[doc. web n. 10062415]

Parere su istanza di accesso civico - 12 settembre 2024

Registro dei provvedimenti
n. 558 del 12 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

Vista la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con la nota in atti il Responsabile della prevenzione della corruzione e per la trasparenza del Ministero della difesa ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame sul provvedimento di diniego di un accesso civico.

Dall’istruttoria è emerso che è stata presentata al Comando Generale identificato in atti una richiesta di accesso civico generalizzato, ai sensi dell’art. 5, comma 2 del d. lgs. n. 33/2013, volta a ottenere documenti e informazioni riguardanti documentazione relativa un infortunio in servizio del soggetto istante.

L’amministrazione, considerando le finalità individuali della domanda e il regime di pubblicità dei dati forniti con l’accesso civico, ha trasmesso l’istanza all’ufficio competente invitandola a trattare la stessa ai sensi della l. n. 241 del 7/8/1990. L’interessato, tuttavia, si è opposto a tale determinazione, insistendo per la trattazione dell’istanza come accesso civico e non quale accesso documentale, integrando successivamente la propria richiesta di accesso civico domandando l’ostensione anche dei dati numerici relativi agli infortuni e alle cause di servizio occorsi presso la Compagnia di appartenenza identificata in atti. In particolare, è stato chiesto di fornire:

- numero di “modelli C” redatti negli anni 2022, 2023, 2024;

- numero degli infortuni in servizio riportati dai dipendenti e numero di quelli inseriti nel “Sistema informativo gestione denunce infortunio” negli anni 2022, 2023, 2024;

- numero delle cause di servizio presentate dal personale per infortuni occorsi e numero di quelle avviate d’ufficio negli anni 2022, 2023, 2024.

In tale quadro, il Comando Generale ha rifiutato l’accesso, rappresentando che l’istanza ostensiva non sarebbe volta «alla tutela di un interesse generale» e la documentazione richiesta sarebbe esclusa dall’accesso civico ai sensi dell’art. 5-bis, comma, 2, lett. a), del d. lgs. n. 33/2013.

Avverso tale provvedimento, il richiedente l’accesso civico ha presentato istanza di riesame al RPCT del Ministero della Difesa, ritenendo il rifiuto non corretto e insistendo nelle proprie richieste. A tal proposito, è stata contestata la volontà di modificare l’accesso civico in documentale da parte dell’amministrazione ed è stata inoltre eccepita l’insussistenza di esigenze connesse alla tutela del diritto alla protezione dei dati personali, in quanto sono stati richiesti oltre ad atti, documenti, e informazioni riguardanti l’istante, solo dati numerici riferiti a terzi.

OSSERVA

1. La disciplina applicabile e le indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

Al riguardo, come evidenziato anche nelle Linee guida dell’ANAC in materia di accesso civico, dalla «lettura dell’art. 5 bis, co. 1, 2 e 3 del decreto trasparenza si possono distinguere due tipi di eccezioni, assolute o relative. Al ricorrere di queste eccezioni, le amministrazioni, rispettivamente, devono o possono rifiutare l’accesso generalizzato. La chiara identificazione di tali eccezioni rappresenta un elemento decisivo per consentire la corretta applicazione del diritto di accesso generalizzato» (par. 5). La differenza fra eccezioni assolute e relative risiede, in altre parole, nella circostanza che al ricorrere delle prime l’amministrazione deve escludere l’accesso civico senza effettuare alcun tipo di bilanciamento.

In tale contesto, come riportato anche nelle predette Linee guida, nella «valutazione dell’istanza di accesso, l’amministrazione deve quindi verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3».

Casi di esclusione dell’accesso civico in presenza di eccezioni assolute previste dal citato comma 3 dell’art. 5-bis, come indicato anche da ANAC, ricorrono, fra l’altro, quando:

- sussistono «divieti di accesso o divulgazione previsti dalla legge» (es. art. 2-septies, comma 8, del Codice con riferimento ai «dati relativi alla salute» ossia dei «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», art. 4, par. 1, n. 15, del RGPD);

Per altro verso le amministrazioni devono “rifiutare” l’accesso civico, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a)). Si tratta di una cosiddetta eccezione relativa, nel senso che «Il legislatore non opera, come nel caso delle eccezioni assolute, una generale e preventiva individuazione di esclusioni all’accesso generalizzato, ma rinvia a una attività valutativa che deve essere effettuata dalle amministrazioni con la tecnica del bilanciamento, caso per caso […]» (cfr. par. 5.2, Linee guida ANAC).

