[doc. web n. 9967883]

Parere su istanza di accesso civico - 27 novembre 2023

Registro dei provvedimenti
n. 552 del 27 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente l’«Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (di seguito “RPCT”) del Ministero della Salute, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (doc. web n. 1098801);

VISTA la documentazione in atti;

PREMESSO

Con nota in atti il RPCT del Ministero della Salute ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, in relazione a un provvedimento di diniego di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico avente a oggetto «i dati relativi ai decessi dei soggetti sottoposti alla somministrazione della prima dose di una qualunque tipologia di vaccino anti Covid19 tra il 27/12/2020 e il 26/12/2022, e che siano deceduti entro il 09/01/2023 per qualunque motivo, non necessariamente riconducibile alla somministrazione».

Dall’istanza di accesso è emerso che il soggetto istante necessita dei predetti dati per integrare quelli che il Ministero della Salute gli ha già fornito in ottemperanza  alla sentenza identificata in atti che, nello specifico, risultano essere quelli relativi «ai soggetti ai quali è stata somministrata la prima dose di vaccino nel periodo 27/12/2020 - 26/12/2021 e che siano deceduti entro il 09/01/2022 per qualunque motivo, non necessariamente riconducibile alla somministrazione».

Il Ministero ha rigettato l’istanza, rappresentando «che le informazioni e la specificità del target richiesto rappresentano un concreto pregiudizio per la riservatezza e la protezione dei dati personali dei soggetti interessanti. Infatti, l’estrazione dal flusso AVN dei dati richiesti comporta un elevato rischio di re-identificazione degli interessati». Il Ministero ha aggiunto che il «suddetto rischio di re-identificazione è attuale e concreto in quanto già verificatosi con la precedente fornitura di dati […], in esecuzione della sentenza [citata in atti]. Infatti, è emerso che tali dati sono stati esaminati e commentati in un articolo giornalistico […] nel quale si legge che “Abbiamo controllato data di nascita e di decesso (per cause diverse) di una sessantina tra conoscenti, amici, personaggi riportati dalla cronaca con riferimenti anagrafici certi, e ai quali era stata somministrata almeno una dose di vaccino. Su 60 soggetti, solamente cinque (1’8%) risultano morti”». Il Ministero ha aggiunto che «i dati richiesti sono relativi a dati personali relativi alla salute, il cui trattamento è espressamente vietato dall’articolo 9 del Regolamento UE n. 679 del 2016, pertanto osta all’accoglimento della presente istanza di accesso civico generalizzato il limite di cui all’articolo 5-bis, comma 2, lett. a), del decreto legislativo 14 marzo 2013, n. 33».

Il soggetto istante ha presentato al RPCT una richiesta di riesame del provvedimento del Ministero, ritenendo il rifiuto non corretto. Al riguardo, ha rappresentato, fra l’altro, che le verifiche sul database condotte dai tecnici incaricati si sono «concretizzat[e] (anche) nel confronto tra i dati contenuti nell’ANV e i dati di soggetti di cui già si possedevano tutte le informazioni necessarie per operare tale verifica». Nello specifico, «Non si è utilizzato l’ANV per comprendere se un soggetto si è sottoposto a vaccinazione (verifica impossibile da fare), ma si sono utilizzati i dati già noti di soggetti vaccinati e deceduti, per verificare se fossero presenti nel database». Si sarebbe trattato, quindi, «di una verifica inversa che non consente di apprendere alcun dato personale del soggetto. I dati estratti dall’ANV non contrastano con le norme sul trattamento dei dati personali in quanto non consentono di ricondurre in alcun modo tali dati ad un individuo specifico».

