L’accesso civico

Tra le novita' in materia di diritto di accesso e protezione dei dati personali si evidenzia il provvedimento recante l’Intesa sullo schema di linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico (provv. 15 dicembre 2016, n. 521, doc. web n. 5860807).

In merito, si ricorda che la disciplina in materia di trasparenza contenuta nel d.lgs. 14 marzo 2013, n. 33, recante riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicita', trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni e' stata da ultimo modificata con l’approvazione del d.lgs. 25 maggio 2016, n. 97.

Al riguardo, e' stata, fra l’altro, introdotta una nuovo tipologia di accesso civico − cd. generalizzato – in quanto e' stato previsto che “Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis” (art. 5, comma 2, d.lgs. n. 33/2013).

Il legislatore del 2016, nel disciplinare i casi di esclusione e i limiti al predetto accesso civico, ha previsto che “Ai fini della definizione delle esclusioni e dei limiti all’accesso civico [...], l’Autorita' nazionale anticorruzione, d’Intesa con il Garante per la protezione dei dati personali e sentita la Conferenza unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, adotta linee guida recanti indicazioni operative” (art. 5-bis, comma 2, d.lgs. n. 33/2013).

In tale quadro, l’ANAC, ai sensi delle disposizioni richiamate, ha sottoposto al Garante uno schema di linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 comma 2, d.lgs. n. 33/2013 (di seguito linee guida sull’accesso civico), sui cui l’Autorita' e' stata chiamata a esprimere l’Intesa.

Il testo iniziale dello schema di linee guida e' stato elaborato anche nell’ambito di un apposito tavolo di lavoro, istituito presso l’ANAC, cui ha partecipato il Garante fin dalla sua costituzione. Nel corso delle numerose riunioni, delle interlocuzioni, anche informali, e dei successivi approfondimenti sono state fornite indicazioni all’ANAC volte a perfezionare il testo, per renderlo conforme alla disciplina in materia di protezione dei dati personali. Nel redigere lo schema di provvedimento sottoposto al Garante ai fini di acquisirne l’intesa, l’ANAC ha valutato anche le osservazioni pervenute durante la consultazione pubblica e i contributi istruttori acquisiti nel corso di audizioni informali cui e' stato presente anche il Garante.

La versione finale delle linee guida sull’accesso civico ha, in linea di massima, recepito le indicazioni rese dall’Ufficio, anche se su alcuni punti il Garante, nel rendere l’Intesa, ha espresso alcune riserve. In primo luogo, con riferimento al par. 5.2, rubricato “Limiti (eccezioni relative o qualificate)”, nella parte relativa alla valutazione sull’esistenza di un pregiudizio concreto che possa giustificare il diniego dell’istanza di accesso generalizzato, nell’Intesa e' stato precisato che l’inciso contenuto nelle predette linee guida secondo il quale “L’amministrazione e' tenuta quindi a privilegiare la scelta che, pur non oltrepassando i limiti di cio' che puo' essere ragionevolmente richiesto, sia la piu' favorevole al diritto di accesso del richiedente” non puo' essere interpretato nel senso di accordare una generale prevalenza al diritto di accesso generalizzato a scapito di altri diritti ugualmente riconosciuti dall’ordinamento (quali, ad es., quello alla riservatezza e alla protezione dei dati personali). Cio' perche', in tal modo, si vanificherebbe il necessario bilanciamento degli interessi in gioco che richiede un approccio equilibrato nella ponderazione dei diversi diritti coinvolti, tale da evitare che i diritti fondamentali di eventuali controinteressati possano essere gravemente pregiudicati dalla messa a disposizione a terzi – non adeguatamente ponderata – di dati, informazioni e documenti che li riguardano. A tale bilanciamento sono, peraltro, tenute le pp.aa nel dare applicazione alla disciplina in materia di accesso generalizzato, secondo quanto ribadito dalle stesse linee guida sull’accesso civico. In caso contrario, vi sarebbe il rischio di generare comportamenti irragionevoli in contrasto, per quanto attiene alla tutela della riservatezza e del diritto alla protezione dei dati personali, con la disciplina internazionale ed europea in materia (art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle liberta' fondamentali; artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, direttiva 95/46/CE, regolamento (UE) 2016/679).