In tale quadro, si precisa che per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, RGPD).

Ciò premesso, occorre inoltre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si può avere accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di un’istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico).

2. Il caso sottoposto all’attenzione del Garante

La questione sottoposta all’attenzione del Garante riguarda due diversi profili, che vanno trattati separatamente. Da un lato, la richiesta originaria di accesso civico generalizzato a documenti e informazioni riguardanti l’infortunio in servizio del soggetto istante e, dall’altro, la successiva richiesta di dati numerici riguardanti infortuni in servizio di altri dipendenti.

Al riguardo, limitatamente ai profili di competenza di questa Autorità, si evidenzia che l’amministrazione ha rifiutato l’accesso civico, richiamando genericamente il limite della protezione dei dati personali previsto dall’art. 5-bis, comma 2, del d. lgs. n. 33/2013. La motivazione contenuta nel provvedimento di diniego dell’istanza di accesso civico, eccessivamente generale e sintetica, non consente, quindi, al soggetto che ha presentato l’istanza di accesso civico di comprendere le ragioni per le quali l’ostensione delle informazioni richieste debba essere esclusa dall’accesso civico o possa determinare «un pregiudizio concreto» alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia.

Ciò non è conforme alle indicazioni fornite da ANAC, che invece ha evidenziato come «Nella risposta negativa o parzialmente tale, sia per i casi di diniego connessi all’esistenza di limiti di cui ai co. 1 e 2 che per quelli connessi all’esistenza di casi di eccezioni assolute di cui al co. 3, l’amministrazione è tenuta a una congrua e completa, motivazione […]. La motivazione serve all’amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell’accesso generalizzato, al giudice per sindacare adeguatamente le decisioni dell’amministrazione» (Linee guida dell’ANAC in materia di accesso civico, par. 5.3).

3. Sull’accesso civico generalizzato a documenti e informazioni riguardanti l’infortunio in servizio del soggetto istante

In relazione alla richiesta di accesso civico generalizzato a documenti contenenti dati personali riferiti allo stesso soggetto istante idonei a rivelarne lo stato di salute – in quanto afferenti al proprio infortunio in servizio – si evidenzia che, come sopra descritto, la disciplina di settore prevede che l’accesso civico è “escluso”, ai sensi dell’art. 5-bis, comma 3, del d. lgs. n. 33/2013 ai «dati relativi alla salute» (ossia dei «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», art. 4, par. 1, n. 15, del RGPD). Ciò anche considerando il particolare regime di pubblicità previsto dall’accesso civico ai sensi dell’art. 3, comma 1, del d. lgs. n. 33/2013.

Chiaramente, quanto riportato non vuol dire affatto che il soggetto istante non possa avere accesso a dati o documenti relativi alla propria salute, ma che gli strumenti normativi a tal fine azionabili e previsti dall’ordinamento – a tutela dello stesso soggetto interessato – sono di tipo (sostanziale e procedurale) diverso da quello utilizzato e rinvenibili sia nella disciplina in materia di protezione dei dati personali (cfr. l’accesso ai propri dati personali disciplinato dall’art. 15 del RGPD) sia nella disciplina in materia di accesso documentale (cfr. l’accesso previsto dagli artt. 22. ss. della l. n. 241/1990).

Sotto tale profilo, l’amministrazione ha provato a istruire il procedimento – evidentemente nell’interesse del soggetto istante e considerando l’interesse individuale posseduto – riqualificando questa parte dell’istanza come accesso documentale anziché civico. Tuttavia, data l’opposizione presentata dal soggetto istante a una modifica del titolo di accesso, si ritiene che non vi siano elementi in atti che consentano di discostarsi dal diniego dell’accesso civico a dati sulla salute opposto dall’amministrazione. Si invita, pertanto, l’amministrazione a comunicare al soggetto istante la possibilità di riformulare la domanda di accesso ai propri dati e documenti ai sensi della corretta disciplina di settore, al fine di istruire correttamente il procedimento.

4. Sull’accesso civico generalizzato ai dati numerici riguardanti gli infortuni in servizio di soggetti terzi

Quanto invece all’ulteriore richiesta di accesso civico a dati numerici riguardanti infortuni in servizio di altri dipendenti, si evidenzia quanto segue.

Oggetto di accesso civico è il numero – diviso per singoli anni (2022, 2023, 2024) – di modelli di infortunio redatti dall’amministrazione; di infortuni in servizio e di quelli riportati nel Sistema informativo gestione denunce infortunio; di cause di servizio presentate dagli interessati e di quelle avviate d’ufficio.

