[doc. web n. 9996647]

Parere su istanza di accesso civico - 22 febbraio 2024

Registro dei provvedimenti
n. 82 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) della Regione Toscana, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con nota in atti il RPCT della Regione Toscana ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, in ordine a un provvedimento di diniego di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico avente ad oggetto i «dati contenuti dell’Anagrafe Vaccinale Regionale della Regione Toscana e relativi al numero di soggetti, ai quali sia stata somministrata la prima dose di una qualunque tipologia di vaccino anti Covid19 nel periodo 27/12/2020-26/12/2021 e che siano deceduti entro il 09/01/2022 per qualunque motivo, non necessariamente riconducibile alla somministrazione del vaccino». In particolare è chiesto che «i dati vengano forniti tramite file csv “comma-separated values” contenente i dati di tutti i soggetti sottoposti a vaccinazione anti Covid19 nel periodo di riferimento e compilato come segue: [data di nascita]; [data dell’eventuale decesso]; [data prima dose]; [data dell’eventuale seconda dose]; [data dell’eventuale terza dose]; [data dell’eventuale quarta dose] con indicazione della data del decesso a prescindere che questa sia intervenuta nei 14 giorni successivi alla somministrazione».

Il richiedente l’accesso ha precisato che i dati sono richiesti «al fine di poter operare i necessari confronti con i dati già in possesso dello scrivente, e in particolare i dati dell’ANV, si chiede che i dati vengano forniti nel medesimo formato e con le medesime modalità utilizzate dal Ministero della Salute tali dati sono rilevanti ai fini di una corretta valutazione scientifica e al fine di promuovere il pubblico dibattito in linea con il disposto normativo di cui all’art. 5 del D. Lgs. n. 33/2013 come già accertato dalla sentenza del TAR [identificata in atti]».

Dagli atti risulta, inoltre, che il soggetto istante ha effettuato la medesima richiesta di dati anche ad altre Regioni.

La Regione Toscana ha rigettato l’istanza, richiamando i precedenti pareri di questa Autorità (n. 469 del 12/10/2023, doc. web n. 9956589; n. 552 del 27/11/2023, doc. web n. 9967883; ma cfr. anche n. 466 del 5/10/2023, doc. web n. 9953563), ai sensi dell’art. 5-bis, comma 2 lett. a), del d. lgs 33/2013, in quanto l’ostensione dei dati richiesti (che sarebbero riconducibili anche a dati sulla salute) «determinerebbe un’interferenza ingiustificata e sproporzionata nei diritti e nelle libertà dei controinteressati». La Regione ha inoltre aggiunto che:

- «per poter trattare i dati personali senza contravvenire agli obblighi ed alle responsabilità imposti dalla normativa in materia, è necessario ricorrere a tecniche di anonimizzazione che rendono quei dati non più attribuibili ad una persona specifica»;

- «Secondo la definizione adottata nel 2014 dal Gruppo di Lavoro, art. 29 nell’Opinion 05/2014 “l’anonimizzazione è un processo irreversibile che modifica i dati personali in modo tale che il titolare del trattamento, da solo o in collaborazione con altre parti, non possa più identificare direttamente o indirettamente l’interessato”. Tra le tecniche di anonimizzazione rientra anche l’aggregazione che impedisce “l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone” (Opinion 05/2014, Art. 29 cit.)»;

- «Si tratta dunque di operazioni di de-identificazione volte a trasformare in maniera irreversibile i dati personali in dati anonimi»

- invece «la richiesta de qua ha ad oggetto i dati individuali dei singoli assistiti con l’indicazione di informazioni puntuali quali la data di nascita, la data di decesso e le date di somministrazione delle vaccinazioni che, anche se privati del nome e del cognome, non possono essere considerati “anonimizzati”, né tanto meno aggregati»;

- «A ciò si aggiunge che i dati oggetto di richiesta sono circoscritti al solo territorio toscano, dunque ad un ambito territoriale particolarmente ristretto, il che rende ancor più agevole l’identificazione degli interessati»;

-«Da ciò deriva che il rischio di re-identificazione del singolo soggetto è sicuramente elevato, considerando anche l’eventualità che tali dati possono essere raffrontati o incrociati con altre fonti, banche dati o dati statistici dai quali ricavare informazioni ulteriori sugli assistiti».