Analogamente, con riferimento al par. 6.3 delle citate linee guida, intitolato “Eccezioni assolute in caso in cui l’accesso e' subordinato dalla “disciplina vigente al rispetto di specifiche condizioni, modalita' o limiti, inclusi quelli di cui all’art. 24, c. 1 della legge 241/1990”, il Garante ha rilevato che a fronte delle indicazioni riportate nelle linee guida sull’accesso civico, si potrebbero generare dubbi interpretativi in ordine ai rapporti fra la disciplina sull’accesso agli atti, ai sensi della l. n. 241/1990, e quella dell’accesso civico “generalizzato”, ai sensi del d.lgs. n. 33/2013. Tale problema deriva anche dalla formulazione testuale dell’art. 5-bis, comma 3, d.lgs. n. 33/2013, con riferimento all’individuazione delle eccezioni all’accesso civico nei casi di cui all’art. 24, comma 1, l. n. 241/1990 e dal rinvio, in esso contenuto, al regolamento del Governo di cui al comma 6, art. 24, l. n. 241/1990 e ai regolamenti delle singole amministrazioni. Sul punto, in assenza di un intervento chiarificatore del legislatore, il Garante ha auspicato che le predette incertezze possano essere superate, anche alla luce del monitoraggio sull’accesso, della prassi applicativa e della giurisprudenza che si formera' in materia, nell’ambito del previsto aggiornamento delle linee guida (cfr. 26.3).

Le pubblicazioni di dati personali online

In materia di diffusione di dati personali online per finalita' di trasparenza o di pubblicita' dell’azione amministrativa, il Garante e' stato chiamato a pronunciarsi su numerose fattispecie nel dare riscontro a reclami, segnalazioni e quesiti, di cui si riportano solo i casi piu' rilevanti. Nello specifico, si richiama ancora una volta il problema della diffusione online da parte di soggetti pubblici di dati sensibili, in quanto idonei a rivelare lo stato di salute dei soggetti interessati.

Il Garante ha, in proposito, censurato il comportamento di una Asl che aveva pubblicato online il testo integrale dell’allegato a un proprio decreto, il quale riportava in chiaro i dati personali (nome e cognome, data e luogo di nascita, indirizzo di residenza) dei soggetti assistiti che avevano fatto domanda per l’erogazione di contributi economici a favore di “pazienti affetti da particolari patologie che, malgrado, l’assistenza fornita dal SSN, incorrevano in rilevanti spese per ulteriori livelli di assistenza, anche di natura farmacologica” (provv. 10 marzo 2016, n. 106, doc. web n. 4916900 e 6 luglio 2016, n. 290, doc. web n. 5432325).

Analogamente il Garante e' intervenuto nel caso della pubblicazione, da parte di una Asl sul proprio sito istituzionale, di documenti contenenti le proposte di liquidazione di rimborsi destinati agli assistiti dializzati, o per controlli post operatori, oppure assistiti in reparti Suap o hospice (dedicati come noto a soggetti che hanno subito gravi deficit neurologici dovuti a un danno delle strutture cerebrali oppure a malati terminali), con indicazione dei nominativi e codice fiscale dei soggetti interessati e in alcuni casi anche della data di nascita (provv. 17 marzo 2016, n. 125, doc. web n. 5045365 e 6 luglio 2016, n. 291, doc. web n. 5493629).

In un altro caso e' stato stigmatizzato il comportamento di un comune che aveva pubblicato, sull’albo pretorio online, le determine con cui riconosceva il diritto di una propria dipendente, di usufruire dei permessi di cui alla l. n. 104 /1992 (legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate) per l’assistenza – rispettivamente – alla madre e al padre, riportando in chiaro, fra l’altro, i nominativi della menzionata dipendente e quelli dei relativi genitori, nonche' la circostanza che questi ultimi erano portatori “di handicap grave”, documentato da attestazione medica comprovante il relativo stato invalidante (provv. 21 luglio 2016, n. 316, doc. web n. 5440792).

