Il presente contributo intende descrivere - in linea generale, e in un ottica di "privacy by design" e di "privacy by default" ex art. 25[1] e Considerando n. 78)[2] del Regolamento UE n. 2016/679 (GDPR) - i principi tesi a regolamentare e a bilanciare il (controverso, delicato, sottile ed intricato) rapporto tra la normativa comunitaria e nazionale sulla protezione dei dati personali e la normativa nazionale volta a fornire pubblicità (anche legale), trasparenza ovvero accesso civico ai dati, agli atti e ai documenti amministrativi prodotti e/o detenuti da una Pubblica Amministrazione (PA).
In ambedue le (macro) ipotesi, giova precisare, in via preliminare, che le esigenze di pubblicità e di trasparenza (e di accesso civico) - poste in essere mediante la pubblicazione online di dati, informazioni e documenti che comporta un trattamento di dati personali - devono essere contemperate con i diritti e le libertà fondamentali, con particolar riferimento alla riservatezza, alla dignità ed identità dell'interessato e, di conseguenza, al diritto alla protezione dei dati personali.
Quadro giuridico/normativo (di primo e di secondo livello) di riferimento:
a. Art. 4 n. 1) del GDPR[3];
b. Art. 6 paragrafo 1) lettere c) ed e) del GDPR[4];
c. Art. 6 paragrafo 3) del GDPR[5];
d. Art. 9 paragrafo 1)[6], e paragrafo 2) lettera g)[7] del GDPR;
e. Art. 10 del GDPR[8];
f. Art. 86 del GDPR[9];
g. Considerando n. 154) del GDPR[10];
h. Art. 2 ter del D.Lgs. n. 196/2003 (Codice Privacy), così come novellato dal D.Lgs. n. 101/2018[11];
i. Art. 2 sexies commi 1) e 2) del Codice Privacy[12];
j. Art. 2 septies comma 8) del Codice Privacy[13];
k. Art. 59 del Codice Privacy[14];
l. Art. 60 del Codice Privacy[15];
m. Corte Costituzionale, sentenza n. 20 del 21.2.2019;
n. Corte di Giustizia dell'Unione Europea (CGUE), sentenza del 20.5.2003[16];
o. CGUE, sentenza del 9.11.2010[17];
p. D.Lgs. n. 33 del 14.3.2013, e s.m.i.;
q. D.Lgs. n. 267/2000;
r. Legge n. 241 del 7.8.1990;
s. D.Lgs. n. 82 del 7.3.2005 (CAD: Codice dell'Amministrazione Digitale);
t. ANAC, Delibera n. 1310 del 28.12.2016 ("Prime linee guida recanti indicazioni sull'attuazione degli obblighi di pubblicità, trasparenza e diffusione di informazioni contenute nel D.Lgs. 33/2013 come modificato dal D.Lgs. 97/2016");
u. ANAC, Delibera n. 1309 del 28.12.2016 ("Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all'accesso civico di cui all'art. 5 co. 2 del D.Lgs. 33/2013");
v. Garante Privacy italiano, Provvedimento "Dati sanitari. Provvedimento generale sui diritti di "pari rango" del 9.7.2003 (doc. web n. 29832);
w. Garante Privacy italiano, Deliberazione "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14.6.2007 (doc. web n. 1417809);
x. Garante Privacy italiano, Provvedimento n. 73 del 23.2.2012 (doc. web n. 1876679);
y. Garante Privacy italiano, Provvedimento "Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati" del 15.5.2014 (doc. web n. 3134436)[18];
z. Garante Privacy italiano, Provvedimento n. 377 del 25.6.2015 (doc. web n. 4166711);
aa. Garante Privacy italiano, Provvedimento n. 521 del 15.12.2016 ("Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all'accesso civico") (doc. web n. 5860807);
bb. Garante Privacy italiano, Provvedimento n. 116 del 2.7.2020 (doc. web n. 9440000);
cc. Garante Privacy italiano, Provvedimento n. 154 del 3.9.2020 (doc. web n. 9468523);
dd. Garante Privacy italiano, Provvedimento n. 86 del 25.5.2021 (doc. web n. 9567429);
ee. Garante Privacy italiano, Provvedimento n. 69 del 25.2.2021 (doc. web n. 9565258);
ff. Garante Privacy italiano, Provvedimento n. 73 del 25.2.2021 (doc. web n. 9574764);
gg. Garante Privacy italiano, Provvedimento n. 205 del 21.5.2021 (doc. web n. 9688057);
hh. Garante Privacy italiano, Provvedimento n. 237 del 10.6.2021 (doc. web n. 9681122);
ii. Garante Privacy italiano, Provvedimento n. 238 del 10.6.2021 (doc. web n. 9681945);
jj. Garante Privacy italiano, Provvedimento n. 296 del 22.7.2021 (doc. web n. 9691124).
