Un cittadino presentava all’Agenzia di tutela della salute una richiesta di accesso civico generalizzato (“FOIA”) ad oggetto l’elenco degli esercizi commerciali che hanno ricevuto sanzioni amministrative per avere violato le norme sull’igiene e la sicurezza alimentare dal 1 gennaio 2015 al 30 dicembre 2016 compreso.
Il cittadino ha richiesto di conoscere l’importo della sanzione; il motivo della sanzione e di ottenere il rilascio in formato aperto e preferibilmente processabile. L’Agenzia ha fornito riscontro alla richiesta e ha trasmesso i files con i dati richiesti ma ha omesso i nominativi dei soggetti sanzionati, a tutela dei dati personali e degli interessi economici e commerciali come previsto dall’art. 5-bis, comma 2, lett. a) e c), D.Lgs. n. 33 del 2013.
Il cittadino presentava richiesta di riesame dell’istanza e rappresentava che la limitazione prevista dall’art. 5-bis, comma 2, lett. a) e c) del D.Lgs. n. 33 del 2013 non sia applicabile al caso in esame.
L’art. 5, comma 2, lett. a), D.Lgs. n. 33 del 2013 n. prevede il limite della protezione dei dati personali in conformità con la disciplina legislativa in materia mentre il sopracitato, art. 5, comma 2, lett. c) prevede gli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d’autore e i segreti commerciali.
Il Responsabile per la trasparenza e la prevenzione della corruzione dell’Agenzia di tutela della salute ha chiesto al Garante il parere previsto dall’art. 5, comma 7, D.Lgs. 14 marzo 2013, n. 33 nell’ambito del procedimento relativo a una richiesta di riesame di una istanza di accesso civico.
Il D.Lgs. n. 97 del 2016 che ha modificato il D.Lgs. n. 33 del 2013 prevede che se l’accesso è stato negato o differito a tutela degli interessi di cui all’art. 5-bis, comma 2, lett. a), quindi per motivi di protezione dei dati personali, il responsabile provvede sentito il Garante per la protezione dei dati personali.
L’Agenzia, nel caso specifico, ha richiesto, pertanto, al Garante, se è possibile o meno di fornire anche i nominativi degli esercizi commerciali di cui all’elenco numerico già fornito.
L’Agenzia ha chiesto al Garante anche un orientamento in relazione anche sui diritti procedimentali relativi ai controinteressati e ha rappresentato alcune complesse problematiche operative: l’effettiva difficoltà, di indicare i nominativi dei controinteressati (in considerazione dell’elevato numero degli esercizi controllati).
L’Agenzia ha inoltre rappresentato come, nel caso in cui si notiziassero tutti i controinteressati, il riscontro da parte degli stessi dovrebbe pervenire in un lasso di tempo talmente esiguo (dieci giorni) da rendere estremamente difficoltosa la successiva risposta da fornire al richiedente il riesame (venti giorni dalla richiesta)».
L’Agenzia ha richiesto anche «se può essere applicato, al caso de quo, con riferimento alla sola individuazione dei controinteressati, la parte (Cfr. § 4.2 – 5 Richieste massive, pag. 29) dell’allegato alle Linee guida sull’accesso generalizzato e precisamente il pregiudizio del buon funzionamento dell’amministrazione che si verificherebbe nel caso in cui si dovessero notiziare tutti i numerosi controinteressati coinvolti».
Le Linee guida dell’Anac (Del. 28 dicembre 2016, n. 1309) prevede che l’amministrazione è tenuta a consentire l’accesso generalizzato anche quando riguarda un numero cospicuo di documenti ed informazioni, a meno che la richiesta risulti manifestamente irragionevole, tale cioè da comportare un carico di lavoro in grado di interferire con il buon funzionamento dell’amministrazione. Tali circostanze, adeguatamente motivate nel provvedimento di rifiuto, devono essere individuate secondo un criterio di stretta interpretazione, ed in presenza di oggettive condizioni suscettibili di pregiudicare in modo serio ed immediato il buon funzionamento dell’amministrazione.
Il Garante, nel parere reso, ha sottolineato, che le informazioni riferite a persone giuridiche, enti e associazioni non rientrano nella definizione dei dato personale. Il Garante privacy ha richiamato la definizione di «dato personale», prevista dall’art. 4, comma 1, lett. b), del Codice della Privacy: «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (Il Garante ha inoltre osservato, che, nel caso in esame nel caso di ditte individuali, i nominativi degli esercizi commerciali sanzionati possono essere identificativi, direttamente o indirettamente, di persone fisiche e possono rientrare nella definizione di dato personale.
Secondo il Garante l’ente destinatario dell’istanza deve valutare «se la conoscenza da parte di chiunque del dato personale richiesto arreca (o possa arrecare) un pregiudizio concreto alla protezione dei dati personali [come tali riferiti alle sole persone fisiche, eventualmente contenuti nei documenti oggetto della domanda di accesso].
Il Garante specifica che la ritenuta sussistenza di tale pregiudizio comporta il rigetto dell’istanza, a meno che non si consideri di poterla accogliere, oscurando i dati personali eventualmente presenti e le altre informazioni che possono consentire l’identificazione, anche indiretta, del soggetto interessato» (Linee guida, par. 8, nonché art. 5-bis, comma 4, D.Lgs. n. 33 del 2013).
Il Garante osserva come, in ogni caso, resta ferma la possibilità che i dati personali per i quali sia stato eventualmente negato l’accesso civico possano essere resi ostensibili laddove l’istante dimostri l’esistenza di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso», ai sensi degli artt. 22 ss., L. 7 agosto 1990, n. 241.
In riferimento agli altri profili richiesti (richieste massive) il Garante ha rappresentato che tali profili non sono di competenza dell’Autorità).
Il Garante ha illustrato, nel parere il procedimento di presa in carico e riscontro di una richiesta di accesso civico generalizzato ce che l’accesso civico è rifiutato «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a) e che «l’amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell’articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso» (art. 5, comma 5).
L’Anac ha specificato nelle Linee guida recanti indicazioni operative ai fini delle esclusioni e dei limiti all’accesso civico che in ogni caso «le comunicazioni di dati personali nell’ambito del procedimento di accesso generalizzato non devono determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà delle persone cui si riferiscono tali dati ai sensi dell’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea e della giurisprudenza europea in materia».
Il Garante richiama le indicazioni operative contenute nelle Linee guida, «laddove l’esigenza informativa, alla base dell’accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali», alla luce dei «principi generali sul trattamento dei dati personali e, in particolare, a quelli di necessità, proporzionalità, pertinenza e non eccedenza, in conformità alla giurisprudenza della Corte di Giustizia Europea, del Consiglio di Stato, nonché al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/20168», «il soggetto destinatario dell’istanza, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato, privilegiando l’ostensione di documenti con l’omissione dei “dati personali” in esso presenti […]. In tal modo, tra l’altro, si soddisfa anche la finalità di rendere più celere il procedimento relativo alla richiesta di accesso generalizzato, potendo accogliere l’istanza senza dover attivare l’onerosa procedura di coinvolgimento del soggetto “controinteressato” (art. 5, comma 5, D.Lgs. n. 33 del 2013)».
Nel caso in cui la predetta esigenza informativa non possa essere raggiunta senza la comunicazione di dati personali, è comunque previsto che debbano «essere tenute in considerazione le motivazioni addotte dal soggetto controinteressato, che deve essere obbligatoriamente interpellato dall’ente destinatario della richiesta di accesso generalizzato, ai sensi dell’art. 5, comma 5, D.Lgs. n. 33 del 2013. Tali motivazioni costituiscono un indice della sussistenza di un pregiudizio concreto, la cui valutazione però spetta all’ente e va condotta anche in caso di silenzio del controinteressato, tenendo, altresì, in considerazioni.
Il caso in esame dimostra come il Foia costituisca una sfida complessa sia per le pubbliche amministrazioni che per i cittadini in assenza di una consolidata giurisprudenza amministrativa.
Garante per la protezione dei dati personali, Parere su una istanza di accesso civico, 16 febbraio 2017