OSSERVA

1. La disciplina applicabile e le indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

Al riguardo, come evidenziato anche nelle Linee guida dell’ANAC in materia di accesso civico, dalla «lettura dell’art. 5 bis, co. 1, 2 e 3 del decreto trasparenza si possono distinguere due tipi di eccezioni, assolute o relative. Al ricorrere di queste eccezioni, le amministrazioni, rispettivamente, devono o possono rifiutare l’accesso generalizzato. La chiara identificazione di tali eccezioni rappresenta un elemento decisivo per consentire la corretta applicazione del diritto di accesso generalizzato» (par. 5). La differenza fra eccezioni assolute e relative risiede, in altre parole, nella circostanza che al ricorrere delle prime l’amministrazione deve escludere l’accesso civico senza effettuare alcun tipo di bilanciamento.

In tale contesto, come riportato anche nelle predette Linee guida, nella «valutazione dell’istanza di accesso, l’amministrazione deve quindi verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3».

Casi di esclusione dell’accesso civico in presenza di eccezioni assolute previste dal citato comma 3 dell’art. 5-bis, come indicato anche da ANAC, ricorrono, fra l’altro, quando:

- sussistono «divieti di accesso o divulgazione previsti dalla legge» (es. art. 2-septies, comma 8, del Codice con riferimento ai «dati relativi alla salute» ossia dei «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», art. 4, par. 1, n. 15, del RGPD);

- «l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti […]» (si consideri ad esempio la disciplina sugli atti dello stato civile e quella sulle informazioni contenute nelle anagrafi della popolazione conoscibili nelle modalità previste dalle relative discipline di settore ai sensi degli artt. 33 ss. del d.P.R. n. 223/1989; artt. 106 ss. del d.P.R. n. 396/2000).

Per altro verso le amministrazioni devono “rifiutare” l’accesso civico, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a)). Si tratta di una cosiddetta eccezione relativa, nel senso che «Il legislatore non opera, come nel caso delle eccezioni assolute, una generale e preventiva individuazione di esclusioni all’accesso generalizzato, ma rinvia a una attività valutativa che deve essere effettuata dalle amministrazioni con la tecnica del bilanciamento, caso per caso […]» (cfr. par. 5.2, Linee guida ANAC).

In tale contesto, per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati o documenti, tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di un’istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b) e c)).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

In relazione ai «dati personali delle persone decedute», il RGPD stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27).

In tale quadro, il legislatore italiano ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f), del d. lgs. n. 101 del 10/8/2018).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del RGPD prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili (v. provv. n. 2 del 10/1/2019, in www.gpdp.it, doc. web n. 9084520. Sui dati dei deceduti cfr. anche provv. n. 118 del 7/4/2022, ivi, doc. web n. 9772545; n. 90 del 23/3/2023, ivi, doc. web n. 9888188).

2. Il regime di accessibilità dell’Anagrafe nazionale dei vaccini

La normativa statale di settore contenuta nel decreto del Ministero della salute del 17/9/2018 recante «Istituzione dell'Anagrafe nazionale vaccini» in attuazione dell’art. 4-bis del d.l. n. 73 del 7/6/2017 (su cui il Garante ha reso il parere n. 438 del 26/7/2018, in www.gpdp.it, doc. web n. 9025504), istituisce e disciplina il funzionamento, presso il Ministero della salute, dell’Anagrafe nazionale vaccini «con l’obiettivo di garantire, nell'ambito del monitoraggio dei programmi vaccinali sul territorio nazionale, la verifica delle coperture vaccinali in relazione al Calendario vaccinale nazionale vigente e l'elaborazione di indicatori a livello nazionale, regionale e aziendale, anche a fini comparativi».

Il citato decreto del 17/9/2018 prevede, in particolare, che nella predetta anagrafe siano registrati a livello nazionale, fra gli altri dati, i soggetti vaccinati e da sottoporre a vaccinazione, le dosi e i tempi di somministrazione delle vaccinazioni effettuate, il luogo di residenza, le date di eventuale decesso.

Il regime di conoscibilità delle predette informazioni e delle altre contenute in anagrafe è regolamentato nell’art. 4 del citato decreto intitolato «Accesso ai dati», che disciplina le modalità di accesso, da parte dei soggetti istituzionali, ai dati degli assistiti, accordando diversi livelli di conoscibilità a seconda della finalità (es.: monitoraggio e verifica delle coperture vaccinali, svolgimento delle funzioni e dei compiti amministrativi, aggiornamento delle anagrafi regionali vaccinali) e da parte dei soggetti istituzionali interessati (esclusivamente le unità organizzative competenti delle regioni e delle province autonome; nonché le unità organizzative competenti del Ministero della salute in taluni casi specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario).

