Casi & Pareri

Sentenza 22/05/2025 n° 1791
Area: Giurisprudenza

In materia di accesso agli atti negli appalti pubblici, deve considerarsi illegittimo il diniego di accesso civico generalizzato agli atti esecutivi di un rapporto contrattuale di appalto basato su una generica dichiarazione del controinteressato di sussistenza di “segreti tecnici o commerciali” e senza verificare la possibilità di applicare l’art. 5 bis, comma 4, D.Lgs. 33/2013##1187T, che prevede che “Se i limiti di cui ai commi 1 e 2 riguardano soltanto alcuni dati o alcune parti del documento richiesto, deve essere consentito l’accesso agli altri dati o alle altre parti.”

Sentenza 23/06/2025 n° 755
Area: Giurisprudenza

1. In materia di accesso civico, l’Amministrazione non deve effettuare una verifica circa l’assenza, in capo all’istante, di un interesse che lo abiliterebbe ad avanzare una richiesta di accesso documentale. Ciò ingenererebbe un aggravamento procedimentale incompatibile con la ratio dell’istituto. 2. L'accesso civico generalizzato non è sottoposto a limiti quanto alla legittimazione soggettiva né a oneri di motivazione (Ad. plen. n. 10/2022; Sezione III, 10 giugno 2022, n. 4735; Sezione V, 11 aprile 2022, n. 2670##2700L; 3 agosto 2021, n. 5714; 6 aprile 2020, n. 2309; 2 agosto 2019, n. 5502); non richiede la titolarità in capo all'istante di un interesse specifico (Sez. III, 28 luglio 2022, n. 6639); si tratta, quindi, di una tipologia di accesso che non incontra il limite connaturale all'accesso documentale di cui alla L. n. 241 del 1990, il quale non può essere preordinato a un controllo generalizzato sull'attività delle pubbliche amministrazioni, restando strumentale alla protezione di un interesse individuale, laddove l’accesso civico generalizzato è finalizzato a garantire il controllo democratico sull’attività amministrativa; sicché si tratta di un interesse individuale alla conoscenza che è protetto in sé e per sé, purché non sussistano le contrarie ragioni di interesse pubblico o privato e le esclusioni previste dallo stesso art. 5 bis, comma 3 (Cons. Stato, Sez. IV, 16 novembre 2023, n. 9849##3063L; Sez. V, 4 gennaio 2021, n. 60; Cons. Stato, Sez. II, 24 gennaio 2025, n. 542). 3. La giurisprudenza ha individuato due categorie di eccezioni all’accesso civico: quelle di cui all’art. 5-bis, co. 3 del d.lgs. 14 marzo 2013, n. 33 ##1187T sono considerate assolute in quanto si tratta di preclusioni delineate direttamente dal legislatore; quelle indicate ai primi due commi sono relative e richiedono una attività valutativa dell’amministrazione, che deve verificare se l’ostensione degli atti possa comunque determinare un pericolo di pregiudizio agli interessi indicati dal legislatore. Nel caso di specie, il ricorrente aveva presentato istanza di accesso civico generalizzato, ai sensi dell’art. 5, co. 2 del d.lgs. 14 marzo 2013, n. 33##1186T, al Dirigente Scolastico richiedendo copia conforme all’originale del proprio elaborato scritto della prima prova dell’esame di maturità. L’Amministrazione scolastica ha negato l’accesso e il TAR ha annullato tale decisione in quanto non era stata prospettata nessuna delle fattispecie ostative da parte della scuola.

Sentenza 04/09/2025 n° 7201
Area: Giurisprudenza

1. In materia di accesso civico generalizzato, laddove l’interesse alla conoscenza, protetto dall’art. 5, comma 2##1136T, fronteggi gli interessi-limite pubblici o privati di cui ai commi 1 e 2 dell’art. 5 bis##1187T del medesimo decreto, questo confronto è oggetto di una valutazione dell’amministrazione ad “alto tasso di discrezionalità” (Cons. Stato, Ad. Plen. n. 10 del 2020; Cons Stato, V, n. 1817 del 2019). 2. L’art. 35 del d.lgs. n. 36/2023##6028T, nonostante l’identità della rubrica con l’art. 53 del d.lgs. n.50/2016##1625T, ha codificato l’applicazione dell’accesso civico generalizzato al settore dei contratti pubblici, normativizzando i principi affermati dall’Adunanza Plenaria n. 10 del 2020 attraverso il riconoscimento a tutti i cittadini della “possibilità di richiedere, attraverso l’istituto dell’accesso civico generalizzato, la documentazione di gara nei limiti consentiti e disciplinati dall’art. 5-bis del d. lgs. 14 marzo 2013, n. 33##1187T”. 3. Se è vero che l’art. 35 del d.lgs. n. 36/2023##6028T ha codificato l’accesso civico generalizzato in relazione al settore degli appalti, non per questo ha fatto venire meno l’operatività dei c.d. interessi-limite pubblici o privati di cui ai commi 1 e 2 dell’art. 5 bis del d.lgs. n. 33/2013##1187T. 4. Spetta all’amministrazione operare un bilanciamento concreto dei contrapposti interessi all’ostensione e alla riservatezza non potendo comunque l’accesso civico generalizzato portare alla divulgazione di informazioni sensibili che possano ledere gli interessi alla tutela dei segreti commerciali dell’aggiudicatario e falsare la concorrenza futura. 5. La stessa Corte di Giustizia dell’Unione europea, con ordinanza del 10 giugno 2025, C- 686-24, ha affermato che l’art. 39 della direttiva 2014/25/UE deve essere interpretato nel senso che “osta a una disciplina nazionale in materia di aggiudicazione di appalti pubblici, che richiede che l’accesso alla documentazione contenente segreti tecnici o commerciali trasmessa da un offerente sia concesso a un altro offerente, qualora tale accesso sia necessario al fine di garantire il diritto alla tutela giurisdizionale effettiva di quest’ultimo nell’ambito di una procedura connessa all’aggiudicazione dell’appalto, senza che tale disciplina consenta agli enti aggiudicatori di procedere a un bilanciamento tra tale diritto e le esigenze relative alla tutela dei segreti tecnici o commerciali”. 6. Se la Corte di Giustizia dell’Unione europea esclude l’accesso automatico agli atti di gara a fini di difesa tra soggetti che hanno preso parte alla procedura e richiede il bilanciamento caso per caso tra il diritto di accesso agli atti di gara e la tutela dei segreti commerciali e industriali, a maggior ragione tale bilanciamento deve essere operato rispetto ad un soggetto terzo e del tutto estraneo alla procedura, pena la possibilità per quest’ultimo di ottenere una ostensione maggiore di quella dei partecipanti e di frustrare la ratio sottesa alla tutela del know – how aziendale. 7. Nel caso di specie, l’Amministrazione ha correttamente messo a confronto e ritenuto prevalente l’opposizione della controinteressata, motivata sul contenuto riservato dell’offerta tecnica “composta da elementi e dati, sia di natura tecnica che commerciale, acquisiti sulla base del proprio know-how, derivante dalla pluriennale esperienza nella gestione di strutture analoghe a quella oggetto di gara”.

Sentenza 06/09/2019 n° 1522
Area: Giurisprudenza

E’ legittimo il rigetto dell’istanza di accesso ex. artt. 22 e ss. L. n. 241/1990 per mancanza dei presupposti necessari per l’eventuale accoglimento, non potendo la Pubblica Amministrazione riqualificare l’istanza stessa nel diverso accesso civico ex art. 5 del D.lgs. 33/2013, né autonomamente né a seguito di apposito ricorso giurisdizionale dell’istante teso a chiederne la conversione. I requisiti per l’accesso specifico ai sensi degli artt. 22 e ss., infatti, sono più stringenti di quelli previsti per l’accesso civico generalizzato di cui all’art. 5 d.lgs. n. 33/2013. La scelta effettuata ab origine dall’istante esclude la possibilità di modificare in corso d’opera la natura dell’istanza di accesso.

Sentenza 03/04/2025 n° 6724
Area: Giurisprudenza

In materia di accesso agli atti, non può essere accolta l’istanza di accesso civico generalizzato presentata dal concorrente in una procedura concorsuale volta ad ottenere copia di tutte le dichiarazioni relative ai titoli posseduti da tutti i candidati che lo precedono in graduatoria, nonché degli atti di valutazione di tali titoli, trattandosi di un’istanza massiva riguardante un numero manifestamente oneroso e sproporzionato di documenti la cui ostensione imporrebbe alla P.A. un irragionevole carico di lavoro.

Sentenza 03/11/2022 n° 9567
Area: Giurisprudenza

In materia di accesso agli atti, sussiste una differenza tra l’accesso ordinario e quello civico, ove si consideri che l’art. 22 della legge n. 241 del 1990 consente l’accesso ai documenti a chiunque vi abbia un interesse finalizzato alla tutela di situazioni giuridicamente rilevanti (Cons. Stato, Sez. V, 19 maggio 2020, n. 3176), mentre l’accesso civico generalizzato è riconosciuto e tutelato al fine di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico può essere esercitato da chiunque (quanto alla legittimazione soggettiva) e senza alcun onere di motivazione circa l’interesse alla conoscenza (cfr. Cons. Stato, Ad. Plen., 2 aprile 2020, n. 10). Pur se la mancata impugnazione del diniego nel termine di decadenza non consente la reiterabilità dell’istanza e la conseguente impugnazione del successivo diniego o nel caso in cui a questo debba riconoscersi carattere meramente confermativo del primo (Cons. Stato, Ad. plen., 20 aprile 2006, n. 7), il diniego non ha natura meramente confermativa allorché la successiva istanza di accesso sia basata su fatti nuovi e su di una diversa prospettazione della legittimazione all’accesso (Cons. Stato, Sez. V, 6 novembre 2017, n. 5996). Tale principio rileva a maggior ragione quando un’ulteriore istanza d’accesso è basata su un quadro normativo diverso da quello posto a base della precedente istanza, sicché sussiste l’obbligo di esaminarla (Cons. Stato, Sez V, n. 3162/2021). 4. La disciplina dell’accesso civico generalizzato, fermi i divieti temporanei o assoluti di cui all’art. 53 del d.lgs. n. 50 del 2016, è applicabile anche agli atti delle procedure di gara, ed in particolare all’esecuzione dei contratti pubblici (nel cui contesto si colloca la fase del collaudo, alla quale pertiene la documentazione di cui l’appellante ha chiesto l’ostensione), ma deve essere verificata la compatibilità di tale forma di accesso con le eccezioni enucleate dall’art. 5-bis, commi 1 e 2, dello stesso d.lgs. n. 33 del 2013, a tutela degli interessi-limite, pubblici e privati, previsti da tale disposizione, nel bilanciamento tra il valore della trasparenza e quello della riservatezza (Cons. Stato, Ad. Plen., 2 aprile 2020, n. 10). (Nel caso di specie, una società aveva domandato l’accesso all’offerta tecnica di un’impresa in relazione ad una gara avente ad oggetto un servizio che rientra tra le attività della società istante, ma l’accesso gli era stato negato per difetto di legittimazione passiva. L’istante, a seguito del diniego, ha formulato una nota in cui precisava che l’istanza di accesso doveva essere intesa non solo ex art. 22 L. 241/1990 ma anche quale accesso civico generalizzato ex art. 5 d.lgs. 33/2013 ed esplicitava le ragioni. A fronte di tale istanza, l’amministrazione non ha dato riscontro; l’istante ha proposto ricorso al Tar avverso il silenzio della p.a. Il TAR ha dichiarato il ricorso inammissibile poiché l’impresa non aveva impugnato a suo tempo il diniego sulla prima istanza di accesso agli atti, essendo il secondo meramente confermativo del primo. Il Consiglio di Stato ha invece ritenuto che l’ontologica differenza tra le due istanze di accesso impone di ritenere che le due istanze di accesso, per quanto contenutisticamente analoghe, non siano sovrapponibili)

Ordinanza 16/12/2019 n° 8501
Area: Giurisprudenza

Vanno deferite all’esame dell’Adunanza Plenaria del Consiglio di Stato le seguenti questioni, che hanno dato luogo o possono dare luogo a contrasti giurisprudenziali, e che, comunque, appaiono di particolare importanza: 1. se sia configurabile, o meno, in capo all’operatore economico, utilmente collocato nella graduatoria dei concorrenti, determinata all’esito della procedura di evidenza pubblica per la scelta del contraente, la titolarità di un interesse giuridicamente protetto, ai sensi dell’art. 22 della legge n. 241/1990, ad avere accesso agli atti della fase esecutiva delle prestazioni, in vista della eventuale sollecitazione del potere dell’amministrazione di provocare la risoluzione per inadempimento dell’appaltatore e il conseguente interpello per il nuovo affidamento del contratto, secondo le regole dello scorrimento della graduatoria; 2. se la disciplina dell’accesso civico generalizzato di cui al d.lgs. n. 33/2013, come modificato dal d.lvo n. 97/2016, sia applicabile, in tutto o in parte, in relazione ai documenti relativi alle attività delle amministrazioni disciplinate dal codice dei contratti pubblici di lavori, servizi e forniture, inerenti al procedimento di evidenza pubblica e alla successiva fase esecutiva, ferme restando le limitazioni ed esclusioni oggettive previste dallo stesso codice; 3. se, in presenza di un’istanza di accesso ai documenti espressamente motivata con esclusivo riferimento alla disciplina generale di cui alla legge n. 241/1990, o ai suoi elementi sostanziali, l’amministrazione, una volta accertata la carenza del necessario presupposto legittimante della titolarità di un interesse differenziato in capo al richiedente, ai sensi dell’art. 22 della legge n. 241/1990, sia comunque tenuta ad accogliere la richiesta, qualora sussistano le condizioni dell’accesso civico generalizzato di cui al decreto legislativo n. 33/2013; se, di conseguenza, il giudice, in sede di esame del ricorso avverso il diniego di una istanza di accesso motivata con riferimento alla disciplina ordinaria di cui alla legge n. 241/1990 o ai suoi presupposti sostanziali, abbia il potere-dovere di accertare la sussistenza del diritto del richiedente, secondo i più ampi parametri di legittimazione attiva stabiliti dalla disciplina dell’accesso civico generalizzato.

Sentenza 15/07/2022 n° 6031
Area: Giurisprudenza

In materia di accesso civico generalizzato, la pubblica amministrazione, una volta accertata l’assenza di eccezioni assolute, è tenuta a verificare se l’ostensione degli atti possa determinare un pregiudizio concreto e probabile agli interessi indicati dal legislatore. Affinché l’accesso possa essere rifiutato, il pregiudizio agli interessi considerati dai commi 1 e 2 dell’art. 5 bis d.lgs. 33/2013##1187T deve essere concreto e deve sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio. La pubblica amministrazione, in altre parole, non può limitarsi a prefigurare il rischio di un pregiudizio in via generica e astratta, ma dovrà: a) indicare chiaramente quale - tra gli interessi elencati all’art. 5 bis, commi 1 e 2##1187T -viene pregiudicato; b) valutare se il pregiudizio (concreto) prefigurato dipende direttamente dalla disclosure dell’informazione richiesta; c) valutare se il pregiudizio conseguente alla disclosure è un evento altamente probabile, e non soltanto possibile. Tale valutazione, proprio perché relativa alla identificazione di un pregiudizio in concreto, deve essere compiuta con riferimento al contesto temporale in cui viene formulata la domanda di accesso. (Nel caso di Specie, l’Amministrazione aveva respinto l’istanza di accesso civico generalizzato avente ad oggetto verbali ispettivi e di accertamento di eventuali irregolarità poiché l’amministrazione non la riteneva riconducibile all’accesso civico generalizzato in applicazione del regolamento interno che esclude tale forma di accesso a pratiche specifiche riguardanti posizioni individuali di terzi. Con la specificazione che tali atti avrebbero dovuto essere acquisiti attraverso l’accesso documentale ex L. n. 241/1990, previa allegazione di un interesse diretto dell’istante. Il Tar ha affermato che l’istante vanta un diritto all’accesso civico generalizzato stante la natura degli interessi in gioco della salute pubblica e dell’ambiente, trattandosi di diritti costituzionalmente garantiti che potrebbero, invero, risultare compromessi dagli allevamenti agricoli che insistono nel preciso contesto territoriale cui fa riferimento l’istanza. Il diniego opposto dall’Amministrazione non è stato debitamente motivato, essendosi limitato ad una generica affermazione di pregiudizio senza che venissero specificate le ragioni per la sua concreta sussistenza. Alla luce di quanto esposto, si suggerisce alle Istituzioni scolastiche destinatarie di istanze di accesso civico generalizzato: - di valutare in concreto, tenuto conto del momento in cui la richiesta di accesso perviene all’Amministrazione, l’effettiva possibilità/probabilità di pregiudizio nei confronti di terzi in caso di ostensione dei documenti richiesti; - di motivare debitamente in caso di diniego, facendo richiamo al pregiudizio rilevato in capo al terzo nell’ipotesi di accoglimento dell’istanza).

Sentenza 31/01/2018 n° 651
Area: Giurisprudenza

L'introduzione nel 2016 (l. 25 maggio 2016, n. 97) del nuovo istituto dell’accesso civico “generalizzato”, espressamente volto a consentire l’accesso di chiunque a documenti e dati detenuti dai soggetti indicati nel neo-introdotto art. 2-bis d.lgs. 14 marzo 2013, n. 33 e quindi permettendo per la prima volta l’accesso (ai fini di un controllo) diffuso alla documentazione in possesso delle amministrazioni (e degli altri soggetti indicati nella norma appena citata) e privo di un manifesto interesse da parte dell’accedente, ha però voluto tutelare interessi pubblici ed interessi privati che potessero esser messi in pericolo dall’accesso indiscriminato. Il legislatore ha quindi operato per un verso mitigando la possibilità di conoscenza integrale ed indistinta dei documenti detenuti dall’ente introducendo dei limiti all’ampio accesso (art. 5-bis, commi 1 e 2, d.lgs. 33/2013) e, per altro verso, mantenendo in vita l’istituto dell’accesso ai documenti amministrativi e la propria disciplina speciale dettata dalla l. 241/1990 (evitando accuratamente di novellare la benché minima previsione contenuta nelle disposizioni da essa recate), anche con riferimento ai rigorosi presupposti dell’ostensione, sia sotto il versante della dimostrazione della legittimazione e dell’interesse in capo al richiedente sia sotto il versante dell’inammissibilità delle richieste volte ad ottenere un accesso diffuso. Anche dopo l’entrata in vigore delle norme che disciplinano l’accesso civico “generalizzato”, permane un settore “a limitata accessibilità”, nel quale continuano ad applicarsi le più rigorose norme della l. 241/1990. In altri termini, se è vero che ormai è legislativamente consentito a chiunque di conoscere ogni tipo di documento o di dato detenuto da una pubblica amministrazione (oltre a quelli acquisibili dal sito web dell’ente, in quanto obbligatoriamente pubblicabili), nello stesso tempo, qualora la tipologia di dato o di documento non possa essere resa nota per il pericolo che ne provocherebbe la conoscenza indiscriminata, mettendo a repentaglio interessi pubblici ovvero privati, l’ostensione di quel fato e documento sarà resa possibile solo in favore di una ristretta cerchia di interessati (tranne nelle ipotesi in cui è legislativamente escluso l’accesso documentale) secondo le tradizionali e più restrittive regole recate dalla l. 241/1990.