AMMINISTRAZIONE TRASPARENTE[19]
Pubblicità per finalità di trasparenza: principi e limiti.
Il D.Lgs. n. 33/2013 e s.m.i. ha disciplinato, in maniera organica, i casi di pubblicità per finalità di trasparenza[20], mediante la pubblicazione[21] di dati, informazioni, atti e documenti sui siti web istituzionali dei soggetti obbligati.
I principi e la disciplina di protezione dei dati personali - così come, peraltro, previsto anche dall'art. 1 comma 2) del D.Lgs. n. 33/2013 - devono essere rispettati anche nell'attività di pubblicazione di dati sul web per finalità di trasparenza.
Nello specifico, la diffusione ex art. 2 ter comma 4) lettera b) del Codice Privacy dei dati personali da parte di un soggetto pubblico è ammessa unicamente quando la stessa è prevista da una specifica norma di legge o di regolamento: pertanto, in relazione all'operazione di diffusione, occorre che la pubblica amministrazione, prima di mettere a disposizione, sui propri siti web istituzionali informazioni, atti e documenti amministrativi (in forma integrale o per estratto, ivi compresi gli allegati) contenenti dati personali, verifichi che la normativa in materia di trasparenza preveda tale obbligo.
Laddove la PA riscontri l'esistenza di un obbligo normativo che impone la pubblicazione dell'atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l'oscuramento di determinate informazioni.
Il soggetto pubblico, infatti, in conformità ai principi di protezione dei dati, è tenuto a ridurre, al minimo, l'utilizzazione dei dati personali ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l'interessato solo in caso di necessità (cfr. principio di "minimizzazione" ex art. 5 paragrafo 1) lettera c) del GDPR[22]).
E', quindi, consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto: di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione online; in caso contrario, occorre provvedere, comunque, all'oscuramento delle informazioni che risultano eccedenti o non pertinenti.
Invece, è sempre vietata, ai sensi dell'art. 2 septies comma 8) del Codice Privacy, la diffusione dei dati genetici ex art. 4 n. 13)[23] del GDPR, dati biometrici[24] ex art. 4 n. 14)[25] del GDPR e dati personali relativi alla salute[26] ex art. 4 n. 15)[27] e Considerando n. 35) del GDPR: in particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.
Il procedimento di selezione dei dati personali che possono essere resi conoscibili online deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni sono idonee a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, oppure nel caso dei dati personali cd. giudiziari ex art. 10 del GDPR.
I descritti dati personali cd. particolari ovvero i dati personali cd. giudiziari sono, infatti, protetti da un quadro di garanzie particolarmente stringente che prevede la possibilità, per un soggetto pubblico, di diffondere tali informazioni solo nel caso in cui sia previsto da una espressa disposizione di legge e di trattarle solo nel caso in cui siano in concreto indispensabili per il perseguimento di un rilevante interesse pubblico, come, appunto, quello di trasparenza.
Pubblicità per finalità di trasparenza: pubblicazione di dati personali ulteriori.
La PA non è libera di diffondere dati personali ulteriori, non individuati dal D.Lgs. n. 33/2013 o da altra specifica norma di legge o di regolamento. L'eventuale pubblicazione di dati, informazioni e documenti, che non si ha l'obbligo di pubblicare, è legittimata soltanto procedendo all'anonimizzazione dei dati personali ivi presenti.
In proposito, giova evidenziare che la (diffusa) prassi di sostituire il nome e cognome dell'interessato con le sole iniziali è, di per sé, insufficiente, ad anonimizzare i dati personali contenuti negli atti e nei documenti pubblicati online; inoltre, il rischio di identificare l'interessato è tanto più probabile quando, fra l'altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono, comunque, identificabile il soggetto interessato (si pensi, ad esempio, alle informazioni relative alla residenza ovvero quando un soggetto possiede un doppio nome e/o cognome)[28].
Pubblicità per finalità di trasparenza: qualità delle informazioni.
L'art. 6 del D.Lgs. n. 33/2013 sancisce espressamente che: "Le pubbliche amministrazioni garantiscono la qualità delle informazioni riportate nei siti istituzionali nel rispetto degli obblighi di pubblicazione previsti dalla legge, assicurandone l'integrità, il costante aggiornamento, la completezza, la tempestività, la semplicità di consultazione, la comprensibilità, l'omogeneità, la facile accessibilità, nonché la conformità ai documenti originali in possesso dell'amministrazione, l'indicazione della loro provenienza e la riutilizzabilità secondo quanto previsto dall'articolo 7".
