[doc. web n. 9925408]

Parere su istanza di accesso civico - 3 agosto 20023

Registro dei provvedimenti
n. 343 del 3 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) della Commissione nazionale per le società e la borsa (CONSOB) ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su un provvedimento di accoglimento parziale di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico alla CONSOB da parte di un’organizzazione sindacale – ai sensi dell’art. 5, comma 2, del d. lgs. n. 33/2013 – avente a oggetto copia:

- «della delibera e relativi allegati tutti, con la quale la Commissione ha deciso la misura ed i criteri per l’erogazione nel mese di maggio 2023 della gratifica ai dipendenti dell’Area Manageriale e Alte Professionalità in servizio al 31 dicembre 2022, compresi gli atti acquisiti presso l’Ente di riferimento»;

- «degli atti, anche presupposti (comprese le necessarie indicazioni acquisite presso la Banca d’Italia) e conseguenti, riguardanti l’applicazione delle misure e dei criteri relativi all’anno di riferimento 2022 e, in particolare, gli atti contenenti i dati complessivi riferiti a ciascuna unità organizzativa relativi all’attribuzione individuale delle gratifiche da parte dei responsabili competenti».

Nell’istanza di accesso civico è stato aggiunto, fra l’altro, che la richiesta di acceso è stata presentata dall’organizzazione sindacale «in quanto la cognizione di tali documenti coinvolge sia le prerogative del sindacato, quale istituzione esponenziale di una determinata categoria di lavoratori, sia le posizioni di lavoro di singoli iscritti nel cui interesse e rappresentanza opera l’associazione».

La Consob ha accolto la richiesta di accesso trasmettendo la documentazione richiesta, a eccezione di documenti con i nominativi dei dipendenti e la relativa unità organizzativa di appartenenza. In tale contesto, per soddisfare l’esigenza conoscitiva manifestata dal sindacato, al posto «del singolo documento trasmesso da ciascun responsabile di unità organizzativa» l’amministrazione ha provveduto a elaborare e fornire uno specifico file, contenente un elenco «appositamente aggregato per segmento professionale di appartenenza ed opportunamente omissato per garantire la tutela della riservatezza dei terzi, [che] reca i bonus ed i corrispondenti importi attribuiti a ciascun dipendente appartenente all’Area Manageriale e Alte Professionalità della Consob».

In tale quadro, il sindacato istante, ha presentato richiesta di riesame al RPCT della CONSB, non ritenendosi soddisfatto dal riscontro ricevuto, rappresentando, fra l’altro, di avere chiesto «gli atti contenenti i dati complessivi riferiti a ciascuna unità organizzativa relativi all’attribuzione individuale delle gratifiche da parte dei responsabili competenti», rispetto ai quali il documento, contenente dati aggregati, trasmesso non sarebbe idoneo a consentire al sindacato «la tutela delle esigenze cui è preordinato il riconoscimento del diritto all’esercizio dell’accesso civico generalizzato» e nello specifico «la corretta implementazione del nuovo Regolamento del personale Consob, con particolare riferimento all’attribuzione annuale delle gratifiche previste ex art. 109 della parte I del citato Regolamento, anche al fine di verificare il legittimo impiego di risorse pubbliche e l’applicazione uniforme e non discriminatoria delle norme citate».

OSSERVA

1. Introduzione

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato art. 5-bis prevede che l’accesso civico generalizzato è rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a).

Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Ciò premesso, occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Il caso sottoposto all’attenzione del Garante

L’art. 109 del Regolamento del personale della Consob (del. n. 21621 del 10/12/2020), intitolato «Gratifica», prevede che «nel mese di maggio di ogni anno può essere corrisposta una gratifica secondo misure e criteri determinati dalla Commissione» e che «ai fini della determinazione di detta indennità l’Amministrazione acquisisce le necessarie indicazioni presso l’Istituto cui va fatto riferimento a norma dell’art. 2, comma 3, sub art. 1 della legge 7 giugno 1974 n. 216 e successive modificazioni ed integrazioni» (ossia Banca d’Italia).