Il soggetto istante ha presentato al RPCT una richiesta di riesame del provvedimento della Regione, chiedendo – alla luce dei pareri del Garante – di ricevere i dati «tramite adeguata aggregazione e conseguente anonimizzazione». Ciò mediante «l’invio dei dati, senza indicazione della data completa di nascita, bensì indicando il solo anno di nascita». Inoltre in sede di aggregazione, al fine di evitare casi di individualità, ritenendo che «per il medesimo anno di nascita non vi siano almeno più di tre individui, visto l’elevatissimo numero di record contenuti nel database», è stato chiesto «al fine di scongiurare ogni rischio […] che vengano aggregati i dati per le categorie di soggetti con più di 100 anni o con meno di 8 anni di età» e che «Laddove tale aggregazione dovesse risultare impossibile, tali categorie potranno essere espunte dai dati trasmessi»

OSSERVA

1. La disciplina applicabile e le indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

Al riguardo, come evidenziato anche nelle Linee guida dell’ANAC in materia di accesso civico, dalla «lettura dell’art. 5 bis, co. 1, 2 e 3 del decreto trasparenza si possono distinguere due tipi di eccezioni, assolute o relative. Al ricorrere di queste eccezioni, le amministrazioni, rispettivamente, devono o possono rifiutare l’accesso generalizzato. La chiara identificazione di tali eccezioni rappresenta un elemento decisivo per consentire la corretta applicazione del diritto di accesso generalizzato» (par. 5). La differenza fra eccezioni assolute e relative risiede, in altre parole, nella circostanza che al ricorrere delle prime l’amministrazione deve escludere l’accesso civico senza effettuare alcun tipo di bilanciamento.

In tale contesto, come riportato anche nelle predette Linee guida, nella «valutazione dell’istanza di accesso, l’amministrazione deve quindi verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3».

Casi di esclusione dell’accesso civico in presenza di eccezioni assolute previste dal citato comma 3 dell’art. 5-bis, come indicato anche da ANAC, ricorrono, fra l’altro, quando:

- sussistono «divieti di accesso o divulgazione previsti dalla legge» (es. art. 2-septies, comma 8, del Codice con riferimento ai «dati relativi alla salute» ossia dei «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», art. 4, par. 1, n. 15, del RGPD);

- «l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti […]» (si consideri ad esempio la disciplina sugli atti dello stato civile e quella sulle informazioni contenute nelle anagrafi della popolazione conoscibili nelle modalità previste dalle relative discipline di settore ai sensi degli artt. 33 ss. del d.P.R. n. 223/1989; artt. 106 ss. del d.P.R. n. 396/2000).

Per altro verso le amministrazioni devono “rifiutare” l’accesso civico, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a)). Si tratta di una cosiddetta eccezione relativa, nel senso che «Il legislatore non opera, come nel caso delle eccezioni assolute, una generale e preventiva individuazione di esclusioni all’accesso generalizzato, ma rinvia a una attività valutativa che deve essere effettuata dalle amministrazioni con la tecnica del bilanciamento, caso per caso […]» (cfr. par. 5.2, Linee guida ANAC).

In tale contesto, per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati o documenti, tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di un’istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b) e c)).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

In relazione ai «dati personali delle persone decedute», il RGPD stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27).

In tale quadro, il legislatore italiano ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f), del d. lgs. n. 101 del 10/8/2018).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del RGPD prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili (v. provv. n. 2 del 10/1/2019, in www.gpdp.it, doc. web n. 9084520. Sui dati dei deceduti cfr. anche provv. n. 118 del 7/4/2022, ivi, doc. web n. 9772545; n. 90 del 23/3/2023, ivi, doc. web n. 9888188).

