Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere su istanza di accesso civico - 28 gennaio 2021 [9565200]

[doc. web n. 9565200]

Parere su istanza di accesso civico - 28 gennaio 2021

Registro dei provvedimenti
n. 21 del 28 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

Visto l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196 (di seguito “Codice”);

Visto l’art. 5, del d. lgs. n. 33 del 14 marzo 2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

Vista la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

Visto il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

Vista la richiesta del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) della società Cosmari s.r.l. presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013;

Considerato che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

Ritenuto che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

Ritenuto quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

Vista la documentazione in atti;

PREMESSO

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) della società Cosmari s.r.l. ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su un’istanza di accesso.

Dall’istruttoria risulta che è stata presentata una richiesta di accesso avente a oggetto «copia audio della registrazione dell'assemblea dei soci, tenutasi in data [indicata in atti], in modalità telematica a causa delle normative anti contagio da Covid 19».

Nella predetta richiesta – che non precisa la normativa in base alla quale è stata effettuata la richiesta di accesso – è indicato che il fine a essa sottostante è «di esercitare il legittimo diritto di cronaca riconosciuto a chi esercita la professione giornalistica, ai sensi dell'articolo 21 della Costituzione».

Dagli atti risulta che la società non ha fornito alcun riscontro alla richiesta di accesso e che il soggetto istante si è, di conseguenza, rivolto al RPCT della società per opporsi alla «mancata accettazione della richiesta».

Il RPCT ha chiesto quindi un parere a questa Autorità rappresentando, fra l’altro, che:

- «Cosmari srl, società interamente partecipata da enti pubblici, pur non dovendo tenere Assemblee dei Soci in modalità pubblica, ha l’obbligo ex art. 15 c. 2 del proprio Statuto, di “registrare gli interventi tenuti in Assemblea Generale su supporto magnetico, così che gli stessi restino a disposizione dei soci che ne richiedano, a loro spese, copia»;

- «A seguito della discussione assembleare, è stato ovviamente redatto verbale conclusivo, sottoscritto dal Presidente e dal Segretario verbalizzante, che riporta tutte le decisioni deliberate, formalizzando come di consueto su documento cartaceo la volontà assembleare».

Il RPCT ha aggiunto che durante l’assemblea è stato fatto riferimento ad alcune vicende giudiziarie, riferite a soggetti identificabili, e che tali informazioni sono state riportate anche all’interno del verbale. Pertanto, è stato chiesto un «parere circa l’accoglibilità totale della richiesta o, stante i fatti di cui sopra, la possibilità di accogliere solo parzialmente la stessa, consegnando in luogo della intera registrazione audio, semplicemente il verbale finale d'Assemblea, oscurando la parte in cui si riportano le informazioni relative agli aspetti giudiziari di singoli individui». Ciò anche considerando – come evidenziato nella nota integrativa alla richiesta di parere – che «silenziare nell'audio tale parte» oppure «estrarre le relative parti dal file audio e/o oscurarle nello stesso» sarebbe «eccessivamente oneroso» per la società, comportando un «irragionevole aggravio gestionale ed economico per la società, essendo molto più semplice effettuare tale oscuramento su documento cartaceo», anche perché si dovrebbe effettuare «l’analisi puntuale di più di 3 ore di registrazione audio […] al fine di verificare eventualmente la presenza di altri “dati sensibili” meritevoli di tutela e non divulgazione».

OSSERVA

1. Introduzione

La questione sottoposta all’attenzione del Garante si caratterizza per la presenza diversi profili, procedurali e di merito, che si ritiene non sano stati sufficientemente esaminati dalla società.

Nello specifico, dagli atti risulta che sia stata presentata una richiesta di accesso corredata dai relativi motivi, ma non qualificata – dal soggetto istante o dalla società – né come accesso civico né come accesso ai documenti amministrativi, a cui la società non ha fornito alcun riscontro. Nel documento oggetto di accesso sarebbero presenti dati personali – anche delicati perché riguardati vicende giudiziarie -, ma non sono stati coinvolti i soggetti controinteressati. Nel procedimento relativo all’accesso civico è inoltre previsto che il RPCT debba chiedere un parere al Garante se l’accesso «è stato negato o differito a tutela degli interessi di cui all'articolo 5-bis, comma 2, lettera a) [ossia «la protezione dei dati personali, in conformità con la disciplina legislativa in materia»]» (art. 5, comma 7, d. lgs. n. 33/2013), circostanza che nel caso di specie non appare ricorrere.

