In queste settimane sono sempre più numerose le denunce di singoli giornalisti e di autorevoli testate che si vedono respingere le istanze di accesso civico generalizzato (cosiddetto Foia) riguardanti alcuni dati aggregati e anonimizzati relativi al Covid-19 (quindi privi di dati personali riferiti a persone fisiche identificate o identificabili, in linea con quanto stabilito dal GDPR, dal D.Lgs. 196/2003, ma anche dallo stesso D.Lgs. 33/2013, recante la disciplina sulla trasparenza amministrativa).
Ma siamo sicuri che gli organi di stampa e la comunità scientifica possano ottenere l’accesso e la disponibilità dei dati ufficiali sul Covid-19 detenuti dall’Istituto Superiore di Sanità?
Cosa stabilisce il Foia
Per far luce sulle procedure in materia di accesso ai dati detenuti dall’Istituto Superiore di Sanità occorre chiarire cosa stabiliscono le norme in materia di accesso generalizzato (FOIA).
L’istituto del FOIA, proprio allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, attribuisce a chiunque il diritto di accedere ai dati e ai documenti detenuti dalle PA, ulteriori rispetto a quelli oggetto di pubblicazione obbligatoria, nel rispetto di determinate esclusioni (ad esempio, per i documenti coperti da segreto di Stato) o di alcuni limiti relativi ad interessi particolarmente rilevanti.
Tali limiti sono elencati all’art. 5-bis del D.Lgs. 33/2013 e sono relativi, ad esempio, alla tutela di interessi pubblici inerenti alla sicurezza pubblica e l’ordine pubblico, alla sicurezza nazionale; oppure alla tutela di interessi privati, come la protezione dei dati personali.
Sul punto, secondo la Determinazione dell’Autorità Nazionale Anticorruzione n. 1309 del 28 dicembre 2016, al di fuori dei casi di eccezioni assolute, l’amministrazione o l’ente pubblico a cui sia stata presentata l’istanza di accesso generalizzato (FOIA) è tenuto a verificare se l’accoglimento della richiesta e l’ostensione degli atti possa determinare un pregiudizio concreto e probabile agli interessi indicati dal legislatore. Tuttavia, sottolinea ANAC, affinché l’accesso possa essere rifiutato, il pregiudizio a tali interessi deve essere concreto, quindi deve sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio.
Cosa fa l’ISS dopo una richiesta di accesso
L’Istituto Superiore di Sanità, in altre parole, non potrebbe limitarsi a prefigurare il rischio di un pregiudizio in via generica e astratta, ma dovrebbe:
- indicare chiaramente quale – tra gli interessi elencati all’art. 5 bis, co. 1 e 2 – viene pregiudicato;
- valutare se il pregiudizio (concreto) prefigurato dipende direttamente dalla disclosure dell’informazione richiesta;
- valutare se il pregiudizio conseguente alla disclosure è un evento altamente probabile, e non soltanto possibile.
Risulta difficile comprendere, dunque, quali siano i rischi concreti derivanti dall’accoglimento di richieste di accesso ai dati relativi al Covid-19 che siano stati opportunamente anonimizzati e aggregati.
Tanto più se si considera che le Ordinanze del Capo della protezione civile del 27 febbraio e del 4 agosto 2020 non escludono in alcun modo l’accoglimento di eventuali istanze di accesso presentate ai sensi della disciplina sul FOIA, né tanto meno ricollegano tali accessi ai dati opportunamente anonimizzati a eventuali rischi di pregiudizio a uno degli interessi pubblici o privati elencati dal Legislatore all’art. 5-bis del D.Lgs. 33/2013.
Non tutti gli enti di ricerca hanno accesso ai dati. Perché?
Anzi, a ben vedere tali Ordinanze del Capo della protezione civile disciplinano non già l’accesso a tali dati (ai sensi, ad esempio delle norme sul FOIA del D.Lgs. 33/2013), bensì la “condivisione” degli stessi tra Istituto Superiore di Sanità, Regioni, Province autonome e Istituto nazionale di malattie infettive Lazzaro Spallanzani di Roma. Tali enti, infatti, devono condividere tra loro i dati sul Covid-19 mediante interconnessione delle rispettive piattaforme, nonché a darne comunicazione al Ministero della Salute.
Peccato, però, che proprio la citata Ordinanza del 4 agosto 2020 stabilisca che gli altri centri che svolgano attività scientifica e di ricerca possano ottenere questi dati solo previa presentazione di apposita istanza, corredata da opportuna motivazione! Ovviamente, non si tratta di dataset che contengono dati personali relativi alla salute di persone identificate o identificabili che abbiano contratto il Covid-19, ma di dati forniti giustamente in forma aggregata o con modalità di pseudonimizzazione con doppio codice random, in linea con quanto previsto dal GDPR in tema di protezione di dati personali.
ISS e Gdpr: le (troppe) falle
Quindi, ancora una volta, ci si chiede: perché tali dati, se opportunamente pseudonimizzati o aggregati, non possono essere messi comunque a disposizione di tutta la comunità scientifica? Invece scienziati e ricercatori devono compilare un modulo, motivare l’istanza circa le ragioni per cui hanno necessità di accedere a quei dati per ragioni di studio o ricerca e tale istanza deve -di fatto – essere soggetta a una valutazione discrezionale da parte dell’istituto Superiore di Sanità. Quale sarebbero il pericolo – concreto – insito nella disclosure di questi importantissimi dati a tutta la comunità scientifica?
Inoltre, risulta paradossale invece che proprio l’Istituto Superiore di Sanità sembri non rispettare del tutto né il GDPR, né la normativa sulla trasparenza. Da un’analisi del sito dell’Istituto, infatti, nonché della piattaforma Epicentro, tramite la quale l’Istituto gestisce i dati relativi al Covid -19, non appare chiaro chi sia il loro DPO (Data Protection Officer, figura disciplinata dal GDPR che deve sovraintendere in un’organizzazione, un ente o un’azienda al rispetto delle norme materia di protezione dei dati personali dettate dallo stesso Regolamento).
In effetti, se solo dopo un’accurata ricerca nella sezione “Amministrazione trasparente” del sito web dell’Istituto Superiore di Sanità si rinviene la nomina a DPO di una Dirigente interna, nella piattaforma Epicentro, gestita dallo stesso Istituto, risulta pubblicato un documento (precisamente nella sezione “Sorveglianza integrata: info privacy”) intitolato “ Informazioni privacy per la sorveglianza sanitaria integrata Covid-19”, in cui si legge che il DPO sia invece una società privata, il cui sito web, peraltro, risulta paradossalmente non rispettare il GDPR!
In particolare, infatti, l’utente che approda sul sito web di questa società – che sarebbe incaricata di svolgere l’importantissimo e delicatissimo ruolo di DPO in relazione ai dati relativi alla salute gestiti tramite la piattaforma Epicentro dell’istituto Superiore di Sanità – è costretto ad accettare la privacy policy e la cookie policy (e quindi i trattamenti di dati personali effettuati da questa società privata) addirittura prima di poterle leggere! In effetti, sia i testi delle policy, sia la home page del sito risultano non leggibili se prima l’utente non accetta (forzatamente) i trattamenti di dati personali che potrà leggere solo dopo aver accettato, quindi prima di conoscerne il contenuto! Tale pratica, dunque, risulta palesemente contraria a quanto stabilito dal GDPR in materia di consenso e, in particolare, dalle Linee guida dell’European Data Protection Board (ossia, dal Gruppo dei Garanti europei) del 4 maggio 2020.
Conclusioni
Purtroppo, dunque, sotto questi profili, l’atteggiamento dell’Istituto Superiore di Sanità risulta essere tutt’altro che trasparente e in linea con la normativa. Probabilmente ci sfuggono le ragioni per cui anche il diritto fondamentale alla trasparenza e all’accesso ai dati risulti sospeso in fase di lotta al virus. Ricordiamo che se anche nell’ultimo anno abbiamo assistito alla compressione di alcuni dei nostri diritti fondamentali costituzionalmente garantiti, come il diritto alla libera circolazione, costretti – ma anche sentitamente convinti – della doverosa necessità di tutelare la salute pubblica, minacciata dal tragico dilagare del Covid-19 e dall’incremento del numero di ricoveri e decessi, il diritto fondamentale alla libertà di informazione invece è rimasto pienamente in esercizio, non essendoci in una situazione di emergenza pandemica altre esigenze pubbliche di natura pubblicistica che ne comporterebbero la compressione.
DIG.eat 2021 (18 gennaio-12 febbraio)
La tematica sarà ulteriormente approfondita durante il DIG.eat 2021, l’evento gratuito sul digitale promosso da ANORC e Digital & Law Department, in corso sino al 12 febbraio sulla piattaforma dedicata.
Tutti i contenuti del DIG.eat 2021 saranno disponibili on demand pe tutta la durata dell’evento e anche oltre.