2. Anagrafe nazionale e regionale dei vaccini: regime di accessibilità

La normativa statale di settore contenuta nel decreto del Ministero della salute del 17/9/2018 recante «Istituzione dell’Anagrafe nazionale vaccini» in attuazione dell’art. 4-bis del d.l. n. 73 del 7/6/2017 (su cui il Garante ha reso il parere n. 438 del 26/7/2018, in www.gpdp.it, doc. web n. 9025504), istituisce e disciplina il funzionamento, presso il Ministero della salute, dell’Anagrafe nazionale vaccini «con l’obiettivo di garantire, nell’ambito del monitoraggio dei programmi vaccinali sul territorio nazionale, la verifica delle coperture vaccinali in relazione al Calendario vaccinale nazionale vigente e l’elaborazione di indicatori a livello nazionale, regionale e aziendale, anche a fini comparativi».

Il citato decreto del 17/9/2018 prevede, in particolare, che nella predetta anagrafe siano registrati a livello nazionale, fra gli altri dati, i soggetti vaccinati e da sottoporre a vaccinazione, le dosi e i tempi di somministrazione delle vaccinazioni effettuate, il luogo di residenza, le date di eventuale decesso.

L’Anagrafe nazionale vaccini è alimentata dai dati delle anagrafi vaccinali regionali esistenti (art. 2, comma 1, del citato decreto e art. 4-bis, comma 2, d.l. n. 73/2017).

Il regime di conoscibilità delle predette informazioni e delle altre contenute in anagrafe è regolamentato nell’art. 4 del citato decreto intitolato «Accesso ai dati», che disciplina le modalità di accesso, da parte dei soggetti istituzionali, ai dati degli assistiti, accordando diversi livelli di conoscibilità a seconda della finalità (es.: monitoraggio e verifica delle coperture vaccinali, svolgimento delle funzioni e dei compiti amministrativi, aggiornamento delle anagrafi regionali vaccinali) e da parte dei soggetti istituzionali interessati (esclusivamente le unità organizzative competenti delle regioni e delle province autonome; nonché le unità organizzative competenti del Ministero della salute in taluni casi specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario).

In tale quadro – salvo i casi di accesso ai dati personali della generalità degli assistiti da parte delle unità organizzative, specificamente individuate, della Direzione generale competente in materia di prevenzione sanitaria e della Direzione generale competente in materia di sistema informativo e statistico-sanitario del Ministero della salute (art. 4, comma 1, seconda alinea, del D.M. cit.) – per l’attività di monitoraggio dei programmi vaccinali sul territorio nazionale e la verifica delle coperture vaccinali è previsto che le stesse «unità organizzative competenti delle regioni e delle province autonome» (come individuate da provvedimenti regionali e provinciali) possano accedere ai dati esclusivamente «in forma aggregata e anonima» e limitatamente ai propri assistiti. Analogamente, anche per «lo svolgimento delle funzioni e dei compiti amministrativi concernenti la raccolta e lo scambio di informazioni con gli organismi comunitari ed internazionali e la redazione delle relazioni da presentarsi al Parlamento e le altre relazioni o rapporti di carattere nazionale» gli stessi uffici i competenti del Ministero della salute possono accedere ai dati dell’anagrafe vaccinale solo «in forma aggregata e anonima».

In ogni caso, è previsto che i «dati contenuti nell’Anagrafe nazionale vaccini possono essere diffusi esclusivamente in forma anonima» (art. 5, comma 2, D.M. 17/9/2018, cit.).

Ciò premesso, considerando le osservazioni presentate dal soggetto istante nella richiesta di riesame e dalla Regione Toscana contenute nella documentazione in atti, entrando nel merito di quanto richiesto, si osserva quanto segue.

