Salta al contenuto
Parere pubblica amministrazione Gravità: bassa

Il Garante della Privacy ha fornito un chiarimento importante per tutti gli enti pubblici sul modo corretto di gestire le richieste di accesso a documenti e informazioni

Leggi il provvedimento integrale ↗

Il Garante della Privacy ha fornito un chiarimento importante per tutti gli enti pubblici sul modo corretto di gestire le richieste di accesso a documenti e informazioni

In sintesi

Il Garante della Privacy ha fornito un chiarimento importante per tutti gli enti pubblici sul modo corretto di gestire le richieste di accesso a documenti e informazioni. Ha precisato che ci sono diverse regole a seconda del tipo di richiesta (accesso civico per trasparenza, accesso per motivi specifici o accesso ai propri dati personali). In particolare, se vengono chiesti dati sulla salute di una persona, questi non possono mai essere forniti tramite l'accesso civico perché sono informazioni molto delicate. Anche per altri dati personali, l'ente deve fare molta attenzione a non danneggiare la privacy della persona, considerando che le informazioni richieste diventerebbero pubbliche. È fondamentale per gli enti pubblici applicare correttamente queste distinzioni per proteggere la privacy dei cittadini.

Cosa fare

  • Se siete un ente pubblico, formate il vostro personale su come gestire i diversi tipi di richieste di accesso (civico, amministrativo, ai dati personali)
  • Non divulgate mai informazioni sulla salute di una persona tramite accesso civico
  • Valutate attentamente se dare accesso ad altri dati personali tramite accesso civico, considerando che diventerebbero pubblici
  • Assicuratevi che chi chiede i propri dati personali sia effettivamente la persona interessata o un suo delegato

Cosa evitare

  • Non trattate tutte le richieste di accesso nello stesso modo
  • Non ignorate le differenze tra accesso civico, accesso documentale e accesso ai dati personali
  • Non divulgate dati personali sensibili, come quelli sulla salute, tramite accesso civico
  • Non concedete l'accesso a dati personali tramite accesso civico senza aver valutato il possibile danno alla privacy dell'interessato

Contesto

Il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) del Comune di Sant’Angelo Lodigiano ha richiesto un parere al Garante Privacy. La richiesta è sorta a seguito di un diniego da parte del Comune a un'istanza presentata da un soggetto, la quale includeva contestualmente richieste di accesso ai documenti amministrativi (L. 241/90), accesso civico generalizzato (D.Lgs. 33/2013) e accesso ai dati personali (Art. 15 GDPR). L'istanza aveva ad oggetto numerosi dati, documenti e comunicazioni riguardanti il genitore del richiedente, ricoverato presso una RSA, con particolare riferimento alla sua situazione personale, sanitaria, sociale ed economica. Il Comune ha negato l'accesso per mancanza di interesse qualificato e per la presenza di dati personali appartenenti a categorie particolari (dati sulla salute), oltre a precisare che il diritto ex Art. 15 GDPR è esercitabile solo dall'interessato o da un suo delegato. Il richiedente ha presentato un riesame al RPCT, insistendo nelle sue richieste.

La decisione

Il Garante, in risposta alla richiesta di parere del RPCT del Comune di Sant’Angelo Lodigiano, ha precisato quanto segue:
1. **Competenza sull'accesso documentale (L. 241/90):** Ha ribadito la propria non competenza a pronunciarsi sull'esistenza dell'interesse qualificato necessario per l'accesso documentale ai sensi della L. 241/90. Tale valutazione spetta all'amministrazione adita ed è sindacabile dinanzi alle autorità competenti. Ha ricordato che per l'ostensione di dati sulla salute è necessario dimostrare un interesse di rango almeno pari ai diritti dell'interessato o un diritto della personalità/libertà fondamentale (art. 60, comma 1, del Codice e Provv. 9/7/2003 sui diritti di “pari rango”).
2. **Accesso civico generalizzato (D.Lgs. 33/2013):** Ha chiarito che l'accesso civico a dati relativi alla salute è escluso da un divieto assoluto di diffusione, come previsto dall'art. 2-septies, comma 8, del Codice Privacy e dall'art. 7-bis, comma 6, del D.Lgs. 33/2013. Tale divieto configura un'eccezione assoluta all'accesso civico ai sensi dell'art. 5-bis, comma 3, del D.Lgs. 33/2013, non richiedendo ulteriori bilanciamenti o valutazioni sul pregiudizio concreto. L'amministrazione è tenuta a rifiutare l'accesso in questi casi.
3. **Dati non sulla salute ma personali (Accesso civico):** Per altra documentazione contenente dati personali (situazione personale, sociale ed economica del padre), il Garante ha evidenziato che l'accesso civico implica un regime di ampia pubblicità. L'integrale ostensione di tali documenti determinerebbe un'interferenza ingiustificata e sproporzionata nei diritti e libertà del controinteressato, arrecando un pregiudizio concreto alla protezione dei dati personali. Ciò è motivato dal rispetto dei principi di limitazione della finalità e minimizzazione dei dati (Art. 5, par. 1, lett. b e c GDPR), delle ragionevoli aspettative di confidenzialità dell'interessato e della non prevedibilità delle conseguenze derivanti dalla conoscibilità pubblica dei dati.
4. **Accesso ai dati personali (Art. 15 GDPR):** Ha ribadito che il diritto di accesso ai dati personali spetta esclusivamente all'interessato o a un suo delegato. Spetta all'amministrazione valutare la sussistenza di tali presupposti.

Ratio decidendi La decisione del Garante si fonda sulla necessità di bilanciare il diritto di accesso civico con il diritto alla protezione dei dati personali, in particolare quando sono coinvolti dati sensibili come quelli sulla salute o informazioni personali delicate. La ratio è che l'accesso civico, comportando un regime di ampia pubblicità e diffusione, è soggetto a eccezioni assolute o relative quando incide su diritti fondamentali dell'interessato. Per i dati sulla salute, vige un divieto assoluto di diffusione imposto dal legislatore (art. 2-septies, comma 8, Codice Privacy). Per gli altri dati personali, è necessario valutare il pregiudizio concreto alla tutela della protezione dei dati personali, considerando i principi di limitazione della finalità e minimizzazione, le aspettative di confidenzialità e la non prevedibilità dell'uso pubblico dei dati. L'accesso ai documenti amministrativi ex L. 241/90 e l'accesso ai dati personali ex Art. 15 GDPR seguono logiche e requisiti distinti (interesse qualificato o status di interessato/delegato) che non possono essere assimilati all'accesso civico.

Misure imposte

Rifiutare l'accesso civico generalizzato per dati sulla salute; Valutare caso per caso il pregiudizio concreto per altri dati personali nell'accesso civico; Verificare l'interesse qualificato per l'accesso ai documenti amministrativi; Verificare la legittimazione del richiedente per l'accesso ai dati personali ex art. 15 GDPR

Sanzione

[object Object]

Implicazioni pratiche

Questo parere chiarisce le complesse intersezioni tra il diritto di accesso civico generalizzato, il diritto di accesso ai documenti amministrativi e il diritto di accesso ai dati personali. Le Pubbliche Amministrazioni (PA) devono essere consapevoli delle differenze sostanziali tra queste tre forme di accesso e dei diversi presupposti per ciascuna. In particolare, è fondamentale comprendere che i dati sulla salute sono soggetti a un divieto assoluto di diffusione tramite accesso civico. Per altri dati personali, la PA deve effettuare un bilanciamento tra l'interesse alla trasparenza e la protezione dei dati personali, considerando il regime di ampia pubblicità dell'accesso civico e i principi di limitazione della finalità e minimizzazione. Le PA devono inoltre essere in grado di distinguere le richieste di accesso ai documenti ex L. 241/90 (che richiedono un interesse qualificato) dalle richieste di accesso ex Art. 15 GDPR (che richiedono che il richiedente sia l'interessato o un suo delegato).

Riferimenti

Normativa nazionale: D.Lgs. 196/2003 · D.Lgs. 33/2013 · L. 241/1990

Note

Il parere chiarisce in modo approfondito l'applicazione e le distinzioni tra accesso civico, accesso documentale e accesso ex art. 15 GDPR, con un focus specifico sulla non ostensibilità dei dati sulla salute tramite accesso civico e la necessità di bilanciamento per altri dati personali.

Provvedimenti correlati