Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere su istanza di accesso civico - 3 settembre 2020 [9461036]

 

VEDI ANCHE Newsletter del 30 settembre 2020

 

[doc. web n. 9461036 ]

Parere su istanza di accesso civico - 3 settembre 2020

Registro dei provvedimenti
n. 155 del 3 settembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv.  Guido Scorza, componenti e l’avv. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

Visto l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196 (di seguito “Codice”);

Visto l’art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

Vista la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

Visto il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con la nota in atti, il Responsabile per la prevenzione della corruzione e della trasparenza della Regione Autonoma Valle d’Aosta ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame effettuata da un giornalista su un provvedimento di diniego parziale a una propria istanza di accesso civico presentata alla predetta Regione.

Dall’istruttoria risulta che è stata presentata una richiesta di accesso civico – ai sensi dell’art. 5 comma 2, del d. lgs. n. 33/2013 – avente a oggetto il rilascio dei dati concernenti la «Distribuzione dei casi di Covid-19 registrati nella regione Valle d’Aosta, suddivisi per comune, sesso, età, esito (guariti, deceduti, casi attivi), domicilio (al proprio domicilio oppure casa di riposo / microcomunità / RSA), data delle diagnosi di infezione, numero ed esiti dei tamponi eseguiti per paziente», nonché concernenti «Numero, distribuzione per comune e data dei contatti telefonici della Centrale a ciò deputata con le persone prese in carico per infezione da Covid-19».

La Regione ha accordato un accesso parziale, in ragione dell’«interesse conoscitivo sotteso alla richiesta medesima», fornendo i seguenti dati, in forma aggregata: «tamponi effettuati ogni settimana, per ogni comune, divisi per sesso; casi positivi totali (nell’intero periodo), per ogni comune, divisi per sesso; casi positivi nell’intera regione, divisi per sesso; guariti nell’intera regione, divisi per sesso; decessi nell’intera regione, divisi per sesso». L’amministrazione ha motivato tale accesso parziale con il «potenziale pregiudizio che il disvelamento di alcune delle informazioni richieste (ad esempio, il domicilio o la data di insorgenza della malattia) potrebbe arrecare alla protezione dei dati personali, appartenenti, per loro natura, alla categoria dei dati particolari, in ragione dell’esiguità demografica che caratterizza molti Comuni valdostani, tale da consentire la verosimile identificazione dei soggetti colpiti dal virus».

Il richiedente l’accesso civico ha successivamente presentato una richiesta di riesame al Responsabile per la prevenzione della corruzione e della trasparenza del provvedimento di accoglimento parziale (art. 5, comma 7, del d. lgs. n. 33/2013), ritenendolo insoddisfacente ed insistendo sulle proprie richieste, pur acconsentendo alla ricezione dei dati aggregati di cui la Regione ha proposto la comunicazione.

OSSERVA

La questione sottoposta all’attenzione del Garante riguarda l’ostensione, tramite l’istituto dell’accesso civico, di dati relativi alla diffusione del Covid-19 nei Comuni della Regione Valle d’Aosta, caratterizzati da informazioni di dettaglio in riferimento a ciascun soggetto che ha contratto il virus (come il sesso, l’età, l’esito cui ha condotto l’infezione, la tipologia di domicilio, la data in cui è stata diagnosticata l’infezione, il numero e l’esito dei tamponi effettuati, la data dei contatti telefonici della Centrale).

Al riguardo, si ricorda che, ai sensi della normativa di settore, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (artt. 5, comma 2, d. lgs. n. 33/2013).

In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato 5-bis prevede che l’accesso civico debba essere rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a)), ed è, comunque «escluso», nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3).

In tale quadro, si precisa che per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD).

Inoltre, il RGPD definisce come «dati relativi alla salute» i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).

In tale contesto, si osserva che il Codice, a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1), prevede un espresso “divieto di diffusione”, ossia della possibilità di dare «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» di “dati relativi alla salute” (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b). Il medesimo divieto è stabilito altresì dal d. lgs. n. 33/2013, il cui art. 7-bis, comma 6, prevede, analogamente, come «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]»).

Conseguentemente, allorché un’istanza di accesso civico abbia ad oggetto dati relativi alla salute, si rende applicabile l’“esclusione dell’accesso civico” prevista dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico deve essere escluso nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3, del d. lgs. n. 33/2013).