In tale quadro – salvo i casi di accesso ai dati personali della generalità degli assistiti da parte delle unità organizzative, specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario del Ministero della salute (art. 4, comma 1, seconda alinea, del D.M. cit.) – per l’attività di monitoraggio dei programmi vaccinali sul territorio nazionale e la verifica delle coperture vaccinali è previsto che le stesse «unità organizzative competenti delle regioni e delle province autonome» (come individuate da provvedimenti regionali e provinciali) possano accedere ai dati esclusivamente «in forma aggregata e anonima» e limitatamente ai propri assistiti. Analogamente, anche per «lo svolgimento delle funzioni e dei compiti amministrativi concernenti la raccolta e lo scambio di informazioni con gli organismi comunitari ed internazionali e la redazione delle relazioni da presentarsi al Parlamento e le altre relazioni o rapporti di carattere nazionale» gli stessi uffici i competenti del Ministero della salute possono accedere ai dati dell’anagrafe vaccinale solo «in forma aggregata e anonima».

Ciò premesso, considerando in ogni caso le osservazioni presentate dal soggetto istante e dal Ministero della salute contenute nella documentazione in atti, entrando nel merito di quanto richiesto, si osserva quanto segue.

3. Il caso sottoposto all’attenzione del Garante

Nel caso in esame, il soggetto richiedente l’accesso già detiene uno specifico database, che il Ministero della salute ha dovuto mettere a sua disposizione in ottemperanza alla decisione giudiziale identificata in atti. In tale database sono contenuti informazioni in forma individuale e disaggregata (ossia per singolo assistito), prive del nome e cognome, pari a più di 45 milioni di soggetti vaccinati dei quali sono stati indicati: data di nascita, data di eventuale decesso; data della prima dose; data della eventuale seconda dose; data della eventuale terza dose; data della eventuale quarta dose.

Ciò premesso, il soggetto istante ha domandato di poter avere anche i dati riferiti a un periodo successivo a quello già richiesto e, precisamente, i «dati relativi ai decessi dei soggetti sottoposti alla somministrazione della prima dose di una qualunque tipologia di vaccino anti Covid19 tra il 27/12/2020 e il 26/12/2022, e che siano deceduti entro il 09/01/2023 per qualunque motivo, non necessariamente riconducibile alla somministrazione».

4. Valutazioni sui dati richiesti

Le informazioni individuali contenute nell’Anagrafe nazionale dei vaccini richieste nel caso in esame sono di natura particolarmente delicata in quanto riferite a specifici individui (anche se privi di nome e cognome) di cui sono fornite le date di nascita, con le date delle dosi di vaccino effettuate e di eventuale decesso.

Un’eventuale ostensione delle informazioni richieste altererebbe il regime e le misure di sicurezza adottate dal Ministero della salute ai sensi dell’art. 32 del RGPD, nonché le regole in materia di accountability e le valutazioni del rischio di re-identificazione effettuato dal predetto Ministero mediante la valutazione d’impatto prevista dall’art. 35 del RGPD per i trattamenti a rischio elevato (cfr. Gruppo Art. 29, Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, del 4/4/2017, par. III.b). Ciò considerando che si tratta di dati riferiti a soggetti vaccinati trattati su larga scala (più di 45 milioni di individui) e alle dosi di vaccino effettuate, il cui numero potrebbe essere idoneo a rivelare – nel caso ad esempio dell’effettuazione di una sola dose o del mancato completamento del ciclo vaccinale – l’esistenza di possibili casi di esonero successivo o differimento connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti (con la conseguente riconducibilità alle «categorie particolari di dati personali» di cui all’art. 9 del RGPD) oppure altre convinzioni personali.

