Foia e Gdpr

Accesso ai dati covid-19, l’Italia nega un diritto ed è un problema per tutti

Perché i dataset contenenti dati Covid in forma aggregata o pseudonimizzati in linea con i dettami del GDPR in tema di protezione di dati personali non possono essere a disposizione di tutta la comunità scientifica? E perché l’atteggiamento dell’ISS risulta essere tutt’altro che trasparente e in linea con la normativa?

Pubblicato il 09 Feb 2021

Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni, direttore della rivista Digeat

Sarah Ungaro

Avvocato, Vicepresidente ANORC Professioni, Studio Legale Lisi

Accesso civico generalizzato FOIA

In queste settimane sono sempre più numerose le denunce di singoli giornalisti e di autorevoli testate che si vedono respingere le istanze di accesso civico generalizzato (cosiddetto Foia) riguardanti alcuni dati aggregati e anonimizzati relativi al Covid-19 (quindi privi di dati personali riferiti a persone fisiche identificate o identificabili, in linea con quanto stabilito dal GDPR, dal D.Lgs. 196/2003, ma anche dallo stesso D.Lgs. 33/2013, recante la disciplina sulla trasparenza amministrativa).

Ma siamo sicuri che gli organi di stampa e la comunità scientifica possano ottenere l’accesso e la disponibilità dei dati ufficiali sul Covid-19 detenuti dall’Istituto Superiore di Sanità?

Cosa stabilisce il Foia

Per far luce sulle procedure in materia di accesso ai dati detenuti dall’Istituto Superiore di Sanità occorre chiarire cosa stabiliscono le norme in materia di accesso generalizzato (FOIA).

L’istituto del FOIA, proprio allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, attribuisce a chiunque il diritto di accedere ai dati e ai documenti detenuti dalle PA, ulteriori rispetto a quelli oggetto di pubblicazione obbligatoria, nel rispetto di determinate esclusioni (ad esempio, per i documenti coperti da segreto di Stato) o di alcuni limiti relativi ad interessi particolarmente rilevanti.

Tali limiti sono elencati all’art. 5-bis del D.Lgs. 33/2013 e sono relativi, ad esempio, alla tutela di interessi pubblici inerenti alla sicurezza pubblica e l’ordine pubblico, alla sicurezza nazionale; oppure alla tutela di interessi privati, come la protezione dei dati personali.

Sul punto, secondo la Determinazione dell’Autorità Nazionale Anticorruzione n. 1309 del 28 dicembre 2016, al di fuori dei casi di eccezioni assolute, l’amministrazione o l’ente pubblico a cui sia stata presentata l’istanza di accesso generalizzato (FOIA) è tenuto a verificare se l’accoglimento della richiesta e l’ostensione degli atti possa determinare un pregiudizio concreto e probabile agli interessi indicati dal legislatore. Tuttavia, sottolinea ANAC, affinché l’accesso possa essere rifiutato, il pregiudizio a tali interessi deve essere concreto, quindi deve sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio.

Cosa fa l’ISS dopo una richiesta di accesso

L’Istituto Superiore di Sanità, in altre parole, non potrebbe limitarsi a prefigurare il rischio di un pregiudizio in via generica e astratta, ma dovrebbe:

  • indicare chiaramente quale – tra gli interessi elencati all’art. 5 bis, co. 1 e 2 – viene pregiudicato;
  • valutare se il pregiudizio (concreto) prefigurato dipende direttamente dalla disclosure dell’informazione richiesta;
  • valutare se il pregiudizio conseguente alla disclosure è un evento altamente probabile, e non soltanto possibile.

Risulta difficile comprendere, dunque, quali siano i rischi concreti derivanti dall’accoglimento di richieste di accesso ai dati relativi al Covid-19 che siano stati opportunamente anonimizzati e aggregati.

Tanto più se si considera che le Ordinanze del Capo della protezione civile del 27 febbraio e del 4 agosto 2020 non escludono in alcun modo l’accoglimento di eventuali istanze di accesso presentate ai sensi della disciplina sul FOIA, né tanto meno ricollegano tali accessi ai dati opportunamente anonimizzati a eventuali rischi di pregiudizio a uno degli interessi pubblici o privati elencati dal Legislatore all’art. 5-bis del D.Lgs. 33/2013.

Non tutti gli enti di ricerca hanno accesso ai dati. Perché?

Anzi, a ben vedere tali Ordinanze del Capo della protezione civile disciplinano non già l’accesso a tali dati (ai sensi, ad esempio delle norme sul FOIA del D.Lgs. 33/2013), bensì la “condivisione” degli stessi tra Istituto Superiore di Sanità, Regioni, Province autonome e Istituto nazionale di malattie infettive Lazzaro Spallanzani di Roma. Tali enti, infatti, devono condividere tra loro i dati sul Covid-19 mediante interconnessione delle rispettive piattaforme, nonché a darne comunicazione al Ministero della Salute.

Peccato, però, che proprio la citata Ordinanza del 4 agosto 2020 stabilisca che gli altri centri che svolgano attività scientifica e di ricerca possano ottenere questi dati solo previa presentazione di apposita istanza, corredata da opportuna motivazione! Ovviamente, non si tratta di dataset che contengono dati personali relativi alla salute di persone identificate o identificabili che abbiano contratto il Covid-19, ma di dati forniti giustamente in forma aggregata o con modalità di pseudonimizzazione con doppio codice random, in linea con quanto previsto dal GDPR in tema di protezione di dati personali.

ISS e Gdpr: le (troppe) falle

Quindi, ancora una volta, ci si chiede: perché tali dati, se opportunamente pseudonimizzati o aggregati, non possono essere messi comunque a disposizione di tutta la comunità scientifica? Invece scienziati e ricercatori devono compilare un modulo, motivare l’istanza circa le ragioni per cui hanno necessità di accedere a quei dati per ragioni di studio o ricerca e tale istanza deve -di fatto – essere soggetta a una valutazione discrezionale da parte dell’istituto Superiore di Sanità. Quale sarebbero il pericolo – concreto – insito nella disclosure di questi importantissimi dati a tutta la comunità scientifica?

Inoltre, risulta paradossale invece che proprio l’Istituto Superiore di Sanità sembri non rispettare del tutto né il GDPR, né la normativa sulla trasparenza. Da un’analisi del sito dell’Istituto, infatti, nonché della piattaforma Epicentro, tramite la quale l’Istituto gestisce i dati relativi al Covid -19, non appare chiaro chi sia il loro DPO (Data Protection Officer, figura disciplinata dal GDPR che deve sovraintendere in un’organizzazione, un ente o un’azienda al rispetto delle norme materia di protezione dei dati personali dettate dallo stesso Regolamento).

In effetti, se solo dopo un’accurata ricerca nella sezione “Amministrazione trasparente” del sito web dell’Istituto Superiore di Sanità si rinviene la nomina a DPO di una Dirigente interna, nella piattaforma Epicentro, gestita dallo stesso Istituto, risulta pubblicato un documento (precisamente nella sezione “Sorveglianza integrata: info privacy”) intitolato “ Informazioni privacy per la sorveglianza sanitaria integrata Covid-19”, in cui si legge che il DPO sia invece una società privata, il cui sito web, peraltro, risulta paradossalmente non rispettare il GDPR!

In particolare, infatti, l’utente che approda sul sito web di questa società – che sarebbe incaricata di svolgere l’importantissimo e delicatissimo ruolo di DPO in relazione ai dati relativi alla salute gestiti tramite la piattaforma Epicentro dell’istituto Superiore di Sanità – è costretto ad accettare la privacy policy e la cookie policy (e quindi i trattamenti di dati personali effettuati da questa società privata) addirittura prima di poterle leggere! In effetti, sia i testi delle policy, sia la home page del sito risultano non leggibili se prima l’utente non accetta (forzatamente) i trattamenti di dati personali che potrà leggere solo dopo aver accettato, quindi prima di conoscerne il contenuto! Tale pratica, dunque, risulta palesemente contraria a quanto stabilito dal GDPR in materia di consenso e, in particolare, dalle Linee guida dell’European Data Protection Board (ossia, dal Gruppo dei Garanti europei) del 4 maggio 2020.

Conclusioni

Purtroppo, dunque, sotto questi profili, l’atteggiamento dell’Istituto Superiore di Sanità risulta essere tutt’altro che trasparente e in linea con la normativa. Probabilmente ci sfuggono le ragioni per cui anche il diritto fondamentale alla trasparenza e all’accesso ai dati risulti sospeso in fase di lotta al virus. Ricordiamo che se anche nell’ultimo anno abbiamo assistito alla compressione di alcuni dei nostri diritti fondamentali costituzionalmente garantiti, come il diritto alla libera circolazione, costretti – ma anche sentitamente convinti – della doverosa necessità di tutelare la salute pubblica, minacciata dal tragico dilagare del Covid-19 e dall’incremento del numero di ricoveri e decessi, il diritto fondamentale alla libertà di informazione invece è rimasto pienamente in esercizio, non essendoci in una situazione di emergenza pandemica altre esigenze pubbliche di natura pubblicistica che ne comporterebbero la compressione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3