g-docweb-display Portlet

Parere su istanza di accesso civico - 18 novembre 2022 [9832560]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9832560]

Parere su istanza di accesso civico - 18 novembre 2022

Registro dei provvedimenti
n. 381 del 18 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Azienda USL Toscana Centro, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con la nota in atti il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Azienda USL Toscana Centro ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico generalizzato (ai sensi dell’art. 5, comma 2, del d. lgs. n. 33/2013) – avente a oggetto la copia dei “registri di corsia” di un ospedale, identificato in atti, per il periodo dall’8/3/2022 al 2/4/2022.

Dagli atti risulta che l’amministrazione ha riscontrato la richiesta rappresentando al soggetto istante che la propria «richiesta di accesso agli atti, [sembrava] qualificabile come un’istanza avanzata ai sensi della L. 241/90» e invitava di conseguenza lo stesso a «compilare la modulistica allegata, specificando esattamente il tipo di documentazione (cosa intende per registri di corsia), la motivazione e l’interesse concreto, attuale e diretto ad ottenere la documentazione alla quale chiede[va] accesso». Il soggetto istante, con successiva nota, ha specificato di voler in particolare ricevere copia del «Registro giornaliero delle attività di reparto/corsia» e del «Registro giornaliero pazienti in reparto/corsia con relativa movimentazione camere/letti, nel caso anche con la sola indicazione dei numeri camera/letti», rinnovando la precedente richiesta di accesso civico generalizzato e in subordine riservandosi istanza ai sensi della l. n. 241/1990.

In tale quadro, il soggetto istante, non avendo ricevuto riscontro alla richiesta di acceso civico generalizzato, secondo quanto previsto dalla disciplina vigente, si è rivolto direttamente al RPCT dell’Azienda sanitaria per chiedere un riesame della questione.

Il citato RPCT ha quindi chiesto un parere a questa Autorità, rappresentando in particolare che «in base a quanto comunicato dal Direttore della SOC Direzione Sanitaria [identificata in atti], in data 25/10/2022, presso i reparti [interessati] non risulta presente un documento denominato “Registro giornaliero delle attività di reparto/corsia». Il medesimo ha aggiunto, inoltre, che in relazione all’altro documento richiesto, «il “Registro giornaliero pazienti in reparto/corsia con relativa movimentazione camere/letto” richiesto, contiene dati idonei a rivelare lo stato di salute o informazioni da cui si può desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei pazienti o di soggetti terzi che […] rientrano nei casi di divieto di accesso o divulgazione previsti dalla legge» e che «non è possibile concedere il documento […] con un accesso parziale, con oscuramento dei dati, poiché esiste comunque il rischio che, in caso di diffusione, sia possibile risalire ai dati sensibili in esso contenuti».

OSSERVA

1. Il quadro normativo

La disciplina di settore in materia di accesso civico contenuta nel d. lgs. n. 33/2013 prevede, fra l’altro, che «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2).

In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato art. 5-bis prevede che l’accesso civico generalizzato è “escluso”, nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3) e che è “rifiutato”, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a).

In tale quadro, si precisa che per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Il RGPD definisce, inoltre, i «dati relativi alla salute» come i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).

I dati relativi alla salute rientrano nelle «categorie particolari di dati personali», per i quali è previsto un divieto di trattamento dall’art. 9 del RGPD, a meno che non trovi applicazione uno dei casi descritti nelle lettere da a) a j) del comma 2 del medesimo articolo.

Inoltre, data la delicatezza dei predetti dati, il regolamento europeo prevede che gli Stati membri possono accordare ulteriori garanzie e «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di […] dati relativi alla salute» (ivi, comma 4).

In tale contesto normativo – anche a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1, del Codice) – il legislatore italiano ha mantenuto il “divieto di diffusione” dei “dati relativi alla salute”, ossia la norma che vieta la possibilità di darne «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b, del Codice). Il medesimo divieto è peraltro richiamato dalla disciplina statale in materia di trasparenza, nella parte in cui prevede che «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, d. lgs. n. 33/2013).

L’attuazione delle disposizioni citate ha conseguenze anche sulla disciplina dell’accesso civico e sulle valutazioni che l’amministrazione deve effettuare in via preliminare nel momento in cui riceve un’istanza che ha a oggetto dati relativi alla salute. Essa, infatti, deve in primo luogo, verificare la sussistenza di eventuali divieti di divulgazione previsti dalla legge alla luce dei quali è tenuta a “escludere” l’accesso civico, senza necessità di effettuare ulteriori valutazioni ai sensi del ricordato art. 5-bis, comma 3, del d. lgs. n. 33/2013.

Quanto riportato è rafforzato dalle Linee guida dell’Anac in materia di accesso civico nella parte relativa alle «Eccezioni assolute» all’accesso civico, dove è indicato che «Nella valutazione dell’istanza di accesso, l’amministrazione deve […] verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3» (par. 6). Nello specifico, nel par. 6.2., intitolato «Altri casi di segreto o di divieto di divulgazione», è precisato che «[…] alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a: dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del Codice [oggi art. 2-septies, comma 8]; art. 7-bis, comma 6, d. lgs. n. 33/2013)».