Si ritiene quindi dirimente effettuare un’adeguata valutazione, anche alla luce di quanto dichiarato dal soggetto istante, circa il rischio di re-identificabilità dei soggetti interessati (fra cui minori e soggetti deboli) tramite l’ostensione dei dati richiesti, derivante anche dal possibile raffronto o incrocio dei dati con altre fonti, banche dati o dati statistici che possono fornire informazioni ulteriori sugli stessi assistiti. 

5. Dati aggregati, dati anonimi e osservazioni sul rischio di re-identificazione

5.a. Il dato aggregato

I dati richiesti con l’accesso civico nel caso in esame, anche se privi del nome e cognome, non sono “dati aggregati”.

L’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, del 10/4/2014, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, par. 3.2.1.).

Dal punto di vista tecnico, per effettuare la predetta operazione è necessario sottoporre «i valori degli attributi […] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore» (ibidem). Ad esempio, le «date di nascita individuali [o quelle di decesso] possono essere generalizzate in una serie di date o raggruppate per mese o anno» (ibidem).

Affinché la tecnica di aggregazione dei dati sia efficace al fine di ridurre il rischio di re-identificazione, è necessario rispettare le opportune soglie di aggregazione dei dati, che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute. Ciò in quanto, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» e «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

In tale contesto, si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677). Il «valore minimo attribuibile alla soglia è pari a tre» (ibidem).

Nel caso in esame, fornire dati individuali dei singoli assistiti (anche se privi di nome e cognome), quali le date di nascita con le date delle dosi di vaccino e di eventuale decesso, significa fornire dati evidentemente in forma “non aggregata”. Ciò in quanto dagli atti non emerge che siano state adottate tecniche che raggruppano/aggregano individui con le medesime caratteristiche entro una determinata soglia (il cui valore minimo è almeno pari a tre), impedendo casi di singolarità e, conseguente, possibile individuazione.

L’effetto è che risulta possibile ricondurre a persone determinate le informazioni - già ricevute e ulteriormente richieste - presenti nell’Anagrafe dei vaccini. Tale circostanza è dimostrata proprio dall’operazione compiuta da un ingegnere specializzato in informatica, che, come emerge da un articolo di stampa in atti, ha potuto operare un raffronto fra i dati di soggetti conosciuti con quelli contenuti in anagrafe, verificando peraltro sia la presenza che l’assenza di alcuni record. Ciò dimostra che i dati richiesti possono essere ricondotti a specifici individui.

5.b. Il dato anonimo

I dati richiesti con l’accesso civico nel caso in esame in maniera non aggregata, non possono inoltre essere considerati come adeguatamente “anonimizzati” anche se privati del nome e cognome del soggetto assistito.

Al riguardo, occorre tenere presente, come sancito dal RGPD, che le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (cons. n. 26).

Va ricordato, che – come evidenziato a livello europeo – per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, cit., par. 2.2.2.).

Anonimizzare un documento o un database significa effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è il risultato del trattamento di dati personali volto a impedire “irreversibilmente” l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, cit., par. 2.2., e passim). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi, cfr. par. “sintesi”).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ibidem). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ibidem).

5.c. Sul rischio di re-identificazione

Il rischio di re-identificazione dell’interessato va accuratamente valutato tenendo conto di «tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del RGPD e WP29 Opinion 05/2014 on Anonymisation techniques, cit.).

Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo a impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

6. Osservazioni sul caso in esame

Nel caso sottoposto all’attenzione di questa Autorità, il Ministero della salute ha motivato il diniego dell’accesso, evidenziando che «le informazioni e la specificità del target richiesto rappresentano un concreto pregiudizio per la riservatezza e la protezione dei dati personali dei soggetti interessanti. Infatti, l’estrazione dal flusso AVN dei dati richiesti comporta un elevato rischio di re-identificazione degli interessati». Il Ministero ha aggiunto che il «suddetto rischio di re-identificazione è attuale e concreto in quanto già verificatosi con la precedente fornitura di dati del 23/08/2023, in esecuzione della [sentenza identificata in atti]. Infatti, è emerso che tali dati sono stati esaminati e commentati in un articolo giornalistico […], nel quale si legge che “Abbiamo controllato data di nascita e di decesso (per cause diverse) di una sessantina tra conoscenti, amici, personaggi riportati dalla cronaca con riferimenti anagrafici certi, e ai quali era stata somministrata almeno una dose di vaccino. Su 60 soggetti, solamente cinque (1’8%) risultano morti [nella banca dati del Ministero, mentre in realtà sono tutti morti]».