Tale previsione deve essere interpretata anche alla luce dei principi in materia di protezione dei dati personali, per cui la PA è tenuta a mettere a disposizione soltanto i dati personali esatti ed aggiornati (cfr. art. 5 paragrafo 1) lettera d) del GDPR).
Pubblicità per finalità di trasparenza: durata degli obblighi di pubblicazione.
L'art. 8 comma 3) del D.Lgs. n. 33/2013 prevede che i dati, le informazioni e i documenti oggetto di pubblicazione sono "pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorre l'obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatti salvi i diversi termini previsti dalla normativa in materia di trattamento dei dati personali e quanto previsto dagli articoli 14, comma 2, e 15, comma 4".
Ai sensi di tale disposizione, dunque, il periodo di mantenimento di dati, informazioni e documenti sul web coincide, in linea di massima, con il termine di cinque anni.
Sono, tuttavia, espressamente previste deroghe alla predetta durata temporale quinquennale:
a. nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;
b. per alcuni dati e informazioni riguardanti "i titolari di incarichi politici, di carattere elettivo o comunque di esercizio di poteri di indirizzo politico, di livello statale, regionale o locale" (cfr. art. 14 comma 2) del D.Lgs. n. 33/2013) e i "titolari di incarichi dirigenziali e di collaborazione o consulenza" che devono rimanere pubblicati online per i tre anni successivi dalla cessazione del mandato o dell'incarico (cfr. art. 15 comma 4) del D.Lgs. n. 33/2013).
Obbligo di pubblicazione della dichiarazione dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari.
L'art. 14 comma 1) lettera f) del D.Lgs. n. 33/2013 prevede: "Con riferimento ai titolari di incarichi politici, anche se non di carattere elettivo, di livello statale, regionale e locale, lo Stato, le regioni e gli enti locali pubblicano con riferimento a tutti i propri provvedimenti, i seguenti documenti ed informazioni [
] le dichiarazioni di cui all'articolo 2, della legge 5 luglio 1982, n. 441, nonché le attestazioni e dichiarazioni di cui agli articoli 3 e 4 della medesima legge, come modificata dal presente decreto, limitatamente al soggetto, al coniuge non separato e ai parenti entro il secondo grado, ove gli stessi vi consentano. Viene in ogni caso data evidenza al mancato consenso".
Tale disposizione deve essere coordinata con i principi cardine di cui al GDPR, rappresentati in particolar modo dai principi di necessità, di minimizzazione, di pertinenza e non eccedenza.
Pertanto, ai fini dell'adempimento del previsto obbligo di pubblicazione, risulta sufficiente pubblicare copia della dichiarazione dei redditi dei componenti degli organi di indirizzo politico (e, laddove vi acconsentano, del coniuge non separato e dei parenti entro il secondo grado), previo oscuramento, a cura dell'interessato o del soggetto tenuto alla pubblicazione qualora il primo non vi abbia provveduto, delle informazioni eccedenti e non pertinenti rispetto alla ricostruzione della situazione patrimoniale degli interessati, nonché di quelle dalle quali si possano desumere indirettamente dati cd. particolari, come, tra l'altro, le indicazioni relative a:
ü familiari a carico tra i quali possono essere indicati figli disabili;
ü spese mediche e di assistenza per portatori di handicap o per determinate patologie;
ü erogazioni liberali in denaro, a favore dei movimenti e partiti politici;
ü erogazioni liberali in denaro a favore delle organizzazioni non lucrative di utilità sociale, delle iniziative umanitarie, religiose, o laiche, gestite da fondazioni, associazioni, comitati ed enti individuati con Decreto del Presidente del Consiglio dei Ministri nei paesi non appartenenti all'OCSE;
ü contributi associati versati dai soci alle società di mutuo soccorso che operano nei settori di cui alla Legge n. 3818/1886, al fine di assicurare ai soci medesimi un sussidio nei casi di malattia, di impotenza al lavoro o di vecchiaia, oppure, in caso di decesso, un aiuto alle loro famiglie;
ü spese sostenute per i servizi di interpretariato dai soggetti riconosciuti sordomuti ai sensi della Legge n. 381/1970;
ü erogazioni liberali in denaro a favore delle istituzioni religiose;
ü scelta per la destinazione dell'otto per mille o del cinque per mille.
Obbligo di pubblicazione concernenti i corrispettivi e i compensi.
La disciplina in materia di trasparenza prevede che le informazioni concernenti l'entità dei corrispettivi e dei compensi percepiti da alcune tipologie di soggetti formino oggetto di pubblicazione secondo le modalità previste dal D.Lgs. n. 33/2013.
Tra questi ultimi sono annoverati, ad esempio, i titolari di incarichi di collaborazione o consulenza (cfr. art. 15 del D.Lgs. n. 33/2013) nonché i dipendenti pubblici cui siano stati conferiti o autorizzati incarichi (cfr. art. 18 del D.Lgs. n. 33/2013).