Al riguardo, nella documentazione allegata dal RPCT alla richiesta di parere al Garante è evidenziato che «in riferimento ai dati numerici richiesti […], l’eventuale riscontro favorevole all'istanza, con dati in forma aggregata, non assicurerebbe l’anonimizzazione di soggetti terzi che, in un contesto così ristretto, potrebbero essere facilmente identificabili. Nella valutazione si è altresì tenuto conto della natura dei dati personali richiesti (appartenenti alle cd. “categorie particolari”, disciplinati dagli artt. 4 par. 1, n.1 e 9 del GDPR, per i quali vige un divieto generalizzato del trattamento) nonché dell’amplificato regime di pubblicità dell’istituto invocato, che consente a chiunque di venire a conoscenza e di fruire dei dati oggetto di ostensione».

Si ritiene quindi dirimente, considerando che verrebbero conosciuti dati riguardanti la salute dei dipendenti, effettuare un’adeguata valutazione circa il rischio di re-identificabilità dei soggetti interessati derivante anche dall’incrocio dei dati eventualmente forniti con altre informazioni in possesso da terzi oppure conosciute dai colleghi sul luogo di lavoro.

La questione dell’accesso civico generalizzato a dati anonimi e aggregati è stata esaminata da questa Autorità più di una volta, e sotto diversi profili, in precedenti pareri le cui osservazioni, per esigenze di chiarezza espositiva, si riportano nuovamente (cfr. pareri n. 265 del 9/5/2024, in corso di pubblicazione; pareri n. 82 del 22/2/2024, doc. web n. 9996647; n. 83 del 22/2/2024, doc. web n. 9999918; n. 469 del 12/10/2023, doc. web n. 9956589; n. 552 del 27/11/2023, doc. web n. 9967883).

4.a. Il dato aggregato

L’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques, del 10/4/2014”, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, par. 3.2.1.).

Dal punto di vista tecnico, per effettuare la predetta operazione è necessario sottoporre «i valori degli attributi […] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore» (ibidem).

Affinché la tecnica di aggregazione dei dati sia efficace al fine di ridurre il rischio di re-identificazione, è necessario rispettare le opportune soglie di aggregazione dei dati, che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute. Ciò in quanto, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» e «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd. attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

In tale contesto, si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677). Il «valore minimo attribuibile alla soglia è pari a tre» (ibidem).

4.b. Il dato anonimo

Come sancito dal RGPD, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (considerando n. 26).

Va ricordato, che – come evidenziato a livello europeo – per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, “Opinion 05/2014 on Anonymisation techniques”, cit., par. 2.2.2.).

Anonimizzare un documento o un database significa effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è il risultato del trattamento di dati personali volto a impedire “irreversibilmente” l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, «Opinion 05/2014 on Anonymisation techniques», cit., par. 2.2., e passim). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi, cfr. par. “sintesi”).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ibidem). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ibidem).

4.c. Sul rischio di re-identificazione

Il rischio di re-identificazione dell’interessato va accuratamente valutato tenendo conto di «tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del RGPD e WP29 “Opinion 05/2014 on Anonymisation techniques”, cit.).

Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo a impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

4.d. Osservazioni sulla richiesta di accesso civico nel caso in esame

Nel caso sottoposto all’attenzione di questa Autorità, l’Ufficio ha chiesto al RPCT di integrare la documentazione istruttoria, fornendo ulteriori valutazioni in ordine al rischio di re-identificabilità dei soggetti interessati. Al riguardo, nella documentazione ricevuta l’amministrazione ha ribadito, fra l’altro, che nel caso in esame «l’eventuale favorevole riscontro all’istanza, ancorché con dati in forma aggregata, non avrebbe assicurato la protezione dei dati personali dei soggetti interessati, facilmente identificabili, in maniera diretta o indiretta, in un contesto così ristretto». Ciò anche considerando che:

- «non è stato fornito il criterio di aggregazione dei dati (quantum, quando, ubi, quomodo) in quanto, per avere contezza dei dati da anonimizzare, sarebbe stato necessario procedere a un accertamento teso ad acquisire informazioni non già contenute in atti/documenti dell’Amministrazione, [ma] implicante un’attività di estrazione e rielaborazione degli stessi, tenuto peraltro in considerazione anche il periodo temporale di riferimento (anni 2022, 2023, 2024), in violazione delle Linee Guida dell’ANAC in materia (Determinazione n. 1309 del 28.12.2016 dell’ANAC, adottata d’intesa con il GPDP), che specificano l’assenza di un obbligo per l’Amministrazione adita di rielaborare i dati ai fini dell’accesso generalizzato»;