Nel caso in esame, nessuna delle tecniche di anonimizzazione descritte nelle Linee guida europee e prima citate (es.: randomizzazione, generalizzazione, aggiunta del rumore statistico, permutazioni, privacy differenziale, aggregazione, k-anonimato, l-diversità, t-vicinanza, ecc.) è stata compiuta sui dati a cui si chiede di accedere., i con il conseguente alto rischio di re-identificazione dei soggetti interessati. Come, infatti, emerge anche dal citato articolo di stampa in atti, è stato possibile - conoscendo le date di nascita, morte e vaccinazione di determinati soggetti – verificare con elevato grado di certezza la presenza o meno degli stessi individui nella banca dati detenuta dal Ministero della salute, con la conseguenza che le informazioni in questione, in quanto associabili a persone fisiche la cui identità è già nota a terzi, non possono considerarsi anonime..

Allo stato degli atti, quindi, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dal Ministero – sul quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati richiesti e al rischio di re-identificazione dei soggetti interessati (art. 5, par. 2, e 24 del RGPD).

Ciò, tenendo conto del rischio di re-identificabilità dei soggetti interessati derivante dalla richiesta di ostensione dei dati individuali in forma disaggregata (vaccino somministrato, somministrazione della prima dose, data di somministrazione di tale dose, data di nascita e quindi età degli assistiti, data di decesso) e dalla possibilità per il soggetto istante (ma, dato il regime di pubblicità propria dell’accesso civico, anche per soggetti terzi) di incrociare e raffrontare i dati ottenuti con altre informazioni ausiliarie già conosciute o contenute in ulteriori banche dati o in dati statistici.

La conoscenza delle predette informazioni di natura delicata peraltro su larga scala e, in taluni casi, come detto, anche idonee a rivelare convinzioni personali o dati sulla salute per i quali l’accesso civico è escluso (art. 9 del RGPD), determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati e la relativa ostensione – in relazione ai casi e al contesto in cui possono essere utilizzati da terzi – può determinare proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Si tratta infatti di informazioni che, per motivi individuali, non sempre si desidera portare a conoscenza di altri soggetti e per le quali occorre tenere in considerazione anche le ragionevoli aspettative di confidenzialità degli interessati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dall’amministrazione, nonché la non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti a questi ultimi dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

Alla luce di tali considerazioni, si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico, tenendo anche conto del regime di pubblicità dei dati proprio dell’accesso civico (art. 3, comma 1, del d. lgs. n. 33/2013), l’amministrazione abbia correttamente respinto l’accesso civico ai dati richiesti.

Conformemente ai precedenti orientamenti di questa Autorità, si ricorda che le esigenze conoscitive dichiarate dal soggetto istante debbono poter essere raggiunte in conformità alla disciplina in materia di protezione dei dati personali. Nulla osta, pertanto, alla possibilità di consentire l’accesso civico, senza fornire elementi (come quelli richiesti) che possano consentire di identificare, anche in maniera indiretta o a-posteriori, i soggetti non vaccinati o anche quelli vaccinati interessati, ancorché deceduti (cfr. pareri n. 466 del 5/10/2023 e n. 469 del 12/10/2023). Resta, peraltro, fermo che, anche in tal caso, eventuali operazioni applicate al data base in esame volte a re-identificare gli interessati non potranno ritenersi compatibili con la normativa in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza del Ministero della Salute, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

In Roma, 27 novembre 2023

IL PRESIDENTE
Stanzione