Pertanto, ai fini dell'adempimento degli obblighi di pubblicazione, risulta proporzionato indicare il compenso complessivo percepito dai singoli soggetti interessati, determinato tenendo conto di tutte le componenti, anche variabili, della retribuzione. Non appare, invece, giustificato riprodurre sul web la versione integrale di documenti contabili, i dati di dettaglio risultanti dalle dichiarazioni fiscali oppure dai cedolini dello stipendio di ciascun lavoratore, come pure l'indicazione di altri dati eccedenti riferiti a percettori di somme (es. recapiti individuali e coordinate bancarie utilizzate per effettuare i pagamenti).
Obbligo di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e dell'elenco dei soggetti beneficiari.
L'art. 26 comma 2) del D.Lgs. n. 33/2013 stabilisce l'obbligo di pubblicazione degli atti di concessione "delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a mille euro...", mentre il comma 3) del medesimo articolo aggiunge che tale pubblicazione "costituisce condizione legale di efficacia dei provvedimenti che dispongano concessioni e attribuzioni di importo complessivo superiore a mille euro nel corso dell'anno solare al medesimo beneficiario".
In tale quadro, lo stesso D.Lgs. n. 33/2013 individua una serie di limiti all'obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Infatti, non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari: (a) di importo complessivo inferiore a mille euro nel corso dell'anno solare a favore del medesimo beneficiario; (b) di importo superiore a mille euro nel corso dell'anno solare a favore del medesimo beneficiario "qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute" (cfr. art. 26 comma 4) del D.Lgs. n. 33/2013); (c) di importo superiore a mille euro nel corso dell'anno solare a favore del medesimo beneficiario "qualora da tali dati sia possibile ricavare informazioni relative [
] alla situazione di disagio economico-sociale degli interessati" (cfr. art. 26 comma 4) del D.Lgs. n. 33/2013).
Si tratta di un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell'interessato, al fine di evitare che soggetti che si trovano in condizioni disagiate (economiche o sociali) soffrano l'imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale[29].
Nel rispetto dei principi cardine del GDPR, non risulta, pertanto, giustificato diffondere, fra l'altro, dati quali, ad esempio, l'indirizzo di abitazione o la residenza, il codice fiscale di persone fisiche, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codice IBAN), la ripartizione degli assegnatari secondo le fasce Isee, l'indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative.
Bandi di concorso.
L'art. 19 del D.Lgs. n. 33/2013 dispone espressamente che: "1. Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l'amministrazione, nonché i criteri di valutazione della Commissione e le tracce delle prove scritte. 2. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornato l'elenco dei bandi di concorso".
Sul punto, il Garante Privacy italiano ha ricordato che "In relazione alla pubblicità degli esiti delle prove concorsuali e delle graduatorie finali di concorsi e selezioni pubbliche e di altri procedimenti che prevedono la formazione di graduatorie, questa Autorità fin dal 2014 ha evidenziato che sussistono "normative di settore che ne regolano tempi e forme di pubblicità (es. affissione presso la sede dell'ente pubblico, pubblicazione nel bollettino dell'amministrazione o, per gli enti locali, all'albo pretorio). Tale regime di conoscibilità, come già rilevato in passato dal Garante, assolve alla funzione di rendere pubbliche le decisioni adottate dalla commissione esaminatrice e/o dall'ente pubblico procedente, anche al fine di consentire agli interessati l'attivazione delle forme di tutela dei propri diritti e di controllo della legittimità delle procedure concorsuali o selettive. Anche a questo riguardo devono essere diffusi i soli dati pertinenti e non eccedenti riferiti agli interessati. Non possono quindi formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (quali fra l'altro) l'indirizzo di residenza o di posta elettronica
" (cfr. Garante Privacy italiano, Provvedimento n. 237 del 10.6.2021)[30].
ALBO PRETORIO ONLINE.
Pubblicazione di deliberazioni contenenti dati personali all'interno di un albo pretorio online.
La disposizione di ordine generale sulla tenuta dell'albo pretorio negli enti locali è contenuta nell'art. 124 commi 1) e 2) del D.Lgs. n. 267/2000 ("1. Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all'albo pretorio, nella sede dell'ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge. 2. Tutte le deliberazioni degli altri enti locali sono pubblicate mediante pubblicazione all'albo pretorio del comune ove ha sede l'ente, per quindici giorni consecutivi, salvo specifiche disposizioni").
A seguito dell'entrata in vigore della riforma contenuta nella Legge n. 69 del 18.6.2009, gli enti locali hanno provveduto all'istituzione dell'albo pretorio online al fine di adempiere agli obblighi di pubblicità legale dei propri atti.