- «In relazione alla sussistenza di una effettiva esposizione a rischio di identificazione degli interessati, [..] il Comando [interessato] (che allo stato conta 142 militari effettivi) è suddiviso in unità organizzative […] ubicate nei diversi Comuni del comprensorio, caratterizzate da una forza organica particolarmente esigua (da 6 a 17 unità), nell’ambito delle quali [i dipendenti] inevitabilmente condividono vicende personali e di servizio. Con riferimento al Considerando 26 del GDPR, pur trattandosi di dati aggregati, esiste il rischio che possano comportare l’identificazione diretta o indiretta delle persone coinvolte. La protezione dei dati personali richiede, infatti, che non vengano divulgate informazioni che possano condurre, anche in maniera indiretta, all’identificazione di soggetti specifici, soprattutto in relazione a categorie particolari di dati come quelli sanitari. La bassa numerosità del personale rende concreto il rischio, attraverso l’incrocio delle informazioni richieste [dal soggetto istante] con altre conoscenze disponibili o accessibili, potendo così permettere l’identificazione di alcuni o tutti i dipendenti coinvolti»;

- «Tale rischio risulta essere amplificato in un contesto come quello descritto. In particolare, è opportuno considerare i seguenti elementi di valutazione:

- contesto dell’Ente: in un Reparto di dimensioni contenute […] è probabile che l’identità di alcuni dipendenti sia già nota all’interno o all’esterno dell’organizzazione; in questo caso, la semplice divulgazione di un numero aggregato potrebbe facilitare il collegamento tra informazioni generiche e informazioni sensibili;

- combinazione con altre informazioni: l’incrocio di dati relativi al numero di assenze per malattie con altre informazioni pubblicamente disponibili o conoscenze diffuse tra i dipendenti o nel pubblico, come ad esempio la durata dell’assenza o le aree operative specifiche, potrebbe agevolare l’identificazione dei singoli;

- rischio di identificazione indiretta: anche se il dato numerico aggregato non contiene direttamente i nomi dei dipendenti, la sua divulgazione, in combinazione con altra informazione accessibile (ad es. ruoli, incarichi o turni di lavoro) potrebbe consentire di desumere con buona probabilità chi tra i dipendenti abbia avuto malattie, configurando un trattamento di dati personali in violazione del principio di minimizzazione previsto dall’articolo 5 del GDPR».

Allo stato degli atti, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dall’amministrazione – sulla quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati richiesti e al rischio di re-identificazione dei soggetti interessati derivante dalla richiesta di ostensione dei dati richiesti prima descritti (art. 5, par. 2, e 24 del RGPD). Ciò tenendo conto, come dichiarato in atti, della “forza organica particolarmente esigua (da 6 a 17 unità)” dell’ufficio interessato dalla richiesta, nonché della possibilità per il soggetto istante (ma, dato il regime di pubblicità propria dell’accesso civico, anche per soggetti terzi) di incrociare e raffrontare i dati ottenuti con altre informazioni ausiliarie già conosciute o detenute da terzi oppure conosciute dai colleghi sul luogo di lavoro.

L’eventuale re-identificazione dei soggetti interessati, porterebbe alla conoscenza di dati di natura delicata e idonei a rivelare lo stato di salute (art. 9 del RGPD), per i quali l’accesso civico è comunque escluso (art. 5-bis, comma 3, del d. lgs. n. 33/2013), determinando, peraltro, un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati.

Conformemente ai precedenti orientamenti di questa Autorità, si ricorda che l’esigenza conoscitiva alla base dell’istituto dell’accesso civico deve poter essere raggiunta in conformità alla disciplina in materia di protezione dei dati personali. L’amministrazione può consentire l’accesso civico a dati anonimi e aggregati, senza fornire elementi che rendano il rischio di re-identificazione più elevato di quanto necessario al soddisfacimento delle esigenze di trasparenza alla base del predetto istituto.

Spetta, in ogni caso, al titolare del trattamento valutare la possibilità di comunicare dati adeguati a evitare ogni singolarità o collegabilità a persone fisiche, secondo idonei criteri di aggregazione che possano consentire un’effettiva anonimizzazione del dato.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e per la trasparenza del Ministero della difesa, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 12 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei