Parere su istanza di accesso civico - 23 aprile 2021
Registro dei provvedimenti n. 157 del 23 aprile 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, «relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva
95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);
VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196 (di seguito
“Codice”);
VISTO l’art. 5, del d. lgs. n. 33 del 14 marzo 2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli
obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;
VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante,
intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art.
5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in
http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC
in materia di accesso civico”);
VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC
recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n.
5860807;
VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Ufficio Scolastico
Regionale per l’Emilia-Romagna presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013 recante «Riordino
della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte
delle pubbliche amministrazioni»;
CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;
RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del
Collegio del Garante;
RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000
sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di
indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di
competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante
nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web n. 1098801);
Vista la documentazione in atti;
PREMESSO
Un Comitato – costituito da famiglie, professionisti della scuola e studenti attivi nella società civile – identificato in atti (si seguito
“Comitato”), «con l’obiettivo unico di rendere piena trasparenza dello stato di diffusione del CoViD-19 nelle Scuole della Provincia
[identificata in atti]» ha inoltrato istanze di accesso civico generalizzato – ai sensi dell’art. 5 comma 2, del d. lgs. n. 33/2013 – a
diversi Istituti scolastici finalizzati a ottenere dati sotto la forma di «“report Sars-Cov2” che settimanalmente vengono inviati dalle
Scuole della Provincia di Modena al sistema di Sorveglianza Sanitaria» e «Nello specifico […] copia del database delle serie
storiche contenente le seguenti rilevazioni:
- numero di casi in isolamento
- numero di casi in quarantena
- numero di casi sottoposti a tampone (molecolare o antigenico)
- numero di casi in attesa di esito
- numero di casi con esito positivo
- numero di casi con esito negativo
- numero di classi in isolamento
- numero di classi in quarantena preventiva
- numero di classi focolaio (con casi positivi al tampone successivamente al caso 1) con granularità temporale settimanale
con profondità temporale da inizio rilevazione, con dettaglio e gerarchia per singolo circolo/scuola e singolo plesso».
Dagli atti risulta che molti Istituti scolastici interessati hanno negato l’accesso civico con identico provvedimento, per motivi inerenti
alla protezione dei dati personali, rappresentando che l’ostensione del complesso delle informazioni richieste, anche se private dei
dati direttamente indentificativi dei soggetti interessati, «laddove combinati con informazioni verbali facilmente acquisibili soprattutto
in realtà scolastiche contenute, consentono di risalire all’identità dei soggetti coinvolti e, quindi, al loro stato di salute».
Il richiedente l’accesso civico ha quindi presentato una richiesta di riesame sui provvedimenti di diniego al RPCT dell’Ufficio
Scolastico Regionale per l’Emilia-Romagna (art. 5, comma 7, del d. lgs. n. 33/2013), ritenendole non legittime e insistendo nelle
proprie richieste, chiedendo inoltre che venga offerta «la disponibilità a identificare la maniera più comoda di raccogliere [le]
informazioni [richieste] con l’intento di non gravare sulle attività della Scuola».
Con la nota in atti il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Ufficio Scolastico Regionale
per l’Emilia-Romagna ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013.
OSSERVA
1. Il quadro normativo
Ai sensi della normativa di settore, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni,
ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi
giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (artt. 5, comma 2, d. lgs. n. 33/2013).
In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato art. 5-bis prevede che l’accesso civico debba
essere rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati
personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a), ed è, comunque «escluso», nei «casi di divieti di
accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3).
In tale quadro, si precisa che per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD).
Ciò premesso, occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o
documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei
documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una
istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli
ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla
normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).
Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla
protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati,
informazioni o documenti richiesti.
Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in
base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in
modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per
le quali sono trattati» (art. 5, par. 1, lett. b e c).
Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e alla non prevedibilità delle conseguenze
derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia
di accesso civico, cit.).
Va, inoltre, ricordato che il RGPD definisce come «dati relativi alla salute» i «dati personali attinenti alla salute fisica o mentale di
una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di
salute» (art. 4, par. 1, n. 15; considerando n. 35).
In tale contesto, si osserva che il Codice, a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà
fondamentali della persona» (art. 1, comma 1), prevede un espresso “divieto di diffusione”, ossia della possibilità di dare
«conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» di
“dati relativi alla salute” (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b). Il medesimo divieto è stabilito altresì dal d. lgs. n.
33/2013, che all’art. 7-bis, comma 6, prevede, analogamente, come «Restano fermi i limiti […] alla diffusione dei dati idonei a
rivelare lo stato di salute […]»).
Di conseguenza, allorché un’istanza di accesso civico abbia a oggetto dati relativi alla salute, si rende applicabile l’“esclusione
dell’accesso civico” prevista dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico
deve essere escluso nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3, del d. lgs. n. 33/2013).
Quanto riportato è confermato anche dalle Linee guida dell’Anac in materia di accesso civico con riferimento alle «Eccezioni
assolute» all’accesso civico, laddove è indicato che «Nella valutazione dell’istanza di accesso, l’amministrazione deve […]
verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso
“condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3» (par. 6). Nello specifico, nel par. 6.2.,
intitolato «Altri casi di segreto o di divieto di divulgazione», è altresì precisato che «[…] alcuni divieti di divulgazione sono previsti
dalla normativa vigente in materia di tutela della riservatezza con riferimento a: dati idonei a rivelare lo stato di salute, ossia a
qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti
interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del
Codice [oggi art. 2-septies, comma 8]; art. 7-bis, comma 6, d. lgs. n. 33/2013)» (in materia di dati sulla salute, cfr. altresì, fra gli
altri, i pareri resi dal Garante nei provvedimenti n. 188 del 10/4/2017, in www.gpdp.it, doc. web n. 6383249; n. 206 del 27/4/2017,
ivi, doc. web n. 6388689; n. 98 del 22/2/2018, ivi, doc. web n. 8165944; n. 226 del 16/4/2018, ivi, doc. web n. 8983848; n. 2 del
10/1/2019, ivi, doc. web n. 9084520).
2. Accesso civico a dati e informazioni non ancora detenuti dalla p.a.
La questione sottoposta all’attenzione del Garante riguarda l’ostensione, tramite l’istituto dell’accesso civico, di database e dati
relativi all’emergenza sanitaria e alla rilevazione di casi di diffusione del Covid-19, di isolamento/quarantena, di effettuazione di
tamponi riferiti ad alunni di istituti scolastici situati in una stessa provincia, a cadenza settimanale, partendo dalla data della prima
rilevazione, contenuti nei report inviati dalle Scuole «al sistema di Sorveglianza Sanitaria».
Orizzonte ScuolaDagli atti e dall’istanza di accesso civico non si evince chiaramente se la richiesta di accesso riguarda solo casi passati o la volontà
di attivare una vera e propria comunicazione sistematica – anche pro futuro – sui tali dati e informazioni, a cadenza settimanale,
dall’amministrazione al Comitato.
In ogni caso, al fine di evitare ogni possibile dubbio, si evidenzia che l’istituto dell’accesso civico può avere a oggetto solo dati e
documenti «detenuti» dalle pubbliche amministrazioni (art. 5, comma 2, d. lgs. n. 33/2013), con impossibilità di accogliere istanze
che abbiano a oggetto dati o informazioni non ancora in possesso della p.a. o l’attivazione di flussi futuri di comunicazione di dati.
La stessa ANAC, nelle citate linee guida in materia di accesso civico, ha evidenziato che l’amministrazione ha l’obbligo di
«consentire l’accesso ai documenti nei quali siano contenute le informazioni già detenute e gestite dall’amministrazione stessa»,
escludendo che la stessa «sia tenuta a formare o raccogliere o altrimenti procurarsi informazioni che non siano già in suo
possesso» (par. 4.2.).
3. Accesso ai dati dell’emergenza sanitarie detenuti da Istituti scolastici riferiti agli alunni
Occorre rappresentare in via preliminare che i dati e le informazioni riferite a persone fisiche, identificate o identificabili, che hanno
contratto il virus da Covid-19 rientrano sicuramente nella definizione di dati sulla salute per i quali va escluso l’accesso civico ai
sensi del richiamato art. 5-bis, comma 3, del d. lgs. n. 33/2013.
Deve, altresì, essere evidenziato che le informazioni riferite a persone fisiche, identificate o identificabili, che – pur non essendo
positive al Covid-19 – sono state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento sono di
natura particolarmente delicata, essendo peraltro riferite nel caso in esame a soggetti minorenni. Un’eventuale ostensione di tali
dati personali, unita al particolare regime di pubblicità dei dati oggetto di accesso civico, può essere fonte di rischi specifici per i
soggetti interessati, determinando possibili ripercussioni negative sul piano personale, sociale e relazionale, sia all’interno che
all’esterno dell’ambiente scolastico. In tal modo, potrebbe effettivamente determinarsi un’interferenza ingiustificata e
sproporzionata nei diritti e libertà individuali, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. b e c, del
RGPD), arrecando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall'art. 5-bis, comma 2,
lett. a), del d. lgs. n. 33/2013. Al riguardo, bisogna, inoltre, tener conto delle ragionevoli aspettative di confidenzialità dei
controinteressati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dagli Istituti
scolastici, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti ai minori e alle relative
famiglie, dall’eventuale conoscibilità, da parte di chiunque, dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida
dell’ANAC in materia di accesso civico, cit.)
4. Il caso sottoposto all’attenzione del Garante
Alla luce di tutto quanto rappresentato, occorre effettuare una ponderata analisi della ostensibilità delle informazioni richieste dal
Comitato, le quali anche se prive dell’indicazione del nome e del cognome degli alunni interessati, contengono informazioni di
dettaglio – divise per singolo circolo/scuola e plesso – riferite al numero di casi in isolamento, in quarantena e sottoposti a tampone
(con specificazione della tipologia: molecolare o antigenico); al numero di casi in attesa di esito (con specificazione per singolo
caso se con esito positivo o negativo); al numero di classi in isolamento o in quarantena preventiva, al numero di classi focolaio
(con specificazione dei casi positivi al tampone successivamente al caso 1).
Al riguardo, i singoli Istituti scolastici destinatari delle richieste di accesso civico – sulla base delle valutazioni effettuate in qualità di
titolari del trattamento e nel rispetto del principio di responsabilizzazione/accountability (artt. 5, par. 2; 24; considerandi nn. 75 e 76,
del RGPD) – nei propri provvedimenti di diniego hanno affermato che l’ostensione del complesso delle informazioni richieste,
anche se private dei dati direttamente indentificativi dei soggetti interessati, «laddove combinati con informazioni verbali facilmente
acquisibili soprattutto in realtà scolastiche contenute», possono consentire di risalire all’identità dei soggetti coinvolti. Sul punto,
dagli atti non emergono elementi che consentono a questa Autorità di discostarsi dalla valutazione effettuata dal titolare del
trattamento, soprattutto considerando il ristretto ambito di riferimento (circolo/scuola o plesso), la variabilità del numero di casi (che
settimanalmente potrebbero essere anche esigui); il particolare regime di pubblicità dei dati ricevuti tramite l’accesso civico (art. 3,
comma 1, d. lgs. n. 33/2013) e il «raffronto» dei dati richiesti con altre informazioni eventualmente in possesso di terzi che
potrebbero consentire – anche a posteriori – l’identificazione indiretta dell’alunno minorenne interessato, con rivelazione a pubblico
generalizzato del suo stato di salute o di altri dati delicati riguardanti l’eventuale stato di quarantena/isolamento.