Inoltre, come indicato anche da ANAC, nel caso di una richiesta di accesso civico «l’amministrazione è tenuta a una congrua e completa, motivazione, [la quale] serve all’amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell’accesso generalizzato [e] al giudice per sindacare adeguatamente le decisioni dell’amministrazione» (Linee guida in materia di accesso civico, par. 5.3).

Tutti gli elementi sopradescritti, considerati nel loro complesso, impediscono a questa Autorità di potersi pronunciare nel merito, anche considerando le carenze istruttorie derivanti dall’inesistenza di un provvedimento di diniego della società corredato da adeguata motivazione e dal mancato coinvolgimento dei soggetti controinteressati.

Ciò nonostante, si valuta comunque opportuno fornire le seguenti considerazioni di carattere generale, atteso in ogni caso l’oggetto della questione e le richieste formulate dal RPCT.

2. Considerazioni di carattere generale

a)  Sulla disciplina applicabile

In primo luogo, considerando che l’accesso civico (art. 5 ss., d. lgs. n. 33/2013) e l’accesso agli atti amministrativi (art. 22 ss. l. n. 241 del 7/8/1990) hanno diversi presupposti, limiti, rimedi, disciplina e istituti applicabili (compreso quello del silenzio-diniego non previsto per l’accesso civico), si ritiene necessario che il soggetto destinatario dell’istanza effettui una compiuta valutazione circa l’istituto applicabile al caso di specie e la disciplina di riferimento. Ciò tenendo in considerazione le indicazioni fornite al riguardo dalla più recente giurisprudenza amministrativa (cfr. l’orientamento espresso dal Consiglio di Stato, adunanza plenaria, n. 10 del 2/4/2020).

b) Sulle valutazioni da effettuare in caso di richieste di accesso civico a documenti contenenti dati personali

In relazione a richieste di accesso civico, si rappresenta che ai sensi della normativa statale di settore, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del [d. lgs. n. 33/2013], nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (artt. 5, comma 2).

Tale articolo si applica, oltre che alle pubbliche amministrazioni, anche ai soggetti tenuti a dare adempimento alla disciplina statale in materia di trasparenza, indicati dall’art. 2-bis, del d. lgs. n. 33/2013, fra cui le società in controllo pubblico (comma 2, lett. b).

L’accesso civico può essere rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis comma 2, lett. a, d. lgs. n. 33/2013). Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Sotto il profilo procedimentale, l’ente destinatario della richiesta di accesso, se individua soggetti controinteressati, ai sensi del citato art. 5-bis, comma 2 – ossia di soggetti che possono subire un pregiudizio concreto, fra l’altro, alla protezione dei propri dati personali – «è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma 5, d. lgs. n. 33/2013).

In tale quadro, ai fini della valutazione circa l’esistenza di «un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» che possa giustificare il diniego dell’accesso civico, si rinvia integralmente alle Linee guida dell’ANAC in materia di accesso civico (cfr., in particolare, il par. 8 intitolato «I limiti derivanti dalla protezione dei dati personali»), unitamente ai precedenti pareri del Garante in materia di accesso civico pubblicati sul sito web istituzionale (https://www.garanteprivacy.it/temi/accesso-civico), il cui contenuto diviso per ogni singolo argomento è riportato annualmente anche nelle relazioni del Garante al Parlamento (https://www.garanteprivacy.it/home/attivita-e-documenti/documenti/relazioni-annuali). I pareri del Garante sono, inoltre, massimati sul portale “FOIA - Centro nazionale di competenza” del Dipartimento della Funzione Pubblica della Presidenza del Consiglio dei Ministri (http://www.foia.gov.it/pareri/).

Quanto alla possibilità, in generale, di rendere ostensibili, tramite l’istituto dell’accesso civico, atti o documenti contenenti dati delicati – quali quelli relativi al coinvolgimento in procedimenti giudiziari – deve essere ricordato che i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).

Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso integrale ai documenti richiesti, oppure fornire un accesso parziale.