3. Le peculiarità del caso sottoposto all’attenzione del Garante

Nel caso in esame, il soggetto richiedente l’accesso già detiene uno specifico database che il Ministero della salute ha dovuto mettere a sua disposizione in ottemperanza alla decisione giudiziale identificata in atti. In tale database sono contenuti informazioni in forma individuale e disaggregata (ossia per singolo assistito), prive del nome e cognome, pari a più di 45 milioni di soggetti vaccinati dei quali sono stati indicati: data di nascita, data di eventuale decesso; data della prima dose; data della eventuale seconda dose; data della eventuale terza dose; data della eventuale quarta dose.

Ciò considerato, il soggetto istante ha domandato alla Regione Toscana di poter ricevere i medesimi dati contenuti dell’Anagrafe Vaccinale Regionale limitatamente agli assistiti della Regione Toscana.

La particolarità del caso sottoposto all’attenzione del Garante rispetto ai precedenti analoghi casi (pareri n. 469 del 12/10/2023, doc. web n. 9956589; n. 552 del 27/11/2023, doc. web n. 9967883;) risiede essenzialmente in due elementi e precisamente:

I. l’oggetto della richiesta iniziale di accesso civico sono i dati vaccinali detenuti da una singola regione riferiti ai propri assistiti (quindi a un ambito territoriale ristretto rispetto al quello nazionale);

II. in sede di riesame il soggetto istante – consapevole dei problemi legati alla protezione dei dati personali – ha cambiato l’oggetto della propria domanda di accesso civico, chiedendo di ricevere alcuni dati aggregati secondo criteri da esso stesso individuati. Nello specifico, è stato chiesto di ricevere solo l’anno di nascita e non l’intera data (con giorno e mese), fermi restando – da quanto risulta nella richiesta di riesame – tutti gli altri dati (ossia: data di eventuale decesso; data della prima dose; data della eventuale seconda dose; data della eventuale terza dose; data della eventuale quarta dose).

Le questioni descritte vanno affrontate separatamente. In particolare alla questione sub. I. – che risulta di natura generale e preliminare – sono dedicati i paragrafi da 4 a 6; mentre alla questione sub. II – che riguarda un profilo specifico – è dedicato il paragrafo 7,

4. Valutazioni sui dati richiesti nella richiesta di accesso civico originaria

Le informazioni individuali contenute nell’Anagrafe vaccinale regionale dei vaccini richieste nel caso in esame (al pari di quelle contenute nell’anagrafe nazionale) sono di natura particolarmente delicata in quanto riferite a specifici individui (anche se privi di nome e cognome) di cui si desidera conoscere, all’interno della regione Toscana in cui sono assistiti, le date di nascita, con le date delle dosi di vaccino effettuate (da una a quattro) e di eventuale decesso.

Un’eventuale ostensione delle informazioni richieste altererebbe il regime e le misure di sicurezza adottate dalla Regione e dal Ministero della salute ai sensi dell’art. 32 del RGPD, nonché le regole in materia di accountability e le valutazioni del rischio di re-identificazione effettuato dalla Regione o dal Ministero mediante la valutazione d’impatto prevista dall’art. 35 del RGPD per i trattamenti a rischio elevato (cfr. Gruppo Art. 29, Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, del 4/4/2017, par. III.b). Ciò considerando che si tratta di dati riferiti a soggetti vaccinati trattati su larga scala e alle dosi di vaccino effettuate, il cui numero potrebbe essere idoneo a rivelare – nel caso ad esempio dell’effettuazione di una sola dose o del mancato completamento del ciclo vaccinale – l’esistenza di possibili casi di esonero successivo o differimento connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti (con la conseguente riconducibilità alle «categorie particolari di dati personali» di cui all’art. 9 del RGPD) oppure altre convinzioni personali.