In tutti i predetti casi e' stato ricordato che “i dati idonei a rivelare lo stato di salute non possono essere diffusi” (art. 22, comma 8, del Codice), con la conseguenza che risulta vietata la diffusione di qualsiasi dato da cui possa desumersi lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidita', disabilita' o handicap fisici e/o psichici (artt. 22, comma 8, 65, comma 5 e 68, comma 3, del Codice. Cfr., inoltre, provv. 15 maggio 2014, n. 243, doc. web n. 3134436, recante linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalita' di pubblicita' e trasparenza sul web da soggetti pubblici e da altri enti obbligati, parte prima, par. 2 e par. 9.e.; parte seconda, par. 1; nonche' i provvedimenti del Garante ivi citati in nota 49).

In merito e' stato, altresi', evidenziato che anche la disciplina statale in materia di trasparenza prevede che “Restano fermi i limiti [...] relativi alla diffusione dei dati idonei a rivelare lo stato di salute [...]” (art. 7-bis, comma 6, d.lgs. 33/2013, che riproduce il testo dell’abrogato art. 4, comma 6), ed esclude – con riferimento agli “Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati” di importo superiore a 1000 euro erogati nell’anno solare – “la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei [citati] provvedimenti, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute [...] degli interessati” (art. 26, comma 4).

E' stata pertanto dichiarata l’illiceita' del trattamento effettuato dagli enti sanitari e dal comune per aver diffuso online dati idonei a rivelare lo stato di salute, in violazione dell’art. 22, comma 8, del Codice. Inoltre, e' stato ricordato che, in ogni caso, il trattamento dei dati personali deve avvenire nel rispetto del principio di necessita', pertinenza e non eccedenza (artt. 3, comma 1, e 11, comma 1, lett. d), del Codice), con la conseguenza che non risultava comunque giustificato diffondere, fra l’altro, dati quali l’indirizzo di abitazione o la residenza, oppure il codice fiscale (provv.ti 6 luglio 2016, nn. 290 e 291 doc. web nn. 5432325 e 5493629).

In tale quadro, e' stato ritenuto, altresi', opportuno evidenziare che nei procedimenti di anonimizzazione dei documenti, la sostituzione del nome e del cognome dei soggetti interessati con le relative iniziali, puo' non essere una misura sufficiente a prevenire il potenziale rischio di re-identificazione dell’interessato, anche a posteriori, in particolari contesti o ambiti geografici, oppure mediante il collegamento con altre informazioni eventualmente nella disponibilita' di terzi o ricavabili da altre fonti (provv. 6 luglio 2016, n. 290, cit. - cfr., in particolare nella parte prima, par. 3).

Piu' corretta e', invece, la sostituzione dei dati degli interessati con degli omissis, come era gia' stato fatto nello stesso decreto dell’Azienda sanitaria per gli altri dati personali, anche considerando che, nel caso di specie, la finalita' di rendere pubblica la decisione dell’ente sanitario avente a oggetto rimborsi ai pazienti, poteva essere perseguita senza l’indicazione delle iniziali dei soggetti assistiti (artt. 3, comma 1, e 11, comma 1, lett. d), del Codice).

Sempre in tema di trasparenza, il Garante si e' poi espresso in ordine alla pubblicazione online, sul portale di una regione, dei dati personali dei soggetti che avevano fatto domanda per ricevere contributi economici per interventi di risparmio energetico, ma la cui domanda non era stata accolta, oppure di soggetti che si trovavano in situazioni di disagio economico (provv. 18 maggio 2016, n. 228, doc. web n. 5385900).

