Studio Legally
Via Grazioli 106 - Trento
Email: info@studiolegally.com
Telefono: +39 0461 233175
Alessia Antonia D'Alessio
14 Giu 2021

Accesso civico e dati relativi alla diffusione da Covid-19: qual è la posizione del Garante della Protezione dei Dati Personali?

Privacy​

Il caso: un Comitato – costituito da famiglie, professionisti della scuola e studenti -, al fine di rendere trasparente lo stato di diffusione del Covid-19 nelle Scuole della Provincia di X, inoltrava una istanza di accesso civico generalizzato (ai sensi dell’art. 5, co. 2 d. lgs. n. 33/2013) ad alcuni istituti scolastici, chiedendo di poter ottenere il report sui dati riferibili agli studenti di ciascun plesso scolastico, contenente le rilevazioni del numero di casi in isolamento, in quarantena, di sottoposti a tampone, di casi in attesa di esito, quelli con esito positivo e negativo, oltre al numero di classi in isolamento e in quarantena preventiva e al numero di classi focolaio.

Molte scuole negavano l’accesso civico opponendo la protezione dei dati personali e rappresentando che l’ostensione delle informazioni richieste, anche se prive di dati direttamente identificativi dei soggetti interessati, se combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute, avrebbero consentito di risalire all’identità dei soggetti coinvolti e, quindi, al loro stato di salute.

Ritenuto infondato il motivo dell’opposizione, il Comitato insisteva nella sua richiesta ed il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Ufficio Scolastico Regionale di riferimento, formulava richiesta di un parere sul punto al Garante Privacy.

Con il parere n. 157 del 23.04.2021, il Garante, dopo un breve excursus normativo, ritorna in termini sintetici sull’annosa questione della legittimità dell’accesso a fronte della tutela dei dati personali, in particolare di quelli interessanti la salute dei minori, soffermandosi sulla possibilità che tale diritto venga realizzato utilizzando lo strumento dell’accesso civico.

 

L’art. 5, co. 2 d.lgs 33/2013 attribuisce a chiunque il diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli già oggetto di pubblicazione, purché ciò avvenga nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis. Quest’ultima norma, in particolare, prevede che l’accesso civico debba essere rifiutato, fra l’altro, “se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia” (art. 5bis, co. 2, lett. a) – ove per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, par. 1, n. 1, GDPR 679/2016) – ed è escluso nei casi espressamente previsti dalla legge (art. 5bis, co. 3).

A differenza di quanto accade nelle ipotesi di accesso amministrativo previste dalla l. 241/1990, quando un dato personale viene diffuso a seguito di una istanza di accesso civico diventa pubblico, pertanto chiunque non solo può conoscerlo, ma anche fruirne gratuitamente e utilizzarlo, nonostante il suo trattamento debba essere fatto in conformità ai derivanti dalla normativa in materia di protezione dei dati personali (art. 3, co. 1 d. lgs. n. 33/2013).

Il regime di pubblicità dell’accesso civico, pertanto, è decisamente amplificato rispetto a quello dell’accesso amministrativo, ove il dato viene riferito soltanto al soggetto istante, e non messo a disposizione di tutti: per tale motivo prima di procedere all’accoglimento dell’istanza la pubblica amministrazione deve previamente valutare l’esistenza di possibili e concreti pregiudizi alla protezione dei dati personali dei soggetti controinteressati, e soltanto a seguito di tale accertamento decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

In ogni caso, nella valutazione complessiva dovranno essere rispettati i principi del GDPR di “limitazione della finalità” e di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. b e c).

In tale contesto, si osserva che il Codice Privacy (d. lgs 193/2006) prevede un espresso “divieto di diffusione” dei dati relativi alla salute e lo stesso divieto è stabilito anche dal d. lgs. n. 33/2013, che all’art. 7-bis, co. 6, prevede che “Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute”.

Atteso ciò, prosegue l’Authority, il ricorso all’istituto dell’accesso civico resta escluso nell’ipotesi in cui si vogliano ottenere dati relativi alla salute in forza delle previsioni di cui all’art. 5bis, co. 3 d.lgs 33/2013, che prevede espressamente che “l’accesso civico deve essere escluso nei casi di divieti di accesso o divulgazione previsti dalla legge”.  Ciò è confermato anche dalle Linee guida Anac in materia ove viene affermato che “Nella valutazione dell’istanza di accesso, l’amministrazione deve […] verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso condizionato in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3” (par. 6). E nello specifico le stesse Linee Guida prevedono tra i divieti di divulgazione a tutela dalla della riservatezza, anche i dati idonei a rivelare lo stato di salute, e cioè qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr. par. 6.2 Linee Guida Anac Accesso Civico, art. 2-septies, co. 8 d. lgs 196/2003 e art. 7-bis, co. 6, d. lgs. 33/2013).

Oltre a tutto il quadro normativo sopra indicato, il Garante ritiene che, nel caso concreto, vi sia una ulteriore circostanza ostativa alla possibilità di accesso ai dati richiesti da parte del Comitato: dall’istanza presentata, infatti, non si comprende se la richiesta di accesso civico riguardi dati relativi all’emergenza sanitaria e alla rilevazione di casi di diffusione del Covid-19 passati, o se l’istante intenda attivare una vera e propria comunicazione sistematica  con l’amministrazione – anche pro futuro – su tali dati e informazioni.

Al fine di superare eventuali dubbi, l’Autorità rammenta che l’istituto dell’accesso civico può avere a oggetto solo dati e documenti già «detenuti» dalle pubbliche amministrazioni (art. 5, co. 2, d. lgs. 33/2013), con impossibilità di accogliere eventuali istanze che abbiano a oggetto dati o informazioni non ancora in possesso della pubblica amministrazione o l’attivazione di flussi futuri di comunicazione di dati. Ciò è ribadito dalla medesima Anac che nelle sopracitate citate Linee Guida ha evidenziato che l’amministrazione ha l’obbligo di “consentire l’accesso ai documenti nei quali siano contenute le informazioni già detenute e gestite dall’amministrazione stessa”, escludendo che la stessa “sia tenuta a formare o raccogliere o altrimenti procurarsi informazioni che non siano già in suo possesso” (par. 4.2.).

Tutto ciò premesso, il Garante affronta direttamente la questione oggetto del parere, esplicitando che i dati e le informazioni riferite a persone fisiche, identificate o identificabili, che hanno contratto il Covid-19 rientrano sicuramente nella definizione di dati sulla salute per i quali – nel caso di specie – va escluso l’accesso civico.

Le informazioni riferite a persone fisiche, identificate o identificabili, che anche non essendo positive al Covid-19 sono state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento, rientrano tra quelle “di natura particolarmente delicata”, e ciò ancor di più se, come nel caso di specie, sono riferite a soggetti minorenni.

L’eventuale ostensione di tali dati personali, unita al particolare regime di pubblicità dei dati oggetto di accesso civico, può essere fonte di rischi specifici per i soggetti interessati, determinando possibili ripercussioni negative sul piano personale, sociale e relazionale, sia all’interno che all’esterno dell’ambiente scolastico. In tal modo, potrebbe effettivamente determinarsi un’interferenza ingiustificata e sproporzionata nei diritti e libertà individuali, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. b e c, del RGPD), arrecando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, co. 2, lett. a), del d. lgs. n. 33/2013”.

In conclusione, quindi, anche se il Comitato ha chiesto informazioni prive dell’indicazione del nome e del cognome degli alunni interessati, i dati oggetto dell’istanza di accesso civico contengono informazioni di dettaglio che legittimano, alla luce di tutto quanto sopra esposto sul piano normativo e sotto il profilo dell’opportunità, un impedimento all’accesso.

I singoli Istituti scolastici destinatari delle richieste, quindi hanno correttamente opposto un diniego a tali istanze.

L’ostensione del complesso delle informazioni richieste, anche se prive dei riferimenti direttamente indentificativi dei soggetti interessati, se combinate con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute, possono consentire la più facile identificabilità dei soggetti coinvolti e titolari di tali dati.

Il problema della più facile “identificabilità”, nel caso di specie, non potrebbe nemmeno essere superato fornendo, per esempio, i dati e le informazioni richieste a un livello di aggregazione più esteso rispetto al singolo circolo/scuola e singolo plesso, e ciò in quanto il Comitato istante ha presentato richieste di accesso ai singoli Istituti scolastici che posseggono informazioni riferite alle proprie realtà e non a un livello più esteso.

Alla luce di quanto evidenziato il Garante per la protezione dei dati personali, esclude la possibilità che meditante l’accesso civico possano essere ottenute informazioni, seppur anonime, relative alle condizioni di salute, impedendo, nello specifico che i dati relativi alla diffusione dell’infezione da Covid-19 degli alunni possano essere diffuse da parte degli istituti scolastici.

Da un esame critico delle conclusioni rassegnate dall’Autorità nazionale in materia di privacy, seppur la posizione assunta nel caso concreto sia senz’altro condivisibile, ci si chiede se possa lasciarsi aperto un piccolo spiraglio alla possibilità, in alcuni casi, di attivare istanze di accesso civico finalizzate alla conoscenza di dati personali, ivi compresi anche quelli relativi alla salute e più precisamente alla diffusione da Covid-19, purché sia garantita:

  • la totale impossibilità di identificazione del soggetto titolare di tale dato;
  • che l’istanza abbia ad oggetto dati già in possesso dalla pubblica amministrazione interrogata.

La garanzia del totale anonimato con l’esclusione di qualsiasi riferibilità soggettiva del dato richiesto, oltre alla competenza soggettiva dell’amministrazione cui si rivolge la domanda di ostensione del dato, in un contesto socio-politico qual è quello attuale, potrebbero rappresentare linee guida necessarie per consentire l’acquisizione di dati utili a fini di prevenzione e cura della salute collettiva, consentendo una utilizzazione non contra legem del diritto di accesso civico.