Si ritiene quindi dirimente effettuare un’adeguata valutazione, anche alla luce di quanto dichiarato dal soggetto istante e alla volontà di operare ulteriori operazioni di raffronto con altri dati, circa il rischio di re-identificabilità dei soggetti interessati (fra cui minori e soggetti deboli) tramite l’ostensione dei dati richiesti, derivante anche dal possibile incrocio dei dati con altre fonti, banche dati o dati statistici che possono fornire informazioni ulteriori sugli stessi assistiti. Ciò anche considerando che dagli atti (e dai precedenti del Garante) risulta che il soggetto istante ha effettuato questa tipologia di operazione sui dati acquisiti a livello nazionale e che lo stesso ha effettuato la medesima richiesta di dati anche ad altre Regioni.

5. Dati aggregati, dati anonimi e osservazioni sul rischio di re-identificazione

5.a. Il dato aggregato

I dati richiesti con l’istanza di accesso civico nel caso in esame, anche se privi del nome e cognome, non sono “dati aggregati”.

L’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, del 10/4/2014, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf, par. 3.2.1.).

Dal punto di vista tecnico, per effettuare la predetta operazione è necessario sottoporre «i valori degli attributi […] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore» (ibidem). Ad esempio, le «date di nascita individuali [o quelle di decesso] possono essere generalizzate in una serie di date o raggruppate per mese o anno» (ibidem).

Affinché la tecnica di aggregazione dei dati sia efficace al fine di ridurre il rischio di re-identificazione, è necessario rispettare le opportune soglie di aggregazione dei dati, che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute. Ciò in quanto, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione» e «possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

In tale contesto, si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677). Il «valore minimo attribuibile alla soglia è pari a tre» (ibidem).

Nel caso in esame, fornire dati individuali dei singoli assistiti (anche se privi di nome e cognome), quali le date di nascita con le date delle dosi di vaccino e di eventuale decesso, significa fornire dati evidentemente in forma “non aggregata”. Ciò in quanto dagli atti non emerge che siano state adottate tecniche che raggruppano/aggregano individui con le medesime caratteristiche entro una determinata soglia (il cui valore minimo è almeno pari a tre), impedendo casi di singolarità e, conseguente, possibile individuazione.

L’effetto è che risulta possibile ricondurre a persone determinate le informazioni – già ricevute e ulteriormente richieste – presenti nell’Anagrafe dei vaccini. Tale circostanza è dimostrata proprio dall’operazione compiuta da soggetti specializzati in informatica, che, come descritto nel precedente analogo caso riguardante proprio il soggetto istante (cfr. parere. n. 552/2023, cit.), ha potuto operare un raffronto fra i dati di soggetti conosciuti con quelli contenuti in anagrafe, verificando peraltro sia la presenza che l’assenza di alcuni record. Ciò dimostra che i dati richiesti possono essere ricondotti a specifici individui.

5.b. Il dato anonimo

I dati richiesti con l’istanza originaria di accesso civico nel caso in esame in maniera non aggregata, non possono inoltre essere considerati “anonimizzati” anche se privati del nome e cognome del soggetto assistito.

Al riguardo, occorre tenere presente, come sancito dal RGPD, che le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (cons. n. 26).

Va ricordato, che – come evidenziato a livello europeo – per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, cit., par. 2.2.2.).

Anonimizzare un documento o un database significa effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è il risultato del trattamento di dati personali volto a impedire “irreversibilmente” l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, cit., par. 2.2., e passim). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi, cfr. par. “sintesi”).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ibidem). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ibidem).

5.c. Sul rischio di re-identificazione

Il rischio di re-identificazione dell’interessato va accuratamente valutato tenendo conto di «tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici» (cfr. considerando n. 26 del RGPD e WP29 Opinion 05/2014 on Anonymisation techniques, cit.).

Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo a impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

6. Osservazioni sulla richiesta di accesso civico nel caso in esame

Nel caso sottoposto all’attenzione di questa Autorità, la Regione ha motivato il diniego dell’accesso civico generalizzato così come richiesto nell’istanza originaria, evidenziando correttamente che «per poter trattare i dati personali senza contravvenire agli obblighi ed alle responsabilità imposti dalla normativa in materia, è necessario ricorrere a tecniche di anonimizzazione che rendono quei dati non più attribuibili ad una persona specifica» e che, invece la richiesta inoltrata dal soggetto istante ha oggetto «i dati individuali dei singoli assistiti con l’indicazione di informazioni puntuali quali la data di nascita, la data di decesso e le date di somministrazione delle vaccinazioni che, anche se privati del nome e del cognome, non possono essere considerati “anonimizzati”, né tanto meno aggregati». Inoltre, il rischio di re-identificazione del singolo soggetto è sicuramente elevato, anche considerando – come evidenziato dalla Regione – «che i dati oggetto di richiesta sono circoscritti al solo territorio toscano, dunque ad un ambito territoriale particolarmente ristretto, il che rende ancor più agevole l’identificazione degli interessati», anche considerando la possibilità che i dati siano «raffrontati o incrociati con altre fonti, banche dati o dati statistici dai quali ricavare informazioni ulteriori sugli assistiti».

Nel caso in esame, fornire i dati così come richiesti nell’istanza iniziale di accesso civico significa fornire dati in assenza dell’adozione delle tecniche di anonimizzazione descritte nelle Linee guida europee e prima citate (es.: randomizzazione, generalizzazione, aggiunta del rumore statistico, permutazioni, privacy differenziale, aggregazione, k-anonimato, l-diversità, t-vicinanza, ecc.), con il conseguente alto rischio di re-identificazione dei soggetti interessati. Come, infatti, è emerso nel precedente caso sottoposto all’attenzione di questa Autorità (cfr. parere n. 552/2013, cit.) il soggetto istante tramite i dati già forniti dal Ministero della salute – conoscendo le date di nascita, morte e vaccinazione di determinati soggetti – ha potuto verificare con elevato grado di certezza la presenza o meno degli stessi individui nella banca dati detenuta dal Ministero della salute, (e a maggior ragione si potrebbe fare nella banca dati della Regione Toscana considerando il bacino territoriale più ristretto) con la conseguenza che le informazioni in questione, in quanto associabili a persone fisiche la cui identità è già nota a terzi, non possono considerarsi anonime.

Allo stato degli atti, quindi, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dalla Regione Toscana nel provvedimento di diniego dell’accesso civico – sulla quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati richiesti e al rischio di re-identificazione dei soggetti interessati (art. 5, par. 2, e 24 del RGPD).

Ciò tenendo conto del rischio di re-identificabilità dei soggetti interessati derivante dalla richiesta di ostensione dei dati individuali in forma disaggregata a livello regionale (vaccino somministrato, somministrazione della prima dose, data di somministrazione di tale dose, data di nascita e quindi età degli assistiti, data di decesso) e dalla possibilità per il soggetto istante (ma, dato il regime di pubblicità propria dell’accesso civico, anche per soggetti terzi) di incrociare e raffrontare i dati ottenuti con altre informazioni ausiliarie già conosciute o contenute in ulteriori banche dati o in dati statistici.

La conoscenza delle predette informazioni di natura delicata peraltro su larga scala e, in taluni casi, come detto, anche idonee a rivelare convinzioni personali o dati sulla salute per i quali l’accesso civico è escluso (art. 9 del RGPD), determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati e la relativa ostensione – in relazione ai casi e al contesto in cui possono essere utilizzati da terzi – può determinare proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Si tratta infatti di informazioni che, per motivi individuali, non sempre si desidera portare a conoscenza di altri soggetti e per le quali occorre tenere in considerazione anche le ragionevoli aspettative di confidenzialità degli interessati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dall’amministrazione, nonché la non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti a questi ultimi dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

Alla luce di tali considerazioni, si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico, tenendo anche conto del regime di pubblicità dei dati proprio dell’accesso civico (art. 3, comma 1, del d. lgs. n. 33/2013), in conformità ai precedenti orientamenti questa Autorità (cfr. pareri citati n. 469/2023; n. 552/2023; n. 466/2023), l’amministrazione abbia correttamente respinto l’accesso civico ai dati richiesti.

7. Osservazioni sulla modifica dell’oggetto dell’accesso civico effettuato in sede di richiesta di riesame al RPCT

A fronte del diniego dell’amministrazione e alla luce dei pareri del Garante citati, il soggetto istante nel presentare la richiesta di riesame del provvedimento di diniego di accesso della Regione, ha modificato parzialmente la propria domanda chiedendo di ricevere i dati «tramite adeguata aggregazione e conseguente anonimizzazione».

Al riguardo, non vi sarebbero elementi ostativi all’accoglimento di tale richiesta alla luce della disciplina in materia di protezione dei dati personali e dell’art. 5, comma 2, lett. a), del d. lgs. n. 33/2013, se non fosse per la circostanza che il criterio di aggregazione dei dati personali richiesto dal soggetto istante – sulla base di una lettura del parere del Garante n. 522/2023 non aderente a quanto ivi espressamente indicato – essendo limitato a un solo valore, non è sufficiente per effettuare l’aggregazione necessaria per ritenere che i dati siano adeguatamente “anonimizzati”.

Il soggetto istante, infatti, ha chiesto l’invio dei dati, senza indicazione della data completa di nascita, bensì indicando il solo anno di nascita, fermo restando la richiesta – da quanto risulta nella richiesta di riesame e in assenza di altre precisazioni – di tutti gli altri dati non aggregati (ossia: data di eventuale decesso; data della prima dose; data della eventuale seconda dose; data della eventuale terza dose; data della eventuale quarta dose). Il soggetto istante sostiene che tale richiesta sarebbe conforme a quanto indicato da questa Autorità nei precedenti pareri, perché si tratterebbe di una forma «adeguata aggregazione e conseguente anonimizzazione» dei dati richiesti. Tale assunto è stato formulato in base a un passaggio estrapolato del parere n. 522/2023, laddove il Garante ha rappresentato che «L’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone» […] Dal punto di vista tecnico, per effettuare la predetta operazione è necessario sottoporre «i valori degli attributi […] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore» (ibidem). Ad esempio, le «date di nascita individuali [o quelle di decesso] possono essere generalizzate in una serie di date o raggruppate per mese o anno».

Come ha evidenziato questa Autorità l’aggregazione è una tecnica di anonimizzazione che è volta «a impedire l’individuazione di persone interessate mediante il loro raggruppamento con almeno k altre persone». Secondo il soggetto istante sarebbe «evidente che, nel caso in esame, non vi sia possibilità alcuna che per il medesimo anno di nascita non vi siano almeno più di tre individui, visto l’elevatissimo numero di record contenuti nel database». Tale assunto, che peraltro non è supportato da elementi verificabili ma si fonda su una semplice ipotesi, non rispetta comunque le regole per la corretta aggregazione e anonimizzazione sopra descritte (cfr. parr. 5.a-5.c) e si basa su un errore di fondo derivante dal fatto che l’aggregazione non va effettuata solo su un valore (le date di nascita), ma su tutti gli ulteriori valori che possono consentire casi di singolarità. Di conseguenza, non basta aggregare le date di nascita per anni se poi allo stesso anno sono associati altre informazioni personali di tipo individuale e non aggregato – come la data dell’eventuale decesso; la data della prima dose; la data dell’eventuale seconda dose; la data dell’eventuale terza dose e la data dell’eventuale quarta dose – che consentono in ogni caso di “isolare una persona in un gruppo (single-out)”, peraltro in un contesto territoriale ristretto e limitato quale quello regionale, con un aumento del rischio di re identificabilità dei soggetti interessati. Ciò anche considerando che nel caso in esame il soggetto istante già possiede un altro database come i medesimi dati a livello nazionale con le date di nascita in chiaro, per cui l’operazione di aggregazione richiesta risulta del tutto inefficace.

Questa Autorità ha ribadito proprio nella parte del parere citato dal soggetto istante, che «Dal punto di vista tecnico, per effettuare la predetta operazione [di aggregazione] è necessario sottoporre “i valori degli attributi [n.b.: quindi non un solo valore, ma tutti quelli necessari] a una generalizzazione tale da attribuire a ciascuna persona il medesimo valore”», facendo come esempio la data di nascita o di decesso (ma il discorso vale per tutte le date idonee a creare casi di singolarità soprattutto in fattispecie come quelle in esame dove ve ne sono diverse riferite alla somministrazione delle diverse dosi di vaccino per singoli individui) raggruppate per anno.

Come detto, anonimizzare un documento o un database significa effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica” e un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo a impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa, fra l’altro, isolare una persona in un gruppo (single-out). In tale contesto, si ribadisce che si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», cit.). Il «valore minimo attribuibile alla soglia è pari a tre» (ibidem).

In ogni caso, come detto, affinché la tecnica di aggregazione dei dati sia efficace al fine di ridurre il rischio di re-identificazione, è necessario rispettare le opportune soglie di aggregazione dei dati, che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute.

Si ritiene pertanto che il criterio di aggregazione per anni suggerito dal soggetto istante nella richiesta di riesame riferito alle sole date di nascita, e non anche alle altre informazioni individuali, non sia idoneo a consentire di ridurre, quanto necessario ai fini del rispetto della vigente disciplina in materia di protezione dei dati personali, il rischio di re-identificazione. Ciò neanche se venissero espunti, come richiesto in subordine, «i dati per le categorie di soggetti con più di 100 anni o con meno di 8 anni di età».

Conformemente ai precedenti orientamenti di questa Autorità, si ricorda che le esigenze conoscitive dichiarate dal soggetto istante debbono poter essere raggiunte in conformità alla disciplina in materia di protezione dei dati personali. Nulla osta, pertanto, alla possibilità di consentire l’accesso civico senza fornire elementi che rendano il rischio di re-identificazione più elevato di quanto necessario al soddisfacimento delle esigenze di trasparenza azionate dall’istante (cfr. pareri n. 466/2023; n. 469/2023; n. 466/2023, cit.).

In base al principio di accountability/«responsabilizzazione», ricade in capo alla Regione Toscana, in qualità di titolare del trattamento, la valutazione, in concreto, della natura identificativa dei dati richiesti e del rischio di re-identificazione dei soggetti interessati (art. 5, par. 2, e 24 del RGPD). Spetta pertanto alla Regione Toscana di valutare la possibilità di comunicare dati adeguati a evitare ogni singolarità, secondo criteri idonei di aggregazione, sulla base di tutti i valori oggetto della richiesta di accesso dell’istante. A titolo esemplificativo, la Regione Toscana potrebbe fornire dati aggregati per anno sia con riferimento alle date di nascita che alle date di decesso, nonché dati aggregati per mese e anno riferibili alle date di somministrazione della prima, seconda, terza e quarta dose.  

Resta, peraltro, fermo che, anche in tal caso, eventuali operazioni applicate ai database in esame volte a re-identificare gli interessati non potranno ritenersi compatibili con la normativa in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere favorevole in merito alla richiesta del Responsabile della trasparenza della Regione Toscana, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013, a condizione che, dopo una valutazione in concreto della natura identificativa dei dati richiesti e del rischio di re-identificazione dei soggetti interessati condotta ai sensi dell’art. 5, par. 2, e 24 del RGPD, la Regione Toscana comunichi dati aggregati nei sensi sopra esemplificati, evitando casi di singolarità.

In Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione