[doc. web n. 10164354]

Parere su istanza di accesso civico - 4 agosto 2025

Registro dei provvedimenti
n. 466 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d.lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza del Ministero della Difesa ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su un provvedimento di diniego di un accesso.

Dalla documentazione agli atti risulta che è stata presentata una richiesta di accesso all’Organismo Indipendente di Valutazione della Performance (di seguito “OIV”) del predetto Ministero ai seguenti documenti riferiti agli anni 2023 e 2024:

‒ «attestazione sull’assolvimento degli obblighi di pubblicazione relativi agli incarichi conferiti ai dipendenti dell’Amministrazione della Difesa ai sensi dell’art. 45 del D. Lgs. 36/2023»;

‒ «schede di valutazione finale della performance del personale dirigenziale operante nel settore del procurement della Difesa, con segnato riguardo ai pesi e ai coefficienti attribuiti agli obiettivi di trasparenza».

Nella richiesta è precisato che il soggetto istante ha l’esigenza di accedere ai predetti documenti, per ricevere gli elementi utili e necessari «all’elaborazione di un progetto di ricerca con finalità meramente accademico/scientifiche» di cui viene fornita una breve descrizione.

L’amministrazione ha rappresentato che «tutte le attestazioni annuali prodotte dall’OIV sull’assolvimento degli obblighi di pubblicazione sono rinvenibili nella sezione “Amministrazione trasparente” del sito web del Ministero». Quanto alla richiesta di accesso alle schede di valutazione, considerando la motivazione contenuta nell’istanza, l’ente ha ricondotto la domanda «nell’alveo della disciplina di cui agli artt. 22 e ss. della legge n. 241/90 (i.e. accesso documentale)» e l’ha rifiutata per mancanza di un «interesse diretto, specifico, concreto e attuale (ex art. 22, comma 1, lett. b) della legge n. 241/90), correlato a una situazione giuridica soggettiva, all’ostensione domandata». Il Ministero ha aggiunto che «fermo il pregio della finalità scientifica evocata [dal soggetto istante], la stessa non presenta la consistenza necessaria a differenziarla dal quisque de populo, non essendo, altresì, detto astratto interesse neppure ricollegabile alla titolarità di una situazione giuridica soggettiva protetta dall’ordinamento, non essendo certamente tale la redazione di progetto di ricerca».

Il soggetto istante, ritenendo il rifiuto non corretto, ha presentato richiesta di riesame al RPCT del citato Ministero, insistendo nelle proprie richieste ed evidenziando che l’amministrazione con «motivazioni intrinsecamente incoerenti, proponeva una singolare qualificazione dell’istanza, dapprima lasciandone intendere l’ammissibilità astratta e successivamente invece denegandone l’accoglimento, catalogando la finalità di ricerca scientifica come interesse uti singulus […]». 

Il RPCT ha, pertanto, effettuato alcuni approfondimenti istruttori interni all’amministrazione, inviati al Garante ai fini delle proprie valutazioni, nei quali gli uffici del Ministero – pur confermando l’originario inquadramento giuridico dell’istanza quale accesso ai sensi della legge n. 241/1990 – hanno aggiunto, fra l’altro, come l’istanza «non potrebbe essere accolta anche ove riletta quale accesso civico generalizzato [in quanto] nell’accoglimento di detta istanza osta l’esigenza di tutelare il diritto alla riservatezza dei rispettivi controinteressati». 

2. Il quadro normativo 

La disciplina di settore in materia di accesso civico contenuta nel d. lgs. n. 33/2013 prevede, fra l’altro, che «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2).

La medesima normativa sancisce che l’accesso civico è rifiutato, fra l’altro «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a, d. lgs. n. 33/2013). Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Ciò premesso, occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono) tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d.lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi sanciti nel RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

In tale contesto, occorre altresì tenere conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati personali richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

3. Il caso sottoposto all’attenzione del Garante

Con particolare riferimento al caso in esame, risulta che l’istanza di accesso ha a oggetto l’ostensione delle schede di valutazione finale della performance del personale dirigenziale nel settore del procurement della Difesa, con indicazione puntuale dei pesi e dei coefficienti attribuiti agli obiettivi di trasparenza.

Al riguardo, si ricorda, in via preliminare, che la normativa statale in materia di trasparenza già prevede specifici obblighi di pubblicazione sui siti web istituzionali delle pubbliche amministrazioni «dei dati relativi alla valutazione della performance e alla distribuzione dei premi al personale» (art. 20, commi 1-2, del d. lgs. n. 33/2013).

In particolare, è prevista, l’indicazione per il personale dirigenziale e non dirigenziale di dati aggregati, ossia di dati non riferiti ai singoli dipendenti, ma «relativi all’ammontare complessivo dei premi collegati alla performance stanziati e [al]l’ammontare dei premi effettivamente distribuiti», nonché di informazioni riguardanti i «criteri definiti nei sistemi di misurazione e valutazione della performance per l’assegnazione del trattamento accessorio e i dati relativi alla sua distribuzione […], al fine di dare conto del livello di selettività utilizzato nella distribuzione dei premi e degli incentivi, nonché i dati relativi al grado di differenziazione nell’utilizzo della premialità sia per i dirigenti sia per i dipendenti» (cfr. anche gli «Schemi di pubblicazione dei dati per la standardizzazione ai sensi dell’art. 48 del d.lgs. 33/2013» elaborati da ANAC in relazione alle informazioni da pubblicare ai sensi dell’art. 20 del d. lgs. n. 33/2013, in https://www.anticorruzione.it/schemi-di-pubblicazione-dei-dati, nonché il parere del Garante contenuto nel provv. n. 92 del 22/2/2024, in www.gpdp.it, doc. web n. 9996090).

Quanto al merito dell’istanza di accesso, si ricorda che questa Autorità si è più volte espressa, in precedenti pareri e con ampiezza di argomentazioni, in materia di accesso a valutazioni, punteggi, progressioni economiche e di carriera riferiti a dirigenti e dipendenti in generale, evidenziando la sussistenza del limite all’accesso civico derivante dalla protezione dei dati personali (cfr. pareri contenuti nei provvedimenti di seguito indicati: provv. n. 575 del 19/9/2024, in www.gpdp.it, doc. web n. 10105106; n. 343 del 3/8/2023, ivi, doc. web n. 9925408; n. 308 del 13/7/2023, ivi, doc. web n. 9990570; n. 380 del 14/11/2022, ivi, doc. web n. 9831454; n. 199 del 13/5/2021, ivi, doc. web n. 9672790; n. 147 del 29/7/2020, ivi, doc. web n. 9445796; n. 421 dell’11/7/2018, ivi, doc. web n. 9037343; n. 142 dell’8/3/2018, ivi, doc. web n. 8684742; n. 466 dell’11/10/2018, ivi, doc. web n. 9063969; n. 231 del 18/4/2018, ivi, doc. web n. 8983308; n. 574 del 29/12/2017, ivi, doc. web n. 7658152).

In tale quadro, si ritiene che, fermo restando gli specifici obblighi di pubblicazione previsti dall’art. 20 del d. lgs. n. 33/2013 prima descritti – ai sensi della normativa vigente e delle richiamate indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico, conformemente ai precedenti orientamenti di questa Autorità – dagli atti non emergono elementi che possano consentire l’accesso civico generalizzato alle «schede di valutazione finale della performance del personale dirigenziale operante nel settore del procurement della Difesa». 

Al riguardo, occorre, infatti, sottolineare che le valutazioni e i punteggi riguardanti attitudini e capacità professionali, competenze gestionali e organizzative, risultati conseguiti, nonché esperienze di direzione non sono “dati pubblici” e la relativa ostensione va valutata alla luce delle regole e dei limiti previsti dalla disciplina statale di settore in materia di accesso civico, tenuto conto anche di una certa delicatezza dell’informazione richiesta, che non sempre si desidera portare a conoscenza di terzi non autorizzati o di un pubblico indifferenziato.

Ciò in quanto la relativa ostensione, anche considerando il particolare regime di pubblicità dei dati e delle informazioni ricevute tramite l’istituto dell’accesso civico (cfr. art. 3, comma 1, d. lgs. n. 33/2013), può determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei dirigenti controinteressati in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, del RGPD), arrecando a questi ultimi proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013.

Infatti, tenuto conto della tipologia e della natura dei dati e delle informazioni di carattere professionale, culturale, anche di dettaglio, contenute nelle schede di valutazione individuali riferite ai singoli dirigenti del Ministero della Difesa (es.: informazioni contenute nella scheda «Risultati operativi» o nella scheda «Qualità del contributo assicurato alla performance generale della struttura, competenze professionali e manageriali dimostrate, nonché comportamenti organizzativi richiesti per il più efficace svolgimento delle funzioni assegnate», con indicazione di punteggi attribuiti e coefficienti di risultato), un eventuale accoglimento dell’accesso civico può determinare ripercussioni sul piano professionale, personale, sociale e relazionale, sia all’interno che all’esterno dell’ambiente lavorativo di questi ultimi, esponendoli a possibili difficoltà relazionali con i colleghi di lavoro e creando potenziali pregiudizi da parte degli utenti esterni con cui potrebbero venire a contatto nell'esercizio delle loro funzioni.

Ciò anche alla luce delle ragionevoli aspettative di confidenzialità dei soggetti coinvolti riguardo alle informazioni in possesso dell’amministrazione di appartenenza e alla non prevedibilità delle conseguenze derivanti dalla conoscibilità da parte di chiunque di tali dati. Tale ragionevole aspettativa di confidenzialità è un elemento che va valutato in ordine a richieste di accesso generalizzato che possono coinvolgere dati personali riferiti ai dipendenti impiegati presso l’ente destinatario della predetta istanza (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

Dagli atti non emergono, inoltre, elementi di valutazione che possano consentire di ritenere che, nello specifico caso in esame, la conoscenza generalizzata dei documenti e informazioni richieste prima descritti possa essere strumentale a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (cfr. art. 5, comma 2, del d. lgs. n. 33/2013; par. 8.1 delle Linee guida dell’ANAC sull’accesso civico).

Il complesso di tali osservazioni impedisce di accordare anche un eventuale accesso civico parziale ai sensi dell’art. 5-bis, comma 4, del d. lgs. n. 33/2013, oscurando, ad esempio, i dati identificativi (quali nome e cognome). Tale accorgimento, infatti, tenuto conto del contesto e delle informazioni di dettaglio contenute nelle schede oggetto di accesso civico, nonché del numero esiguo dei soggetti incaricati allo svolgimento di attività nell’ambito del procurement della Difesa negli anni di riferimento, consentirebbe agevolmente di re-identificare gli stessi sia all’interno che all’esterno del contesto lavorativo. Si ricorda che – come evidenziato a livello europeo – per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques, del 10/4/2014”, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, par. 2.2.2.; cfr. anche provv. n. 65 del 2/3/2023, in www.gpdp.it, doc. web n. 9874480; provv. n. 68 del 25/2/2021, ivi, doc. web n. 9567429; provv. n. 119 del 2/7/2020, ivi, doc. web n. 9440042; provv. n. 118 del 2/7/2020, ivi, doc. web n. 9440025).

4. Osservazioni sul trattamento dei dati personali per scopi di ricerca scientifica

Quanto, infine, ai profili rappresentati nella richiesta di accesso dal soggetto istante e ribaditi nell’istanza di riesame, riguardanti l’esigenza di accedere ai documenti indicati, per ricevere gli elementi utili e necessari «all’elaborazione di un progetto di ricerca con finalità meramente accademico/scientifiche», si ritiene utile rappresentare, per completezza, quanto segue.

I trattamenti di dati personali per scopi di ricerca scientifica, possono essere svolti solo nel rispetto del RGPD (cfr. in particolare, artt. 5, par. 1, lett. a e b; e 89) e del Codice (art. 104 ss.), nonché delle «Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica», all. n. 5 al provv. n. 497 del 13/12/2018 che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il RGPD e con il d. lgs. n. 101/2018 di adeguamento del Codice (in www.gpdp.it, doc. web n. 9068972) nonché delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, allegato A5 al Codice (provv. n. 515 del 19/12/2018, doc. web n. 9069637), che costituiscono condizione essenziale di liceità e correttezza dei trattamenti (art. 2-quater del Codice e art. 21, comma 5, del d. lgs. n. 101 del 10/8/2018). 

In base alle disposizioni contenute nella disciplina soprariportata, i trattamenti di dati personali per scopi scientifici devono essere effettuati, in particolare, «conformemente agli standard metodologici del pertinente settore disciplinare» da parte di «università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e soci di dette società scientifiche» (art. 2, commi 1 e 2, delle Regole deontologiche, cit.).

Inoltre, è necessario che la ricerca sia «effettuata sulla base di un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare, anche al fine di documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici» (art. 3, comma 1, ibidem). Il progetto di ricerca deve contenere tutti gli elementi indicati dalla disciplina di settore ivi incluse «le misure da adottare nel trattamento di dati personali, al fine di garantire il rispetto delle presenti regole deontologiche, nonché della normativa in materia di protezione dei dati personali», gli eventuali responsabili del trattamento e la dichiarazione di impegno a conformarsi alle regole deontologiche (art. 3, comma 2, ibidem). Il progetto di ricerca deve essere depositato presso l’università o ente di ricerca o società scientifica cui afferisce il titolare, «la quale ne cura la conservazione, in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell’applicazione della normativa in materia di dati personali), per cinque anni dalla conclusione programmata della ricerca» (art. 3, comma 4, ibidem).

Gli elementi descritti appaiono difettare nel caso in esame, in quanto allo stato non risultano documentati, considerando che il soggetto istante ha evidenziato solo la necessità di voler ricevere elementi utili per l’elaborazione di un progetto di ricerca con finalità meramente accademico/scientifiche. Tali indicazioni, con specifico riferimento al caso in esame e per come è stata formulata la domanda di accesso, non soddisfano i requisiti per il trattamento di dati personali per finalità di ricerca scientifica così come disciplinati dalla normativa soprarichiamata.

5. Sul diritto di accesso del soggetto istante di accedere ai dati ai sensi della l. n. 241/1990

Resta, in ogni caso, ferma la possibilità che i dati personali per i quali sia stato negato l’accesso civico possano essere resi ostensibili, laddove il soggetto istante, riformulando eventualmente l’istanza ai sensi della diversa disciplina in materia di accesso ai documenti amministrativi (artt. 22 ss. della l. n. 241 del 7/8/1990), motivi nella richiesta l’esistenza di un interesse “qualificato” e l’amministrazione ritenga sussistere, alla luce di quanto riportato dal soggetto istante, «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso» che possa per altro verso consentire l’ostensione della documentazione richiesta (cfr. Linee guida dell´ANAC in materia di accesso civico, par. 6.2.).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza del Ministero della Difesa, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Fanizza