In sintesi
Il Garante Privacy ha chiarito che le pubbliche amministrazioni devono gestire con molta attenzione le richieste di 'accesso civico' (che permette a tutti di chiedere documenti e dati pubblici), specialmente quando i dati riguardano informazioni già regolate da leggi specifiche. Se esiste già una legge che dice esattamente quali dati si possono vedere e chi può vederli (come per le autorizzazioni di taxi e NCC), quella legge ha la priorità. Questo significa che non si possono divulgare più informazioni di quelle strettamente previste dalla legge specifica, per proteggere la privacy delle persone, anche se si tratta di dati legati alla loro attività professionale (come nel caso delle ditte individuali).
Cosa fare
- Se la vostra azienda è una pubblica amministrazione, verificate sempre se ci sono leggi specifiche che regolano l'accesso a certi dati prima di rispondere a richieste di accesso civico.
- Considerate che i dati di ditte individuali sono spesso dati personali e vanno protetti come tali.
- Non divulgate dati oltre quanto strettamente necessario o consentito da leggi specifiche e dal GDPR.
Cosa evitare
- Non dare per scontato che i dati professionali di una persona fisica (ad esempio, il titolare di una ditta individuale) non siano dati personali.
- Non divulgare dati se esiste una legge speciale che ne limita la diffusione, anche se la richiesta di accesso civico è legittima.
- Non sottovalutare il rischio che i dati resi pubblici tramite accesso civico possano essere usati in modo improprio o per scopi diversi da quelli per cui erano stati raccolti.
Contesto
Una Società ha presentato una richiesta di accesso civico generalizzato al Comune di Brescia per ottenere l'elenco completo delle autorizzazioni NCC attive, inclusi dati identificativi del titolo, data di rilascio, denominazione/ragione sociale (o nome e cognome), natura giuridica, sede legale e/o operativa, indirizzo PEC e altri recapiti professionali. La Società ha specificato che la richiesta era finalizzata all'analisi dell'assetto autorizzativo vigente nel settore del trasporto pubblico non di linea. Il Comune ha accolto parzialmente la richiesta, omettendo la denominazione/ragione sociale e i contatti dei titolari, ritenendoli dati personali. La Società ha presentato una richiesta di riesame lamentando la mancanza di motivazione delle omissioni e la non applicabilità della tutela dei dati personali alle persone giuridiche. Il Responsabile della prevenzione della corruzione e della trasparenza del Comune di Brescia ha quindi chiesto il parere del Garante.
La decisione
Il Garante ha espresso parere favorevole alla limitazione dell'accesso da parte del Comune. Ha chiarito che, sebbene le informazioni riguardanti persone giuridiche non rientrino nella definizione di dato personale, quelle relative a imprese o ditte individuali possono costituire dati personali se consentono l'identificazione di una persona fisica. Il Garante ha sottolineato che i dati ottenuti tramite accesso civico divengono pubblici e il loro ulteriore trattamento deve rispettare la normativa sulla protezione dei dati personali. Ha evidenziato l'esistenza del Registro Elettronico NCC Taxi (RENT) e del relativo Decreto Ministeriale n. 203/2024, che disciplina specificamente le modalità e i limiti di accesso a tali dati. Per questo motivo, l'accesso civico alle informazioni richieste dalla Società istante deve essere escluso ai sensi dell'art. 5-bis, comma 3, del d. lgs. n. 33/2013, poiché una disciplina speciale ne subordina l'accesso a specifiche condizioni e limiti. Il Garante ha altresì osservato che un'eventuale ostensione più ampia altererebbe il regime di conoscibilità previsto dal legislatore nazionale per il RENT e le relative misure di sicurezza (Art. 32 GDPR), consentendo una duplicazione non autorizzata di informazioni e la richiesta di dati non previsti nemmeno dalla normativa speciale, con rischio di 'usi impropri' e trattamenti non compatibili (Art. 6, comma 4, GDPR). Ha infine respinto l'argomentazione della Società secondo cui i dati professionali delle ditte individuali godrebbero di una tutela della riservatezza significativamente ridotta.
Sanzione
[object Object]
Implicazioni pratiche
Le pubbliche amministrazioni devono prestare massima attenzione nella gestione delle istanze di accesso civico generalizzato, soprattutto quando i dati richiesti sono già oggetto di una specifica normativa settoriale che ne disciplina l'accesso (lex specialis). In tali casi, la normativa speciale prevale, e l'accesso deve essere limitato a quanto da essa previsto, anche se la richiesta di accesso civico è più ampia. È fondamentale riconoscere che i dati relativi a ditte individuali, pur afferendo a un'attività professionale, costituiscono dati personali se identificano una persona fisica, e devono quindi essere trattati nel rispetto del GDPR. La divulgazione tramite accesso civico implica una 'pubblicità' amplificata dei dati, rendendo cruciale la valutazione del potenziale pregiudizio concreto per gli interessati e l'applicazione rigorosa dei principi di minimizzazione e limitazione delle finalità, per evitare usi impropri o trattamenti successivi incompatibili.
Errori da evitare
- Non concedere accesso civico generalizzato a dati soggetti a regimi di accesso speciali che prevedono limiti e condizioni;
- Non equiparare i dati professionali delle ditte individuali a quelli delle persone giuridiche ai fini della protezione dei dati personali;
- Non sottovalutare l'impatto della 'pubblicità' derivante dall'accesso civico sulla protezione dei dati personali degli interessati;
- Non omettere la valutazione di un potenziale pregiudizio concreto alla tutela dei dati personali, soprattutto per PEC, indirizzi e recapiti personali.
Domande di self-assessment
- Esiste una normativa specifica (legge speciale) che regola già l'accesso a questi dati?
- I dati richiesti, anche se professionali, identificano una persona fisica (es. titolare di ditta individuale)?
- La finalità dell'accesso civico è coerente con i principi di minimizzazione e limitazione della finalità del GDPR?
- Quali sono le reali aspettative di confidenzialità degli interessati riguardo a questi dati una volta resi pubblici?
- Ci sono rischi di riutilizzo improprio o ulteriore trattamento incompatibile dei dati se resi pubblici tramite accesso civico?
Riferimenti
Normativa nazionale: D.Lgs. 30/6/2003, n. 196 (Codice in materia di protezione dei dati personali) · D.Lgs. n. 33 del 14/3/2013 (Riordino della disciplina sull’accesso civico) · L. n. 21 del 15/1/1992 (Legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea) · D.L. n. 135 del 14/12/2018 (Art. 10-bis, comma 3, sul Registro Elettronico NCC Taxi) · Decreto Ministeriale n. 203 del 2/7/2024 (Regolamento del RENT)
Note
Il provvedimento è un parere preventivo del Garante ad una richiesta di riesame di un Comune relativa ad una istanza di accesso civico, non un provvedimento sanzionatorio. Chiarisce l'interazione tra accesso civico generalizzato e normative speciali che regolano l'accesso a specifici set di dati, in particolare il Registro Elettronico NCC Taxi (RENT).