In proposito, occorre infatti ricordare che, ai sensi del RGPD, si considera “identificabile” «la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione,
dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1).
Tale orientamento trova conferma anche nel precedente parere del Garante n. 155 del 3/9/2020 (in www.gpdp.it, doc. web n.
9461036), adottato su questione analoga, e citato sia dal RPCT che dal soggetto istante, in cui si è concordato con la decisione di
una Regione di non fornire dati di dettaglio sull’emergenza sanitaria che possano consentire un’identificazione indiretta dei soggetti
interessati e di fornire, invece, in ogni caso – allo scopo di soddisfare le esigenze informative alla base dell’accesso civico e di
«favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di
promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – i dati sull’emergenza sanitaria
aggregati, su base territoriale più ampia, a livello comunale.
Si ritiene, tuttavia, che la predetta soluzione potrebbe non essere utile con particolare riferimento ai dati dei minori iscritti negli
Istituti scolastici, considerando – ad esempio – che in comuni molto piccoli potrebbero essere presenti anche singoli istituti/plessi
scolastici e l’aggregazione a livello comunale sarebbe sostanzialmente inutile, coincidendo con la singola scuola o plesso.
Inoltre, nello specifico caso in esame, questa Autorità ritiene di non poter suggerire nemmeno di fornire i dati e informazioni richiesti
a un livello di aggregazione più esteso rispetto al «singolo circolo/scuola e singolo plesso». Ciò in quanto il Comitato istante ha
presentato richieste di accesso ai singoli Istituti scolastici che posseggono informazioni riferite alle proprie realtà e non a un livello
più esteso.
Né è quindi possibile chiedere – tramite l’istituto dell’accesso civico – ai singoli Istituti scolastici, o al RPCT dell’Ufficio
scolastico regionale che ha richiesto il parere al Garante, di fornire dati o informazioni che non siano già detenuti o in possesso
della singola amministrazione. Al riguardo, anche l’ANAC nelle proprie linee guida, ha evidenziato che l’istituto dell’accesso civico
generalizzato, riguardando i dati e i documenti “detenuti” dalle pubbliche amministrazioni (art. 5, comma 2, d. lgs. n. 33/2013) non
può comportare che l’amministrazione, per rispondere alla richiesta, «sia tenuta a formare o raccogliere o altrimenti procurarsi
informazioni che non siano già in suo possesso[, non avendo] l’obbligo di rielaborare i dati ai fini dell’accesso generalizzato, ma
solo [di] consentire l’accesso ai documenti nei quali siano contenute le informazioni già detenute e gestite dall’amministrazione
stessa».
Peraltro, a ciò si aggiunge un’ulteriore circostanza che si deve opportunamente considerare. In relazione ai dati dell’emergenza
sanitaria da Covid-19, gli Istituti scolastici non sono i soggetti compenti all’elaborazione dei “dati ufficiali”, che è invece rimessa agli
enti deputati alla sorveglianza sanitaria. Di conseguenza i dati richiesti, di diversa tipologia riferiti agli alunni (es.: numero di alunni
sottoposti a tampone, con indicazione dell’esito positivo o negativo; numero di alunni sottoposti a quarantena oppure a isolamento),
da essi eventualmente detenuti anche incidentalmente (ad esempio perché trasmessi dai genitori o da altri soggetti) possono
essere non integri o incompleti; e la relativa comunicazione o diffusione potrebbe, a seconda dei singoli casi, porsi in contrasto con
il principio generale di “esattezza dei dati”, sancito dall’art. 5, par. 1, lett. d), del RGPD.
TUTTO CIÒ PREMESSO IL GARANTE
esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della
trasparenza dell’Ufficio Scolastico Regionale per l’Emilia-Romagna, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.
Roma, 23 aprile 2021
IL PRESIDENTE
Pasquale Stanzione
Orizzonte Scuol