Sentenza 12/02/2025 n° 75
Area: Giurisprudenza

1. In materia di accesso agli atti, ai fini della sussistenza del presupposto legittimante l’esercizio del diritto di accesso ai documenti della pubblica Amministrazione, devono esistere, al contempo, un interesse giuridicamente rilevante del richiedente, non necessariamente consistente in un interesse legittimo o in un diritto soggettivo, ma giuridicamente tutelato (non potendo identificarsi col generico ed indistinto interesse di ogni cittadino al buon andamento dell'attività amministrativa) ed un rapporto di strumentalità tra tale interesse e la documentazione di cui si chiede l’ostensione (“… un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”), fermo rimanendo che l’interesse all’accesso va valutato in astratto, senza che possa essere operato, con riferimento al caso specifico, alcun apprezzamento in ordine alla fondatezza o all’ammissibilità della domanda giudiziale che gli interessati potrebbero eventualmente proporre sulla base dei documenti acquisiti mediante l’accesso stesso (cfr., da ultimo, Cons. St., Ad. Plen., 18 marzo 2021, n. 4##2387L). 2. Il nesso di strumentalità fra l’interesse all’accesso e la sua rilevanza ai fini della proposizione di un eventuale giudizio, inoltre, va inteso in senso ampio, in quanto la documentazione richiesta deve essere, genericamente, mezzo utile per la difesa dell’interesse giuridicamente rilevante, e non strumento di prova diretta della lesione di tale interesse (Cons. St., sez. V, 7 settembre 2004, n. 5873 e sez. VI, 22 ottobre 2002, n. 5814). 3. L’accesso va in ogni caso garantito qualora sia strumentale e funzionale a qualunque forma di tutela, sia giudiziale che stragiudiziale, anche prima ed indipendentemente dall’effettivo esercizio di un’azione giudiziale. L’art. 24, comma 7, l. n. 241 del 1990##1172T prescrive infatti che “deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”. Di talché, allorquando la conoscenza di atti sia necessaria all’esercizio di dette prerogative (che altrimenti non potrebbero esplicarsi, in tutto o in parte), l’interesse alla riservatezza ovvero le ragioni di segretezza, o ancora gli altri, diversi, interessi sottesi ai casi di limitazione o esclusione del diritto di accesso (cfr. artt. 22, co. 3, e 24 co. 1, 2, 3, 5 e 6##1170T), recedono, determinando la riespansione della regola generale costituita dalla ostensibilità degli atti amministrativi. 4. La tutela del diritto di difesa costituisce, in definitiva, baluardo insuperabile, tale da giustificare l’esercizio del diritto di accesso anche in situazioni in cui, ordinariamente, la legge lo esclude, conformemente ai principi generali, anche di valenza sovranazionale, volti a garantire l’equo contemperamento tra le esigenze di conoscenza e di trasparenza (artt. 15 TFUE e 42 Carta UE), quelle di segretezza a protezione dell’esercizio di determinate attività volte a garantire la sicurezza e l’ordine pubblico ovvero la protezione dei dati personali, e il diritto di difesa (in tali termini, T.A.R. Lazio, Sez. Terza Quater, sentenza 22 gennaio 2025 n. 1252). 5. L’accesso disciplinato dal capo V della legge n. 241 del 1990 ha ad oggetto i ‘documenti amministrativi’, nelle tipologie indicate dall’art. 22, co. 1, lett. d) ##1170T, a mente del quale per “documento amministrativo” si intende “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Rientrano, dunque, in siffatta nozione gli atti detenuti dall’Amministrazione nella loro materialità che identificano ad esempio statuizioni, accertamenti, intendimenti, pareri, volizioni, valutazioni degli organi pubblici. 6. Nel caso di specie, un insegnante, durante lo svolgimento delle lezioni, è stato vittima di ripetute aggressioni verbali culminate con il lancio di uno zaino, ad opera di un alunno, per le quali ha presentato atto di denuncia querela. Al fine di tutelare adeguatamente i propri interessi in giudizio, civile e penale, il professore ha presentato istanza di accesso per avere l’ostensione di quanto annotato sul registro di classe elettronico nei giorni in cui si sono verificati gli episodi, nonché la copia dei provvedimenti disciplinari eventualmente adottati a carico dell’alunno. La scuola rigettava l’istanza chiedendo che fosse esplicitato in modo incontrovertibile l’interesse che vanta il professore con l’indicazione dei tempi di trattamento dei dati e delle modalità del trattamento degli stessi dati per i quali si richiede l’accesso, nonché gli eventuali destinatari dei dati stessi. Il TAR ha ritenuto che il ricorrente fosse senza titolare di un interesse qualificato all’accesso ai documenti amministrativi ai sensi dell’art. 22, co. 1, lett. b), l. n. 241 del 1990##1170T, afferendo specificamente la documentazione richiesta alla propria prestazione lavorativa alle dipendenze dell’Istituto scolastico. L’interesse alla conoscenza della documentazione richiesta è meritevole di tutela, in quanto qualificabile come interesse strumentale alle dichiarate finalità difensive in relazione alla posizione del ricorrente, che ha sporto denuncia querela nei confronti dell’alunno per la condotta dallo stesso posta in essere, risultando l’accesso alla documentazione funzionale e rilevante ai fini della difesa in giudizio del richiedente l'accesso delle proprie ragioni. La decisione della scuola è illegittima in quanto frappone ostacoli ed oneri al diritto di accesso estranei al perimetro normativo di riferimento, sia nella misura in cui chiede che venga “esplicitato in modo incontrovertibile l’interesse che vanta il professore (essendo tale interesse evidentemente funzionale alla tutela del diritto di difesa) sia perché impone al richiedente “l’indicazione dei tempi di trattamento dei dati e delle modalità del trattamento degli stessi dati per i quali si richiede l’accesso, nonché gli eventuali destinatari dei dati stessi” (trattandosi quest’ultimo di un onere non normativamente previsto in capo al soggetto privato che formula un’istanza ostensiva).

Sentenza 22/04/2008 n° 3960
Area: Giurisprudenza

1. In materia di accesso agli atti, le disposizioni in materia di diritto di accesso mirano a coniugare la ratio dell’istituto, quale fattore di trasparenza e garanzia di imparzialità dell’Amministrazione – come enunciato dall’art. 22 della citata legge n. 241/90##1170T – con il bilanciamento da effettuare rispetto ad interessi contrapposti, fra cui – specificamente – quelli dei soggetti “individuati o facilmente individuabili”…che dall’esercizio dell’accesso vedrebbero compromesso il loro diritto alla riservatezza” (art. 22 cit., comma 1, lettera c)##1170T; il successivo articolo 24 della medesima legge##1172T, che disciplina i casi di esclusione dal diritto in questione, prevede al primo e al sesto comma casi di possibile sottrazione all’accesso e fra questi – al primo comma, punto d) – quelli relativi a “procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi”; al terzo comma, inoltre, si dispone l’inammissibilità delle istanze di accesso, preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni. A norma del medesimo art. 24, comma 7 della legge n. 241/1990##1172T, “deve…essere garantito ai richiedenti l’accesso ai documenti amministrativi, la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”; nel caso di “documenti contenenti dati sensibili e giudiziari”, però, la medesima norma precisa che l’accesso è consentito solo “nei limiti in cui sia strettamente indispensabile” (in esito ad un sostanziale bilanciamento di interessi, operato già a livello legislativo come regola di massima, ma da integrare con ogni evidenza – caso per caso – in considerazione delle specifiche esigenze da soddisfare). 2. Le esigenze di tutela, cui rispondono le prescrizioni dei primi sei commi del medesimo art. 24 L. n. 241/90##1172T, nonché dei conseguenti regolamenti attuativi, sono recessive rispetto al diritto di difesa (anche previa disapplicazione delle norme regolamentari contrastanti), ma non in modo assoluto: il tenore letterale e la ratio della disposizione legislativa in questione impongono infatti di volta in volta un’attenta valutazione, circa la stretta funzionalità dell’accesso alla salvaguardia di posizioni soggettive protette, che si assumano lese, con ulteriore salvaguardia, attraverso i limiti così imposti, degli altri interessi coinvolti, talvolta rispondenti a principi di pari rango costituzionale rispetto al diritto di difesa. Nel caso di specie, una candidata all’esame di maturità aveva chiesto copia delle schede personali di tutti gli altri candidati esaminati dalla commissione, dei giudizi di ammissione all’esame di Stato di ciascuno di essi, di tutti gli elaborati presentati nelle prove scritte di esame degli altri candidati, dei giudizi completi espressi in relazione a tutte le prove degli altri candidati, oltre che di tutti i verbali della commissione esaminatrice. L’Amministrazione scolastica rendeva disponibili gli atti inerenti le prove di esame sostenute dalla presentatrice dell’istanza, nonché parte dei verbali attestanti i lavori della Commissione esaminatrice, mentre dichiarava non consentito l’accesso ai documenti inerenti agli “altri candidati”, non essendo stato dimostrato uno specifico interesse della ricorrente alla conoscenza degli atti relativi agli altri candidati, tenuto conto del carattere non concorsuale degli esami di maturità. Secondo il Consiglio di Stato, nella fattispecie, esisteva un interesse ancora non formalizzato dell’istante a contestare l’esito sfavorevole del proprio esame di maturità; tale interesse presupponeva l’immediata esigenza difensiva di accedere agli atti, concernenti le prove sostenute dall’istante stessa e tale esigenza è stata soddisfatta dall’Amministrazione; non altrettanto giustificata, tuttavia, appariva fin dall’origine una richiesta di generalizzato controllo dell’intera procedura di esame, per tutti i candidati ammessi alle medesime prove nell’anno in questione: quanto sopra, dovendo ritenersi precluso un controllo generalizzato dell’attività amministrativa e non essendo dimostrabile che le esigenze difensive della candidata, giudicata sfavorevolmente, fossero pregiudicate dalla omessa conoscenza di tutti i dati relativi agli altri candidati, il cui diritto alla riservatezza avrebbe potuto, in tale ipotesi, essere sacrificato. Un allargamento di prospettiva dell’accesso sarebbe stato nella fattispecie configurabile solo in rapporto ad argomentazioni concrete, prospettate dall’interessata dopo una prima valutazione della documentazione in proprio possesso.

Sentenza 02/09/2025 n° 652
Area: Giurisprudenza

1. In materia di accesso agli atti nei pubblici concorsi, le domande e i documenti prodotti dai candidati, i verbali, le schede di valutazione e gli stessi elaborati di un concorso pubblico costituiscono documenti rispetto ai quali deve essere esclusa in radice l’esigenza di riservatezza a tutela dei terzi, posto che i concorrenti, prendendo parte alla selezione, hanno evidentemente acconsentito a misurarsi in una competizione di cui la comparazione dei valori di ciascuno costituisce l'essenza della valutazione. Tali atti, quindi, una volta acquisiti alla procedura, escono dalla sfera personale dei partecipanti. 2. I concorrenti di pubblici concorsi alla cui documentazione si chiede di accedere non assumono, normalmente, neppure la veste di controinteressati in senso tecnico nel giudizio proposto ex art. 25, L. n. 241/1990##1173T; di talché l'omessa integrale intimazione in giudizio dei concorrenti cui si riferiscono gli atti fatti oggetto della richiesta ostensiva non arreca loro alcun significativo pregiudizio non potendo gli stessi opporsi all'ostensione dei documenti richiesti (si veda Tar Campania Napoli ord. 24 febbraio 2025 n. 1523). 3. Nel caso di specie, il TAR non ha ritenuto condivisibile la tesi dall’Amministrazione per cui le istanze, ove richiedono “ogni atto o documento da cui si evincano i criteri di valutazione utilizzati dalla commissione in applicazione a quanto previsto dall’Allegato al bando di concorso…al fine dell’attribuzione dei rispettivi punteggi, verifica e conferma titoli, scheda di valutazione prova orale con griglia di valutazione”, sarebbero eccessivamente generiche ed esplorative. Infatti, parte ricorrente ha individuato la documentazione da richiedere sulla base delle informazioni a sua disposizione, documentazione identificabile peraltro, almeno in parte, con la medesima già rilasciata limitatamente alle prove del ricorrente. 4. L'onere di specificazione dei documenti per i quali si esercita il diritto di accesso non implica la formale indicazione di tutti gli estremi identificativi (organo emanante, numero di protocollo, data di adozione dell'atto), ma può ritenersi assolto anche solo con l'indicazione dell'oggetto e dello scopo proprio dell'atto in questione ove, nei singoli casi di specie, risulti formulata in modo tale da mettere l'Amministrazione in condizione di comprendere la portata ed il contenuto della domanda (Tar Marche 26 aprile 2024 n. 409, Tar Sicilia Catania 30 gennaio 2023, n. 284 ). 5. Nel caso di specie, gli atti sono stati ritenuti sufficientemente individuati mediante la loro attinenza ai criteri di valutazione delle prove scritte e orali. Il partecipante di un concorso non può essere a conoscenza degli atti adottati dalla Commissione per orientare la propria attività. 6. In merito alla verifica dei titoli di riserva da parte di tutti i partecipanti al concorso sia vincitori che idonei, vale la regola per cui l’accesso deve essere limitato alla documentazione effettivamente esistente agli atti della procedura. Nel caso in esame le istanze sembrano richiedere all’Amministrazione un’attività di verifica ex novo senza indicare i documenti esistenti. 7. La domanda di accesso alle certificazioni presentate da idonei e vincitori e alle date di validità delle stesse per le categorie di riserva è specifica e non impone un’attività alla PA. L’accesso a tali documenti è consentito se finalizzata a difendere i propri interessi giuridici. La tutela della riservatezza non può ritenersi tout court ostativa al cd. “accesso difensivo”, ed anzi, salvo il giusto contrappeso con gli interessi cd. “sensibilissimi”, l’accesso difensivo è ritenuto ad essa prevalente. 8. L’art. 24, della L. n. 241 del 1990##1172T consente l’accesso agli atti amministrativi necessari per curare o per difendere i propri interessi giuridici anche laddove essi riguardino dati sensibili, salva l’applicazione dei principi di cui all’art. 60, D. Lgs. n. 196 del 2003##2277T, nel qual caso, il trattamento di atti contenenti dati idonei a rivelare, tra gli altri, lo stato di salute è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (tra le tante Tar Lazio Roma 6 febbraio 2024, n. 2288) Nel caso in esame, vista la non contestata appartenenza del ricorrente alle categorie di riserva, la documentazione richiesta rientra certamente tra gli atti amministrativi necessari per curare o per difendere i propri interessi giuridici anche laddove essi riguardino dati sensibili. 9. Con riguardo ai limiti all’accesso, negli atti richiesti (con particolare riguardo alle certificazioni eventualmente acquisite dalla PA), sono potenzialmente contenuti anche dati previsti dall'art. 60, comma 1, del D.Lgs. n. 196 del 2003##2277T, nel testo sostituito dall'art. 5, comma 1, lett. b), del DLgs. n. 101 del 2018##3705T, il quale prevede che "quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale". Tali dati dovranno essere oscurati dall’Amministrazione. 11. La graduatoria degli idonei, essendo esclusa la sua pubblicazione per legge, si presenta come un documento non esistente, che deve essere formato dall’Amministrazione in risposta all’istanza e, quindi, non accessibile. 12. L’accesso non potrà riguardare tutte le domande e la documentazione dei vincitori e degli idonei, ma solo i vincitori e gli idonei con un punteggio uguale o superiore al ricorrente, non essendo individuabile un interesse del ricorrente medesimo ad accedere alle domande dei soggetti idonei con un punteggio inferiore.

Sentenza 15/02/2018 n° 171
Area: Giurisprudenza

L’accesso civico regolato dal D.Lgs n. 33 del 2013 non riconduce a sé e assorbe ogni regolamentazione in materia di accesso agli atti a superamento anche dalla disciplina normativa dettata dalla legge 241 del 1990, essendo diversa la ratio e le finalità delle due normative. Quella dettata dalla legge 241 del 1990 prevede e regola l’accesso agli atti amministrativi da parte di soggetti che abbiano un interesse personale e diretto alla conoscenza di atti in possesso di un’amministrazione pubblica al fine di meglio tutelare la loro personale posizione soggettiva. Si tratta di atti che normalmente attengono all’istruttoria procedimentale o anche a provvedimenti conclusivi della stessa, i quali in qualche modo interessano il soggetto che intenda acquisirli e la cui conoscenza possa essere utile allo stesso e che per questo l’interessato deve motivare la propria richiesta. Per tale accesso valgono i casi di esclusione previsti dall’art. 24 della legge 241 del 1990 e fra questi vi è la tutela della riservatezza. L’istituto dell’accesso civico risponde, invece, a esigenze diverse, delineate chiaramente dall’art. 1 del dec. lgv n. 33 del 2013 laddove richiama i principi di trasparenza, intesa come accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all'attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche. Il riferimento ai cittadini e all’utilizzo delle risorse pubbliche evidenzia la diversa caratterizzazione dell’interesse generale, e per questo non soggetto ad alcuna formalità motivazionale, rispetto a quello personale. Ciò è meglio chiarito dal riferimento all’obbligo della pubblicazione nei siti istituzionali delle pubbliche amministrazioni dei documenti, delle informazioni e dei dati concernenti l'organizzazione e l'attività delle pubbliche amministrazioni stesse con particolare riferimento alle risorse pubbliche (art. 4 bis). In tale specifica ratio e connotazione vanno letti i casi di esclusione regolati dall’art. 5 bis nel quale, non a caso al 1° comma, si fa riferimento, come limiti all’accesso civico, esclusivamente agli interessi pubblici specificamente indicati e quelli a tutela di peculiari interessi privati che il comma 2° individua e tra questi la protezione dei dati personali, in conformità con la disciplina vigente in materia e che il comma 3° ribadisce con riferimento all’art. 24 della legge 241 del 1990, a conferma della netta distinzione esistente fra l’accesso civico e l’”ordinario” accesso agli atti amministrativi. In sostanza, l’accesso civico non può essere utilizzato per superare, in particolare in materia di interessi personali e dei principi della riservatezza, i limiti imposti dalla legge 241 del 1990. (Nel caso di specie l’Amministrazione aveva rifiutato di inserire nella Sezione di Amministrazione trasparente la pubblicazione di atti non meglio specificati negli estremi quali ordini del giorno, verbali delibere dei vari organi collegiali ai quali il ricorrente, docente dell'Istituzione intendeva esercitare l’accesso civico generalizzato. Afferma il TAR che una domanda di accesso civico non può estendersi ad atti per i quali non solo non vi è obbligo di pubblicazione, ma che non rientrano fra quelli che rispondono alla tipologia di determinazioni indicate dal dc.lgs. n. 33 del 2013 in base ai principi esposti dalla legge stessa: "Ciò vale sia per le delibere del consiglio di amministrazione, contenendo esse una varietà di determinazioni a contenuto diversificato che può anche riguardare situazioni rientranti nelle ipotesi di esclusione indicati dall’art. 5 bis, sia a maggior ragione per gli ordini del giorno, i verbali e le delibere del consiglio accademico e del consiglio di scuola di scenografia, che riguardano prevalentemente atti interni all’istituzione afferenti l’attività organizzativa dei corsi e didattica che possono interessare il ricorrente non come cittadino, ma come docente" Sentenza resa nei confronti di una istituzione AFAM, esportabile nel contesto scolastico).

Sentenza 12/07/2019 n° 1085
Area: Giurisprudenza

In tema di accesso agli atti ex art. 22 ss l. 241/1990, l'interesse che legittima ciascun soggetto all'istanza, e che va accertato caso per caso, deve essere personale e concreto; inoltre, la documentazione richiesta deve essere direttamente riferibile a tale interesse, oltre che individuata o ben individuabile. Non merita accoglimento l’istanza dichiaratamente volta ad effettuare un controllo generalizzato sull'operato dell’Amministrazione, al fine di verificare l'efficienza della sua attività o accertare eventuali negligenze, o colpevoli ritardi od omissioni da parte dei suoi funzionari, senza che sia ravvisabile il collegamento degli atti richiesti con l'interesse diretto concreto e attuale dell’istante ad apprestare la propria difesa nell'ambito di un giudizio a suo carico. Anche in tema di accesso civico generalizzato, l'istanza di accesso civico, anche se libera da requisiti soggettivi legittimanti, dovrà comunque identificare "i dati, le informazioni o i documenti richiesti" ex art. 5 comma 3, D.Lgs. n. 33 del 2013; non potendo essere ritenute ammissibili richieste meramente esplorative, cioè volte semplicemente a scoprire di quali informazioni l'Amministrazione dispone, o manifestamente irragionevoli, tali cioè da dover comportare un carico di lavoro in grado d'interferire con il buon funzionamento dell'Amministrazione. Di contro, l’Amministrazione non può opporre preclusioni automatiche e assolute alla conoscibilità dei documenti richiesti, al di fuori dei casi previsti dall'art. 5 bis, comma 3, del D.Lgs. n. 33 del 2013. A tal proposito, l'esistenza di un'indagine penale non è di per sé causa ostativa all'accesso ai documenti se quest'ultimi non sono confluiti nel fascicolo del procedimento penale e non rientrano tra gli "atti di indagine compiuti dal pubblico ministero" di cui all'art. 329 c.p.p..

Sentenza 13/09/2024 n° 1322
Area: Giurisprudenza

1. L’accesso civico generalizzato, azionabile da chiunque senza previa dimostrazione di un interesse personale, concreto e attuale in connessione con la tutela di situazioni giuridicamente rilevanti e senza oneri di motivazione in tal senso della richiesta, ha il solo scopo di consentire una pubblicità diffusa ed integrale in rapporto alle finalità esplicitate dall'art. 5, comma 2, d.lg. n. 33 del 2013##1186T: è funzionale ad un controllo diffuso dei cittadini, al fine di assicurare la trasparenza dell'azione amministrativa e di favorire un preventivo contrasto alla corruzione e concretamente si traduce nel diritto ad un'ampia diffusione di dati, documenti ed informazioni, fermi in ogni caso i limiti di legge a salvaguardia di determinati interessi pubblici e privati che in tali condizioni potrebbero essere messi in pericolo” (cfr. Consiglio di Stato, sez. II, 4 gennaio 2021, n. 60). 2. L'accesso civico (“semplice” e “generalizzato”) si affianca, senza sovrapposizioni, alle forme di pubblicazione on line di cui al d.lgs. n. 33/2013 (cd. Testo Unico per la trasparenza delle P.A.) e all'accesso agli atti amministrativi di cui alla legge 241/1990, consentendo l'accesso alla generalità degli atti e delle informazioni in possesso delle amministrazioni, senza onere di motivazione, da parte di singoli cittadini e associazioni, nel presupposto che la trasparenza sia condizione indispensabile per favorire il coinvolgimento dei cittadini nella cura della “cosa pubblica”, oltreché mezzo per contrastare ogni ipotesi di corruzione e per garantire l'imparzialità e il buon andamento dell'amministrazione. 3. In materia di accesso agli atti, non si può richiedere all’amministrazione un’attività di elaborazione dei dati in suo possesso, al fine di formare l’informazione richiesta (Tar Campania, sez. VI, 26 giugno 2020, n. 2668). Nel caso di specie, la P.a. ha espresso l’assenso all’accesso ai dati richiesti relativi alle prestazioni sanitarie erogate dalle Aziende Sanitarie regionali, precisando che le informazioni mancanti sarebbero stati trasmesse con successiva comunicazione. Il Tar ha evidenziato che le eventuali difficoltà nel reperire i dati richiesti, di cui la P.A. ha assicurato l’accesso (sebbene posticipando l’adempimento), non possono certamente risolversi in un diniego/inerzia sull’istanza depositata e, comunque, l’amministrazione avrebbe, quantomeno, dovuto fornire un riscontro adeguatamente motivato sulle eventuali ragioni, che, successivamente, ne hanno impedito l’adempimento.

