Garante Privacy, provvedimento n. 155/2020: è ammissibile un’istanza di accesso generalizzato ai dati concernenti la salute di soggetti contagiati da Covid-19?

di Valeria Tevere – Avvocato

 

Pubblicato il 29/10/2020

 

È ammissibile un’istanza di accesso generalizzato ai dati concernenti la salute di soggetti contagiati da COVID-19?

Questo è quanto chiarisce il Garante per la protezione dei dati personali con il provvedimento 3 settembre 2020, n. 155 (testo in calce) recante Parere su istanza di accesso civico.

In un noto discorso alla Camera dei deputati, nel 1908, Filippo Turati sognava una Pubblica Amministrazione trasparente “come una casa di vetro”.

La strada verso una piena trasparenza dell’agere amministrativo e lo scardinamento del principio di segretezza ha richiesto del tempo e si è svolta per tappe.

Una prima fase fondamentale che ha rivoluzionato i rapporti tra cittadino e P.A. si è inaugurata con la legge sul procedimento amministrativo (Legge n. 241/1990), negli anni novanta del secolo scorso, con l’introduzione della disciplina dell’accesso procedimentale ai documenti amministrativi (art. 22 e ss l. n. 241/1990).

Successivamente, dopo quasi venti anni, si inizia a pensare ad un principio di trasparenza in senso lato, non legato al singolo procedimento ed all’interesse individuale “concreto, diretto ed attuale” ma inteso  come “accessibilità totale” (art. 1 del D.Lgs. n. 33/2013)  “dei dati e documenti detenuti dalle Pubbliche amministrazioni allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche”.

Il concetto di trasparenza, dunque, assume una dimensione collettiva e diventa funzionale all’esercizio dei diritti di cittadinanza.

Il d.lgs n. 33/2013 (c.d. decreto trasparenza) introduce, l’istituto dell’accesso civico (art.5, c. 1) in virtù del quale  “chiunque” ha diritto all’ostensione di documenti, informazioni e dati per i quali sussistono obblighi di pubblicazione da parte delle Pubbliche Amministrazioni.

Con il D.Lgs. n. 97/2016, infine, il Legislatore, attingendo dall’esperienza statunitense e dal modello del Freedom of Information Act (FOIA), prevede l’accesso generalizzato (art.5, c. 2, d.lgs. n. 33/2013) “allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”. L’accesso generalizzato si distingue dall’accesso civico perché con esso si riconosce il diritto di “chiunque” di richiedere ulteriori dati rispetto a quelli soggetti ad obbligo di pubblicazione.

Tuttavia, proprio in considerazione dell’ampia portata di questo accesso di ultima generazione, che il Legislatore ha posto dei limiti, prevedendo un regime di esclusioni ed eccezioni assolute e relative (art. 5 bis, commi 1 e 2).

La stessa giurisprudenza amministrativa ha cercato di tracciare i confini con le altre forme di accesso (cfr.  Consiglio di Stato, adunanza plenaria, n. 10/2020).

Inoltre  l’ANAC si è ampiamente soffermata, nelle linee guida del 2016, sulla definizione delle esclusioni e dei limiti all’accesso civico chiarendo la differenza tra le eccezioni relative ed assolute dell’accesso generalizzato. L’’eccezione assoluta (art. 5 bis, c. 3, d.lgs. n. 33/2013)  presuppone una valutazione a monte del Legislatore, operando una riserva di legge, desumibile, tra l’altro, anche dall’art. 10 CEDU (la norma convenzionale, infatti, disciplina la libertà di espressione che include anche la libertà di ricevere informazioni senza ingerenza delle autorità pubbliche). Pertanto,  la P.A. dovrà semplicemente accertare la presenza, nella fattispecie, di un interesse sensibile, ritenuto prioritario dal Legislatore, senza operare valutazioni in concreto. In presenza, dunque, di un’eccezione assoluta, l’Amministrazione ha un potere vincolato. Per contro, l’eccezione relativa ricorre in presenza di interessi, pubblici o privati, di particolare rilievo giuridico, elencati ai commi 1 e 2 dell’art. 5 bis del decreto trasparenza e la P.A. dovrà valutare, caso per caso, la sussistenza di un pregiudizio in concreto di questo interesse, derivante dall’ostensione del dato nella sua disponibilità, attraverso la tecnica del bilanciamento con l’interesse alla trasparenza.

In questo dibattito, in materia di accesso e sui suoi limiti si inserisce anche un nuovo “tassello”, rappresentato dal recente parere dell’Autorità per la protezione dei dati personali del 3 settembre scorso, nel quale è stata esaminata una richiesta di accesso generalizzato relativa a dati concernenti la salute di soggetti contagiati dal COVID-19.

 

Brevemente il fatto.

Ai sensi dell’art. 5, c.7, del d.lgs. n. 33/2013, è stato chiesto un parere all’Autorità garante per la protezione dei dati personali dal Responsabile per la prevenzione della corruzione e della trasparenza della Regione Valle d’Aosta, nell’ambito di un procedimento relativo alla richiesta di riesame effettuata da un giornalista su un provvedimento di diniego parziale ad un’istanza di accesso ai sensi dell’art. 5, c.2, decreto trasparenza, avente ad oggetto il “rilascio di dati concernenti la distribuzione dei casi di Covid-19 registrati nella Regione Valle d’Aosta, suddivisi per comune, sesso, età, esito, domicilio, data della diagnosi di infezione, numero ed esiti dei tamponi eseguiti per paziente” nonché concernenti “numero, distribuzione per comune e data dei contatti telefonici della Centrale a ciò deputata con le persone prese in carico per infezione da Covid-19”.

La fattispecie concreta, dunque, ha ad oggetto l’accesso ai “dati relativi alla salute”.

Per questa categoria di dati, è escluso l’accesso civico ai sensi dell’art. 5 bis, c.3, D.Lgs. n. 33/2013.

Nello specifico, si tratta di “un caso di divieto di accesso previsto dalla legge”, vale a dire dalla normativa a tutela della riservatezza (art.22, c.8, D.Lgs. n. 196/2003, codice in materia di protezione dei dati personali).

Inoltre, si richiama anche il regolamento GDPR che definisce i dati relativi alla salute come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria che rivelano informazioni relative al suo stato di salute” (art. 4, par.1, n. 15, Reg. UE 2016/ 679).

Si tratta dunque di un’eccezione assoluta.

Ad avviso del Garante, la Regione ben ha fatto a negare parzialmente  dati dettagliati come quelli sulla distribuzione dei casi all’interno della Regione, con specifica suddivisione per comune, sesso, età, esito, domicilio, data diagnosi, in quanto la loro conoscenza non avrebbe garantito l’anonimato dei soggetti contagiati ma li avrebbe esposti al rischio di identificazione.    

 

 

 

In conclusione, secondo l’Authority “tenuto conto del contesto e del rischio di re-identificazione delle persone fisiche cui si riferiscono i dati richiesti, alla luce del principio di responsabilizzazione di cui all’art. 5, par. 2 e 24 par. 2 del RGPD, la Regione ha correttamente accordato un accesso civico parziale, volto ad evitare che l’ostensione di dati e informazioni che possono rivelare, anche indirettamente, l’identità di soggetti interessati ed il connesso stato di salute”.