Provvedimento del Garante – 23 aprile 2021 [9582723]
Il Garante per la protezione dei dati personali viene chiamato a esprimersi in ordine al diniego di accesso civico a seguito di una richiesta, presentata da un Comitato – costituito da famiglie, professionisti della scuola e studenti attivi nella società civile – finalizzata a ottenere i dati che settimanalmente vengono inviati dalle Scuole della Provincia al sistema di Sorveglianza Sanitaria» e «Nello specifico […] copia del database delle serie storiche contenente le seguenti rilevazioni:
– numero di casi in isolamento
– numero di casi in quarantena
– numero di casi sottoposti a tampone (molecolare o antigenico)
– numero di casi in attesa di esito
– numero di casi con esito positivo
– numero di casi con esito negativo
– numero di classi in isolamento
– numero di classi in quarantena preventiva
– numero di classi focolaio (con casi positivi al tampone successivamente al caso 1) con granularità temporale settimanale con profondità temporale da inizio rilevazione, con dettaglio e gerarchia per singolo circolo/scuola e singolo plesso».
Preliminarmente il Garante afferma che l’istituto dell’accesso civico può avere a oggetto solo dati e documenti «detenuti» dalle pubbliche amministrazioni, con impossibilità di accogliere istanze che abbiano a oggetto dati o informazioni non ancora in possesso della p.a. o l’attivazione di flussi futuri di comunicazione di dati.
Riguardo al merito della richiesta, l’Autorità garante afferma, innanzitutto ribadisce che i dati e le informazioni riferite a persone fisiche, identificate o identificabili, che hanno contratto il virus da Covid-19 rientrano sicuramente nella definizione di dati sulla salute per i quali va escluso l’accesso civico ai sensi del richiamato art. 5-bis, comma 3, del d. lgs. n. 33/2013.
Peraltro, le informazioni riferite a persone fisiche, identificate o identificabili, che – pur non essendo positive al Covid-19 – sono state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento sono di natura particolarmente delicata, essendo peraltro riferite nel caso in esame a soggetti minorenni. Un’eventuale ostensione di tali dati personali, unita al particolare regime di pubblicità dei dati oggetto di accesso civico, può essere fonte di rischi specifici per i soggetti interessati, determinando possibili ripercussioni negative sul piano personale, sociale e relazionale, sia all’interno che all’esterno dell’ambiente scolastico. In tal modo, potrebbe effettivamente determinarsi un’interferenza ingiustificata e sproporzionata nei diritti e libertà individuali, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. b e c, del RGPD), arrecando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Al riguardo, bisogna, inoltre, tener conto delle ragionevoli aspettative di confidenzialità dei controinteressati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dagli Istituti scolastici, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti ai minori e alle relative famiglie, dall’eventuale conoscibilità, da parte di chiunque, dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.)
Inoltre, ribadendo quanto affermato dagli istituti scolastici che si sono opposti all’accesso, rileva che l’ostensione del complesso delle informazioni richieste, anche se private dei dati direttamente indentificativi dei soggetti interessati, «laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute», possono consentire di risalire all’identità dei soggetti coinvolti.
In proposito, occorre infatti ricordare che, ai sensi del RGPD, si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1).
Al riguardo non viene condivisa la decisione adottata da una Regione di non fornire dati di dettaglio sull’emergenza sanitaria che possano consentire un’identificazione indiretta dei soggetti interessati e di fornire, invece, in ogni caso – allo scopo di soddisfare le esigenze informative alla base dell’accesso civico e di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – i dati sull’emergenza sanitaria aggregati, su base territoriale più ampia, a livello comunale. Tale soluzione, infatti, potrebbe non essere utile con particolare riferimento ai dati dei minori iscritti negli Istituti scolastici, considerando – ad esempio – che in comuni molto piccoli potrebbero essere presenti anche singoli istituti/plessi scolastici e l’aggregazione a livello comunale sarebbe sostanzialmente inutile, coincidendo con la singola scuola o plesso.