Sentenza 11/04/2003 n° 1205
Area: Giurisprudenza

Nel caso in esame, un genitore ha chiesto all’I.N.P.S. il rilascio di copia dell'estratto conto previdenziale della figlia e del coniuge, dal quale è separato e ha, inoltre, chiesto di conoscere se la figlia beneficia di reddito di cittadinanza, avendo quest’ultima promosso un giudizio per ottenere il riconoscimento di un assegno di mantenimento. L’I.N.P.S. ha negato l'accesso richiesto, ritenendo prevalente l’esigenza di riservatezza, anche in considerazione della possibilità che l’acquisizione del documento richiesto possa essere disposta dal giudice, avanti al quale la figlia ha domandato il mantenimento. Il T.A.R., tuttavia, ha annullato il diniego impugnato dal genitore, ritenendo innanzitutto lo stesso titolare di un interesse diretto, concreto ed attuale all’accesso, ai sensi dell’art. 22 comma 1 lettera b) della legge n. 241/90, stante la necessaria strumentalità degli atti richiesti rispetto al procedimento instaurato dalla figlia controinteressata. Precisamente, l’accesso documentale difensivo può essere esercitato indipendentemente dalla previsione e dall’esercizio da parte del giudice civile dei poteri processuali di esibizione di documenti amministrativi e, altresì, degli specifici poteri istruttori previsti in materia di famiglia. Pertanto, deve essere riconosciuta la possibilità per il privato di ricorrere agli ordinari strumenti offerti dalla legge n. 241/1990 per ottenere gli stessi dati che il giudice potrebbe intimare all'Amministrazione di consegnare.

Sentenza 27/06/2025 n° 1212
Area: Giurisprudenza

1. In materia di accesso agli atti, un genitore separato ha diritto a conoscere la situazione universitaria del figlio maggiorenne, se tale informazione è necessaria per valutare la revisione dell’assegno di mantenimento. 2. La disciplina normativa dell’accesso di cui agli artt. 22 e ss. L. 241/1990##1170T non pone un limite assoluto all’accesso, ma richiede di effettuare un bilanciamento tra interessi contrapposti. Il diritto di accesso ai documenti amministrativi deve essere garantito quando la loro conoscenza è necessaria per curare o difendere i propri interessi giuridici, anche se non è ancora pendente un giudizio. 3. L’interesse del genitore volto alla valutazione della permanenza dell’obbligo di mantenimento prevalere sulla privacy della figlia, almeno per quanto riguarda l’iscrizione, il dettaglio degli esami sostenuti con le relative date e l’eventuale conseguimento della laurea. Per la comprova di tale interesse, il genitore non tenuto a dimostrare un danno già subito. 4. Pur sussistendo il diritto del genitore ad accedere alla documentazione universitaria, permane il limite rappresentato dall’interesse alla riservatezza del figlio maggiorenne relativo alle votazioni riportate nei singoli esami. Infatti, la conoscenza dei voti non è strettamente necessaria per valutare la permanenza dell’obbligo di mantenimento e, pertanto, resta tutelata dalla normativa sulla privacy. Il diritto-dovere dei genitori di istruire ed educare i figli di cui all’art. 30 della Cost. non può derogare in modo assoluto alle norme poste a tutela della riservatezza della persona, soprattutto quando il figlio è ormai adulto e autonomo. Nel caso di specie, un padre divorziato, non potendo ottenere dalla figlia maggiorenne informazioni sull’effettiva iscrizione all’università, sugli esami sostenuti e sull’eventuale conseguimento della laurea, si è rivolto all’Università competente con un’istanza di accesso agli atti. L’ateneo ha negato l’accesso, richiamando il proprio regolamento e la normativa nazionale sulla privacy, secondo cui il “curriculum studiorum” sarebbe ostensibile solo con il consenso dell’interessata. La figlia aveva espresso una motivata opposizione sul punto, ritenuta prevalente dall’Università nel bilanciamento tra diritto alla riservatezza e interesse del genitore. L’Università di Pisa è stata obbligata a consentire l’accesso ai dati richiesti, con esclusione delle votazioni.

Sentenza 02/04/2020 n° 10
Area: Giurisprudenza

La pubblica amministrazione ha il potere-dovere di esaminare l’istanza di accesso agli atti e ai documenti pubblici, formulata in modo generico o cumulativo dal richiedente senza riferimento ad una specifica disciplina, anche alla stregua della disciplina dell’accesso civico generalizzato, a meno che l’interessato non abbia inteso fare esclusivo, inequivocabile, riferimento alla disciplina dell’accesso documentale, nel qual caso essa dovrà esaminare l’istanza solo con specifico riferimento ai profili della l. n. 241 del 1990, senza che il giudice amministrativo, adìto ai sensi dell’art. 116 c.p.a., possa mutare il titolo dell’accesso, definito dall’originaria istanza e dal conseguente diniego adottato dalla pubblica amministrazione all’esito del procedimento; E' ravvisabile un interesse concreto e attuale, ai sensi dell’art. 22 della l. n. 241 del 1990, e una conseguente legittimazione, ad avere accesso agli atti della fase esecutiva di un contratto pubblico da parte di un concorrente alla gara, in relazione a vicende che potrebbero condurre alla risoluzione per inadempimento dell’aggiudicatario e quindi allo scorrimento della graduatoria o alla riedizione della gara, purché tale istanza non si traduca in una generica volontà da parte del terzo istante di verificare il corretto svolgimento del rapporto contrattuale; La disciplina dell’accesso civico generalizzato, fermi i divieti temporanei e/o assoluti di cui all’art. 53 del d. lgs. n. 50 del 2016, è applicabile anche agli atti delle procedure di gara e, in particolare, all’esecuzione dei contratti pubblici, non ostandovi in senso assoluto l’eccezione del comma 3 dell’art. 5-bis del d. lgs. n. 33 del 2013 in combinato disposto con l’art. 53 e con le previsioni della l. n. 241 del 1990, che non esenta in toto la materia dall’accesso civico generalizzato, ma resta ferma la verifica della compatibilità dell’accesso con le eccezioni relative di cui all’art. 5-bis, comma 1 e 2, a tutela degli interessi-limite, pubblici e privati, previsti da tale disposizione, nel bilanciamento tra il valore della trasparenza e quello della riservatezza. (L'Adunanza plenaria del Consiglio di Stato risolve due questioni controverse: l'applicabilità dell'accesso civico generalizzato al settore degli appalti pubblici, risolvendolo in senso affermativo, e cosa debba fare l'amministrazione di fronte ad istanze generiche o cumulative, rispetto ai due "diritti di accesso", documentale e civico generalizzato)

Sentenza 31/01/2018 n° 1126
Area: Giurisprudenza

L'accesso agli atti di cui alla L. 241/1990 e l'accesso civico (generalizzato e non), operano sulla base di norme e presupposti diversi. Mentre nel caso dell'accesso ex L. 241/90 la tutela può consentire un accesso più in profondità a dati pertinenti, nel caso dell'accesso civico le esigenze di controllo diffuso del cittadino devono consentire un accesso meno in profondità ma più esteso, avendo presente che l'accesso in questo caso comporta, di fatto, una larga conoscibilità e diffusione di dati, documenti e informazioni. Quando l'istante agisce per ottenere l'accesso agli atti ai sensi della L. 241/90, va escluso che l'istanza possa essere qualificata anche come accesso civico di cui all'art. 5 D.Lgs. 33/2013. La portata indeterminata di un'istanza di accesso ex art. 22 e ss. L. 241/90 la rende inammissibile ove rappresenti un tentativo di controllo generalizzato sull'operato dell'amministrazione.

Sentenza 18/10/2018 n° 1344
Area: Giurisprudenza

La richiesta di ostensione dell’atto di nomina del presidente di un ente pubblico non può essere accolta se fondata sulla disciplina dell’accesso documentale della l. 241/1990 poiché si tratta di una nomina fiduciaria e altamente discrezionale, non sindacabile in sede amministrativa e giurisdizionale. Il richiedente in tal caso non vanta un interesse concreto, diretto ed attuale ma solo un interesse di mera aspirazione di fatto a tale carica. Può invece essere proposta istanza di accesso civico generalizzato ai sensi dell’art. 5 d.lgs. 33/2013, non richiedendo tale forma di accesso un interesse concreto, diretto ed attuale corrispondente ad una situazione giuridicamente tutelata e collegata al documento.

23/01/2025 n° 31
Area: Prassi, Circolari, Note

Parere su istanza di accesso civico - 23 gennaio 2025

Registro dei provvedimenti n. 31 del 23 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d.lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d.lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) di “Sapienza Università di Roma” (di seguito “Ateneo”), presentata ai sensi dell’art. 5, comma 7, del d.lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 7, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su un provvedimento di diniego di accesso civico.

Dalla documentazione agli atti risulta che è stata presentata una richiesta di accesso civico al predetto Ateneo – ai sensi dell’art. 5 comma 2, del d.lgs. n. 33/2013 – avente a oggetto copia del Diploma/Certificato di Laurea conseguito [da soggetto identificato in atti].

L’Ateneo ha negato l’accesso civico, richiamando il limite di cui all’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 inerente all’esistenza di un pregiudizio alla tutela della protezione dei dati personali. Ciò anche considerando – come riportato nella richiesta di parere a questa Autorità dal RPCT – che il soggetto controinteressato si è opposto «all’ostensione dei dati richiesti […] nell’ambito del procedimento di accesso documentale ex art. 22 e ss. della L. 241/90 attivato [dal medesimo soggetto istante]».

Il soggetto istante, ritenendo il rifiuto non corretto, ha pertanto presentato richiesta di riesame al Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo, insistendo nella propria richiesta. Al riguardo, a sostegno del proprio diritto di ricevere la copia del diploma è stato rappresentato che il MIUR tramite l’Anagrafe nazionale dell’istruzione superiore (ANIS) «sta procedendo alla pubblicazione dei titoli di studio accademici, in quanto certificazioni professionali di natura legale, che saranno a disposizione presso la già istituita banca dati, accessibile con Spid. Pertanto il titolo di studio rientra già tra i documenti soggetti alla pubblicazione da parte delle pubbliche amministrazioni»,

OSSERVA

1. Introduzione

La disciplina di settore in materia di accesso civico contenuta nel d.lgs. n. 33/2013 prevede, fra l’altro, che «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2).

La medesima normativa sancisce che l’accesso civico generalizzato è “escluso” nei previsti dall’art. 5-bis, comma 3,) ed è rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a). Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Ciò premesso, occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono) tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d.lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali del soggetto controinteressato, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi sanciti nel RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

In tale contesto, occorre altresì tenere conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati personali richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Osservazioni sul caso sottoposto all’attenzione del Garante

Con particolare riferimento al caso in esame, risulta che l’istanza di accesso civico ha a oggetto la copia di un Diploma/Certificato di Laurea. Si tratta di un documento che contiene informazioni e dati personali, fra cui non solo di dati anagrafici (es.: nominativo e data di nascita), ma anche ulteriori notizie riguardanti il corso di studi effettuato, l’anno del conseguimento del diploma universitario e le indicazioni sulla valutazione ottenuta, che, per motivi individuali, non sempre si desidera portare a conoscenza di soggetti terzi estranei. In tal senso, dagli atti risulta che anche il soggetto controinteressato, nell’ambito di un diverso procedimento di accesso documentale ai sensi degli artt. 22 ss. della l. n. 241 del 7/8/1990 attivato dallo stesso soggetto istante sul medesimo documento, si è opposto all’ostensione dei dati.

La questione dell’accesso civico generalizzato alla copia di certificati universitari e titoli di studio (es.: diploma di laurea) è già stata esaminata dal Garante in precedenti pareri, peraltro proprio nei confronti di “Sapienza Università di Roma”, in cui si è concordato con il rifiuto opposto dall’Ateneo (cfr. parere n. 37 del 4/2/2022, in www.gpdp.it, doc. web n. 9746944 e provvedimenti ivi citati. Cfr. anche provv. n. 278 del 9/5/2018, ivi, doc. web n. 9099910).

In tale quadro – conformemente ai precedenti orientamenti di questa Autorità – si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell'ANAC in materia di accesso civico, l’Ateneo abbia correttamente respinto l’accesso civico al Diploma di laurea richiesto.

Come infatti ricordato nel citato provvedimento del Garante n. 521/2016, contenente l’«Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», (cfr. anche provv. n. 241 del 24/4/2024, in www.gpdp.it, doc. web n. 10018263; n. 37 del 29/1/2023, ivi, doc. web n. 9870805; n. 35 del 29/1/2023, ivi, doc. web n. 9867327; n. 15 del 18/1/2018, ivi, doc. web n. 7689066; provv. n. 360 del 10/8/2017, ivi, doc. web n. 6969290; provv n. 506 del 30/11/2017, ivi, doc. web n. 7316508), in base alla giurisprudenza della Corte europea dei diritti dell’uomo, l’articolo 10 della Cedu non conferisce, in via generale, all’individuo il diritto di accesso alle informazioni in possesso delle autorità pubbliche, né obbliga tali autorità a conferire allo stesso le medesime informazioni. Un tale diritto, o un tale obbligo, può essere, infatti, ricondotto alla più ampia libertà di espressione tutelata dall’art. 10 della Cedu, soltanto in situazioni particolari e a specifiche condizioni. Tra queste, assume particolare rilievo la circostanza che le informazioni oggetto di accesso attengano a questioni di interesse pubblico e pertanto, l’accesso alle informazioni in possesso delle autorità pubbliche possa ritenersi strumentale all’esercizio della libertà del richiedente di ricevere e di diffondere al pubblico le medesime informazioni, tale per cui il diniego dell’accesso costituirebbe una lesione di questa libertà (cfr. sul punto il caso M. H. B. v. Ungheria, 8 Novembre 2016, parr. 156 e 160-163).

Inoltre, come indicato anche nelle Linee guida dell’ANAC sull’accesso civico, l’accesso “generalizzato” è servente rispetto alla conoscenza di dati e documenti detenuti dalla p.a. «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) (cfr. par. 8.1). Di conseguenza, quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessarie al raggiungimento del predetto scopo, oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato (ivi).

Nel caso in esame, dagli atti non emergono con evidente chiarezza elementi che possano consentire di ritenere che la conoscenza generalizzata del Certificato di laurea del soggetto controinteressato possa essere strumentale a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico», facendo supporre al più l’esistenza di un interesse meramente privato alla relativa ostensione. Ciò comporta che sulla base della tipologia, della natura dei dati e delle informazioni personali contenuti nel diploma di laurea oggetto dell’istanza di accesso civico, la relativa conoscenza a soggetti terzi estranei  – tenuto conto del particolare regime di pubblicità dei dati oggetto di accesso civico – determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto controinteressato (art. 5, par. 1, lett. b e c, del RGPD), arrecando a quest’ultimo un possibile pregiudizio alla tutela dei dati personali (art. 5-bis, comma 2, lett. a, del d. lgs. n. 33/2013).

Peraltro, anche in relazione a quanto riportato dal soggetto istante, in ordine alla circostanza che il MIUR tramite l’Anagrafe nazionale dell’istruzione superiore (ANIS) starebbe «procedendo alla pubblicazione dei titoli di studio accademici, in quanto certificazioni professionali di natura legale, che saranno a disposizione presso la già istituita banca dati, accessibile con Spid», si rappresenta che tale richiamo non risulta utile per supportare la richiesta di riesame del provvedimento di diniego dell’accesso civico.

L’ANIS, infatti, contiene i dati previsti dall’art. 3, comma 1, del Decreto del Ministero dell’Università e della ricerca del 30/9/2022, fra cui anche i titoli di studio. Tuttavia, tali dati non sono oggetto di pubblicazione e accessibili a chiunque – come sostenuto dal soggetto istante in maniera non conforme alla disciplina di settore – in quanto il citato decreto ministeriale prevede che tali informazioni sono accessibili secondo le modalità previste dagli artt. 4 e 5, nonché in particolare ai cittadini secondo le modalità di autenticazione ivi previste, unicamente in relazione ai «propri dati».

Ciò significa che per i titoli di studio contenuti nell’ANIS sussiste uno specifico regime di accessibilità disciplinato dalla normativa di settore, che non può essere superato dalla disciplina in materia di accesso civico. Ciò anche ai sensi dell’art. 5-bis, comma 3, del d. lgs. n. 33/2013 laddove è previsto che l’accesso civico «è escluso nei casi […] in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti […]» (cfr. anche Linee guida dell’ANAC in materia di accesso civico, par. 6.3).

Resta, in ogni caso, salva la possibilità di accedere al documento richiesto, laddove – utilizzando il diverso istituto dell’accesso ai documenti amministrativi ai sensi degli artt. 22 ss. della l. n. 241/1990 – sia dimostrata l’esistenza di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso».

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza di “Sapienza Università di Roma”, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 23 gennaio 2025

23/07/2025 n° 2764
Area: Prassi, Circolari, Note

AUTORITA' NAZIONALE ANTICORRUZIONE

Il Presidente

Fascicolo ANAC n. 2764/2025

Oggetto: Omissis - Richiesta di parere concernente gli obblighi di pubblicazione dei dati relativi agli incentivi tecnici percepiti dal personale (Rif. nota prot. ANAC n. omissis del omisssis) - Riscontro.

Con la nota in oggetto sono stati richiesti chiarimenti in merito agli obblighi di pubblicazione dei dati relativi agli incentivi tecnici percepiti dal personale dell’amministrazione.
In merito alla questione descritta, si rappresenta quanto segue.
L’Autorità ha fornito chiarimenti in merito all’obbligo di pubblicazione dei dati sugli incentivi alle funzioni tecniche con delibera Anac n. 1047/2020, ritenendo che le amministrazioni sono tenute ad assolvere a detto obbligo mediante pubblicazione ai sensi dell'articolo 18 del d.lgs. 33/2013. I dati in questione dovranno essere pertanto pubblicati nella sotto-sezione “Personale - “Incarichi conferiti e autorizzati ai dipendenti” della sezione “Amministrazione trasparente”, mediante tabelle, con l'indicazione nell’elenco degli incarichi conferiti o autorizzati a ciascun dipendente (dirigente e non dirigente) di 1 oggetto, 1durata, compenso spettante per ogni incarico. L’Autorità ha altresì precisato che dalle determine dirigenziali di liquidazione degli incentivi tecnici ai dipendenti delle amministrazioni aggiudicatrici e degli enti aggiudicatori possano essere estratti i dati rilevanti da pubblicare ai sensi dell’art. 18 medesimo, in conformità a quanto chiarito anche dal MIT/Supporto giuridico con parere n. 3041. Ciò in considerazione del fatto che i dati contenuti nelle predette determine - da ricondurre all’art. 18 del d.lgs. 33/2013 - fanno riferimento a somme liquidate a fronte di incarichi attribuiti al personale dipendente.
Non può invocarsi, invece, l’applicazione dell’art. 18 per la pubblicazione delle determine dirigenziali, poiché esso non contiene alcun riferimento ad obblighi di pubblicazione di atti.
Dai predetti orientamenti non si è discostato il Garante per la Protezione dei Dati Personali, il quale con parere del 10 marzo 2025 si è espresso su una istanza di accesso civico generalizzato riguardante provvedimenti di approvazione delle modalità di
ricognizione e schede degli incentivi di liquidazione delle quote spettanti per la ripartizione degli incentivi per le funzioni tecniche. Al riguardo, il Garante ha osservato come la documentazione in questione faccia riferimento a dettagli relativi alle attività lavorative svolte dai dipendenti nonché alla retribuzione da loro percepita. Ebbene, proprio con riferimento a tale aspetto è stato evidenziato come la diffusione o l’accesso indiscriminato a tali informazioni da parte di soggetti terzi al contesto lavorativo possa
comportare un’irragionevole e ingiustificata esposizione dei dati personali dei lavoratori, rendendo altresì conoscibile la loro situazione economico-patrimoniale. Per quanto di interesse nel caso in esame, occorre rilevare che il Garante, nel ribadire in generale che l’accesso civico generalizzato deve rispettare i limiti imposti dalla normativa sulla protezione dei dati personali (art. 5-bis del d.lgs. 33/2013 e RGPD), ha evidenziato che il rischio di pregiudizio concreto alla riservatezza dei dipendenti, viene in rilievo laddove questi ultimi non rientrino tra i soggetti obbligati alla trasparenza, come avviene ad esempio per gli organi di vertice, i dirigenti, i consulenti, i collaboratori secondo quanto previsto dagli artt. 14 e 15 del d. lgs. n. 33/2013.
Pertanto, il Garante esclude l’obbligo di pubblicazione in assenza di una norma che lo preveda, citando, a titolo meramente esemplificativo gli articoli 14 e 15 D.lgs 33/2013, che, peraltro, non sono totalmente applicabili al caso di specie riguardante gli incentivi tecnici in quanto gli stessi non vengono elargiti agli organi politici (art. 14) né tantomeno ai consulenti o collaboratori. (art. 15).
Parimenti alle norme sopra citate, l’articolo 18 D.lgs 33/2013 costituisce la base normativa che prevede la pubblicazione degli incarichi conferiti o autorizzati a ciascuno dei propri dipendenti, con l'indicazione della durata e del compenso spettante per ogni
incarico, ma non la pubblicazione di documentazione ulteriore, quali determine di liquidazione, determine di ripartizione, schede di incentivi, per i quali non sussiste alcun obbligo di pubblicazione.
Alla luce di quanto sopraesposto, si ritiene che:
- per la trasparenza dei dati relativi agli incentivi tecnici percepiti dal personale dell’Amministrazione occorre far riferimento all’obbligo di pubblicazione di cui all’art. 18 del d.lgs. 33/2013, che impone di riportare in un elenco tutti gli incarichi conferiti
o autorizzati a ciascun dipendente con indicazione del nominativo, dell’oggetto, della durata e relativo compenso (cfr. Delibere Anac n. 1047/2020 e n. 1310/2016 e relativo Allegato 1);
- la pubblicazione dei suddetti dati all’interno della sezione “Amministrazione trasparente”, sottosezione di I° livello “Personale”, sottosezione di II°livello “Incarichi conferiti ed autorizzati ai dipendenti” è obbligatoria e include anche il nominativo del dipendente (dirigente e non dirigente).
Tanto premesso, il Consiglio dell’Autorità, nell’adunanza del 23 luglio 2025, ha disposto la trasmissione delle suesposte considerazioni alle S.V.