La disciplina appena richiamata, infatti, senza abrogare le precedenti disposizioni in materia di tenuta dell'albo pretorio, ha sancito espressamente che "A far data dal 1 gennaio 2010, gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati": dal 1 gennaio 2010, dunque, gli obblighi di pubblicità legale che gli enti locali assolvevano attraverso l'affissione all'albo pretorio sono sostituiti dalla pubblicazione della medesima documentazione nei rispettivi siti web istituzionali.
Nei casi in cui, invece, la disciplina di settore non stabilisca un limite temporale alla pubblicazione degli atti, la PA è tenuto ad individuare congrui periodi di tempo entro i quali mantenerli online: tale lasso di tempo non può essere superiore al periodo ritenuto, caso per caso, necessario al raggiungimento degli scopi per i quali i dati personali stessi sono resi pubblici.
Trascorsi i predetti periodi di tempo specificatamente individuati dalla normativa di settore o, in mancanza, dall'amministrazione, determinate notizie, documenti o sezioni del sito devono essere rimossi dal sito web oppure devono essere privati degli elementi identificativi degli interessati e delle altre informazioni che possano consentirne l'identificazione.
Resta, infatti, salva la possibilità, in capo al singolo soggetto richiedente, di consultare il documento completo, con i riferimenti in chiaro, tramite una rituale richiesta di accesso agli atti amministrativi presso gli uffici competenti, laddove esistano i presupposti prescritti dalla disciplina di settore.
ACCESSO CIVICO "GENERALIZZATO", ACCESSO CIVICO "SEMPLICE" ED ACCESSO CIVICO "DOCUMENTALE".
Accesso civico "generalizzato".
Tale nuova tipologia di accesso, delineata nell'art. 5 comma 2) del D.Lgs. n. 33/2013 ("Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha il diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis"[31]), si traduce, in estrema sintesi, in un diritto di accesso non condizionato dalla titolarità di situazioni giuridicamente rilevanti ed avente ad oggetto tutti i dati e i documenti e informazioni detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli per i quali è stabilito un obbligo di pubblicazione[32].
Il diritto di accesso civico "generalizzato" si configura come un diritto a titolarità diffusa, potendo, infatti, essere attivato "da chiunque", e non essendo sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente e, infine, non richiedendo alcuna motivazione a supporto.
In altri termini, tale nuova tipologia di accesso civico risponde all'interesse dell'ordinamento di assicurare ai cittadini, indipendentemente dalla titolarità di situazioni giuridiche soggettive, un accesso a dati, documenti e informazioni detenute da una PA e dai soggetti indicati nell'art. 2 bis del D.Lgs. n. 33/2013.
L'accesso civico "generalizzato" si delinea come autonomo ed indipendente dai presupposti obblighi di pubblicazione e come espressione, invece, di una libertà che incontra, quali unici limiti, da una parte, il rispetto della tutela degli interessi pubblici e/o privati indicati all'art. 5 bis commi 1) e 2) del D.Lgs. n. 33/2013, e, dall'altra, il rispetto delle norme che prevedono specifiche esclusioni ex art. 5 bis comma 3) del D.Lgs. n. 33/2013.
Accesso civico "semplice".
L'accesso civico "generalizzato" non sostituisce l'accesso civico "semplice" previsto dall'art. 5 comma 1) del D.Lgs. n. 33/2013 ("L'obbligo previsto dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione").
Dunque, tale tipologia di accesso civico rimane circoscritto ai soli atti, documenti e informazioni oggetto di obblighi di pubblicazione e costituisce un rimedio alla mancata osservanza degli obblighi di pubblicazione imposti dalla legge, sovrapponendo al dovere di pubblicazione, il diritto del privato di accedere ai documenti, dati ed informazioni interessati dall'inadempienza.
Come già descritto per l'accesso civico "generalizzato", anche l'accesso civico "semplice" si configura come un diritto a titolarità diffusa, potendo, infatti, essere attivato "da chiunque", e non essendo sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente e, infine, non richiedendo alcuna motivazione a supporto.
Accesso civico "documentale" ex Legge n. 241/1990.
L'accesso civico "generalizzato" deve essere, anche, tenuto distinto dalla disciplina dell'accesso civico "documentale", previsto agli artt. 22 e ss. della Legge n. 241 del 7.8.1990.
La finalità dell'accesso documentale ex Legge n. 241/1990 è, in effetti, ben differente da quella sottesa all'accesso generalizzato ed è quella di porre i soggetti interessati in grado di esercitare, al meglio, le facoltà (partecipative, oppositive o difensive) che l'ordinamento attribuisce loro a tutela delle posizioni giuridiche qualificate di cui sono titolari.
Più precisamente, dal punto di vista soggettivo, ai fini dell'istanza di accesso ex Legge n. 241/1990, il richiedente deve dimostrare di essere titolare di un "interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso".
