune informazioni, come l’orario preciso di ingresso e di uscita o le cause di eventuali singole assenze dal lavoro, in quanto è proprio la conoscenza della presenza o assenza dal lavoro abitudinaria a poter recare un pregiudizio, come detto, al soggetto interessato. D’altronde, come evidenziato, anche da quest’ultimo nella propria opposizione «nel momento in cui i dati sulle presenze sono stati raccolti dall’Azienda, non [è possibile] prevedere le conseguenze derivanti dall’eventuale conoscibilità da parte di chiunque delle informazioni oggi richieste con domanda di accesso civico generalizzato». È necessario tenere in adeguata considerazione le ragionevoli aspettative di confidenzialità del dipendente coinvolto, guardando anche al ruolo che esso svolte all’interno dell’Azienda sanitaria, in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dal titolare del trattamento (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

Per completezza, si rappresenta che nel caso in esame dagli atti non emergono con evidente chiarezza elementi che possano in ogni caso consentire di ritenere che, nello specifico caso in esame, la conoscenza generalizzata dei dati relativi alle presenze sul luogo di lavoro del soggetto controinteressato possa essere strumentale a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico», ma sembrerebbe emergere al più un interesse meramente privato, considerando – come rappresentato nell’opposizione dal soggetto controinteressato – le diverse istanze di accesso documentale presentate dallo stesso soggetto istante ai sensi della l. n. 241/1990 alle attività professionali del soggetto controinteressato.

Considerando che nella richiesta di riesame il soggetto istante ha richiamato una parte della giurisprudenza amministrativa a sostegno delle proprie ragioni, si ritiene utile ribadire che il complesso delle osservazioni soprariportate – oltre a essere supportato da un costante orientamento di questa Autorità su casi analoghi – è confermato anche dalla sentenza del TAR Abruzzo-Pescara n. 89 del 6/3/2020, nella parte in cui è rappresentato, citando proprio un precedente di questa Autorità, che «i dati relativi agli orari di lavoro, permessi e assenze per malattia (anche se epurati della descrizione del tipo di malattia) sono sottratti all’accesso civico generalizzato e come tali non sono pubblici ma riservati […] in quanto la loro conoscenza indiscriminata appare idonea a recare astrattamente un pregiudizio agli interessati, ad esempio nella vita lavorativa, sociale e di relazione (in quanto si tratta di dati che disvelano abitudini di vita, morbilità del soggetto, ecc…, cfr. parere il parere del 13 settembre 2017 dell’autorità garante dei dati personali, su di una istanza di accesso civico)». Tali considerazioni non sono inficiate dalla decisione contenuta nella sentenza del TAR Campania n. 5901/2017, richiamata dal soggetto istante nella richiesta di riesame a supporto della propria di richiesta di accesso civico, in quanto in tale sede il giudice ha adottato la propria decisione evidenziando che l’amministrazione non aveva sufficientemente motivato l’esistenza del pregiudizio alla protezione dei dati personali ed evidenziando, peraltro, il mancato (obbligatorio) coinvolgimento di questa Autorità nel procedimento di accesso da parte della p.a.

Resta, in ogni caso, salva la possibilità per l’istante di eventualmente accedere ai documenti richiesti, laddove – utilizzando il diverso istituto dell’accesso ai documenti amministrativi ai sensi degli artt. 22 ss. della l. n. 241/1990 – dimostri di essere titolare di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso».

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Azienda ULSS n. 2 Marca trevigiana, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

In Roma, 10 marzo 2025

IL PRESIDENTE
Stanzione