Il Presidente
Avv. Giusseppe Busia
(Firmato digitalmente)

10/07/2025 n° 387
Area: Prassi, Circolari, Note

[doc. web n. 10167956]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 387 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti del Comune di Langhirano a seguito di una segnalazione in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto Comune. 

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito istituzionale del Comune di Langhirano, nella sezione «Amministrazione trasparente», nell’area «Altri contenuti»/«Accesso civico», era possibile accedere a una pagina web (https://...) in cui erano presenti i seguenti file intitolati:

1.  «Esito accesso atti XX - XX», contenente il registro delle richieste accesso agli atti riferite a 148 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

2. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 258 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

3. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 359 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https:...);

4. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 213 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

5. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 216 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

6. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 194 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

7. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 67 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali, con specifica indicazione del nominativo del soggetto che ha effettuato la richiesta di accesso e della descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti. Solo per fare alcuni esempi, al riguardo, è emerso che nel campo oggetto era riportato: «richiesta diritto di accesso ai documenti relativi all’immobile posto XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

Quanto al registro degli accessi, l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito il predetto registro presso gli enti, specificando al contempo che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

Peraltro, occorre tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33 del 14/3/2013).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Langhirano – diffondendo i dati e le informazioni personali prima descritti inseriti nei registri degli accessi pubblicati online – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Langhirano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «Lo schema del registro accessi è stato predisposto nel XX dall’Amministrazione Comunale in ottemperanza agli adempimenti normativi in materia. L’ente pertanto si considera in perfetta buona fede ritenendo che detta predisposizione rappresentasse un congruo bilanciamento di interessi tra esigenze di pubblicità e riservatezza»

- «Si evidenzia pertanto che la pubblicazione del dato sia esclusivamente frutto di un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema di quegli anni»;

- «Si evidenzia inoltre che non sono comunque in generale presenti dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita o comunque elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile»;

- «i dati pubblicati nella sezione di amministrazione trasparente afferenti il registro degli accessi, sono stati immediatamente rimossi dal gestionale in attesa degli sviluppi del caso»;

- non «sono mai pervenute segnalazioni, reclami o doglianze in generale» e non «risulta che da parte degli interessati siano mai state esercitate azioni volte alla tutela dei loro diritti […]»;

- «tutti i dati sono da ritenersi comuni eccezion fatta per un solo accesso afferente l’anno XX protocollo n.XX nel quale sono presenti categorie particolari di dati anche se, stante la casella “oggetto” e “mittente” si può addivenire solo in via indiretta a desumere una condizione relativa allo stato di salute di un soggetto. Cionondimeno per tutti i dati inseriti nelle tabelle non sono comunque presenti dati ulteriori come codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita. Non c’è altresì in generale coincidenza tra mittente ed oggetto e la mera indicazione di nome e cognome, non pare di per sé sufficiente ad identificare in maniera univoca il soggetto».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali di centinaia di istanze con specifica indicazione di: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito. In particolare, è stata lasciato in chiaro il nominativo del soggetto che ha effettuato la richiesta di accesso e la descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti (es: «richiesta diritto di accesso ai documenti relativi all’immobile posto in XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

Al riguardo, occorre evidenziare in via preliminare che la pubblicazione online nella sezione “Amministrazione trasparente” del sito web istituzionale (con conseguente indicizzazione nei motori di ricerca generalisti come Google) della circostanza di avere effettuato una richiesta di accesso presso un ente pubblico oppure quella riguardante il fatto che un soggetto abbia richiesto dati e informazioni riguardanti un terzo comporta la conoscenza generalizzata (tramite la diffusione) di informazioni di natura personale, che i soggetti interessati, per i motivi più vari, potrebbero non volere portare a conoscenza di soggetti estranei alla propria sfera personale e familiare, determinando una un’interferenza ingiustificata e sproporzionata nei relativi diritti e libertà. 

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica, riconducendo la propria condotta a «un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema […]». 

La ricostruzione offerta dall’ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio. 

Si ricorda infatti che – per il rispetto del principio di trasparenza amministrativa delle pp.aa. di cui all’art. 1, comma 1, del d. lgs. n. 33/2013 – nessuna norma di settore prevede un obbligo di pubblicazione dei dati personali di coloro che hanno effettuato accessi ad atti e documenti oppure dei soggetti cui si riferiscono gli atti richiesti. A ciò si aggiunge che l’istituzione presso ogni amministrazione del registro delle richieste di accesso, oltre a essere solo raccomandato nelle Linee guida di ANAC e nella Circolare del Ministro per la pubblica amministrazione prima citate (cfr. supra par. 2), non implica come necessaria e proporzionata anche l’operazione di diffusione online dei dati personali/nominativi di coloro che hanno effettuato le richieste di accesso e dei soggetti a cui i documenti si riferiscono. Nelle citate Linee guida di ANAC è, infatti, specificamente riportato che è sufficiente inserire «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione», avendo cura – in sede di pubblicazione – di «oscura[re] i dati personali eventualmente presenti». Molto chiara, in tal senso, è anche la Circolare del Ministro per la pubblica amministrazione, laddove – sempre con riferimento alla compilazione del registro degli accessi – è analogamente raccomandato che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par. 8.2.b).

L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. La condotta posta in essere risulta peraltro in contrasto con quanto previsto dall’art. 7-bis, comma 3, del d. lgs. n. 33/2013, che prevede effettivamente la possibilità che le pp.aa. possano pubblicare sul sito web istituzionale dati, informazioni e documenti che non hanno l’obbligo di pubblicare sulla base di specifica previsione di legge o regolamento, ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti». La diffusione dei dati personali descritti e oggetto di contestazione non è, inoltre, conforme alle indicazioni contenute nelle Linee guida dell’ANAC in materia e nella Circolare del Ministro per la pubblica amministrazione, che indicano chiaramente la necessità di procedere all’oscuramento dei dati personali presenti nel Registro degli accessi, fra cui sono compresi anche i nominativi dei soggetti istanti e di coloro cui si riferiscono i documenti richiesti. 

Analogamente, non può essere accolta l’eccezione sollevata dal Comune secondo la quale non vi sarebbe stata una violazione della disciplina in materia di protezione dei dati personali, in quanto – tenendo conto della circostanza che non sono stati diffusi accanto al nominativo dei soggetti interessati anche «dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita» – non sarebbero stati diffusi «elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile». Tale tesi è in contrasto con la disciplina europea in materia secondo la quale «dato personale» è, come detto, qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, fra l’altro, proprio il «nome» (art. 4, par. 1, n. 1, del RGPD). Nel caso in esame, dall’istruttoria è emerso che il Comune ha pubblicato online proprio i nomi e cognomi dei soggetti interessati (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono) contenuti nei registri degli accessi, ossia dati che identificano direttamente persone fisiche e rientrano, pertanto, sicuramente nella ricordata definizione di «dato personale» (indipendentemente dalla circostanza che siano accompagnati da ulteriori informazioni come codice fiscale, indirizzo di residenza, luogo e data di nascita).

Per altro verso, si rileva che, per stessa ammissione del Comune in almeno un procedimento i dati personali diffusi erano idonei a rivelare indirettamente anche la condizione di salute del soggetto interessato (art. 9 del RGPD), come nel caso della richiesta di accesso anno XX protocollo n. XX, avente a oggetto lo «stato pratica devoluzione contributo per rimozione barriere architettoniche - domanda presentata dalla sig.ra XX», con la conseguente violazione anche del divieto di diffusione di dati relativi alla salute previsto dall’art. 2-septies, comma 8, del Codice.

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. 

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva – conformemente ai precedenti di questa Autorità in materia (provv. n. XX del XX, in www.gpdp.it, doc. web n. 9784482; n. 281 del 22/7/2021, ivi, doc. web n. 9696645) – che il trattamento di dati personali effettuato dal Comune di Langhirano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1) è avvenuta in violazione:

1)  delle disposizioni contenute dell’art. 2-ter, commi 1 e 3, del Codice; dell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute al riguardo nelle Linee guida dell’ANAC e nella Circolare del Ministro per la pubblica amministrazione (sopra richiamate al par. 2);

2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;

3) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD).

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Comune di Langhirano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4 del RGPD nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame. 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri degli accessi anni XX) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile XX). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, oltre a tener conto della circostanza che il Comune di Langhirano è un ente di medie dimensioni (con poco più di 10.000 abitanti), si prendono in considerazione anche le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;

- il titolare del trattamento ha dichiarato di non aver in ogni caso ricevuto segnalazioni, reclami o richieste di esercizio dei diritti da parte dei soggetti interessati;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online, anche relativi alla salute, in assenza di una idonea base normativa (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Langhirano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, e dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD, nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice;

ORDINA 

al Comune di Langhirano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza Giacomo Ferrari, 1 - 43013 Langhirano (PR) – C.F. 00183800341 di pagare la somma di € 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro € 12.000,00 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi

04/08/2025 n° 454
Area: Prassi, Circolari, Note

[doc. web n. 10162698]

Parere sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” - 4 agosto 2025

Registro dei provvedimenti
n. 454 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (di seguito, anche «Intelligenza Artificiale» o «IA») e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (di seguito, anche «Regolamento sull’IA»);

VISTO il Decreto-Legge 22 giugno 2023, n. 75, recante “Disposizioni urgenti in materia di organizzazione delle pubbliche amministrazioni, di agricoltura, di sport, di lavoro e per l’organizzazione del Giubileo della Chiesa cattolica per l’anno 2025” convertito, con modificazioni, dalla Legge 10 agosto 2023, n. 112 e, in particolare, l’articolo 21, comma 4-ter, secondo cui il Ministero dell’Istruzione e del Merito (di seguito, MIM) promuove la progettazione, lo sviluppo e la realizzazione della «Piattaforma Famiglie e Studenti», anche denominata «Unica» (di seguito, anche «Piattaforma» o «Unica»), quale canale unico di accesso al patrimonio informativo detenuto dal MIM e dalle Istituzioni Scolastiche, attraverso il quale famiglie e studenti possono fruire con modalità semplificate dei servizi digitali offerti dal Ministero e dalle Istituzioni Scolastiche;

CONSIDERATO che, in attuazione dell’articolo 21, comma 4-quinquies, del suddetto Decreto-Legge n. 75/2023, il MIM ha adottato il Decreto ministeriale 10 ottobre 2023, n. 192, avente a oggetto “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche nell’ambito della Piattaforma” e per il tramite del quale sono stati attivati specifici servizi digitali quali, in particolare, E-Portfolio, Docente Tutor e Gite Scolastiche, su cui il Garante ha reso il parere con provv. n. 468 del 10 ottobre 2023 (disponibile sul sito istituzionale www.gpdp.it, doc. web n. 9953443);

VISTO in particolare, l’articolo 11, comma 4, del Decreto Ministeriale n. 192/23, secondo cui «Con appositi decreti ministeriali di natura non regolamentare, il MIM, sentito il Garante per la protezione dei dati personali, provvederà, come previsto all’articolo 5, comma 6, del presente Decreto, a integrare e implementare nella Piattaforma: (i) i Servizi Digitali già erogati dal Ministero e dalle Istituzioni Scolastiche con applicativi diversi dalla Piattaforma medesima; (ii) i Servizi Digitali di nuova introduzione»;

VISTO altresì, il Decreto Ministeriale del 18 giugno 2024, n. 124, concernente la disciplina sul trattamento dei dati personali effettuato dal MIM e dalle Istituzioni Scolastiche nell’ambito dell’abilitazione di nuove utenze ai fini dell’accesso all’area privata della Piattaforma e del servizio digitale «Knowledge Area», su cui il Garante ha reso il parere con provv. n. 334 del 6 giugno 2024 (doc. web n. 10036855);

VISTA la nota del 28 luglio 2025 con cui il Ministero dell’Istruzione e del Merito ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto ministeriale, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” a cui sono allegate le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” (di seguito, Linee guida);

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- che nell’ambito della Piattaforma Unica è implementato un Servizio Digitale mediante il quale, il Ministero, nell’ambito delle proprie funzioni di indirizzo e governo generale del sistema nazionale di istruzione e formazione, rende disponibili specifici contenuti e documenti informativi sull’IA, tra i quali apposite Linee Guida in materia di Intelligenza Artificiale, nonché una mappa delle sperimentazioni avviate dalle singole Istituzioni Scolastiche in materia, al fine di supportare le stesse nei possibili impieghi dell’IA e favorire l’acquisizione, da parte di studenti, studentesse e genitori/esercenti la responsabilità genitoriale, delle necessarie conoscenze digitali, al fine di poter godere dei benefici offerti dall’IA  e orientare le nuove generazioni verso un uso attento e consapevole delle nuove tecnologie (articolo 1);

- le modalità di accesso al Servizio Digitale (articoli 2 e 3);

- le Sezioni di cui si compone il Servizio Digitale e le relative funzionalità (articoli 4, 5, 6);

- i soggetti coinvolti nel trattamento dei dati personali e il ruolo svolto, prevedendo che il MIM è titolare del trattamento dei dati personali degli Utenti trattati nell’ambito della procedura di identificazione e autenticazione informatica nell’area privata della Piattaforma, restando ferma la responsabilità delle Istituzioni Scolastiche in merito alle informazioni di propria competenza che sono inserite nell’ambito della Sezione «Progetti IA», nonché la responsabilità per la loro esattezza, correttezza e aggiornamento (articolo 7);

- il MIM promuove un uso etico e trasparente dell’IA, garantendo il rispetto dei principi in materia di IA indicati all’interno degli «Orientamenti etici per un’IA affidabile» dell’8 aprile 2019 e richiamati dal Regolamento (UE) 2024/1689 citato. In ogni caso, sono oggetto di trattamento i soli dati personali comuni degli Utenti, acquisiti in fase di autenticazione all’area privata della Piattaforma e indicati all’interno dell’Allegato Tecnico al D.M. n. 192/2023 (articolo 8);

- il rispetto dei principi in materia di protezione dei dati personali e misure di sicurezza (articolo 9);

- con appositi decreti ministeriali di natura non regolamentare, il MIM provvederà a disciplinare nel dettaglio le modalità con le quali le Istituzioni Scolastiche dovranno progettare e realizzare le singole iniziative di IA, in conformità alla disciplina in materia di protezione dei dati personali e di IA, le iniziative di formazione che saranno attivate a favore delle Istituzioni Scolastiche in materia di IA, al fine di garantire un uso consapevole e responsabile dei sistemi di IA in ambito scolastico, gli ulteriori elementi volti a garantire che l’implementazione dei sistemi di IA da parte delle Istituzioni Scolastiche avvenga nel pieno rispetto dei diritti e dei valori sanciti dalla Carta dei diritti fondamentali dell’Unione europea e l’aggiornamento delle Linee Guida adottate con il Decreto in esame, nonché i modelli documentali alle medesime allegati (articolo 10);

RILEVATO, inoltre, che le linee guida allegate allo schema di decreto in esame, prevedono, in sintesi:

- gli obiettivi che il MIM intende perseguire con l’introduzione delle tecnologie di IA in ambito scolastico affinché diventino uno strumento per rafforzare la competitività del sistema educativo, preservandone la qualità, promuovendo l’equità e invitando studenti e Istituzioni scolastiche a sfruttare le potenzialità dell’IA con la giusta consapevolezza (paragrafo 1);

- i principi a sostegno dell’introduzione dell’IA, tra cui la “centralità della persona”, la “tutela dei diritti e delle libertà fondamentali” e la “sicurezza dei sistemi e modelli di IA” (paragrafo 2);

- i requisiti etici, tecnici e normativi necessari per assicurare un’adozione responsabile e sicura delle tecnologie di IA (paragrafo 3);

- le istruzioni operative e gli strumenti di accompagnamento per introdurre l’IA negli Istituti scolastici (paragrafo 4);

CONSIDERATO, in primo luogo, che i trattamenti di dati personali per compiti di interesse pubblico devono essere effettuati esclusivamente nel perseguimento delle finalità istituzionali dei rispettivi titolari del trattamento nel quadro della normativa di settore applicabile, che ne costituisce la base giuridica definendo presupposti, condizioni, modalità, limiti e misure a tutela dei diritti e delle libertà fondamentali delle persone, anche tenuto conto della natura dei dati trattati, del contesto, degli specifici strumenti che si intende utilizzare nonché dei rischi per gli interessati, nel rispetto dei principi generali di protezione dei dati personali e, in particolare, di quelli di liceità, correttezza e trasparenza e di limitazione della finalità (cfr. art. 5, par. 1, lett. a) e b), e art. 6, parr. 1, lett. e), e 3 del Regolamento, nonché art. 2-ter del Codice; inoltre, laddove il trattamento abbia a oggetto categorie particolari di dati personali o dati personali relativi a condanne penali o reati, cfr. artt. 9 e 10 del Regolamento e artt. 2-sexies e 2-octies del Codice);

CONSIDERATO, inoltre, che, laddove tale trattamento comporti l’utilizzo di sistemi di IA, come pure prefigurato, occorre che siano altresì assicurati una piena trasparenza nei confronti degli interessati nonché il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (cfr. spec. art. 5, par. 1, lett. a), e artt. 12, 13, 14 e 22 del Regolamento);

CONSIDERATO, in ogni caso, che la versione dello schema di decreto in esame, con particolare riferimento ai principi di privacy by design e by default (art. 25 del Regolamento), tiene conto anche delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse, che hanno riguardato, in particolare:

- la rigorosa osservanza dei divieti concernenti le pratiche vietate di cui all’art. 5 del Regolamento sull’IA (come quelle preordinate al riconoscimento delle emozioni, c.d. strumenti di sentiment analysis, con particolare riferimento al contesto scolastico o lavorativo: cfr. spec. le Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act) del 4 febbraio 2025);

- il rispetto delle misure previste dal Regolamento sull’IA in relazione all’impiego di sistemi di IA ad alto rischio, con particolare riferimento a quelli, richiamati dall’art. 6, par. 2, indicati nell’Allegato III al n. 3;

- le garanzie di trasparenza che gli Istituti medesimi sono tenuti ad assicurare nei confronti degli interessati, anche nel rispetto di quanto previsto dalla disciplina di settore in materia di IA;

- la definizione di ruoli e responsabilità dei soggetti istituzionali coinvolti nella gestione dei sistemi di IA, anche in qualità di titolari del trattamento ai fini della contestuale applicazione della disciplina di protezione dei dati personali, con particolare riferimento al rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la previsione di utilizzare solamente laddove strettamente indispensabili, i dati personali riferibili a studenti e docenti ricorrendo ove possibile all’utilizzo di dati sintetici, prevedendo l’impiego di configurazioni che impediscano la conservazione dei prompt, la profilazione o il tracciamento degli studenti, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

- la necessità di assicurare la trasparenza dei trattamenti di dati personali effettuati da parte degli Istituti scolastici mediante sistemi di IA, con particolare riguardo all'impatto sui diritti e sulle libertà fondamentali degli interessati, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la necessità di prevedere attività formativa adeguata, audit o valutazioni periodiche volti a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto senza contemplare aprioristicamente un elenco predefinito e limitato di misure, nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento);

RITENUTO, alla luce di quanto osservato, di poter esprimere parere favorevole sullo schema di decreto in esame, che reca in allegato le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche”;

RITENUTO, inoltre, che spetta ai soggetti che svolgono attività di trattamento dei dati personali, nel rispetto della cornice di liceità sopra richiamata, adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto scolastico ed educativo, a valle della valutazione d’impatto svolta anche alla luce delle valutazioni formulate dai soggetti a vario titolo coinvolti (art. 35 del Regolamento), in ossequio al principio di accountability (artt. 5, par. 2, e 24 del Regolamento);

RITENUTO, infine, che, impregiudicati gli specifici requisiti e garanzie che derivano dall’applicazione del quadro normativo in materia di IA, quando l’utilizzo di sistemi di IA comporta il trattamento di dati personali, occorre garantire, anche alla luce della previsione contenuta nell’art. 2, par. 7 del Regolamento UE 2024/1689, il contestuale rispetto della disciplina in materia di protezione dei dati personali e l’applicazione delle garanzie ivi previste a tutela dei diritti e delle libertà fondamentali delle persone, la cui osservanza è assicurata dal Garante per la protezione dei dati personali nell’esercizio dei compiti e poteri attribuitigli dal Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” allegate.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE 
Fanizza

04/04/2025 n° 2773
Area: Prassi, Circolari, Note

Ministero dell'Istruzione e del Merito

Dipartimento per le risorse, l’organizzazione e l’innovazione digitale

Dipartimento per il sistema educativo di istruzione e formazione

Alle Istituzioni Scolastiche ed educative Statali e Paritarie
Ai Direttori generali/Dirigenti titolari
degli Uffici Scolastici Regionali

e p.c. All’Ufficio di Gabinetto
del Ministero dell’istruzione e del merito

Al Sovrintendente agli Studi della Valle d’Aosta

Al Sovrintendente Scolastico
della Provincia di Bolzano

Al Dirigente del Dipartimento Istruzione
per la Provincia Autonoma di Trento

Oggetto: Indicazioni alle Istituzioni scolastiche ed educative statali in merito alle modalità di gestione del registro elettronico

Con la presente nota, il Ministero dell’Istruzione e del Merito (a seguire, anche «Ministero») intende fornire alle Istituzioni scolastiche ed educative statali (a seguire, anche «Istituzioni Scolastiche» o «Istituzioni») indicazioni operative (a seguire, anche «Indicazioni Operative» o «Indicazioni») in merito alle modalità di gestione dei registri scolastici online di cui all’art. 7, comma 31, del D.L. n. 95/2012 (a seguire, anche «Registro/i») e degli eventuali rapporti di fornitura con operatori economici (a seguire, anche «Fornitori»).
In via preliminare, si evidenzia che il Registro presenta particolari profili di delicatezza, essendo strettamente connesso all’espletamento di funzioni pubbliche essenziali proprie delle Istituzioni Scolastiche, con conseguente coinvolgimento di molteplici dati personali di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico, come anche precisato dal Garante per la Protezione dei Dati Personali all’interno del Vademecum «La scuola a prova di privacy», Ed. 2023 (1). I Registri in questione, pertanto, devono essere esclusivamente orientati al soddisfacimento delle finalità di organizzazione e gestione delle attività educative nel pieno rispetto della normativa vigente.
Ferma restando l’autonomia delle Istituzioni Scolastiche, si riportano a seguire alcuni aspetti di particolare rilevanza, previsti dalla normativa e dalle buone prassi di settore, dei quali se ne raccomanda la puntuale adozione.
L’utilizzo del Registro è previsto dal citato art. 7, comma 31, del D.L. n. 95/2012, il quale dispone che «A decorrere dall'anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico».

In particolare, il Registro consente:
(i) la gestione delle attività didattiche da parte dei docenti (i.e., assenze, voti, giudizi, annotazioni sulle lezioni);
(ii) la presa visione dell’attività scolastica svolta dalle studentesse e dagli studenti da parte delle famiglie (i.e., compiti, lezioni, assenze, voti);
(iii) la trasmissione di comunicazioni istituzionali da parte del Ministero e delle Istituzioni alle famiglie, alle studentesse e agli studenti, anche alla luce della Nota MIM n. 788 del 31 gennaio 2025.
Il Registro non deve, pertanto, contenere servizi o attività non aderenti rispetto alla finalità di cui sopra quali, a titolo esemplificativo e non esaustivo: (i) svolgimento di iniziative commerciali o di marketing, (ii) trasferimento di dati a soggetti terzi, salvi i casi in cui ciò sia strettamente connesso al funzionamento del Registro (i.e., servizi cloud), (iii) messa a disposizione di contenuti non essenziali (i.e., mini-games, oroscopo, chat), (iv) esposizione di banner pubblicitari o rinvio a siti di terze parti contenenti proposte commerciali di qualunque categoria merceologica (i.e. acquisto di libri, di materiale scolastico, etc.).
Si coglie questa occasione per fornire nuovamente alcune importanti istruzioni e indicazioni, di pronta consultazione, in merito alle modalità di identificazione e di autenticazione, di integrazione, di interoperabilità, di data-protection, di sicurezza dei dati e di trasferibilità dei dati contenuti nel Registro (Allegato 1).
Le indicazioni operative fornite potranno essere periodicamente aggiornate dal Ministero alla luce delle evoluzioni normative e tecnologiche rilevanti per le questioni trattate.
Con riferimento all’uso del Registro, si ricorda, infine, la nota 11 luglio 2024, prot. n. 5274, avente ad oggetto “Disposizioni in merito all’uso degli smartphone e del registro elettronico nel primo ciclo di istruzione”, e le raccomandazioni in merito alla necessità “di accompagnare la notazione sul registro elettronico delle attività da svolgere a casa con la notazione giornaliera sui diari/agende personali”, in modo tale che “ciascun alunno potrà acquisire una crescente autonomia nella gestione degli impegni scolastici, senza dover ricorrere necessariamente all’utilizzo del registro elettronico”.
In caso di quesiti è possibile richiedere assistenza scrivendo al supporto «Help Desk Amministrativo Contabile» (HDAC), accedendo al seguente link: istruzione.it/hdac.
L’occasione è gradita per porgere cordiali saluti.

DIPARTIMENTO PER IL SISTEMA EDUCATIVO DI ISTRUZIONE E DI FORMAZIONE 

(Firmato digitalmente da Carmela Palumbo)

DIPARTIMENTO PER LE RISORSE, L’ORGANIZZAZIONE E L’INNOVAZIONE DIGITALE

(Firmato digitalmente da Nando Minnella)

(1) Il Vademecum «La scuola a prova di privacy», Ed. 2023, è reperibile al seguente link Scuola - Garante Privacy. Con riferimento al trattamento dei dati personali nell’ambito delle Istituzioni Scolastiche, si riporta a seguire il link delle FAQ elaborate dal Garante per la Protezione dei Dati Personali FAQ - Scuola e privacy - Garante Privacy.

*****

ALLEGATO 1
VADEMECUM REGISTRO ELETTRONICO

1) Procedura di identificazione e autenticazione
In coerenza con quanto previsto dall’art. 24, comma 4, del D.L. n. 76/2020 e dall’art. 64 del CAD, l’accesso al Registro deve avvenire esclusivamente mediante l’utilizzo di identità digitali (i.e., SPID, CIE, eIDAS).
Tali modalità di accesso, infatti, consentono di garantire un adeguato livello di sicurezza, impedendo o limitando l’accesso al Registro medesimo a soggetti non autorizzati. A tal fine è importante che, progressivamente, l’identità digitale diventi la preponderante modalità di accesso al registro.
Si ricorda inoltre che, al fine di semplificare gli adempimenti tecnico-amministrativi, il Ministero ha messo a disposizione delle Istituzioni Scolastiche e dei Fornitori che implementano pacchetti software una piattaforma di autenticazione c.d. «Gateway delle identità» o «eID Gateway», che agevola l’integrazione con i sistemi «Entra con SPID», «Entra con CIE» e «Login with eIDAS», facilitando l’accesso alle applicazioni con cui le Istituzioni medesime erogano servizi a studentesse e studenti, genitori, docenti e personale scolastico.
Ai fini di cui sopra, il suddetto «Gateway delle identità» supporta anche l’utilizzo dello SPID Minori, consentendo agli alunni e agli studenti minorenni di poter utilizzare i servizi sia tramite SPID che CIE.

2) Interoperabilità e integrazione con gli ulteriori servizi resi disponibili dal Ministero
Ai sensi di quanto previsto dagli artt. 12 e 64-bis del CAD, il Registro deve essere interoperabile con le applicazioni digitali del Ministero, al fine di assicurare la qualità, la continuità e la condivisione dei servizi offerti dal Ministero medesimo nei confronti di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico.
In particolare, il Registro deve consentire l’interoperabilità con il Sistema Informativo dell’Istruzione (SIDI), utilizzato per monitorare, gestire e fornire servizi legati al mondo della scuola e con le principali applicazioni in uso quali ad esempio, l’Anagrafe Nazionale degli Studenti (ANS), la Piattaforma Unica, il servizio Pago In Rete.

3) Accessibilità
Il Registro deve garantire il rispetto delle previsioni in materia di accessibilità dei siti web e delle applicazioni mobili per le persone con disabilità, al fine di erogare Servizi fruibili, senza discriminazioni, nei confronti dell’intera platea di utenti (i.e., Legge del 9 gennaio 2004, n. 4, recante «Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici»; D.Lgs. n. 106/2018, recante «Attuazione della direttiva (UE) 2016/2102 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici»;
Linee Guida sull’accessibilità degli strumenti informatici, adottate dall’Agenzia per l’Italia Digitale, da ultimo aggiornate il 29 maggio 2023, che definiscono i requisiti tecnici per l’accessibilità degli strumenti informatici, ivi inclusi i siti web e le applicazioni mobili).

4) Data Protection
Le Istituzioni Scolastiche, in relazione ai trattamenti effettuati per il tramite del Registro, ricoprono la funzione di Titolari del trattamento dei dati personali, in quanto, ai sensi dell’art. 4, par. 1, n. 7, del GDPR, determinano le finalità e i mezzi del trattamento di dati personali. Per tale motivo, devono garantire che i Servizi affidati siano rispettosi dei principi in materia di protezione dei dati personali come riportati all’interno dell’art. 5 del GDPR ossia:
(i) liceità, correttezza e trasparenza nel trattamento dei dati personali dell’interessato, (ii) limitazione della finalità;
(iii) minimizzazione dei dati, (iv) esattezza dei dati, (v) limitazione della conservazione, (vi) integrità e riservatezza nel trattamento dei dati e (vii) responsabilizzazione.
Tra i principali adempimenti che le Istituzioni Scolastiche, nell’ambito della propria autonomia didattica e organizzativa, sono tenute ad eseguire in qualità di Titolari, si segnalano i seguenti:
(i) esecuzione di una valutazione di impatto sul trattamento dei dati personali (DPIA), al fine di individuare i rischi connessi al trattamento eseguito (artt. 35 e ss. del GDPR);
(ii) rilascio agli interessati di un’idonea informativa sul trattamento dei dati personali, ai sensi degli artt. 13 e 14 del GDPR;
(iii) nomina dei soggetti autorizzati al trattamento dei dati personali (art. 29 del GDPR e art. 2–quaterdecies del D.Lgs. n. 196/2003).
Per adempiere a tali attività, le Istituzioni Scolastiche possono opportunamente coinvolgere anche i rispettivi «Data Protection Officer».
Le Istituzioni Scolastiche nominano, inoltre, all’interno di uno specifico contratto o altro atto giuridico, i Fornitori quali Responsabili del trattamento dei dati, che ai sensi dell’art. 28 del GDPR, a titolo esemplificativo, provvedono
a:
(a) trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;
(b) garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del contratto: (i) si impegnino a rispettare la riservatezza o siano sottoposti a un obbligo legale appropriato di segretezza, (ii) ricevano la formazione necessaria in materia di protezione dei dati personali e (iii) trattino i dati personali osservando le istruzioni impartite dal Titolare;
(c) informare il Titolare tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, di ogni violazione di dati personali (cd. data breach), ai sensi degli artt. 33 e 34 del GDPR.

5) Sicurezza dei dati trattati
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, gli atti con i quali si procede all’affidamento del Registro devono prevedere che l’operatore economico adotti, in qualità di Responsabile, tutte le opportune misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR) quali, ad esempio:
(a) misure di «Business continuity», che hanno lo scopo di mantenere la continuità delle operazioni essenziali, qualora si verifichino situazioni di crisi o incidenti di sicurezza che causino l’indisponibilità dei sistemi per un certo lasso di tempo;
(b) misure di «Disaster Recovery», che garantiscono la capacità di ripristinare i sistemi compromessi nel modo più rapido e sicuro possibile;
(c) adozione di soluzioni cloud rispondenti alla specifica normativa di settore, ivi compresa la disciplina contenuta all’interno del «Regolamento per le Infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, ai sensi dell’articolo 33-septies, comma 4, del Decreto-Legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 211», adottato con Decreto Direttoriale dell’Agenzia per la cybersicurezza nazionale n. 21007 del 27 giugno 2024.

6) Trasferibilità dei dati contenuti nel Registro
I dati contenuti nel Registro devono essere pienamente e facilmente trasferibili ad altri Registri e/o applicazioni rispetto a specifiche esigenze delle Istituzioni scolastiche.

23/10/2014 n° 474
Area: Prassi, Circolari, Note

27/02/2025 n° 115
Area: Prassi, Circolari, Note

[doc. web n. 10126123]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n.  115 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità da un avvocato, in nome e per conto della sig.ra XX e del sig.XX, è stata lamentata la pubblicazione, ad opera di una docente della scuola primaria dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio (di seguito, l’Istituto), sul registro elettronico, del Piano educativo individualizzato (PEI) del figlio dei reclamanti.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare:

- “in data XX ricevo comunicazione da parte dell’avvocato […] di "segnalazione violazione regolamento privacy per illegittima diffusione dati sanitari del minore […]";

- “il legale afferma che “in data XX si è verificato un grave episodio di diffusione di dati sensibili giacché nella chat di classe, l’insegnante […] ha postato il Piano Educativo Individuale del figlio dei miei assistiti diffondendo dati sensibili che dovevano rimanere riservati in quanto afferenti allo stato di salute psicofisica del minore ed alle sue problematiche”;

- “venuta solo allora a conoscenza dell’episodio, avvio procedura interna di indagine con prot. ris. N. XX del XX, notando però che lo screenshot finito sulla chat ed allegato dall’Avvocato, è relativo alla pagina di accesso sul registro del genitore dell’alunno”;

- “alla richiesta di chiarimenti, la Docente prontamente produce relazione acquisita con prot. ris. n.XX del XX. Di seguito i fatti accertati. In data XX, durante l’incontro di programmazione settimanale, la […], docente di sostegno di […] della classe IIIE, inseriva all’interno del registro elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore (…). Dalla tendina richiamava la voce alunni e docenti, inseriva il nome dell’alunno interessato ed erroneamente anche la classe (…), di conseguenza il PEI, è risultato visibile a tutti i genitori della IIIE. Questo avveniva intorno alle ore 18.00. Subito dopo la docente incontra la collega di classe che aveva già ricevuto la telefonata della [… reclamante] e si rende conto di aver commesso un errore; pertanto, alle 18.22 corregge la visualizzazione (…). In quel lasso di tempo, il genitore di […] ha visionato il registro, avvisato la signora […] e postato lo screenshot della pagina sulla chat di classe. (…). Nessuno, compreso la docente, ha ritenuto opportuno avvisare la scrivente o i miei collaboratori”;

- “è accertato che la docente […] ha commesso l’errore nella gestione della visualizzazione del documento, la diffusione dei dati è avvenuta dentro il registro, nell’ambito della classe del minore, non sulla chat dove l’informazione è stata divulgata dal citato genitore della classe. Avendo avuto notizia dell’infrazione 90 giorni dopo l’evento, la richiesta del file delle visualizzazioni al gestore del Registro elettronico comportava un esborso consistente in quanto istanza proveniente dall’Istituto e non da Autorità preposta; pertanto, non è stato possibile verificare se il documento fosse stato scaricato da qualche genitore. I dati personali violati erano costituiti dai codici della disabilità riportati in una sezione del PEI”;

- “la condivisione del PEI, con il genitore avviene nell’ambito della normativa a tutela della disabilità in particolare del XX del XX. La scelta del registro, come strumento rapido di condivisione, è relativa al processo di digitalizzazione dell’Amministrazione, la visibilità dei singoli documenti, è riservata esclusivamente ai docenti e ai genitori degli alunni interessati. Al Gestore del Registro, in occasione del rinnovo del contratto, viene dato l’incarico del trattamento dati”;

- “nessuna certificazione relativa a dati sanitari è stata e viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei codici i format dei PEI e PDP e a vietare la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale”;

- “nel merito dell’illegittima diffusione dei dati avvenuta in data XX, è stato già coinvolto il Responsabile della Protezione dei dati designato dell’Istituto, […], con il quale sono state concordate le misure correttive”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione del PEI del figlio dei reclamanti e quello predisposto per un altro alunno, contenenti dati personali, anche relativi alla salute degli interessati, seppure avvenuta in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:

- “In data XX giunge reclamo da parte dell’Avvocato […] in merito alla diffusione di dati sensibili, il PEI, dell’alunno […] della classe IIIE primaria, nella chat di classe da parte dell’insegnante di sostegno […] avvenuta il giorno XX. Da indagini interne, avviate con prot. n. XX del XX, risulta che la diffusione dei dati da parte della docente non è avvenuta sulla chat di classe, ma all’interno del Registro in un’area riservata. La violazione contestata è durata un breve lasso di tempo, circa 22 minuti. Non si ha la prova che il documento sia stato scaricato in quanto lo screenshot allegato dall’Avvocato, prova soltanto la visibilità del documento nel Registro, ma non rivela il contenuto. Non è possibile, a distanza di così tanto tempo, ottenere il file log dal gestore del registro per verificare se e chi ha scaricato il PEI. Poiché il documento si trovava all’interno di un’area riservata del Registro, la visibilità era possibile solo ai genitori della classe IIIE, formata da 21 alunni. È impossibile determinare se in quei 22 minuti tutti abbiano fatto accesso al registro. Poiché non si ha prova riguardo l’apertura del documento da parte di soggetti terzi, la diffusione dei dati certa riguarda l’informazione che l’alunno […] ha un PEI, informazione nota a tutta la classe in quanto allo stesso era stata assegnata la docente di sostegno”;

- “la docente, per mero errore materiale, inserendo all’interno del Registro Elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore […], fleggava non solo il nome dell’alunno interessato, ma anche la classe, di conseguenza il PEI, contrariamente alle intenzioni della docente, risultava visibile a tutti i genitori della IIIE. Dalla condotta della docente, supplente temporanea, non emerge nessuna intenzionalità di diffondere i dati del proprio alunno, ma solo un’imprudenza dovuta all’inesperienza e alla scarsa conoscenza del mezzo informatico. Supportata dai colleghi, ha immediatamente posto rimedio all’errore tanto che dopo solo 22 minuti la visualizzazione è stata corretta senza provocare nessun danno altrui”;

- è stata effettuata la “correzione immediata della visualizzazione sul Registro togliendo il flag alla classe. Contatto contestuale con la famiglia da parte della docente per scusarsi dell’accaduto. Disponibilità dell’Istituto ad incontrare la famiglia che ha sempre disdetto gli appuntamenti senza giustificare i motivi. Si osserva altresì che la discrasia è avvenuta il XX e, inspiegabilmente, la contestazione è stata effettuata il XX (oltre due mesi dopo l’accaduto). Appare evidente il carattere pretestuoso della richiesta che, a mente dell’art. 11, comma 1, lettera c del Regolamento n.1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, avrebbe potuto comportare l’archiviazione del reclamo”;

- “Nessuna certificazione relativa a dati particolari viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei dati riconducibili alla salute i format dei PEI al fine di minimizzare l’uso dei dati particolari. Viene vietata la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale. Il PEI viene consegnato brevi manu al genitore interessato. Essendoci all’Interno dell’Istituto un continuo movimento di personale temporaneo, si è programmato di reiterare la formazione sul trattamento dei dati personali”;

- “L’Istituto si è dotato, da tempo, del Compendio per le attività di trattamento dei dati personali e del Registro dei trattamenti predisposti insieme al DPO”;

- “innanzi tutto ribadire quanto stabilito dall’art. 11, comma 1, lettera c del Regolamento n.1/2019 in riferimento all’evidente carattere pretestuoso del reclamo: infatti, la violazione lamentata è accaduta il XX, la segnalazione alla scuola viene effettuata il XX – dopo due mesi dall’accaduto! -, quando la discrasia lamentata era stata sanata immediatamente (dopo 22 minuti) senza che nessun danno fosse stato arrecato all’alunno titolare del PEI. Si deve, inoltre, evidenziare che la diffusione dei dati, (di cui oltretutto non si ha certezza!) sarebbe avvenuta interessando soltanto gli appartenenti alla classe frequentata dall’alunno titolare del PEI che erano già a conoscenza della condizione dell’alunno in questione. In secondo luogo, giova qui ricordare che l’art. 83 del Regolamento (UE) 2016/679 correlato con il Codice in materia di protezione dei dati personali vigente, al comma 2, detta le condizioni generali per infliggere le sanzioni amministrative pecuniarie e così rappresenta la necessità che per ogni singolo caso si debba tener conto dei seguenti elementi:

a. “…Si osserva che vi è stata solo una presunta parte lesa ed il livello del danno subito è da ritenersi inesistente per l’immediato intervento da parte della docente che inopinatamente aveva creato il problema.

b. È evidente il carattere colposo della violazione, oltretutto commessa da una docente.

c. Come più volte detto, immediatamente sono state adottate misure che hanno reso inesistente qualsivoglia danno potesse derivare dalla discrasia commessa

d. Le misure tecniche e organizzative messe in atto da tempo fino ad ora hanno evitato il ripetersi di infrazioni equivalenti

e. Non si sono verificate precedenti violazioni commesse dal titolare o dal responsabile del trattamento dei dati

f. Non vi è stato bisogno di richiedere la cooperazione dell’Autorità di controllo in quanto, in modo autonomo, l’Istituzione aveva già posto rimedio alla discrasia (il problema è stato risolto dopo 22 minuti dall’accaduto e non si è più ripetuto)

h. Si presume che l’Autorità di controllo abbia preso conoscenza della violazione dai genitori dell’alunno interessato al Pei. Dalla Nota GPDP.Ufficio.Protocollo.XX, pervenuta all’istituzione ad XX, si evince che l’Autorità ha preso conoscenza mesi dopo di una violazione commessa diversi mesi prima.

i. Non sono stati mai disposti provvedimenti di cui all’art. 58 paragrafo 2 Regolamento del titolare del trattamento o del Responsabile del trattamento in quanto, non si sono mai in precedenza evidenziati violazioni di qualsivoglia tipo

j. L’Istituto è dotato di Compendio per le attività di trattamento dei dati personali e di Registro dei trattamenti”.