2. Osservazioni sulla questione sottoposta all’attenzione del Garante

Nel caso sottoposto all’attenzione di questa Autorità, dagli atti risulta che oggetto dell’accesso civico è la copia di “registri di corsia” di un ospedale. Nello specifico, il soggetto istante ha dichiarato di voler ricevere copia del «Registro giornaliero delle attività di reparto/corsia» e del «Registro giornaliero pazienti in reparto/corsia».

2.a. Profili formali

In primo luogo, si evidenzia che, secondo la disciplina di settore, il «procedimento di accesso civico deve concludersi con provvedimento espresso e motivato nel termine di trenta giorni dalla presentazione dell’istanza con la comunicazione al richiedente e agli eventuali controinteressati» (art. 5, comma 6).

Al riguardo, si ricorda, che anche nelle Linee guida dell’ANAC in materia di accesso civico è espressamente previsto che «l’amministrazione è tenuta a una congrua e completa, motivazione […]» e che «La motivazione serve all’amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell’accesso generalizzato, al giudice per sindacare adeguatamente le decisioni dell’amministrazione».

Nel caso sottoposto all’attenzione del Garante, risulta che l’amministrazione non ha adottato alcun provvedimento espresso, corredato della relativa motivazione, con cui negare o differire l’accesso, contrariamente a quanto invece previsto dalla disciplina di settore e dalle Linee guida dell’ANAC, impedendo al soggetto istante di comprendere le decisioni della p.a.

2.b. Sull’accesso civico al “Registro giornaliero delle attività di reparto/corsia”

Dalla documentazione inviata al Garante ai fini dell’istruttoria, risulta che l’amministrazione non detiene, allo stato, un documento denominato «Registro giornaliero delle attività di reparto/corsia», ma che le relative informazioni eventualmente dovrebbero essere «estrapolate singolarmente dalle cartelle cliniche dei pazienti ricoverati».

Al riguardo, il RPCT, nella richiesta di parere al Garante ha evidenziato di ritenere che «La richiesta […] non possa essere accolta perché il documento non è presente agli atti della struttura».

La questione, così come rappresentata, riguardando l’ambito oggettivo di applicazione dell’istituto dell’accesso civico, esula dai profili di competenza di questa Autorità, per cui in proposito si ritiene di dover rinviare alle indicazioni contenute nelle Linee guida dell’ANAC in materia, laddove è precisato che «Poiché la richiesta di accesso civico generalizzato riguarda i dati e i documenti detenuti dalle pubbliche amministrazioni (art. 5, comma 2 del decreto trasparenza), […] l’amministrazione non ha l’obbligo di rielaborare i dati ai fini dell’accesso generalizzato, ma solo a consentire l’accesso ai documenti nei quali siano contenute le informazioni già detenute e gestite dall’amministrazione stessa» (cfr. par. 4.2; Allegato. Guida operativa all’accesso generalizzato, n. 4).

2.c. Sull’accesso civico al “Registro giornaliero pazienti in reparto/corsia”

Quanto alla restante documentazione, l’istante ha chiesto di riceve copia del registro giornaliero dei pazienti presenti in reparto o in corsia – relativo a n. 25 giorni indicati in atti (dall’8/3/2022 al 2/4/2022 – con specifica indicazione della movimentazione delle camere e dei letti oppure anche solo del numero di camera o di letto.

Dalla documentazione inviata dal RPCT ai fini dell’istruttoria del Garante risulta che il “Registro giornaliero pazienti in reparto/corsia”, oltre al nome e cognome del paziente, contiene dati come: data di nascita, giorno di riferimento, ospedale, nosologico (patologia), specialistica medica relativa al ricovero, reparto, ultimo posto letto, data del ricovero, data di dimissione, numero di giorni di degenza, numero di presenti giornalieri.

Si tratta evidentemente di dati e informazioni personali che, essendo riferite a persone ricoverare in ospedale, sono riconducibili alla definizione di «dati sulla salute», in quanto attengono alla «prestazione di servizi di assistenza sanitaria» e rivelano «informazioni relative [allo] stato di salute» dei soggetti interessati (art. 4, par. 1, n. 15, del RGPD).

Come più volte evidenziato da questa Autorità, la richiesta di accesso civico generalizzato a dati relativi alla salute – presentata ai sensi dell’art. 5, comma 2, d. lgs. n. 33/2013 – avendo a oggetto dati personali per i quali è previsto un esplicito divieto di divulgazione dalla disciplina vigente (art. 2-septies, comma 8; del Codice; art. 7-bis, comma 6, del d. lgs. n. 33/2013), rientra in un caso in cui l’accesso civico generalizzato è “escluso” direttamente dal legislatore secondo la disposizione contenuta nell’art. 5-bis, comma 3, del d. lgs. n. 33/2013, ossia tramite «una norma di rango primario a tutela di interessi pubblici e privati fondamentali» (cfr. Linee guida dell’ANAC in materia di accesso civico, cit., par. 6). Pertanto, trattandosi di un’«eccezione assoluta», l’amministrazione «è tenuta a rifiutare l’accesso» (ivi), senza necessità di dover svolgere ulteriori valutazioni di merito in ordine alla sussistenza di un eventuale pregiudizio concreto agli interessi dei soggetti interessati (cfr. i provvedimenti del Garante in materia di accesso civico a dati sulla salute: n. 358 del 31/10/2022, in corso di pubblicazione sul sito web istituzionale; n. 137 del 22/4/2022 in www.gpdp.it, doc. web n. 9774019; n. 157 del 23/4/2021, ivi, doc. web n. 9582723; n. 188 del 10/4/2017, ivi, doc. web n. 6383249; n. 206 del 27/4/2017, ivi, doc. web n. 6388689; n. 98 del 22/2/2018, ivi, doc. web n. 8165944; n. 226 del 16/4/2018, ivi, doc. web n. 8983848; n. 2 del 10/1/2019, ivi, doc. web n. 9084520).

A ciò si aggiunge che – in base a quanto previsto dall’art. 3, comma 1, del d. lgs. n. 33/2013 – «Tutti i documenti, le informazioni e i dati oggetto di accesso civico […] sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada effettuato nel rispetto dei limiti derivanti dalla normativa in materia di trattamento dei dati personali.

Questo regime di pubblicità non è in ogni caso compatibile con le ricordate garanzie, previste dalla normativa in materia di protezione dei dati personali, per il trattamento di dati personali relativi alla salute di soggetti ricoverati in ospedale. Tali dati – sui cui i soggetti interessati hanno ragionevoli aspettative di confidenzialità – non possono infatti assumere la qualifica di “dato pubblico”, conoscibile da chiunque, attraverso lo strumento dell’accesso civico generalizzato (art. 2-septies, comma 8, del Codice; cfr. al riguardo parere del Garante n. 188/2017, cit.). Bisogna inoltre tenere conto che l’Azienda sanitaria è tenuta al rispetto dei principi di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

Le informazioni di dettaglio contenute nella documentazione richiesta non permettono la possibilità di concedere neanche un accesso civico parziale ai sensi dell’art. 5-bis, comma 4, del d. lgs. n. 33/2013, tramite, ad esempio, l’oscuramento dei nominativi dei soggetti controinteressati ricoverati in ospedale. Ciò in quanto – come evidenziato anche dal RPCT nella richiesta di parere al Garante – tale operazione non impedisce che i soggetti ricoverati possano essere re-identificati, anche a posteriori, attraverso gli ulteriori dati di contesto contenuti nella documentazione richiesta o in possesso di terzi, residuando, pertanto, «comunque il rischio che, in caso di diffusione, sia possibile risalire ai dati sensibili […] contenuti [nel registro oggetto di accesso civico]».

Al riguardo, infatti, basti pensare che rendere ostensibile come richiesto dal soggetto istante – tramite l’istituto dell’accesso civico generalizzato, con il relativo amplificato regime di pubblicità ai sensi dell’art. 3, comma 1, del d. lgs. n. 33/2013 – ogni giorno (per il periodo temporale di 25 giorni identificati), il nome del reparto, il numero di letto o di stanza e cambiamento delle stesse potrebbe agevolmente consentire, anche senza indicare il nominativo del paziente, a soggetti terzi di conoscere la patologia sofferta da un soggetto sia all’interno che all’esterno della struttura ospedaliera (ad esempio da altri pazienti o anche da soggetti presenti nella struttura come ospiti, visitatori o dipendenti non autorizzati a conoscere le predette informazioni).

3. Sulla possibilità di ottenere informazioni e dati personali ai sensi della legge n. 241/1990

Rimane, in ogni caso, salva la possibilità che i dati personali per i quali sia stato negato l’accesso civico possano essere resi ostensibili, laddove il soggetto istante, riformulando l’istanza ai sensi della diversa disciplina in materia di accesso ai documenti amministrativi (artt. 22 ss. della l. n. 241 del 7/8/1990), motivi nella richiesta non solo l’esistenza di un interesse “qualificato” – ossia di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso» – ma anche, trattandosi di dati sulla salute, che «la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, [sia] di rango almeno pari ai diritti dell’interessato, ovvero consist[a] in un diritto della personalità o in un altro diritto o libertà fondamentale» (art. 60, del Codice e provvedimento generale del 9/7/2003 sui «diritti di “pari rango”», in www.gpdp.it, doc. web n. 29832).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Azienda USL Toscana Centro, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

In Roma, 18 novembre 2022

IL PRESIDENTE
Stanzione