Quanto riportato è confermato anche dalle Linee guida dell’Anac in materia di accesso civico con riferimento alle «Eccezioni assolute» all’accesso civico, laddove è indicato che «Nella valutazione dell’istanza di accesso, l’amministrazione deve […] verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3» (par. 6). Nello specifico, nel par. 6.2., intitolato «Altri casi di segreto o di divieto di divulgazione», è altresì precisato che «[…] alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a: dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del Codice [oggi art. 2-septies, comma 8]; art. 7-bis, comma 6, d. lgs. n. 33/2013)». (In materia di dati sulla salute, cfr. altresì i pareri resi dal Garante nei provvedimenti n. 188 del 10/4/2017, in www.gpdp.it, doc. web n. 6383249; n. 206 del 27/4/2017, ivi, doc. web n. 6388689; n. 98 del 22/2/2018, ivi, doc. web n. 8165944; n. 226 del 16/4/2018, ivi, doc. web n. 8983848; n. 2 del 10/1/2019, ivi, doc. web n. 9084520).

In tale quadro, si rappresenta che i dati e le informazioni riferite a persone fisiche, identificate o identificabili, che hanno contratto il virus da Covid-19 rientrano nella definizione di dati sulla salute per i quali va escluso l’accesso civico ai sensi dell’art. 5-bis, comma 3, del d. lgs. n. 33/2013.

Ciò chiarito, la particolarità del caso sottoposto all’attenzione del Garante risiede nella circostanza che i dati e le informazioni richieste e relative alla diffusione del Covid-19 nel territorio regionale sarebbero privi dell’indicazione del nome e del cognome dei soggetti contagiati.

Al riguardo, tuttavia, il fatto che il soggetto istante abbia fatto accesso civico a specifici dati di dettaglio riguardanti i casi di Covid-19 nella Regione Valle d’Aosta riferiti anche a singoli pazienti – quali la distribuzione dei casi all’interno della Regione, con specifica «suddivisione per comune, sesso, età, esito (guariti, deceduti, casi attivi), domicilio (al proprio domicilio oppure casa di riposo/microcomunità/RSA), data delle diagnosi di infezione, numero ed esiti dei tamponi eseguiti per paziente», compreso il «numero, distribuzione per comune e data dei contatti telefonici della Centrale a ciò deputata con le persone prese in carico per infezione da Covid-19» – non elimina del tutto la possibilità che i soggetti a cui i dati si riferiscono possano essere re-identificati, anche a posteriori – considerando fra l’altro il particolare regime di pubblicità dei dati ricevuti tramite l’accesso civico (art. 3, comma 1, d. lgs. n. 33/2013) –, attraverso il «raffronto» dei dati richiesti con altre informazioni eventualmente in possesso di terzi.

Ciò anche considerando quanto rappresentato dalla stessa Regione nel diniego dell’accesso civico, laddove è stato evidenziato che «l’esiguità demografica che caratterizza molti comuni della Valle d’Aosta (per non parlare delle Residenze Sanitarie Assistenziali) fa sì che dall’incrocio dei dati in oggetto con informazioni verbali facilmente acquisibili in loco sia possibile, almeno in taluni casi, risalire all’identità dei soggetti coinvolti e, conseguentemente, al loro stato di salute».

In proposito, occorre infatti ricordare che, ai sensi del RGPD, si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1).

Pertanto, allo stato degli atti, ai sensi della normativa vigente e dei precedenti orientamenti del Garante, appare conforme alla normativa in materia di protezione dei dati personali la soluzione adottata dalla Regione, che – sulla base delle valutazioni effettuate in qualità di titolare del trattamento – tenuto conto del contesto e del rischio di re-identificazione delle persone fisiche cui si riferiscono i dati richiesti, alla luce del principio di responsabilizzazione di cui agli artt. 5, par. 2, e 24, par. 2, del RGPD (cfr. altresì considerando nn. 75 e 76), ha correttamente accordato un accesso civico parziale, volto ad evitare l’ostensione di dati e informazioni che possano rivelare, anche indirettamente, l’identità di soggetti interessati e il connesso stato di salute, fornendo in ogni caso – allo scopo di soddisfare le esigenze informative alla base dell’accesso civico e di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – i dati sull’emergenza sanitaria relativi a: «a) tamponi effettuati ogni settimana, per ogni comune, divisi per sesso; b) casi positivi totali (nell’intero periodo), per ogni comune, divisi per sesso; c) casi positivi nell’intera regione, divisi per sesso; d) guariti nell’intera regione, divisi per sesso; e) decessi nell’intera regione, divisi per sesso».

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile per la prevenzione della corruzione e della trasparenza della Regione Autonoma Valle d’Aosta, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 3 settembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Busia