Nel corso dell’audizione tenutasi in data XX la dirigente scolastica dell’Istituto ha, altresì, dichiarato:

- “sono in servizio dal XX e ho condiviso con l’allora dirigente in servizio e il dpo gli elementi da fornire;

- l’evento si è verificato il XX, la dirigente è avvenuta a conoscenza dell’accaduto solo il XX quando ha ricevuto la nota del legale della famiglia dell’interessato, si è attivata subito consultando il dpo e verificando le conseguenze della pubblicazione; altresì ha sentito la docente interessata che ha relazione per iscritto le circostanze dell’evento verificatosi;

- Il documento è stato erroneamente pubblicato dalla docente che ha inserito la spunta di flag che ha determinato la visibilità del documento a tutti i genitori;

- La visibilità della comunicazione a tutti i genitori è stata disattivata dopo circa 20 minuti;

- L’unico genitore che ha letto la comunicazione ha condiviso uno screenshot dell’avviso di pubblicazione del documento a tutti gli altri genitori nella chat di classe senza tuttavia scaricarlo;

- In seguito un genitore dell’interessato ha avvisato le docenti dell’accaduto e pertanto la docente di sostegno ha provveduto subito a rimuovere l’avviso inserito;

- Ricevuta la nota del legale la dirigente ha invitato il legale e la famiglia ad incontrarsi per parlare delle conseguenze di tale comunicazione errata, ma tale incontro non è mai avvenuto perché la famiglia non ha mai aderito a tale invito;

- Insieme al dpo l’allora dirigente ha rivisto e modificato la modulistica e la modalità di condivisione del PEI con le famiglie coinvolte che non avviene più mediante RE ma esclusivamente in modalità cartacea;

- Nel mese di XX la dirigente è venuta a conoscenza che la famiglia dell’interessato ha proposto reclamo al Garante, dopo cioè circa 9 mesi dal verificarsi dell’evento;

- Non risulta che qualcuno abbia avuto modo di visualizzare o scaricare il documento, non è giunta nessuna segnalazione al riguardo;

- Era noto a tutta la classe che era stata nominata un’insegnate di sostegno per affiancare un alunno con disabilità”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha reso disponibile, nella sezione del registro elettronico accessibile a tutti i genitori della classe 3,  sez. F della scuola primaria dell’Istituto,  il Programma educativo individualizzato riguardante i ragazzi con disabilità (PEI) elaborato per il figlio dei reclamanti.

Tale documento sarebbe stato visibile sul registro elettronico per circa ventidue minuti, in quanto successivamente l’insegnate avrebbe modificato le modalità di visualizzazione e avrebbe limitato la visibilità dello stesso ai soli genitori dell’alunno interessato.

L’immagine/screenshot dell’avviso di visibilità del Pei sul registro sarebbe stato, inoltre, pubblicata dal genitore di un alunno della 3 sez. F sulla chat di classe senza tuttavia scaricare e condividere il documento nella chat.

Con riguardo al profilo relativo alla messa a disposizione sulla chat di classe del richiamato documento, si evidenzia che la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere.

Con riguardo al diverso profilo relativo alla messa a disposizione dei due PEI sul registro elettronico da parte dell’insegnante si osserva quanto segue.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994) e comprende una pluralità di informazioni relative alla condizione di disabilità del ragazzo per il quale tale documento è predisposto tra cui una apposita  sezione dedicata ai dati relativi alla Diagnosi funzionale.

Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta in un’area riservata del registro elettronico, non accessibile a chiunque e tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, essendo tale area riservata accessibile a tutti i genitori della classe di riferimento (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute degli interessati.

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “gli appartenenti alla classe frequentata dall’alunno titolare del PEI (…) erano già a conoscenza della condizione dell’alunno in questione”.

Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’evento si è verificato in quanto la docente per un mero errore materiale ha inserito la spunta di un flag che ha determinato la visibilità del documento a tutti i genitori della classe;

- la visibilità della comunicazione a tutti i genitori è stata disattivata dopo appena 22 minuti;

- i genitori della classe, mediante pubblicazione nella chat dello screenshot inerente alla pubblicazione del PEI, sono venuti a conoscenza della disponibilità del PEI sul registro elettronico ma non risulta invece comprovato che i genitori abbiano effettivamente preso visione del contenuto del PEI stesso, pertanto, la comunicazione dei dati riguarda l’informazione che il reclamante ha un PEI, senza conoscere il contenuto dello stesso;

- la dirigente scolastica ha invitato la famiglia ad incontrarsi per parlare di quanto accaduto ma la famiglia non ha mai aderito all’invito;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019. con conseguente annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio, con sede in via Marco Aurelio, 2 - 00012 Guidonia Montecelio (Roma) - Codice Fiscale: 86003270583, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale Don Lorenzo Milani quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

13/11/2025 n° 667
Area: Prassi, Circolari, Note

n° 1
Area: Normativa

1. Al fine di fronteggiare le situazioni di degrado, vulnerabilità sociale e disagio giovanile presenti nel territorio del Comune di Caivano, con decreto del Presidente del Consiglio dei ministri, da adottarsi entro quindici giorni dalla data di entrata in vigore del presente decreto, è nominato un Commissario straordinario con il compito di predisporre e attuare un piano straordinario di interventi infrastrutturali o di riqualificazione funzionale al territorio del predetto comune, prevedendo, laddove occorra, anche una semplificazione per le procedure di concessione di immobili pubblici per fini sociali, con particolare riferimento al sostegno a enti del Terzo settore operanti in ambito artistico e culturale, sociosanitario, sportivo, di contrasto alla povertà educativa e per l'integrazione. Il piano straordinario è predisposto dal Commissario straordinario d'intesa con il Comune di Caivano e con il Dipartimento per le politiche di coesione della Presidenza del Consiglio dei ministri e, per gli interventi di cui al comma 4, sulla base dell'attività istruttoria del Genio militare. Il predetto piano è approvato con delibera del Consiglio dei ministri, con assegnazione delle relative risorse nel limite complessivo di euro 30 milioni, a valere sul Fondo per lo sviluppo e la coesione, periodo di programmazione 2021-2027, di cui all'articolo 1, comma 177, della legge 30 dicembre 2020, n. 178 e in coerenza con le disponibilità finanziarie dello stesso (1).

2. Per la realizzazione degli interventi approvati ai sensi del comma 1 si provvede in deroga a ogni disposizione di legge diversa da quella penale, fatto salvo il rispetto dei principi generali dell'ordinamento, delle disposizioni del codice delle leggi antimafia e delle [relative] misure di prevenzione di cui al decreto legislativo 6 settembre 2011, n. 159, nonché dei vincoli inderogabili derivanti dall'appartenenza all'Unione europea. In relazione agli interventi inseriti nel piano di cui al comma 1, fatto salvo quanto previsto al comma 4, il Commissario straordinario si avvale del supporto tecnico-operativo, ai sensi dell'articolo 10, commi 1 e 2, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, dell'Agenzia nazionale per l'attrazione degli investimenti e lo sviluppo d'impresa - INVITALIA S.p.A., che svolge altresì le funzioni di centrale di committenza ai sensi dell'articolo 63 del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, con oneri posti a carico dello stanziamento previsto dal comma 1, come determinato nella delibera del Consiglio dei ministri, e comunque[,] nel limite massimo del due per cento di detto stanziamento, al netto di quanto previsto dal comma 4 (1).

3. Per l'esercizio dei compiti assegnati, il Commissario straordinario resta in carico un anno, prorogabile di un ulteriore anno, e si avvale di una struttura di supporto posta alle sue dirette dipendenze, costituita con decreto del Presidente del Consiglio dei ministri e che opera sino alla data di cessazione dell'incarico del Commissario straordinario. Alla struttura di supporto è assegnato un contingente massimo di personale pari a cinque unità, di cui una di personale dirigenziale di livello non generale e quattro di personale non dirigenziale, dipendenti di pubbliche amministrazioni centrali e di enti territoriali, previa intesa con le amministrazioni e con gli enti predetti, in possesso delle competenze e dei requisiti di professionalità richiesti per il perseguimento delle finalità e l'esercizio delle funzioni di cui al presente articolo, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. Il personale di cui al secondo periodo, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, è collocato fuori ruolo o in posizione di comando, distacco o altro analogo istituto o posizione previsti dai rispettivi ordinamenti, conservando lo stato giuridico e il trattamento economico fondamentale dell'amministrazione di appartenenza. Al personale non dirigenziale della struttura di supporto è riconosciuto il trattamento economico accessorio, ivi compresa l'indennità di amministrazione, del personale non dirigenziale del comparto della Presidenza del Consiglio dei ministri e, con uno o più provvedimenti del Commissario straordinario, può essere riconosciuta la corresponsione di compensi per prestazioni di lavoro straordinario nel limite massimo di trenta ore mensili effettivamente svolte, oltre a quelle già previste dai rispettivi ordinamenti e comunque nel rispetto della disciplina in materia di orario di lavoro, di cui al decreto legislativo 8 aprile 2003, n. 66. All'atto del collocamento fuori ruolo è reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario. Con il provvedimento istitutivo della struttura di supporto sono determinate, nei limiti di quanto previsto dal comma 1, le specifiche dotazioni finanziarie e strumentali nonché quelle del personale, anche dirigenziale, di cui al secondo periodo del presente comma, necessarie al funzionamento della medesima struttura.  Per l'esercizio delle proprie funzioni, il Commissario straordinario può avvalersi, altresì, delle strutture delle amministrazioni locali e degli enti territoriali, nonché delle strutture periferiche delle amministrazioni centrali dello Stato. Il Commissario straordinario, per le finalità di cui al comma 1, può altresì avvalersi di un numero massimo di tre esperti di comprovata qualificazione professionale, nominati con proprio provvedimento, cui compete un compenso massimo annuo di euro 50.000 al lordo dei contributi previdenziali e degli oneri fiscali a carico dell'amministrazione per singolo incarico. Il compenso del Commissario straordinario è determinato con il decreto di cui al comma 1 del presente articolo in misura non superiore a quella indicata all'articolo 15, comma 3, del decreto-legge 6 luglio 2011, n. 98, convertito, con modificazioni, dalla legge 15 luglio 2011, n. 111 con oneri a carico delle risorse di cui al comma 1 del presente articolo (1).

4. Il piano straordinario di cui al comma 1 ricomprende anche interventi urgenti per il risanamento, il ripristino, il completamento, l'adeguamento, la ricostruzione e la riqualificazione del centro sportivo ex Delphinia di Caivano e per la realizzazione degli ulteriori interventi strumentali e connessi che interessino il centro sportivo ovvero pertinenze attigue. Per la realizzazione dei predetti interventi, il Commissario straordinario si avvale del supporto tecnico-operativo, ai sensi dell'articolo 10, commi 1 e 2, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, della società Sport e Salute Spa, che svolge altresì le funzioni di centrale di committenza ai sensi dell'articolo 63 del codice di cui al decreto legislativo 31 marzo 2023, n. 36, con oneri posti a carico dello stanziamento previsto dal comma 1, come determinato nella delibera del Consiglio dei ministri, e comunque[,] nel limite massimo del due per cento delle risorse destinate con la citata delibera alla realizzazione degli interventi di cui al primo periodo del presente comma (1).

4-bis. Al fine di sostenere, nell'ambito del piano straordinario di cui al comma 1, interventi per la realizzazione o riqualificazione di infrastrutture culturali, l'autorizzazione di spesa di cui all'articolo 1, comma 337, della legge 28 dicembre 2015, n. 208, è incrementata di 12 milioni di euro per l'anno 2023(2).

4-ter. Agli oneri derivanti dall'attuazione del comma 4-bis, pari a 12 milioni di euro per l'anno 2023, si provvede mediante corrispondente riduzione dello stanziamento del fondo speciale di conto capitale iscritto, ai fini del bilancio triennale 2023-2025, nell'ambito del programma “Fondi di riserva e speciali” della missione “Fondi da ripartire” dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2023, allo scopo parzialmente utilizzando l'accantonamento relativo al Ministero della cultura. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio(2).

5. Il Commissario straordinario prevede altresì criteri e modalità per l'affidamento in uso degli impianti del Centro sportivo ex Delphinia di Caivano di cui al comma 4, anche in deroga alle disposizioni vigenti, individuando come prioritari i progetti presentati dai Gruppi sportivi militari e dei corpi civili dello Stato (1).

6. Per le medesime finalità di cui al comma 1, il Ministero dell'università e della ricerca finanzia specifici progetti finalizzati alla costruzione o rigenerazione di edifici e spazi nell'area del Comune di Caivano da destinare ad attività educative e formative, realizzati dalle istituzioni universitarie che hanno sede nella regione Campania. Tali interventi, identificati dal Codice Unico di Progetto (CUP), vengono attuati in raccordo con il Commissario straordinario di cui al comma 1 e per la realizzazione degli stessi si applicano le disposizioni di cui al comma 2, primo periodo (1).

7. Alla copertura degli oneri di cui al comma 6 si provvede a valere sulle risorse del Fondo integrativo speciale per la ricerca (FISR) di cui all'articolo 1, comma 3, del decreto legislativo 5 giugno 1998, n. 204, per un importo pari a cinque milioni di euro per l'anno 2024.

7-bis. Una quota non inferiore a euro 100.000 per l'anno 2024 dell'autorizzazione di spesa di cui all'articolo 1, comma 676, della legge 29 dicembre 2022, n. 197, è destinata, con il decreto di cui al comma 677 del medesimo articolo 1 della legge n. 197 del 2022, al comune di Caivano per l'installazione di sistemi di videosorveglianza finalizzati ad assicurare la tutela della sicurezza dei cittadini, anche apportando le eventuali rimodulazioni delle risorse in via di assegnazione per progetti finanziati a valere sul Programma operativo complementare “Legalità” 2014-2020(2).

8. Al fine di garantire l'incremento della sicurezza urbana ed il controllo del territorio, il Comune di Caivano è autorizzato ad assumere a tempo indeterminato, mediante procedure concorsuali semplificate ai sensi dell'articolo 35-quater, comma 3-bis, del decreto legislativo 30 marzo 2001, n. 165, o mediante scorrimento di graduatorie vigenti di altre amministrazioni, comunque in deroga al previo espletamento delle procedure di cui agli articoli 30 e 34-bis del medesimo decreto legislativo n. 165 del 2001, 15 unità di personale non dirigenziale del corpo della polizia locale (1).

9. Le assunzioni di cui al comma 8 sono autorizzate in deroga ai vincoli assunzionali di cui all'articolo 1, comma 557, della legge 27 dicembre 2006, n. 296, nonché in deroga all'articolo 259, comma 6, del testo unico di cui al decreto legislativo 18 agosto 2000, n. 267 e all'articolo 33, comma 2, del decreto-legge 30 aprile 2019 n. 34, convertito, con modificazioni, dalla legge 28 giugno 2019, n. 58.

10. Agli oneri derivanti dai commi 8 e 9, pari a euro 138.900 per l'anno 2023 e pari ad euro 555.400 annui a decorrere dall'anno 2024, si provvede mediante corrispondente riduzione del fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.

10-bis. Al fine di garantire l'attuazione degli obiettivi di inclusione sociale, il comune di Caivano è autorizzato ad assumere a tempo indeterminato, mediante procedure concorsuali semplificate ai sensi dell'articolo 35-quater, comma 3-bis, del decreto legislativo 30 marzo 2001, n. 165, o mediante scorrimento di graduatorie vigenti di altre amministrazioni, comunque in deroga al previo espletamento delle procedure di cui agli articoli 30 e 34-bis del medesimo decreto legislativo n. 165 del 2001, 3 unità di personale non dirigenziale della professionalità di servizio sociale(2).

10-ter. Al fine di facilitare l'inserimento degli studenti nelle scuole e contrastare la dispersione scolastica, il comune di Caivano è altresì autorizzato ad assumere, con le medesime procedure e deroghe di cui al comma 10-bis, 6 unità di personale non dirigenziale della professionalità degli educatori scolastici(2).

10-quater. Le assunzioni di cui ai commi 10-bis e 10-ter sono autorizzate in deroga ai vincoli assunzionali di cui all'articolo 1, comma 557, della legge 27 dicembre 2006, n. 296, nonché in deroga all'articolo 259, comma 6, del testo unico delle leggi sull'ordinamento degli enti locali, di cui al decreto legislativo 18 agosto 2000, n. 267. Ai concorsi per le assunzioni di cui ai predetti commi nonché a quelli di cui al comma 8 del presente articolo provvede il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri tramite la Commissione RIPAM(2).

10-quinquies. Agli oneri derivanti dai commi 10bis e 10-ter, pari a euro 64.500 per l'anno 2023 e a euro 409.500 a decorrere dall'anno 2024, si provvede:

a) quanto a euro 64.500 per l'anno 2023, a euro 409.500 per l'anno 2024 e a euro 273.000 a decorrere dall'anno 2025, mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190;

b) quanto a euro 136.500 a decorrere dall'anno 2025, mediante corrispondente riduzione del fondo di cui all'articolo 1, comma 607, della legge 30 dicembre 2021, n. 234(2).

10-sexies. Il Ministro per la famiglia, la natalità e le pari opportunità, nell'ambito delle azioni predisposte con il Piano strategico nazionale contro la violenza nei confronti delle donne e la violenza domestica, di cui all'articolo 5 del decreto-legge 14 agosto 2013, n. 93, convertito, con modificazioni, dalla legge 15 ottobre 2013, n. 119, promuove il potenziamento della rete territoriale antiviolenza nel comune di Caivano, ferme restando le competenze della regione Campania, avvalendosi delle risorse già previste a legislazione vigente(2).

(1) Comma così modificato in sede di conversione dalla legge 159/2023 in vigore dal 15 novembre 2023.

(2) Comma aggiunto in sede di conversione dalla legge 159/2023 in vigore dal 15 novembre 2023.

27/03/2025 n° 167
Area: Prassi, Circolari, Note

[doc. web n. 10138981]

Provvedimento del 27 marzo 2025

Registro dei provvedimenti
n. 167 del 27 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, i Sig.ri XX, XX e XX hanno lamentato, per il tramite del proprio difensore, una presunta violazione della disciplina in materia di protezione dei dati personali con riguardo all’impiego, presso le sedi dell’Istituto di Istruzione Superiore “P. Galluppi” Tropea, di un sistema di rilevazione delle presenze del personale dipendente amministrativo che, richiedendo l’utilizzo delle impronte digitali dei lavoratori, implicherebbe il trattamento dei relativi dati biometrici al fine di identificarli in modo univoco.

2. L’attività istruttoria.

Al riguardo, nell’ambito dell’istruttoria, con nota del XX, l’Istituto ha dichiarato, in particolare, che:

“nelle diverse sedi dell’IIS di Tropea il personale ATA attesta la propria presenza in servizio per mezzo di rilevatore con badge acquisito nell’anno scolastico XX […] Nel corso del tempo, tuttavia, [… l’Istituto] ha rilevato situazioni che hanno generato il dubbio sul corretto utilizzo del badge e sulla effettiva presenza in servizio di titolari del badge, oltre ad episodi di manomissioni, danneggiamenti e atti vandalici. Per fare fronte alle azioni suddette e accertarsi della effettiva presenza in servizio dei dipendenti nelle ore previste, la Dirigenza della Scuola ha proposto al personale, a sua esclusiva tutela, l’integrazione del sistema di rilevazione con l’utilizzo dell’impronta digitale in abbinamento al badge, accolto con favore dallo stesso”;

“il sistema adottato è stato scelto sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice”;

“non si è pensato di dover informare e coinvolgere il DPO, ritenendo sufficienti le indicazioni tecniche e le garanzie fornite dall’azienda oltre al consenso prestato dal personale ATA coinvolto ed anzi alla sollecitazione, da parte dello stesso, circa l’adozione di tale sistema a garanzia di tutti”;

“al personale coinvolto, per consentire di esprimere un consenso libero, è stata garantita la possibilità di usare alternativamente il sistema di rilevazione delle presenze con badge senza associazione dell’impronta. […] Tranne i due Signori [… tra i reclamanti], tutto il personale ATA (34 unità), in servizio presso l’Istituto d’Istruzione Superiore di Tropea, ha prestato il consenso all’integrazione del sistema di rilevazione delle presenze […] Agli atti della scuola sono conservati i consensi sottoscritti dal personale ATA interessato”;

“a seguito della ricezione del reclamo [ossia in data XX, giorno in cui l’Autorità ha trasmesso all’Istituto una richiesta di informazioni ai sensi dell’art. 157 Codice], [… l’Istituto] ha nell’immediatezza sospeso la rilevazione delle presenze con badge abbinato all’impronta digitale. Ad oggi, nonostante le richieste di tutto il personale ATA (tranne le due unità che hanno presentato reclamo) di riattivazione del sistema badge con impronta, sollevate e sollecitate dallo stesso durante le riunioni di avvio anno XX, con la disponibilità di tutto il personale suddetto a prestare richiesta scritta e ulteriore consenso alla riattivazione del sistema, la rilevazione delle presenze in servizio è attestata con il SOLO uso del badge SENZA impronta”.

Quanto, più nello specifico, al funzionamento del sistema di rilevazione delle presenze precedentemente in uso presso l’Istituto, dalla documentazione tecnica trasmessa in allegato alla predetta nota del XX si evince, in particolare, che:

“il funzionamento del lettore di impronte digitali, quale strumento di verifica biometrica comprende 2 fasi principali: A. Registrazione (enrolment): le caratteristiche dell'impronta digitale sono acquisite tramite il lettore del terminale, digitalizzate, elaborate e compresse mediante un algoritmo matematica irreversibile (da non confondersi con il processo di criptografia o crittografia) fino ad ottenerne un modello matematico (template) che, associato al codice identificativo della persona, diviene la base dei successivi confronti o verifiche; B. Verifica (matching): le caratteristiche dell'impronta digitale sono acquisite, digitalizzate, elaborate e compresse in modo identico a quello della fase di registrazione fino ad ottenere un analogo modello matematico. Il confronto tra il modello (template) archiviato relativo al codice di riferimento ed il risultato della lettura determina, in base allo scostamento, il risultato della verifica”;

“nel [predetto] modello […] vengono memorizzati solo dei numeri di riferimento […] e non la caratteristica biometrica vera e propria. Questo rende impossibile risalire dal template all'impronta stessa, rendendo così sicura, in materia di privacy, l'identità dei soggetti registrati”;

“il [predetto] template può essere memorizzato direttamente nella memoria del lettore oppure può essere memorizzato su un badge in dotazione all'utente, in entrambi i casi sono archiviati solo i seguenti dati: codice utente; è un puro codice di riferimento, assimilabile al numero di matricola; modello (template) è un puro numero, assimilabile al codice presente in una banda magnetica di un badge […;] elenco eventi: data/ora, codice utente, indirizzo del terminale ed eventuale codice causale (giustificativo) sono gli unici risultati memorizzati dopo le verifiche operate dal lettore biometrico, dati equivalenti ai dati "classici" di un terminale di gestione presenze”;

“nel lettore biometrico del terminale […] non sono quindi presenti: dati anagrafici dell'utente; immagine dell'impronta digitale dell'utente; dati fisici diretti o deducibili dell'impronta digitale”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato i dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.) al fine di identificarli in modo univoco per rilevarne la presenza in servizio, in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, l’Istituto, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “il sistema di rilevazione delle presenze tramite badge abbinato all’impronta digitale, è stato avviato [… dall’Istituto] nel XX”

- “contestualmente [alla sospensione dell’impiego del predetto sistema nel XX], sono state effettuate le operazioni di cancellazione di tutti i dati biometrici acquisiti dal sistema e impostato lo stesso per il funzionamento con il solo badge senza associazione dell’impronta”.

- “ad oggi […] la rilevazione delle presenze in servizio è attestata con il solo uso del badge senza impronta”.

3. Il quadro normativo in materia di protezione dei dati personali.

Con riferimento alla questione prospettata nel reclamo si evidenzia, in via preliminare, che i dati biometrici sono definiti dal Regolamento come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del Regolamento) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.

Il trattamento di dati biometrici, di regola vietato per effetto del disposto di cui all’art. 9, par. 1, del Regolamento, è consentito esclusivamente al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento); a tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice (come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento). La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).

4. Esito dell’attività istruttoria.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, nonché delle successive valutazioni dell’Autorità, risulta accertato che, a partire dal XX e sino alla data del XX, l’Istituto ha fatto uso, presso le proprie sedi, di un sistema di rilevazione delle presenze del personale A.T.A. che richiedeva l’utilizzo delle impronte digitali dei lavoratori che avessero rilasciato il proprio consenso, con ciò dando luogo ad un trattamento dei relativi dati biometrici inteso ad identificare in modo univoco i singoli dipendenti al fine di rilevarne la presenza in servizio nonché nell’ottica di prevenire “episodi di manomissioni, danneggiamenti e atti vandalici” (cfr. nota del XX).

In particolare, è stato accertato che il predetto sistema, elaborando le caratteristiche dell'impronta digitale acquisita, permette di creare un modello matematico che, venendo associato al codice identificativo del singolo interessato, costituisce il termine di raffronto delle successive verifiche all’atto della timbratura dei dipendenti.

Ancorché lo stesso non mantenga traccia dei dati anagrafici dei dipendenti, dell’immagine o di “dati fisici diretti o deducibili” delle relative impronte digitali e, per altro verso, “la "ricostruzione dell'impronta digitale" partendo dal modello non [… sia] possibile, nemmeno conoscendo l'algoritmo di elaborazione” (cfr. nota del XX), si osserva quanto segue.

Le informazioni trattate per il tramite di tale sistema risultano comunque riconducibili ad un codice direttamente identificativo del singolo dipendente, ne consentono o confermano l’identificazione univoca e costituiscono pertanto dati personali biometrici (cfr. art. 4, nn. 1) e 14), del Regolamento).

Ciò premesso, si fa presente che la finalità di rilevazione delle presenze in servizio dei dipendenti, funzionale all’attestazione dell’osservanza dell’orario di lavoro alla sua contabilizzazione, che, in generale, nell’ambito del pubblico impiego, è prevista da un quadro normativo stratificatosi nel tempo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13), è riconducibile nell’ambito di applicazione dell’articolo 9 par. 2, lett. b) del Regolamento poiché implica un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro […]” (v. pure art. 88, par. 1, Regolamento).  Tuttavia, l’impiego di sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice, un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice).

Nel contesto lavorativo il trattamento avente a oggetto dati biometrici può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che possa essere ritenuta base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”). Tale disposizione deve, infatti, avere le caratteristiche richieste dalla disciplina di protezione dei dati e soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento). Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).

Al riguardo, si fa presente inoltre che l’art. 2 della l. 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, le amministrazioni pubbliche - individuate ai sensi dell’art. 1, comma 2, del d.lgs. n. 165/2001, ad esclusione del “personale in regime di diritto pubblico” (cfr. art. 3, comma 2, d.lgs. n. 165/2001), e quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 - “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso” ma prevede anche che le “modalità attuative” della norma – nel rispetto dell’art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell’art. 2-septies del Codice – siano individuate con d.P.C.M., su proposta del Ministro della funzione pubblica, previa intesa con la conferenza unificata (stato regioni e autonomie locali) e “previo parere del Garante ai sensi dell’art. 154 del Codice sulle modalità del trattamento dei dati biometrici”.

Nell’esercizio dei propri poteri consultivi sugli atti normativi (artt. 36, par. 4 e 58, par. 3 del Regolamento nonché art. 154 del Codice), il Garante aveva, a suo tempo, segnalato al legislatore nazionale le criticità della norma evidenziando, in particolare, “l’eccedenza rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori” (cfr. provv. 11 ottobre 2018, n. 464, doc. web n. 9051774) e - confermando quanto già rilevato nel corso delle audizioni dinanzi alle Commissioni parlamentari competenti (audizioni presso le Commissioni riunite I e XI, Affari Costituzionali e Lavoro, della Camera dei Deputati il 6 febbraio 2019, doc. web n. 9080870) -, ha ribadito, anche in relazione allo schema di regolamento di attuazione, peraltro mai adottato, che “non può ritenersi in alcun modo conforme al canone di proporzionalità- come declinato dalla giurisprudenza europea e interna– l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (provv. 19 settembre 2019, n. 167, doc. web n. 9147290).

Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell’art. 2 della l. 19 giugno 2019, n. 56, sono state da ultimo abrogate dalla l. 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021, art. 1, comma 958). 
Per tali ragioni, si evidenzia che, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.

In tale quadro, il Garante in numerosi casi ha accertato l’illiceità del trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze posto in essere da soggetti pubblici e privati in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, adottando i conseguenti provvedimenti correttivi e sanzionatori (provv. 15 dicembre 2022, n. 422, doc. web n. 9852776; provv. 15 dicembre 2022, n. 423, doc. web n. 9852800; provv. 14 gennaio 2021, n. 16, doc. web n. 9542071; per analoghe considerazioni in ambito privato, cfr. provv. 22 febbraio 2024, n. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785; provv. 10 novembre 2022, n. 369, doc. web n. 9832838).

Nei menzionati provvedimenti, il Garante ha altresì avuto modo di chiarire come il difetto di base giuridica, in merito al trattamento dei dati biometrici, non possa essere colmato neppure dal consenso dei dipendenti, che l’Istituto ha dichiarato di aver acquisito nel caso di specie, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020).

Per le ragioni che precedono, deve concludersi che il trattamento dei dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.), effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver effettuato il predetto trattamento in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Istituto ha dichiarato di aver sospeso l’utilizzo del sistema di rilevazione biometrica delle presenze dei dipendenti A.T.A. nel XX nonché di aver cancellato i dati biometrici precedentemente raccolti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto, in particolare, che:

il trattamento, che ha riguardato unicamente i dipendenti A.T.A. (34 persone), ai quali era comunque riconosciuta la possibilità di registrare la propria presenza in servizio attraverso modalità tradizionali che non comportavano il trattamento di dati biometrici (art. 83, par. 2, lett. a), del Regolamento);

il titolare, nel fare affidamento sulle informazioni rese dalla società fornitrice del sistema, ha ritenuto di non consultare il proprio responsabile della protezione dei dati, iniziativa che avrebbe invece consentito allo stesso di avvedersi degli specifici ed elevati rischi per i diritti e le libertà degli interessati coinvolti e di orientare le proprie scelte al riguardo in maniera maggiormente consapevole e, se del caso, diversa (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha avuto ad oggetto dati biometrici intesi ad identificare in modo univoco gli interessati di cui agli artt. 4, n. 14), del Regolamento, dati che, analogamente a quelli sulla salute e genetici, sono tutelati in maniera particolarmente stringente dal Regolamento e dal Codice (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente che, comunque, il titolare è costituito da un istituto scolastico, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

il titolare ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, fornito tempestiva comunicazione delle iniziative intraprese per porre rimedio alla violazione (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Istituto (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della particolare natura dei dati personali oggetto di trattamento e dei connessi rischi per gli interessati nel contesto lavorativo.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto di Istruzione Superiore “P. Galluppi” Tropea per violazione degli artt. 5, 6 e 9 del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Istituto di Istruzione Superiore “P. Galluppi” Tropea in persona del legale rappresentante pro-tempore, con sede legale in viale Coniugi Crigna snc - 89861 Tropea (VV), C.F. 96012510796, di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

12/12/2024 n° 767
Area: Prassi, Circolari, Note

n° 59
Area: Normativa

1.  Fatto salvo quanto previsto dall'articolo 60, i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del regolamento e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. (2)

1-bis.   I presupposti, le modalità e i limiti per l'esercizio del diritto di accesso civico restano disciplinati dal decreto legislativo 14 marzo 2013, n. 33. (3)

(1) Rubrica così modificata dal d.lgs. 101/2018 con effetto a decorrere dal 19 settembre 2018.

(2) Comma così modificato dal d.lgs. 101/2018 con effetto a decorrere dal 19 settembre 2018.

(3) Comma aggiunto dal d.lgs. 101/2018 con effetto a decorrere dal 19 settembre 2018.

n° 5
Area: Normativa

1.  L'obbligo previsto dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione.
2.  Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis.
3.  L'esercizio del diritto di cui ai commi 1 e 2 non è sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente. L'istanza di accesso civico identifica i dati, le informazioni o i documenti richiesti e non richiede motivazione. L'istanza può essere trasmessa per via telematica secondo le modalità previste dal decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, ed è presentata alternativamente ad uno dei seguenti uffici:
a)  all'ufficio che detiene i dati, le informazioni o i documenti;
b)  all'Ufficio relazioni con il pubblico;
c)   ad altro ufficio indicato dall'amministrazione nella sezione “Amministrazione trasparente” del sito istituzionale;
d)   al responsabile della prevenzione della corruzione e della trasparenza, ove l'istanza abbia a oggetto dati, informazioni o documenti oggetto di pubblicazione obbligatoria ai sensi del presente decreto.
4.  Il rilascio di dati o documenti in formato elettronico o cartaceo è gratuito, salvo il rimborso del costo effettivamente sostenuto e documentato dall'amministrazione per la riproduzione su supporti materiali.
5.  Fatti salvi i casi di pubblicazione obbligatoria, l'amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell'articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso. A decorrere dalla comunicazione ai controinteressati, il termine di cui al comma 6 è sospeso fino all'eventuale opposizione dei controinteressati. Decorso tale termine, la pubblica amministrazione provvede sulla richiesta, accertata la ricezione della comunicazione.
6.  Il procedimento di accesso civico deve concludersi con provvedimento espresso e motivato nel termine di trenta giorni dalla presentazione dell'istanza con la comunicazione al richiedente e agli eventuali controinteressati. In caso di accoglimento, l'amministrazione provvede a trasmettere tempestivamente al richiedente i dati o i documenti richiesti, ovvero, nel caso in cui l'istanza riguardi dati, informazioni o documenti oggetto di pubblicazione obbligatoria ai sensi del presente decreto, a pubblicare sul sito i dati, le informazioni o i documenti richiesti e a comunicare al richiedente l'avvenuta pubblicazione dello stesso, indicandogli il relativo collegamento ipertestuale. In caso di accoglimento della richiesta di accesso civico nonostante l'opposizione del controinteressato, salvi i casi di comprovata indifferibilità, l'amministrazione ne dà comunicazione al controinteressato e provvede a trasmettere al richiedente i dati o i documenti richiesti non prima di quindici giorni dalla ricezione della stessa comunicazione da parte del controinteressato. Il rifiuto, il differimento e la limitazione dell'accesso devono essere motivati con riferimento ai casi e ai limiti stabiliti dall'articolo 5-bis. Il responsabile della prevenzione della corruzione e della trasparenza può chiedere agli uffici della relativa amministrazione informazioni sull'esito delle istanze.
7.  Nei casi di diniego totale o parziale dell'accesso o di mancata risposta entro il termine indicato al comma 6, il richiedente può presentare richiesta di riesame al responsabile della prevenzione della corruzione e della trasparenza, di cui all'articolo 43, che decide con provvedimento motivato, entro il termine di venti giorni. Se l'accesso è stato negato o differito a tutela degli interessi di cui all'articolo 5-bis, comma 2, lettera a), il suddetto responsabile provvede sentito il Garante per la protezione dei dati personali, il quale si pronuncia entro il termine di dieci giorni dalla richiesta. A decorrere dalla comunicazione al Garante, il termine per l'adozione del provvedimento da parte del responsabile è sospeso, fino alla ricezione del parere del Garante e comunque per un periodo non superiore ai predetti dieci giorni. Avverso la decisione dell'amministrazione competente o, in caso di richiesta di riesame, avverso quella del responsabile della prevenzione della corruzione e della trasparenza, il richiedente può proporre ricorso al Tribunale amministrativo regionale ai sensi dell'articolo 116 del Codice del processo amministrativo di cui al decreto legislativo 2 luglio 2010, n. 104.
8.  Qualora si tratti di atti delle amministrazioni delle regioni o degli enti locali, il richiedente può altresì presentare ricorso al difensore civico competente per ambito territoriale, ove costituito. Qualora tale organo non sia stato istituito, la competenza è attribuita al difensore civico competente per l'ambito territoriale immediatamente superiore. Il ricorso va altresì notificato all'amministrazione interessata. Il difensore civico si pronuncia entro trenta giorni dalla presentazione del ricorso. Se il difensore civico ritiene illegittimo il diniego o il differimento, ne informa il richiedente e lo comunica all'amministrazione competente. Se questa non conferma il diniego o il differimento entro trenta giorni dal ricevimento della comunicazione del difensore civico, l'accesso è consentito. Qualora il richiedente l'accesso si sia rivolto al difensore civico, il termine di cui all'articolo 116, comma 1, del Codice del processo amministrativo decorre dalla data di ricevimento, da parte del richiedente, dell'esito della sua istanza al difensore civico. Se l'accesso è stato negato o differito a tutela degli interessi di cui all'articolo 5-bis, comma 2, lettera a), il difensore civico provvede sentito il Garante per la protezione dei dati personali, il quale si pronuncia entro il termine di dieci giorni dalla richiesta. A decorrere dalla comunicazione al Garante, il termine per la pronuncia del difensore è sospeso, fino alla ricezione del parere del Garante e comunque per un periodo non superiore ai predetti dieci giorni.
9.  Nei casi di accoglimento della richiesta di accesso, il controinteressato può presentare richiesta di riesame ai sensi del comma 7 e presentare ricorso al difensore civico ai sensi del comma 8.
10.  Nel caso in cui la richiesta di accesso civico riguardi dati, informazioni o documenti oggetto di pubblicazione obbligatoria ai sensi del presente decreto, il responsabile della prevenzione della corruzione e della trasparenza ha l'obbligo di effettuare la segnalazione di cui all'articolo 43, comma 5.
11.  Restano fermi gli obblighi di pubblicazione previsti dal Capo II, nonché le diverse forme di accesso degli interessati previste dal Capo V della legge 7 agosto 1990, n. 241.

15/12/2023 n° 598
Area: Prassi, Circolari, Note

n° 12
Area: Normativa

1. Alla legge 7 agosto 1990, n. 241 sono apportate le seguenti modificazioni:

a) all'articolo 2:

1) dopo il comma 4, e' inserito il seguente:

"4-bis. Le pubbliche amministrazioni misurano e rendono pubblici i tempi effettivi di conclusione dei procedimenti amministrativi di maggiore impatto per i cittadini e per le imprese, comparandoli con i termini previsti dalla normativa vigente. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione, previa intesa in Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono definite modalita' e criteri di misurazione dei tempi effettivi di conclusione dei procedimenti di cui al primo periodo.";

2) dopo il comma 8, e' inserito il seguente:

"8-bis. Le determinazioni relative ai provvedimenti, alle autorizzazioni, ai pareri, ai nulla osta e agli atti di assenso comunque denominati, adottate dopo la scadenza dei termini di cui agli articoli 14-bis, comma 2, lettera c), 17-bis, commi 1 e 3, 20, comma 1, ovvero successivamente all'ultima riunione di cui all'articolo 14-ter, comma 7, nonche' i provvedimenti di divieto di prosecuzione dell'attivita' e di rimozione degli eventuali effetti, di cui all'articolo 19, comma 3 e 6-bis, adottati dopo la scadenza dei termini ivi previsti, sono inefficaci, fermo restando quanto previsto dall'articolo 21-nonies, ove ne ricorrano i presupposti e le condizioni.";

b) all'articolo 3-bis, le parole "incentivano l'uso della telematica" sono sostituite dalle seguenti: "agiscono mediante strumenti informatici e telematici";

c) all'articolo 5, comma 3, dopo le parole "L'unita' organizzativa competente" sono inserite le seguenti: ", il domicilio digitale";

d) all'articolo 8, comma 2:

1) alla lettera c), dopo le parole "l'ufficio" sono inserite le seguenti: ", il domicilio digitale dell'amministrazione";

2) la lettera d) e' sostituita dalla seguente: "d) le modalita' con le quali, attraverso il punto di accesso telematico di cui all'articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82 o con altre modalita' telematiche, e' possibile prendere visione degli atti, accedere al fascicolo informatico di cui all'articolo 41 dello stesso decreto legislativo n. 82 del 2005 ed esercitare in via telematica i diritti previsti dalla presente legge;";

3) dopo la lettera d), e' inserita la seguente: "d-bis) l'ufficio dove e' possibile prendere visione degli atti che non sono disponibili o accessibili con le modalita' di cui alla lettera d).";

e) all'articolo 10-bis, comma 1, il terzo e il quarto periodo sono sostituiti dai seguenti: "La comunicazione di cui al primo periodo sospende i termini di conclusione dei procedimenti, che ricominciano a decorrere dieci giorni dopo la presentazione delle osservazioni o, in mancanza delle stesse, dalla scadenza del termine di cui al secondo periodo. Qualora gli istanti abbiano presentato osservazioni, del loro eventuale mancato accoglimento il responsabile del procedimento o l'autorita' competente sono tenuti a dare ragione nella motivazione del provvedimento finale di diniego indicando, se ve ne sono, i soli motivi ostativi ulteriori che sono conseguenza delle osservazioni. In caso di annullamento in giudizio del provvedimento cosi' adottato, nell'esercitare nuovamente il suo potere l'amministrazione non puo' addurre per la prima volta motivi ostativi gia' emergenti dall'istruttoria del provvedimento annullato.";

f) all'articolo 16, comma 2:

1) il primo periodo e' soppresso;

2) al secondo periodo la parola: "facoltativo" e' soppressa;

g) all'articolo 17-bis:

1) alla rubrica, le parole "Silenzio assenso" sono sostituite dalle seguenti: "Effetti del silenzio e dell'inerzia nei rapporti";

2) al comma 1, dopo il primo periodo e' inserito il seguente: "Esclusi i casi di cui al comma 3, quando per l'adozione di provvedimenti normativi e amministrativi e' prevista la proposta di una o piu' amministrazioni pubbliche diverse da quella competente ad adottare l'atto, la proposta stessa e' trasmessa entro trenta giorni dal ricevimento della richiesta da parte di quest'ultima amministrazione.";

3) al comma 1, come modificato dalla presente lettera, quarto periodo, dopo le parole "dello schema di provvedimento;" sono inserite le seguenti: "lo stesso termine si applica qualora dette esigenze istruttorie siano rappresentate dall'amministrazione proponente nei casi di cui al secondo periodo." e le parole "non sono ammesse" sono sostituite dalle seguenti: "Non sono ammesse";

4) al comma 2, dopo il primo periodo e' inserito il seguente:

"Esclusi i casi di cui al comma 3, qualora la proposta non sia trasmessa nei termini di cui al comma 1, secondo periodo, l'amministrazione competente puo' comunque procedere. In tal caso, lo schema di provvedimento, corredato della relativa documentazione, e' trasmesso all'amministrazione che avrebbe dovuto formulare la proposta per acquisirne l'assenso ai sensi del presente articolo.";

h) all'articolo 18:

1) al comma 1, le parole da "Entro sei mesi" fino a "interessate" sono sostituite dalle seguenti: "Le amministrazioni", e le parole "di cui alla legge 4 gennaio 1968, n. 15 e successive modificazioni e integrazioni" sono sostituite dalle seguenti: "di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445";

2) dopo il comma 3, e' inserito il seguente: "3-bis. Nei procedimenti avviati su istanza di parte, che hanno ad oggetto l'erogazione di benefici economici comunque denominati, indennita', prestazioni previdenziali e assistenziali, erogazioni, contributi, sovvenzioni, finanziamenti, prestiti, agevolazioni, da parte di pubbliche amministrazioni ovvero il rilascio di autorizzazioni e nulla osta comunque denominati, le dichiarazioni di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, ovvero l'acquisizione di dati e documenti di cui ai commi 2 e 3, sostituiscono ogni tipo di documentazione comprovante tutti i requisiti soggettivi ed oggettivi richiesti dalla normativa di riferimento, fatto comunque salvo il rispetto delle disposizioni del codice delle leggi antimafia e delle misure di prevenzione, di cui al decreto legislativo 6 settembre 2011, n. 159.";

i) all'articolo 21-octies, comma 2, e' aggiunto, in fine, il seguente periodo: "La disposizione di cui al secondo periodo non si applica al provvedimento adottato in violazione dell'articolo 10-bis.";

l) all'articolo 29, comma 2-bis, dopo le parole "il termine prefissato" sono inserite le seguenti: ", di misurare i tempi effettivi di conclusione dei procedimenti".