L'accesso civico agli atti di cui alla Legge n. 241/1990 continua certamente a sussistere, ma parallelamente all'accesso civico (generalizzato e non), operando sulla base di norme e presupposti diversi.
Tenere ben distinte le due fattispecie è essenziale per calibrare i diversi interessi in gioco allorché si renda necessario un bilanciamento, caso per caso, tra tali interessi. Tale bilanciamento è, infatti, ben diverso nel caso dell'accesso civico "documentale" dove la tutela può consentire un accesso più in profondità a dati pertinenti e nel caso dell'accesso civico "generalizzato" ove le esigenze di controllo diffuso del cittadino devono consentire un accesso meno in profondità ma più esteso, avendo presente che l'accesso in questo caso comporta, di fatto, una larga conoscibilità di dati, documenti e informazioni.
E' necessario, peraltro, considerare che i dinieghi di accesso agli atti e ai documenti di cui alla Legge n. 241/1990, se motivati con esigenze di "riservatezza" pubblica o privata devono essere considerati attentamente anche ai fini dell'accesso civico "generalizzato", ove l'istanza relativa a quest'ultimo sia identica e presentata nel medesimo contesto temporale a quello dell'accesso civico "documentale".
Infine, si ricorda che - nel caso dell'accesso civico "generalizzato", dell'accesso civico "semplice" ovvero dell'accesso civico "documentale" - è necessario tenere in debita considerazione le prescrizioni sancite dall'art. 60 del Codice Privacy, così come interpretate, a suo tempo, dal Garante Privacy italiano all'interno del Provvedimento del 9.7.2003.
Nello specifico, il Garante Privacy italiano ha precisato che - nel caso in cui la richiesta di accesso civico abbia ad oggetto dati ovvero documenti contenenti dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale di una persona (o, in via generale, dati personali cd. particolari ex art. 9 paragrafo 1) del GDPR) - il destinatario della richiesta, nel valutare il "rango" del diritto di un terzo che può giustificare l'accesso o la comunicazione, deve utilizzare come parametro di raffronto non il "diritto di azione e difesa" che è pure costituzionalmente garantito, quanto piuttosto il diritto sottostante (che, comunque, deve far parte dei diritti della personalità o dei diritti e libertà fondamentali: es. diritto alla vita; diritto alla integrità della persona; diritto alla libertà e alla sicurezza; diritto di lavorare) che il soggetto cd. terzo intende far valere sulla base del materiale documentale che intende conoscere.
[1] Art. 25 del GDPR: "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità di trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate [
] volte ad attuare in modo efficace i principi di protezione dei dati [
]. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica".
[2] Considerando n. 78) del GDPR: "La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero, tra l'altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all'interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e di migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati
".
[3] Art. 4 n. 1) del GDPR: "dato personale": "qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale".
[4] Art. 6 paragrafo 1) lettere c) ed e): "1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: c) il trattamento è necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento; [
] e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento".
[5] Art. 6 paragrafo 3) del GDPR: "La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme al presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità; i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito".
[6] Art. 9 paragrafo 1) del GDPR: "E' vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona".
[7] Art. 9 paragrafo 2) lettera g) del GDPR: "2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: g) il trattamento è necessario per motivi di interesse pubblico sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato".
[8] Art. 10 del GDPR: "Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica".
[9] Art. 86 del GDPR: "I dati personali contenuti in documenti ufficiali in possesso di un'autorità pubblica o di un organismo pubblico o privato per l'esecuzione di un compito svolto nell'interesse pubblico possono essere comunicati da tale autorità o organismo conformemente al diritto dell'Unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono soggetti, al fine di conciliare l'accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali".
[10] Considerando n. 154) del GDPR: "Il presente regolamento ammette, nell'applicazione delle sue disposizioni, che si tenga conto del principio del pubblico accesso ai documenti ufficiali. L'accesso del pubblico ai documenti ufficiali può essere considerato di interesse pubblico. I dati personali contenuti in documenti conservati da un'autorità pubblica o da un organismo pubblico dovrebbero poter essere diffusi da detta autorità o organismo se la diffusione è prevista dal diritto dell'Unione o degli Stati membri cui l'autorità pubblica o l'organismo pubblico sono soggetti. Tali disposizioni legislative dovrebbero conciliare l'accesso del pubblico ai documenti ufficiali e il riutilizzo delle informazioni del settore pubblico con il diritto alla protezione dei dati personali e possono quindi prevedere la necessaria conciliazione con il diritto alla protezione dei dati personali, in conformità del presente regolamento. Il riferimento alle autorità pubbliche e agli organismi pubblici dovrebbe comprendere, in tale contesto, tutte le autorità o altri organismi cui si applica il diritto degli Stati membri sull'accesso del pubblico ai documenti. La direttiva 2003/98/CE del Parlamento e del Consiglio non pregiudica in alcun modo il livello di tutela delle persone fisiche con riguardo al trattamento dei dati personali ai sensi delle disposizioni di diritto dell'Unione e degli Stati membri e non modifica, in particolare, gli obblighi e i diritti previsti dal presente regolamento. Nello specifico, tale direttiva non dovrebbe applicarsi ai documenti il cui accesso è escluso o limitato in virtù dei regimi di accesso per motivi di protezione dei dati personali, e a parti di documenti accessibili in virtù di tali regimi che contengono dati personali il cui riutilizzo è stato previsto per legge come incompatibile con la normativa in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali".