La citata “gratifica” – come risulta dagli atti – consiste nell’erogazione eventuale di bonus ai dipendenti e mira «a remunerare prestazioni particolarmente positive, rese nell’anno antecedente a quello di erogazione della gratifica, in relazione a fattori di merito, coefficienti e numero massimo di bonus attribuibili, corrispondenti a quelli applicati presso la Banca d’Italia». L’attribuzione della gratifica non è determinata tramite «un procedimento di tipo comparativo», ma tramite una «valutazione di carattere discrezionale effettuata dal soggetto competente all’attribuzione della gratifica, in relazione al rendimento individuale (qualitativo e quantitativo) di ciascun dipendente assegnato, senza nesso comparativo tra i trattamenti attribuiti ai singoli».

In tale contesto, il sindacato ha presentato istanza di accesso civico alla documentazione riguardante in generale le modalità e i criteri di erogazione della citata gratifica – come la delibera della Commissione contenente le misure e i criteri, gli atti presupposti e conseguenti – nonché gli atti contenenti i dati complessivi riferiti «a ciascuna unità organizzativa» relativi «all’attribuzione individuale delle gratifiche da parte dei responsabili competenti».

L’amministrazione ha riscontrato l’accesso civico, fornendo la documentazione richiesta, omettendo – al fine di tutelare la riservatezza dei lavoratori – i nominativi e l’unità organizzativa di appartenenza. Quest’ultima cautela è stata considerata necessaria in quanto, secondo quanto riportato dall’amministrazione, dall’unità organizzativa di afferenza e dalla qualifica è possibile identificare indirettamente anche il dipendente. Al riguardo, al fine di soddisfare in ogni caso l’esigenza conoscitiva del sindacato, a integrazione di quanto già osteso, è stato fornito un file, appositamente elaborato, contenente un elenco riferito ai 532 dipendenti interessati in cui sono stati indicati i fattori utilizzati per erogare la gratifica, gli importi delle gratifiche erogate nei confronti dei singoli dipendenti con specificazione della qualifica rivestita (direttore centrale, direttore, consigliere o esperto), senza indicare nominativo e unità organizzativa di appartenenza.

L’organizzazione sindacale istante lamenta però di avere necessità di ricevere anche l’indicazione dell’unità organizzativa, in quanto senza tale precisazione non sarebbe possibile verificare la corretta applicazione del Regolamento del personale della Consob.

3. Osservazioni

L’inquadramento e la collocazione dei dipendenti pubblici nelle varie unità organizzative e le relative remunerazioni – a eccezione degli incarichi di vertice e dirigenziali per i quali non sono opponibili motivi di riservatezza (art. 14, comma 1-bis del d. lgs. n. 33/2013) – non sono dati pubblici e la relativa ostensione va valutata alla luce delle regole e dei limiti previsti dalla disciplina statale di settore in materia di accesso civico. Inoltre, i dati personali riguardanti l’attribuzione di gratifiche pur non rientrando nelle categorie particolari di dati di cui all’art. 9 RGPD – come correttamente ricordato dal sindacato nella propria richiesta di riesame – sono dati personali a cui va accordata in ogni caso la tutela prevista dal RGPD, tenuto conto nel contesto in esame anche di una certa delicatezza dell’informazione richiesta che riguarda il «rendimento individuale (qualitativo e quantitativo) di ciascun dipendente».

Al riguardo, si deve infatti prendere in considerazione la tipologia e la natura delle informazioni personali riferibili ai dipendenti, quali la qualifica di dipendente della CONSOB, la categoria professionale, l’avere o meno ottenuto una gratifica dell’attività svolta comprensiva del relativo importo, i fattori che l’hanno determinata. Si tratta di informazioni che non sempre si desidera portare a conoscenza di terzi non autorizzati o di un pubblico indifferenziato.

In proposito – conformemente al consolidato orientamento di questa Autorità sull’accesso civico ai dati dei dipendenti o alle loro mansioni e retribuzioni o progressioni economiche (cfr. i pareri in materia di accesso civico a valutazioni/schede e progressioni economiche e di carriera dei lavoratori: n. 308 del 13/7/2023, in corso di pubblicazione; n. 199 del 13/5/2021, in www.gpdp.it, doc. web n. 9672790; n. 147 del 29/7/2020, ivi, doc. web n. 9445796; n. 466 dell’11/10/2018, ivi, doc. web n. 9063969; n. 421 dell’11/7/2018, ivi, doc. web n. 9037343; n. 231 del 18/4/2018, ivi, doc. web n. 8983308; n. 142 dell´8/3/2018, ivi, doc. web n. 8684742; n. 574 del 29/12/2017, ivi, doc. web n. 7658152) – si ritiene che la conoscenza, derivante da un eventuale accoglimento della richiesta di accesso civico ai predetti dati e informazioni personali di dettaglio dell’attività lavorativa svolta, anche considerando il particolare regime di pubblicità dei dati e informazioni ricevuti tramite l’istituto dell’accesso civico (cfr. art. 3, comma 1, d. lgs. n. 33/2013), determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei dipendenti, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, del RGPD).

L’ostensione generalizzata tramite l’istituto dell’accesso civico delle predette informazioni personali può essere fonte di possibili ripercussioni negative sul piano professionale o relazionale, anche all’interno dell’ambiente lavorativo (esponendo gli interessati a possibili difficoltà relazionali con i colleghi o a eventuali ingiustificati pregiudizi da parte degli utenti esterni che possono venire a contatto con gli stessi nell’esercizio delle loro funzioni) e può pertanto arrecare ai dipendenti, a seconda delle ipotesi e del contesto in cui i dati e le informazioni fornite possono essere utilizzate da terzi, proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 (parere n. 142/2018, cit.).

Bisogna, inoltre, tener conto delle ragionevoli aspettative di confidenzialità dei controinteressati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dalla p.a., nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti, ai dipendenti, dall’eventuale conoscibilità, da parte di chiunque, dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

In tale quadro si ritiene che la CONSOB, nell’ostendere la documentazione richiesta, abbia correttamente omesso i nominativi dei dipendenti e gli altri dati che possano consentirne l’identificazione indiretta, quali l’indicazione dell’unità organizzativa di afferenza. In tal senso, quindi, la domanda del sindacato di ricevere, tramite l’istituto dell’accesso civico, «gli atti contenenti i dati complessivi riferiti a ciascuna unità organizzativa relativi all’attribuzione individuale delle gratifiche da parte dei responsabili competenti», non può essere soddisfatta nei termini richiesti.

Per identificazione, infatti, «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; cfr. anche provv. n. 65 del 2/3/2023, in www.gpdp.it, doc. web n. 9874480; provv. n. 68 del 25/2/2021, ivi, doc. web n. 9567429; provv. 2/7/2020, n. 119, ivi, doc. web n. 9440042; provv.  n. 118 del 2/7/2020, ivi, doc. web n. 9440025).

Pertanto, nel riscontrare un’istanza presentata ai sensi dell’art. 5, comma 2, del d. lgs. n. 33/2013, occorre tenere in adeguata considerazione – dato, come detto, il regime di pubblicità proprio dei dati, informazioni e documenti che si ricevono tramite l’istituto dell’accesso civico (art. 3, comma 1, del d. lgs. n. 33/2013) – la necessaria accuratezza con cui deve essere effettuata l’attività di aggregazione dei dati, vista la possibilità di re-identificazione dei dipendenti sia all’interno che all’esterno del contesto lavorativo.

Inoltre, in proposito, sono rilevanti le precisazioni effettuate dal RPCT nella richiesta di parere a questa Autorità, laddove è stato precisato che la scelta dell’amministrazione di fornire un dato aggregato senza indicazione dell’unità organizzativa, come richiesto invece dal sindacato istante, «è stata determinata dalla constatazione oggettiva che essendovi nella Consob diverse Unità Organizzative ove è presente un numero esiguo di dipendenti appartenenti a un determinato segmento professionale7 (meno di 4 dipendenti[…]) ed essendo nota a tutto il personale e, dunque, anche alle Rappresentanze Sindacali presenti in Istituto (in quanto pubblicata nella intranet dell’Istituto) l’assegnazione nominativa di ciascun dipendente alle singole Unità Organizzative e il segmento professionale di appartenenza, l’eventuale trasmissione degli elenchi sopra indicati, pur debitamente omissati dei dati personali riferiti a nome e cognome, non ne avrebbe assicurato la concreta protezione in quanto l’identità del(i) singolo(i) sarebbe risultata oggettivamente riconoscibile, essendo possibile, in ragione della notorietà sia dell’assegnazione di ogni dipendente alle singole unità organizzative, sia del segmento professionale di appartenenza (come risultanti, si è detto, dalla “Situazione del personale” pubblicata nella intranet dell’Istituto), associare le posizioni descritte nei singoli elenchi […] (che, seppure omissati nel nome e nel cognome, recano la sigla delle singole Unità Organizzative e i segmenti di appartenenza di ciascun dipendente) ai nomi del (dei) dipendent(e)i interessati, rendendo riconoscibili, per ciascuno di essi, i dati concernenti le gratifiche erogate (o non erogate)».

In merito alle descritte osservazioni, si ritiene che non vi siano elementi in atti per potersi discostare da quanto sostenuto dal RPCT della CONSOB, sulla quale, in base al principio di accountability del titolare del trattamento, ricade la valutazione in ordine alla natura identificativa dei dati richiesti e al rischio di re-identificazione dei soggetti interessati (art. 5, par. 2, e 24 del RGPD).

Si ritiene, pertanto, conforme alla normativa in materia di protezione dei dati personali la soluzione adottata dall’amministrazione – ai sensi della normativa vigente e delle richiamate indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico – che – allo scopo di soddisfare comunque le esigenze informative alla base dell’accesso civico e di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – ha fornito i dati relativi alle gratifiche dei dipendenti elaborando un file con dati aggregati contenente un elenco riferito ai 532 dipendenti interessati – privo del nominativo e dell’unità organizzativa di appartenenza – in cui sono stati indicati i fattori utilizzati per erogare la gratifica, gli importi delle singole gratifiche erogate nei confronti dei dipendenti, la singola qualifica rivestita (direttore centrale, direttore, consigliere o esperto). Si concorda, altresì, con la circostanza che, tale file, unito alla «complessiva documentazione ostesa[,] assicura [in ogni caso] la conoscenza del budget complessivo delle risorse pubbliche destinato alle gratifiche, della distribuzione del budget complessivo tra le unità organizzative dell’Istituto e l’attribuzione delle gratifiche individuali a ciascun dipendente».

Quanto, infine, alla posizione soggettiva del sindacato e all’interesse particolare descritto in atti, non bisogna confondere l’istituto dell’accesso civico generalizzato riconosciuto a chiunque (indipendentemente dalla qualifica soggettiva posseduta e dalla motivazione) a cui si applicano i limiti di cui all’art. 5-bis del d. lgs. n. 33/2013 (e il bilanciamento caso per caso che esso implica dato il particolare regime di pubblicità), dal diverso diritto di accesso riconosciuto a chi dimostra di essere titolare di un interesse qualificato ai sensi della l. n. 241 del 7/8/1990, come in taluni casi le organizzazioni sindacali «per la cognizione di documenti che possano coinvolgere sia le prerogative del sindacato quale istituzione esponenziale di una determinata categoria di lavoratori, sia le posizioni di lavoro di singoli iscritti nel cui interesse e rappresentanza opera l’associazione» (cfr. Cons. Stato, n. 6098 del 30/8/2021; n. 1034 del 23/1/2012; n. 24 del 11/1/2010).

Per questi aspetti resta ferma ogni autonoma valutazione dell’amministrazione sull’esistenza di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso» e dei presupposti per l’esercizio del diverso accesso ai documenti amministrativi secondo la procedura e i limiti di cui agli artt. 22 ss. della l. n. 241/1990.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della trasparenza della Commissione nazionale per le società e la borsa (CONSOB), ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 3 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei