Sono molte le valutazioni da affrontare per la Pubblica amministrazione in caso di richiesta di rilascio di documenti, dati e informazioni. Ecco tutte le operazioni necessarie per contemperare l’esigenza conoscitiva alla base della richiesta e il diritto degli interessati a non veder compromessa la tutela dei propri dati personali. Per un accesso civico, insomma, a misura di GDPR.
Accesso civico strumento in mano ai cittadini
L’istituto dell’accesso civico è considerato uno strumento della trasparenza; trasparenza che va oltre gli obblighi procedimentali, richiedendo una comprensibilità dell’azione amministrativa che esorbita dal mero rispetto delle regole.
Quando la pubblica amministrazione è chiamata a pronunciarsi su un’istanza di accesso civico semplice o generalizzato che implichi lo svelamento di dati personali, deve farlo non solo tenendo in considerazione la natura primaria dell’accesso civico stesso come forma di controllo diffuso operato dalla collettività, ma anche i principi enucleati dal Regolamento europeo 2016/679, che si pongono a baluardo della tutela del dato personale.
Ancor prima del corpus normativo europeo, il d. lgs 33/2013 come modificato dal d. lgs 97/2016 prevede una serie di eccezioni e limitazioni alla possibilità di rendere pubblico il documento o il dato di cui si è richiesto l’accesso, e tra queste all’art. 5 bis co 2, viene ribadita la tutela dei dati personali.
Da tale limite sono sorte in sede di applicazione della norma una serie di problemi ermeneutici che hanno visto il Garante per la protezione dei dati personali e l’Anac giungere alla decisione di elaborare delle linee guide in tema di esclusioni e limitazioni dell’accesso civico (Delibera 1309 del 28/12/2016). Non solo.
Il Garante stesso, destinatario di numerose richieste di parere sul tema, ha avuto modo di esprimere diversi punti saldi che possano guidare nella scelta di accettare o rifiutare la richiesta di accesso, alla stregua di una pur sempre motivata decisione.
Dati personali e oneri di pubblicazione
Senza alcun dubbio la “nuova” definizione di dato personale, inclusiva di una molteplicità di categorie di dati (di natura sanitaria, economica, culturale, sociale, fisiologica, religiosa, politica, ecc…) impone alla pubblica amministrazione una cautela maggiore nell’esame delle richieste di accesso.
La quasi totalità degli atti di quest’ultima contengono in vario modo e a vario titolo molti dati personali. Inoltre, la stessa deve fare i conti con gli oneri di pubblicazione, i quali, se disattesi, creano il fondamento di una responsabilità e di una richiesta di accesso civico semplice.
Una prima chiave risolutiva e applicativa risiede nel principio di minimizzazione dei dati, previsto dal GDPR e più volte richiamato dal Garante nei suoi pareri, secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Atteso che documenti e dati tramite l’accesso civico sono resi pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente e di utilizzarli, l’ostensione degli stessi dati deve valutarsi in modo che non si realizzi un’interferenza ingiustificata e sproporzionata nei diritti e libertà delle persone cui si riferiscono tali dati (così parere 9207868). Interferenza ingiustificata che si traduce nell’esistenza di un pregiudizio concreto ai diritti dell’interessato.
Valutazione del pregiudizio concreto
Il richiamo espresso alla disciplina legislativa sulla protezione dei dati personali da parte dell’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 comporta che nella valutazione del pregiudizio concreto si faccia, altresì, riferimento ai principi generali sul trattamento e, in particolare, a quelli di necessità, proporzionalità, pertinenza e non eccedenza, in conformità alla giurisprudenza della Corte di Giustizia Europea, del Consiglio di Stato, nonché al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/2016.
In attuazione dei predetti principi, il soggetto destinatario dell’istanza, nel dare riscontro alla richiesta di accesso civico, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato, privilegiando l’ostensione di documenti con l’omissione dei «dati personali» in esso presenti, laddove l’esigenza informativa, alla base dell’accesso civico, possa essere raggiunta senza implicare il trattamento dei dati personali.
Quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessarie al raggiungimento del predetto scopo, oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti, e non pertinenti, l’ente destinatario della richiesta dovrebbe accordare l’accesso parziale ai documenti, oscurando i dati personali ivi presenti.
Nella valutazione del pregiudizio concreto vanno prese in considerazione le conseguenze legate alla sfera morale, relazionale e sociale che potrebbero derivare all’interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto.
Le conseguenze potrebbero riguardare, ad esempio, future azioni da parte di terzi nei confronti dell’interessato, o situazioni che potrebbero determinare l’estromissione o la discriminazione dello stesso individuo, oppure altri svantaggi personali e/o sociali.
Rischio di furti di identità
Analogamente, vanno tenuti in debito conto i casi in cui la conoscibilità di determinati dati personali da parte di chiunque possa favorire il verificarsi di eventuali furti di identità o di creazione di identità fittizie attraverso le quali esercitare attività fraudolente.
Si pensi, ad esempio, all’indiscriminata circolazione delle firme autografe, dei dati contenuti nel cedolino dello stipendio che sono utili per accedere a prestiti e finanziamenti, oppure ad alcune informazioni contenute nelle dichiarazioni dei redditi che sono richieste ai fini del rilascio delle credenziali di accesso a servizi fiscali telematici quali la dichiarazione dei redditi precompilata.
Per verificare l’impatto sfavorevole che potrebbe derivare all’interessato dalla conoscibilità da parte di chiunque delle informazioni richieste, l’ente destinatario della richiesta di accesso civico deve far riferimento a diversi parametri, tra i quali, la natura dei dati personali oggetto della richiesta di accesso o contenuti nei documenti e/o il ruolo ricoperto nella vita pubblica, la funzione pubblica esercitata o l’attività di pubblico interesse svolta dalla persona cui si riferiscono i predetti dati.
In riferimento alla natura dei dati personali, la presenza di dati particolari può rappresentare un indice della sussistenza del predetto pregiudizio (nei dati particolari vanno considerati anche i dati giudiziari).
In linea di principio, quindi, andrebbe rifiutato l’accesso civico a tali informazioni, potendo invece valutare diversamente, caso per caso, situazioni specifiche (ad esempio, quelle in cui le predette informazioni siano state deliberatamente rese note dagli interessati).
Soggetti minori: un capitolo a sé
Tra gli altri fattori da tenere in considerazione merita rilievo anche la circostanza che la richiesta di accesso civico riguardi dati o documenti contenenti dati personali di soggetti minori, la cui conoscenza può ostacolare il libero sviluppo della loro personalità, in considerazione della particolare tutela dovuta alle fasce deboli.
E’ giusto anche considerare le aspettative di confidenzialità degli interessati riguardo a talune informazioni in possesso dei soggetti destinatari delle istanze di accesso civico o la non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque di tali dati. Si pensi alle informazioni contenute nel fascicolo personale del dipendente, fra le quali anche quelle relative alla natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché alle componenti della valutazione o alle notizie concernenti il rapporto di lavoro tra il personale dipendente e l’amministrazione, idonee a rivelare informazioni sensibili.