[11] Art. 2 ter del Codice Privacy: "1. La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento. 2. La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati. 3. La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1. 4. Si intende per: a) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione; b) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione".
[12] Art. 2 sexies commi 1) e 2) del Codice Privacy: "1. I trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato. 2. Fermo quanto previsto dal comma 1, si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie: [
]"
[13] Art. 2 septies comma 8) del Codice Privacy: "I dati personali di cui al comma 1 [n.d.r.: i dati genetici, biometrici e relativi alla salute] non possono essere diffusi".
[14] Art. 59 del Codice Privacy: "1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del regolamento e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. 1-bis. I presupposti, le modalità e i limiti per l'esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33".
[15] Art. 60 del Codice Privacy: "Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale".
[16] Ha riunito i seguenti procedimenti: C-465/00; C-138/01; C-139/01.
[17] Ha riunito i seguenti procedimenti: C-92/09; C-93/09.
[18] Queste linee guida sono attualmente in corso di aggiornamento, sebbene ancora attuali nella loro parte sostanziale (cfr. dichiarazione, sul punto, espressa dal Garante Privacy italiano nel Provvedimento n. 296 del 22.7.2021, pag. 3 (doc. web n. 9697724).
[19] Cfr. CGUE, sentenza del 9.11.2010, punto 68) ("Occorre ricordare che il principio di trasparenza è sancito dagli artt. 1 TUE e 10 TUE nonché dall'art. 15 TFUE. Esso consente una migliore partecipazione dei cittadini al processo decisionale e garantisce una maggiore legittimità, efficienza e responsabilità dell'amministrazione nei confronti dei cittadini in un sistema democratico"), punto 76) ("Quanto alla necessità della misura, si deve rammentare che l'obiettivo della pubblicazione in questione non può essere perseguito senza tener conto del fatto che esso deve essere conciliato con i diritti fondamentali sanciti dagli artt. 7 e 8 della Carta"), punto 77) ("
le deroghe e le limitazioni alla protezione dei dati personali devono operare entro i limiti dello stretto necessario"), e punto 85) ("
Si deve ricordare che le istituzioni, prima di divulgare informazioni riguardanti una persona fisica, devono soppesare l'interesse dell'Unione a garantire la trasparenza delle proprie azioni con la lesione dei diritti riconosciuti dagli artt. 7 e 8 della Carta. Orbene, non può riconoscersi alcuna automatica prevalenza dell'obiettivo di trasparenza sul diritto alla protezione dei dati personali
").
Cfr., altresì, Corte di Cassazione, sentenza n. 20 del 21.2.2019: "
si è in presenza di una questione concernente il bilanciamento tra due diritti: quello alla riservatezza dei dati personali, inteso come diritto a controllare la circolazione delle informazioni riferite alla propria persona, e quello dei cittadini al libero accesso ai dati ed alle informazioni detenute dalle pubbliche amministrazioni [
] deroghe e limitazioni alla protezione dei dati personali devono perciò operare nei limiti dello stretto necessario, e prima di ricorrervi occorre ipotizzare misure che determino la minor lesione, per le persone fisiche, del suddetto diritto fondamentale e che, nel contempo, contribuiscano in maniera efficace al raggiungimento dei confliggenti obiettivi di trasparenza, in quanto legittimamente perseguiti [
] non può riconoscersi alcuna automatica prevalenza dell'obiettivo di trasparenza sul diritto alla protezione dei dati personali".
[20] Cfr. D.Lgs. n. 33 del 14.3.2013, artt. 1 comma 1) ("La trasparenza è intesa come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all'attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche") e 2 comma 1) ("Le disposizioni del presente decreto disciplinano la libertà di accesso di chiunque ai dati e ai documenti detenuti dalle pubbliche amministrazioni e dagli altri soggetti di cui all'articolo 2-bis, garantita, nel rispetto dei limiti relativi alla tutela di interessi pubblici e privati giuridicamente rilevanti, tramite l'accesso civico e tramite la pubblicazione di documenti, informazioni e dati concernenti l'organizzazione e l'attività delle pubbliche amministrazioni e le modalità per la loro realizzazione".
[21] Cfr. D.Lgs. n. 33 del 14.3.2013, art. 2 comma 2): "Ai fini del presente decreto, per pubblicazione si intende la pubblicazione, in conformità alle specifiche e alle regole tecniche di cui all'allegato A, nei siti istituzionali delle pubbliche amministrazioni dei documenti, delle informazioni e dei dati concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, cui corrisponde il diritto di chiunque di accedere ai siti direttamente ed immediatamente, senza autenticazione ed identificazione".
[22] Cfr. Garante Privacy italiano, Provvedimento n. 73 del 25.2.2021 (doc. web n. 9574764): "Ciò è d'altronde confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è infatti previsto che il titolare del trattamento debba mettere "in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento ("privacy by design") e debba essere "in grado di dimostrare" - alla luce del principio di "responsabilizzazione" ("accountability") - di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD)".
[23] Art. 4 n. 13) del GDPR: "dati genetici": "i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione".
[24] Art. 4 n. 14) del GDPR: "dati biometrici": "i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici".
[25] Considerando n. 35) del GDPR: "Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro".
[26] Cfr. Garante Privacy, Provvedimento n. 68 del 25.2.2021 (doc. web n. 9567429): "Per quanto attiene alla circostanza che la determinazione in questione menzionasse solo l'assenza per malattia del reclamante, senza l'indicazione della diagnosi, si rileva che, secondo il costante orientamento del Garante, nella nozione di dato personale relativo alla salute "può rientrare anche una informazione relativa all'assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi" (cfr. Garante Privacy italiano, provvedimento n. 23 del 14.6.2007, n. 269 del 7.5.2015).
[27] Art. 4 n. 15) del GDPR: "dati relativi alla salute": "i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute".
[28] Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare, del tutto, il nominativo e le altre informazioni riferite all'interessato che ne possono consentire l'identificazione anche a posteriori.
[29] Cfr. Garante Privacy italiano, Provvedimento n. 296 del 22.7.2021 (doc. web n. 9697724).
[30] Cfr. Garante Privacy italiano, Provvedimento n. 154 del 3.9.2020 (doc. web n. 9468523): "Al riguardo, si evidenzia che la disciplina di settore applicabile al caso di specie contenuta nell'art. 15, comma 6-bis, del DPR 9/5/1994, n. 487 (Regolamento recante norme sull'accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi), dispone, in primo luogo, che siano pubblicate "nell'albo pretorio del relativo ente" le sole graduatorie definitive dei vincitori di concorso presso gli enti territoriali e non anche, come nella questione sottoposta all'attenzione del Garante, gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori, non ammessi o che si sono ritirati".
[31] Il riferimento non è solo ai "documenti amministrativi" ma anche ai "dati" che esprimono un concetto informativo più ampio, da riferire al dato conoscitivo come tale, indipendentemente dal supporto fisico su cui è incorporato e a prescindere dai vincoli derivanti dalle sue modalità di organizzazione e conservazione. La distinzione tra documenti e dati acquista rilievo nella misura in cui essa comporta che l'amministrazione sia tenuta a considerare come validamente formulate, e quindi a darvi seguito, anche le richieste che si limitino a identificare/indicare i dati desiderati, e non anche i documenti in cui essi sono contenuti. Si evidenzia, tuttavia, che il testo del D.Lgs. n. 33/2013 dispone che "l'istanza di accesso civico identifica i dati, le informazioni o i documenti richiesti"; pertanto, non è ammissibile una richiesta meramente esplorativa, volta semplicemente a "scoprire" di quali informazioni l'amministrazione dispone. Le richieste, inoltre, non devono essere generiche, ma consentire l'individuazione del dato, del documento o dell'informazione, con riferimento, almeno, alla loro natura o oggetto.
[32] Anche nell'ordinamento dell'Unione Europea, soprattutto a seguito dell'entrata in vigore del Trattato di Lisbona (cfr. art. 15 TFUE e capo V) della Carta dei diritti fondamentali), il diritto di accesso non è preordinato alla tutela di una propria posizione giuridica soggettiva, quindi non richiede la prova di un interesse specifico, ma risponde ad un principio generale di trasparenza dell'azione dell'Unione ed è uno strumento di controllo democratico sull'operato dell'amministrazione europea, volto a promuovere il buon governo e garantire la partecipazione della società civile. Dal canto suo, la Corte europea dei diritti dell'uomo ha qualificato il diritto di accesso alle informazioni quale specifica manifestazione della libertà di informazione, ed in quanto tale protetto dall'art. 10 (1) della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali.