[doc. web n. 10169170]

Parere su istanza di accesso civico - 8 agosto 2025

Registro dei provvedimenti
n. 471 dell'8 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) del Consiglio Nazionale delle Ricerche-CNR, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 7, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

VISTA la documentazione in atti;

PREMESSO

Con la nota in atti il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) del Consiglio Nazionale delle Ricerche-CNR ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, in ordine a un provvedimento di diniego di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stato inoltrato al CNR un’istanza di accesso civico, avente a oggetto l’«elenco dei dipendenti con [l’]attribuzione della indennità incentivante disposta dal Codice degli appalti».

L’amministrazione ha rifiutato l’accesso per motivi inerenti alla protezione dei dati personali – ai sensi dell’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 – richiamando il precedente parere di questa Autorità in materia (provv. n. 129 del 10/3/2025, in www.gpdp.it, doc. web n. 10120246) e aggiungendo, fra l’altro, che:

- la «richiesta in esame comporta l’ostensione di dati personali, anche di natura patrimoniale, relativi a tutti i dipendenti dell’Ente beneficiari di incentivi per funzioni tecniche, corrisposti ai sensi dell’art. 113 del D.lgs. 18 aprile 2016 n. 50 e ss.mm. [oggi trasfuso nell’art. 45 del d.lgs. n. 36/2023]»;

- «la divulgazione dell’elenco nominativo dei dipendenti con l’indicazione analitica delle somme corrisposte a ciascuno a titolo di incentivo determinerebbe la diffusione di dati personali di natura economico-finanziaria, comportando un pregiudizio alla riservatezza degli interessati».

Il richiedente l’accesso civico ritenendo il rifiuto non corretto, ha presentato una richiesta di riesame al RPCT, insistendo nelle proprie richieste e rappresentando che l’amministrazione non avrebbe considerato «l’obbligo di pubblicazione disposto […] dalla deliberazione consiliare in data XX e dall’accordo in data XX per la trasparenza dei dati». 

OSSERVA

1. Introduzione

La disciplina di settore in materia di accesso civico generalizzato prevede che «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

L’art. 5-bis prevede, in ogni caso, che l’accesso civico generalizzato è “rifiutato”, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a). Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» (art. 4, par. 1, n. 1, RGPD) e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, RGPD).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti. 

Inoltre, è necessario rispettare, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c). Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità dei soggetti interessati e della non prevedibilità delle conseguenze derivanti a quest’ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Il caso sottoposto all’attenzione dei Garante 

La questione sottoposta all’attenzione del Garante riguarda l’ostensione, tramite l’istituto dell’accesso civico, dei nominativi dei dipendenti del CNR a cui sono state attribuite le indennità incentivanti previste dal Codice degli appalti.

Si tratta, come evidenziato dal CNR nel provvedimento di riscontro dell’accesso civico, degli «Incentivi per funzioni tecniche» disciplinate dall’art. 113 del d. lgs. n. 50 del 18/4/2016 («Codice dei contratti pubblici»). Tale articolo prevede che le «amministrazioni aggiudicatrici» destinano specifiche risorse finanziarie per le funzioni tecniche svolte dai propri dipendenti «per le attività di programmazione della spesa per investimenti, di valutazione preventiva dei progetti, di predisposizione e di controllo delle procedure di gara e di esecuzione dei contratti pubblici, di RUP, di direzione dei lavori ovvero direzione dell’esecuzione e di collaudo tecnico amministrativo ovvero di verifica di conformità, di collaudatore statico ove necessario per consentire l’esecuzione del contratto nel rispetto dei documenti a base di gara, del progetto, dei tempi e costi prestabiliti» (comma 2). Tali risorse sono «modulate sull’importo dei lavori, servizi e forniture, posti a base di gara» (ibidem).

Le informazioni chieste tramite l’accesso civico riguardano quindi dati identificativi dei dipendenti del CNR che hanno svolto funzioni tecniche nell’ambito delle procedure di gara di appalto e hanno ricevuto somme, liquidate a titolo di incentivo per i compiti svolti secondo l’art. 113 del Codice dei contratti pubblici. Tali somme, come più volte ribadito dalla giurisprudenza di legittimità, hanno «natura retributiva» (cfr. Corte di Cassazione, sez. civ. sentt. nn. 10222/2020, 21398/2019, 8522/2015, 19328/2012, 8344/2011, 17536/2010).

La questione dell’accesso civico generalizzato ai predetti dati e informazioni di carattere personale è già stata esaminata da questa Autorità nel recente parere contenuto nel provv. n. 129/2025, citato dal CNR, le cui motivazioni, per esigenze di chiarezza espositiva, vengono riportate nel loro complesso anche in questa sede.

3. Sul regime di pubblicità dei dati personali richiesti

La disciplina statale in materia di trasparenza, non prevede obblighi di pubblicazione in generale delle retribuzioni, attività e ruoli svolti da tutti i dipendenti pubblici, ma solo per soggetti che ricoprono specifici incarichi, quali ad esempio gli organi di vertice, i dirigenti, i consulenti, i collaboratori secondo quanto previsto dagli artt. 14 e 15 del d. lgs. n. 33/2013. Per tali soggetti sussiste una specifica disciplina di settore che prevede specifici oneri di trasparenza fra cui la pubblicità dei relativi compensi connessi all’assunzione della carica e agli altri eventuali incarichi con oneri a carico della finanza pubblica, con la conseguenza che per questi dati non è possibile richiamare alcun motivo di protezione dei dati personali.

Inoltre, come pure evidenziato nelle summenzionate Linea Guida ANAC “il richiamo espresso alla disciplina legislativa sulla protezione dei dati personali da parte dell’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 comporta, quindi, che nella valutazione del pregiudizio concreto, si faccia, altresì, riferimento ai principi generali sul trattamento e, in particolare, a quelli di necessità, proporzionalità, pertinenza e non eccedenza, in conformità alla giurisprudenza della Corte di Giustizia Europea, del Consiglio di Stato, nonché al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/2016. (…) Analoghe considerazioni sull’esistenza del pregiudizio concreto possono essere fatte per quelle categorie di dati personali che, pur non rientrando nella definizione di dati sensibili e giudiziari, richiedono una specifica protezione quando dal loro utilizzo, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, possano derivare rischi specifici per i diritti e le libertà fondamentali degli interessati (si pensi, ad esempio, ai dati genetici, biometrici, di profilazione, sulla localizzazione o sulla solvibilità economica, di cui agli artt. 17 e 37 del Codice)” (par. 8.1).

In tale quadro, non può essere ritenuta persuasiva l’argomentazione rappresentata dal soggetto istante nella richiesta di riesame del provvedimento di diniego a sostegno della propria domanda, laddove ha sostenuto che sussisterebbe un obbligo di pubblicazione a carico del CNR dei dati riguardanti l’importo dell’incentivo con specificazione dei destinatari, secondo quanto previsto dal contratto collettivo sottoscritto in base alla deliberazione del Consiglio di Amministrazione del CNR nell’anno XX. Tale accordo, infatti, non può essere considerato una base giuridica idonea per la diffusione di dati personali ai sensi dell’art. 2-ter, commi 1 e 3, del Codice, come riportato anche nella nota del Direttore generale del CNR prot. n. XX del XX avente a oggetto l’«Informativa sull’applicazione delle disposizioni regolamentari in materia di incentivi per funzioni tecniche», trasmessa al Garante dal RPCT ai fini dell’istruttoria. Al riguardo, questa Autorità ha chiarito in diverse altre occasioni come in materia di trasparenza «nel quadro di derivazione europea della disciplina di protezione dei dati, nella prospettiva della certezza del diritto, nonché del principio di non discriminazione, non sono consentiti livelli differenziati di tutela della protezione dei dati personali – né su base territoriale né a livello di singola amministrazione – specie quando, come nel caso di cui trattasi, la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale (provv. n. 235 dell’11/4/2024, doc. web n. 10019523; Corte Cost. sent. n. 271 del 23/6/2005 e sent. n. 69 del 23/4/2024. Cfr. anche provv. n. 273 del 22/7/2021, doc. web n. 9683814)» (provv. n. 412 del 10/7/2025, in corso di pubblicazione). 

4. Sull’ostensione dei dati personali richiesti tramite l’accesso civico generalizzato

Quanto invece all’ostensione tramite l’istituto dell’accesso civico generalizzato dei dati personali riferiti a dipendenti e lavoratori, questa Autorità si è già espressa con ampiezza di argomentazioni in numerosi casi sull’accesso civico ad attività lavorative, retribuzioni, buste paga, cedolini dello stipendio, tipologia contrattuale, costo ore lavorate, straordinari, valutazioni, progressioni economiche, ecc., ritenendo sussistere il limite previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 (cfr., fra gli altri, i pareri in materia di accesso civico a valutazioni/schede e progressioni economiche e di carriera dei lavoratori contenuti nei seguenti provvedimenti: n. 308 del 13/7/2023, in www.gpdp.it, doc. web n. 9990570; n. 343 del 3/8/2023, ivi, doc. web n. 9925408; n. 461 del 29/9/2023, doc. web n. 9953581; n. 308 del 13/7/2023, ivi, doc. web n. 9990570; n. 199 del 13/5/2021, ivi, doc. web n. 9672790; n. 147 del 29/7/2020, ivi, doc. web n. 9445796; n. 466 dell’11/10/2018, ivi, doc. web n. 9063969; n. 421 dell’11/7/2018, ivi, doc. web n. 9037343; n. 231 del 18/4/2018, ivi, doc. web n. 8983308; n. 142 dell´8/3/2018, ivi, doc. web n. 8684742; n. 574 del 29/12/2017, ivi, doc. web n. 7658152).

In tale contesto – conformemente al precedente parere del Garante n. 129/2025 e ai provvedimenti ivi citati – si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell'ANAC in materia di accesso civico, il CNR abbia correttamente respinto l’accesso civico ai dati richiesti, che contengono dettagli relativi alle attività lavorative esercitate (come la partecipazione a procedure di appalto) e alla retribuzione ricevuta, indicativa peraltro anche situazione economico-patrimoniale dei dipendenti. La relativa ostensione infatti – tenendo conto della tipologia dei dati e delle informazioni personali ivi contenuti nonché del particolare regime di pubblicità dei dati oggetto di accesso civico – determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei dipendenti controinteressati, i quali potrebbero subire ripercussioni negative sul piano professionale, sociale e relazionale, esponendoli a possibili difficoltà relazionali con i colleghi di lavoro e creando ingiustificati pregiudizi da parte di terzi esterni all’ambiente lavorativo, causando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. È inoltre necessario tenere conto anche delle ragionevoli aspettative di confidenzialità dei soggetti interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.). L’ostensione di dati di dettaglio dell’attività lavorativa è, inoltre, contraria al principio di minimizzazione dei dati laddove non «limitati a quanto necessario rispetto alle finalità» di trasparenza ai sensi dell’art. 5, par. 1, lett. c, del RGPD. 

Resta, in ogni caso, salva la possibilità per l’istante di proporre istanza di accesso ai dati personali ai sensi degli artt. 22 ss. della l. n. 241/1990.

TUTTO CIÒ PREMESSO IL GARANTE 

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza del Consiglio Nazionale delle Ricerche-CNR, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

In Roma, 8 agosto 2025

IL PRESIDENTE
Stanzione