Inoltre, è in ogni caso necessario rispettare i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).

c) Sulla possibilità di fornire un accesso parziale

Si ricorda la necessità che l’ente destinatario della richiesta valuti la possibilità di accordare un eventuale accesso parziale al documento richiesto, considerando che la normativa di settore prevede esplicitamente che «Se i limiti di cui ai commi 1 e 2 [dell’art. 5-bis] riguardano soltanto alcuni dati o alcune parti del documento richiesto, deve essere consentito l'accesso agli altri dati o alle altre parti» (art. 5-bis, comma 4). Anche nelle Linee guida dell’ANAC in materia di accesso civico è indicato che «il soggetto destinatario dell’istanza, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato, privilegiando l’ostensione di documenti con l’omissione dei “dati personali” in esso presenti, laddove l’esigenza informativa, alla base dell’accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali. In tal modo, tra l’altro, si soddisfa anche la finalità di rendere più celere il procedimento relativo alla richiesta di accesso generalizzato, potendo accogliere l’istanza senza dover attivare l’onerosa procedura di coinvolgimento del soggetto «controinteressato» (art. 5, comma 5, del d. lgs. n. 33/2013). [Inoltre, q]uando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessari[…], oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta dovrebbe accordare l’accesso parziale ai documenti, oscurando i dati personali ivi presenti» (par. 8.1.).

d) Sul documento oggetto dell’accesso

Quanto, infine, all’effettiva possibilità evidenziata dal RPCT di fornire al soggetto istante un verbale di assemblea (documento ufficiale) piuttosto che la registrazione audio della seduta – in quanto «l’analisi puntuale di più di 3 ore di registrazione audio […] al fine di verificare eventualmente la presenza di altri “dati sensibili” meritevoli di tutela e non divulgazione» e il relativo “silenziamento”, costituirebbe un onere eccessivo per la società, che comporta un «irragionevole aggravio gestionale ed economico […], essendo molto più semplice effettuare tale oscuramento su documento cartaceo» – si rinvia alle Linee guida dell’ANAC in materia di accesso civico e alla Circolare del Ministro per la semplificazione e la pubblica amministrazione n. 2/2017 recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», con specifico riferimento alle indicazioni fornite in relazione a «richieste massive» o «manifestamente irragionevoli» (cfr. in particolare § 4.2. e punto n. 5 dell’Allegato alle citate Linee guida recante la «Guida operativa all’accesso generalizzato. Titolarità, ambito di applicazione e oggetto del diritto di accesso generalizzato»; nonché par. 7, lett. d, della Circolare citata).

Al riguardo, è stata evidenziata la possibilità di fornire un diniego dell’accesso civico al documento richiesto nel caso in cui, fra l’altro, la «richiesta risulti manifestamente irragionevole, tale cioè da comportare un carico di lavoro in grado di interferire con il buon funzionamento dell’amministrazione», ma tali «circostanze, adeguatamente motivate nel provvedimento di rifiuto, devono essere individuate secondo un criterio di stretta interpretazione, ed in presenza di oggettive condizioni suscettibili di pregiudicare in modo serio ed immediato il buon funzionamento dell’amministrazione» (Linee guida cit.).

In ogni caso, «la ragionevolezza della richiesta va valutata tenendo conto dei seguenti criteri: - l’eventuale attività di elaborazione (ad es. oscuramento di dati personali) che l’amministrazione dovrebbe svolgere per rendere disponibili i dati e documenti richiesti; - le risorse interne che occorrerebbe impiegare per soddisfare la richiesta, da quantificare in rapporto al numero di ore di lavoro per unità di personale; - la rilevanza dell’interesse conoscitivo che la richiesta mira a soddisfare» (Circolare, cit.).

Sul punto, l’ente destinatario della richiesta potrà valutare anche la possibilità – laddove ritenuto necessario – di avviare eventualmente un dialogo cooperativo con il richiedente l’accesso «nel tentativo di ridefinire l’oggetto della richiesta entro limiti compatibili con i principi di buon andamento e di proporzionalità» (cfr. Circolare, cit., parr. 7 e 8).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza della società Cosmari s.r.l., ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 28 gennaio 2021

IL PRESIDENTE
Stanzione