Dall’accertamento effettuato era emerso, infatti, che dal sito web istituzionale della regione erano scaricabili e liberamente accessibili – con riferimento a un avviso pubblico per ottenere la concessione di contributi economici per interventi di risparmio energetico su unita' abitative private – dati e informazioni personali (numero identificativo della domanda, nominativo del richiedente e, a seconda dei casi, comune dell’unita' abitativa, costo preventivato complessivo, contributo concedibile oppure motivo dell’esclusione) contenuti in elenchi pubblicati a vario titolo e relativi a 10.019 persone. Per le istanze definite finanziabili, il contributo economico concedibile superava l’importo di 1000 euro, tuttavia di queste solo 935 (salvo scorrimento della graduatoria) sarebbero state finanziate, perche' aventi la relativa copertura finanziaria.

Al riguardo, e' stato ritenuto che le disposizioni dell’avviso pubblico regionale – non avendo natura di atto regolamentare (cfr. provv. 6 dicembre 2012, n. 384, doc. web n. 2223278) – non fossero idonee ai sensi dell’art. 19, comma 3, del Codice, per giustificare, anche in coerenza con quanto affermato nella sentenza della Corte costituzionale n. 271/2005, la pubblicazione dei nominativi di soggetti che avevano presentato l’istanza per la concessione del contributo economico e che si trovano in una situazione di disagio economico, oppure di soggetti la cui domanda era stata respinta o era ancora in fase istruttoria. Cio' perche', in caso contrario si sarebbe determinato un contrasto con le previsioni contenute nella disciplina statale in materia di trasparenza che – di contro – prevede la pubblicazione obbligatoria dei soli nominativi dei soggetti destinatari di un contributo di natura economica superiore ai 1000 euro, con esclusione – in ogni caso – della diffusione di dati identificativi delle persone destinatarie dei contributi da cui e' possibile ricavare informazioni relative alla situazione di disagio economico (artt. 26 e 27, d.lgs. n. 33/2013). Oltretutto, il citato avviso pubblico, prevedendo la possibilita' di pubblicare dati e informazioni personali ulteriori rispetto agli obblighi di pubblicazione previsti da norme di legge o di regolamento, si poneva altresi' in contrasto con l’art. 4, comma 3, d.lgs. n. 33/2013, che prevede tale facolta' solo “procedendo alla anonimizzazione dei dati personali eventualmente presenti”. Pertanto, e' stato vietato alla regione, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, di diffondere ulteriormente in internet, attraverso la pubblicazione nel sito istituzionale o sul bollettino ufficiale, i dati personali diversi da quelli indicati negli artt. 26 e 27, d.lgs. n. 33/2013, e precisamente quelli riferiti a soggetti che non risultano destinatari del contributo economico perche' la relativa istanza e' stata respinta o e' ancora in fase istruttoria, nonche' quelli riferiti a soggetti la cui collocazione in graduatoria poteva essere idonea a rivelare una situazione di disagio economico e quelli relativi alla procedura per il conferimento di contributi economici per interventi di risparmio energetico su unita' abitative private. Contemporaneamente, e' stato prescritto alla regione per il futuro, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice – in assenza di una diversa norma di legge o di regolamento e al fine di provvedere ove necessario all’esigenza di far conoscere ai soggetti partecipanti le decisioni inerenti alle graduatorie di concessione di contributi economici per interventi di risparmio energetico su unita' abitative private – di mettere a disposizione dei partecipanti alla procedura selettiva modalita' di consultazione della collocazione in graduatoria mediante l’attribuzione agli stessi di credenziali di autenticazione (ad es., username o password, numero di protocollo, numero identificativo dell’istanza o altri estremi identificativi forniti dall’ente agli aventi diritto, oppure mediante utilizzo di dispositivi di autenticazione, quali la carta nazionale dei servizi) in aree ad accesso selezionato del sito istituzionale (cfr. provv. 15 maggio 2014, n. 243, cit., parte seconda, par. 3.b).

Fonte: Autorità Garante - Relazione 2016