2. Entro il 31 dicembre 2020 le amministrazioni e gli enti pubblici statali provvedono a verificare e a rideterminare, in riduzione, i termini di durata dei procedimenti di loro competenza ai sensi dell'articolo 2 della legge 7 agosto 1990, n. 241.

3. Gli enti locali possono gestire in forma associata in ambito provinciale o metropolitano l'attuazione delle disposizioni di cui all'articolo 18 della legge 7 agosto 1990, n. 241. Le province e le citta' metropolitane definiscono nelle assemblee dei sindaci delle province e nelle conferenze metropolitane appositi protocolli per organizzare lo svolgimento delle funzioni conoscitive, strumentali e di controllo, connesse all'attuazione delle norme di semplificazione della documentazione e dei procedimenti amministrativi.

n° 12
Area: Normativa

1. Alla legge 7 agosto 1990, n. 241 sono apportate le seguenti modificazioni:

0a) all'articolo 1, dopo il comma 2 e' aggiunto il seguente:

"2-bis. I rapporti tra il cittadino e la pubblica amministrazione sono improntati ai principi della collaborazione e della buona fede"(1).

a) all'articolo 2:

1) dopo il comma 4, e' inserito il seguente:

"4-bis. Le pubbliche amministrazioni misurano e pubblicano nel proprio sito internet istituzionale, nella sezione "Amministrazione trasparente", i tempi effettivi di conclusione dei procedimenti amministrativi di maggiore impatto per i cittadini e per le imprese, comparandoli con i termini previsti dalla normativa vigente. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro per la pubblica amministrazione, previa intesa in Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281, sono definiti modalita' e criteri di misurazione dei tempi effettivi di conclusione dei procedimenti, nonché le ulteriori modalità di pubblicazione di cui al primo periodo."(2);

2) dopo il comma 8, e' inserito il seguente:

"8-bis. Le determinazioni relative ai provvedimenti, alle autorizzazioni, ai pareri, ai nulla osta e agli atti di assenso comunque denominati, adottate dopo la scadenza dei termini di cui agli articoli 14-bis, comma 2, lettera c), 17-bis, commi 1 e 3, 20, comma 1, ovvero successivamente all'ultima riunione di cui all'articolo 14-ter, comma 7, nonche' i provvedimenti di divieto di prosecuzione dell'attivita' e di rimozione degli eventuali effetti, di cui all'articolo 19, commi 3 e 6-bis, primo periodo, adottati dopo la scadenza dei termini ivi previsti, sono inefficaci, fermo restando quanto previsto dall'articolo 21-nonies, ove ne ricorrano i presupposti e le condizioni."(2);

b) all'articolo 3-bis, le parole "incentivano l'uso della telematica" sono sostituite dalle seguenti: "agiscono mediante strumenti informatici e telematici";

c) all'articolo 5, comma 3, dopo le parole "L'unita' organizzativa competente" sono inserite le seguenti: ", il domicilio digitale";

d) all'articolo 8, comma 2:

1) alla lettera c), dopo le parole "l'ufficio" sono inserite le seguenti: ", il domicilio digitale dell'amministrazione";

2) la lettera d) e' sostituita dalla seguente: "d) le modalita' con le quali, attraverso il punto di accesso telematico di cui all'articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82 o con altre modalita' telematiche, e' possibile prendere visione degli atti, accedere al fascicolo informatico di cui all'articolo 41 dello stesso decreto legislativo n. 82 del 2005 ed esercitare in via telematica i diritti previsti dalla presente legge;";

3) dopo la lettera d), e' inserita la seguente: "d-bis) l'ufficio dove e' possibile prendere visione degli atti che non sono disponibili o accessibili con le modalita' di cui alla lettera d).";

e) all'articolo 10-bis, comma 1, il terzo e il quarto periodo sono sostituiti dai seguenti: "La comunicazione di cui al primo periodo sospende i termini di conclusione dei procedimenti, nonche' le ulteriori modalita' di pubblicazione, che ricominciano a decorrere dieci giorni dopo la presentazione delle osservazioni o, in mancanza delle stesse, dalla scadenza del termine di cui al secondo periodo. Qualora gli istanti abbiano presentato osservazioni, del loro eventuale mancato accoglimento il responsabile del procedimento o l'autorita' competente sono tenuti a dare ragione nella motivazione del provvedimento finale di diniego indicando, se ve ne sono, i soli motivi ostativi ulteriori che sono conseguenza delle osservazioni. In caso di annullamento in giudizio del provvedimento cosi' adottato, nell'esercitare nuovamente il suo potere l'amministrazione non puo' addurre per la prima volta motivi ostativi gia' emergenti dall'istruttoria del provvedimento annullato.";

f) all'articolo 16, comma 2:

1) il primo periodo e' soppresso;

2) al secondo periodo la parola: "facoltativo" e' soppressa;

g) all'articolo 17-bis:

1) alla rubrica, le parole "Silenzio assenso" sono sostituite dalle seguenti: "Effetti del silenzio e dell'inerzia nei rapporti";

2) al comma 1, dopo il primo periodo e' inserito il seguente: "Esclusi i casi di cui al comma 3, quando per l'adozione di provvedimenti normativi e amministrativi e' prevista la proposta di una o piu' amministrazioni pubbliche diverse da quella competente ad adottare l'atto, la proposta stessa e' trasmessa entro trenta giorni dal ricevimento della richiesta da parte di quest'ultima amministrazione.";

3) al comma 1, come modificato dalla presente lettera, quarto periodo, dopo le parole "dello schema di provvedimento;" sono inserite le seguenti: "lo stesso termine si applica qualora dette esigenze istruttorie siano rappresentate dall'amministrazione proponente nei casi di cui al secondo periodo." e le parole "non sono ammesse" sono sostituite dalle seguenti: "Non sono ammesse";

4) al comma 2, dopo il primo periodo e' inserito il seguente:

"Esclusi i casi di cui al comma 3, qualora la proposta non sia trasmessa nei termini di cui al comma 1, secondo periodo, l'amministrazione competente puo' comunque procedere. In tal caso, lo schema di provvedimento, corredato della relativa documentazione, e' trasmesso all'amministrazione che avrebbe dovuto formulare la proposta per acquisirne l'assenso ai sensi del presente articolo.";

h) all'articolo 18:

1) al comma 1, le parole da "Entro sei mesi" fino a "interessate" sono sostituite dalle seguenti: "Le amministrazioni", e le parole "di cui alla legge 4 gennaio 1968, n. 15 e successive modificazioni e integrazioni" sono sostituite dalle seguenti: "di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445";

2) dopo il comma 3, e' inserito il seguente: "3-bis. Nei procedimenti avviati su istanza di parte, che hanno ad oggetto l'erogazione di benefici economici comunque denominati, indennita', prestazioni previdenziali e assistenziali, erogazioni, contributi, sovvenzioni, finanziamenti, prestiti, agevolazioni, da parte di pubbliche amministrazioni ovvero il rilascio di autorizzazioni e nulla osta comunque denominati, le dichiarazioni di cui agli articoli 46 e 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, ovvero l'acquisizione di dati e documenti di cui ai commi 2 e 3, sostituiscono ogni tipo di documentazione comprovante tutti i requisiti soggettivi ed oggettivi richiesti dalla normativa di riferimento, fatto comunque salvo il rispetto delle disposizioni del codice delle leggi antimafia e delle misure di prevenzione, di cui al decreto legislativo 6 settembre 2011, n. 159.";

i) all'articolo 21-octies, comma 2, e' aggiunto, in fine, il seguente periodo: "La disposizione di cui al secondo periodo non si applica al provvedimento adottato in violazione dell'articolo 10-bis.";

i-bis) nel capo IV-bis, dopo l'articolo 21-nonies e' aggiunto il seguente:

"Art. 21-decies. (Riemissione di provvedimenti annullati dal giudice per vizi inerenti ad atti endoprocedimentali) - 1. In caso di annullamento di un provvedimento finale in virtu' di una sentenza passata in giudicato, derivante da vizi inerenti ad uno o piu' atti emessi nel corso del procedimento di autorizzazione o di valutazione di impatto ambientale, il proponente puo' richiedere all'amministrazione procedente e, in caso di progetto sottoposto a valutazione di impatto ambientale, all'autorita' competente ai sensi del decreto legislativo 3 aprile 2006, n. 152, l'attivazione di un procedimento semplificato, ai fini della riadozione degli atti annullati. Qualora non si rendano necessarie modifiche al progetto e fermi restando tutti gli atti e i provvedimenti delle amministrazioni interessate resi nel suddetto procedimento, l'amministrazione o l'ente che abbia adottato l'atto ritenuto viziato si esprime provvedendo alle integrazioni necessarie per superare i rilievi indicati dalla sentenza. A tal fine, entro quindici giorni dalla ricezione dell'istanza del proponente, l'amministrazione procedente trasmette l'istanza all'amministrazione o all'ente che ha emanato l'atto da riemettere, che vi provvede entro trenta giorni. Ricevuto l'atto ai sensi del presente comma, o decorso il termine per l'adozione dell'atto stesso, l'amministrazione riemette, entro i successivi trenta giorni, il provvedimento di autorizzazione o di valutazione di impatto ambientale, in attuazione, ove necessario, degli articoli 14-quater e 14-quinquies della presente legge e dell'articolo 25, commi 2 e 2-bis, del decreto legislativo 3 aprile 2006, n. 152"(1).

l) all'articolo 29, comma 2-bis, dopo le parole "il termine prefissato" sono inserite le seguenti: ", di misurare i tempi effettivi di conclusione dei procedimenti".

2. Entro il 31 dicembre 2020 le amministrazioni e gli enti pubblici statali provvedono a verificare e a rideterminare, in riduzione, i termini di durata dei procedimenti di loro competenza ai sensi dell'articolo 2 della legge 7 agosto 1990, n. 241.

3. Gli enti locali possono gestire in forma associata in ambito provinciale o metropolitano l'attuazione delle disposizioni di cui all'articolo 18 della legge 7 agosto 1990, n. 241. Le province e le citta' metropolitane definiscono nelle assemblee dei sindaci delle province e nelle conferenze metropolitane appositi protocolli per organizzare lo svolgimento delle funzioni conoscitive, strumentali e di controllo, connesse all'attuazione delle norme di semplificazione della documentazione e dei procedimenti amministrativi.

(1) Lettera inserita in sede di conversione dalla legge n. 120/2020, con effetto a decorrere dal 15 settembre 2020.

(2) Capoverso così modificato in sede di conversione dalla legge n. 120/2020, con effetto a decorrere dal 15 settembre 2020.

28/12/2016 n° 1309
Area: Prassi, Circolari, Note

Autorità Nazionale Anticorruzione


L’Autorità Nazionale Anticorruzione, d’intesa con il Garante per la protezione dei dati personali,

Visto il decreto legislativo 25 maggio 2016 n. 97 recante “Revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione, pubblicità e trasparenza, correttivo della legge 6 novembre 2012, n. 190 e del decreto legislativo 14 marzo 2013 n. 33, ai sensi dell’articolo 7 della legge 7 agosto 2015 n. 124, in materia di riorganizzazione delle amministrazioni pubbliche”;


Visto l’articolo 5 co. 2 del decreto legislativo 14 marzo 2013 n. 33, come modificato dal d.lgs. 97/2016 che ha introdotto, accanto all’accesso civico già disciplinato dal d.lgs. 33/2013, il diritto di chiunque di accedere a dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del decreto 33/2013, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’art. 5 bis, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico;

Visto l’art. 5 bis del d.lgs. 33/2013, come modificato dal d.lgs. 97/2016, relativo alle esclusioni e ai limiti all’accesso civico di cui all’art. 5 co. 2 del medesimo decreto e, in particolare, l’art. 5 bis, co. 6, secondo cui ai fini della definizione delle esclusioni e dei limiti l’Autorità nazionale anticorruzione, d’intesa con il Garante per la protezione dei dati personali e sentita la Conferenza Unificata di cui all’art. 8 del d.lgs. 281/1997, adotta linee guida recanti indicazioni operative;

Visto lo schema di “Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013” approvato dall’Autorità nell’adunanza del 9 novembre 2016 e posto in consultazione pubblica sul sito dell’Autorità dall’11 novembre al 28 novembre 2016;

Valutate le osservazioni pervenute durante la consultazione pubblica e i contributi istruttori acquisiti nel corso di audizioni informali svolte in data 24 novembre 2016 presso l’Autorità;

Acquisita in data 15 dicembre 2016  l’intesa del Garante per la protezione dei dati personali;

Ritenuto opportuno, anche in relazione all’intesa acquisita e alle interlocuzioni istruttorie avute nel corso delle audizioni informali con le Regioni e gli enti territoriali, pervenire a successivi approfondimenti delle Linee guida anche in un apposito tavolo di confronto con le Regioni e gli enti territoriali;

Visto    il parere alla Conferenza Unificata di cui all’art. di cui all’art. 8, comma 1, del decreto legislativo

28 agosto 1997, n. 281 ai sensi dell’art. art. 5 bis, co. 6 del d.lgs. 33/2013 in data 22 dicembre 2016;


Adotta

LINEE GUIDA RECANTI INDICAZIONI OPERATIVE AI FINI DELLA DEFINIZIONE DELLE ESCLUSIONI E DEI LIMITI ALL'ACCESSO CIVICO DI CUI ALL’ART. 5 CO. 2 DEL D.LGS. 33/2013

Art. 5- bis, comma 6, del d.lgs. n. 33 del 14/03/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni».


Delibera n. 1309 del 28 dicembre 2016


Sommario    
1.    Definizioni .........................................................................................................................................................................    5
2.    L’accesso civico generalizzato: caratteristiche e funzioni ..........................................................................................    5
    2.1.    Introduzione ............................................................................................................................................................    5
    2.2.    Distinzione fra accesso generalizzato e accesso civico .....................................................................................    6
    2.3.    Distinzione fra accesso generalizzato e accesso agli atti ex l. 241/1990 ........................................................    6
3.    Prime indicazioni operative generali per l’attuazione .................................................................................................    7
    3.1.    Adozione di una disciplina sulle diverse tipologie di accesso ..........................................................................    7
    3.2.    Adeguamenti organizzativi ....................................................................................................................................    8
4.    Ambito soggettivo e oggettivo di applicazione dell’accesso generalizzato .............................................................    8
    4.1.    Ambito soggettivo ..................................................................................................................................................    8
    4.2.    Ambito oggettivo ....................................................................................................................................................    9
5.    Distinzione fra eccezioni assolute all’accesso generalizzato e “limiti” (eccezioni relative o qualificate) .........    10
    5.1.    Eccezioni assolute ................................................................................................................................................    10
    5.2.    Limiti (eccezioni relative o qualificate) .............................................................................................................    10
    5.3.    La motivazione del diniego o dell’accoglimento della richiesta di accesso .................................................    11
6.    Le eccezioni assolute ....................................................................................................................................................    12
    6.1.    Segreto di Stato .....................................................................................................................................................    12
    6.2.    Altri casi di segreto o di divieto di divulgazione .............................................................................................    12

6.3.    Eccezioni assolute in caso in cui l’accesso è subordinato dalla “disciplina vigente al rispetto di

specifiche condizioni, modalità o limiti, inclusi quelli di cui all’art. 24 c. 1 della legge 241/1990”.    13

7.    I limiti (esclusioni relative o qualificate) al diritto di accesso generalizzato derivanti dalla tutela di interessi

pubblici    15

7.1.    Sicurezza pubblica e ordine pubblico    16

7.2.    Sicurezza nazionale    17

7.3.    Difesa e questioni militari    17

7.4.    Relazioni internazionali    18

7.5.    Politica e stabilità finanziaria ed economica dello Stato    18

7.6.    Conduzioni di indagini sui reati e loro perseguimento    19

7.7.    Regolare svolgimento di attività ispettive    20

8.    I limiti (esclusioni relative o qualificate) al diritto di accesso generalizzato derivanti dalla tutela di interessi

privati    21

8.1.    I limiti derivanti dalla protezione dei dati personali.    21

8.2.    Libertà e segretezza della corrispondenza    24

8.3.    Interessi economici e commerciali di una persona fisica o giuridica, ivi compresi proprietà intellettuale,

diritto d'autore e segreti commerciali    25

9.    Decorrenza della disciplina e aggiornamento delle Linee guida    26

ALLEGATO.  GUIDA OPERATIVA ALL’ ACCESSO GENERALIZZATO.    28



1.    Definizioni

Di seguito si riportano alcune definizioni utili ai fini delle presenti Linee Guida.
Il d.lgs. 33/2013, come modificato dal d.lgs. 97/2016, è di seguito definito “decreto trasparenza”. Per “accesso documentale” si intende l'accesso disciplinato dal capo V della legge 241/1990.

Per “accesso civico ” si intende l'accesso di cui all'art. 5, comma 1, del decreto trasparenza, ai documenti oggetto degli obblighi di pubblicazione.
Per “accesso generalizzato” si intende l'accesso di cui all'art. 5, comma 2, del decreto trasparenza


2.    L’accesso civico generalizzato: caratteristiche e funzioni

2 . 1 .    Introduzione

Le presenti linee guida hanno a oggetto la “definizione delle esclusioni e dei limiti ” all’accesso civico a dati non oggetto di pubblicazione obbligatoria disciplinato dagli artt. 5 e 5 bis del decreto trasparenza.

Tale nuova tipologia di accesso (d’ora in avanti “accesso generalizzato”), delineata nel novellato art. 5, comma 2 del decreto trasparenza, ai sensi del quale “chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi pubblici e privati giuridicamente rilevanti, secondo quanto previsto dall’art. 5-bis”, si traduce, in estrema sintesi, in un diritto di accesso non condizionato dalla titolarità di situazioni giuridicamente rilevanti ed avente ad oggetto tutti i dati e i documenti e informazioni detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli per i quali è stabilito un obbligo di pubblicazione.

La ratio della riforma risiede nella dichiarata finalità di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico (art. 5, comma 2 del decreto trasparenza).

Ciò in attuazione del principio di trasparenza che il novellato articolo 1, comma 1, del decreto trasparenza ridefinisce come accessibilità totale dei dati e dei documenti detenuti dalle pubbliche amministrazioni non più solo finalizzata a “favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche”, ma soprattutto, e con una modifica assai significativa, come strumento di tutela dei diritti dei cittadini e di promozione della partecipazione degli interessati all’attività amministrativa. L’intento del legislatore è ancor più valorizzato in considerazione di quanto già previsto nel co. 2 dell’art. 1 del decreto trasparenza secondo cui la trasparenza è condizione di garanzia delle libertà individuali e collettive, nonché dei diritti civili, politici e sociali, e integra il diritto ad una buona amministrazione e concorre alla realizzazione di una amministrazione aperta, al servizio del cittadino. La trasparenza diviene, quindi, principio cardine e fondamentale dell’organizzazione delle pubbliche amministrazioni e dei loro rapporti con i cittadini.
Anche nell’ordinamento dell’Unione Europea, soprattutto a seguito dell’entrata in vigore del Trattato di

Lisbona (cfr. art. 15 TFUE e capo V della Carta dei diritti fondamentali) il diritto di accesso non è preordinato alla tutela di una propria posizione giuridica soggettiva, quindi non richiede la prova di un interesse specifico, ma risponde ad un principio generale di trasparenza dell’azione dell’Unione ed è uno strumento di controllo democratico sull'operato dell'amministrazione europea, volto a promuovere il buon governo e garantire la partecipazione della società civile. Dal canto suo, la Corte europea dei diritti dell’uomo ha qualificato il diritto di accesso alle informazione quale specifica manifestazione della libertà di informazione, ed in quanto tale protetto dall’art. 10(1) della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. Come previsto nella legge 190/2012, il principio della trasparenza costituisce, inoltre, misura fondamentale per le azioni di prevenzione e contrasto anticipato della corruzione.

A questa impostazione consegue, nel novellato decreto 33/2013, il rovesciamento della precedente prospettiva che comportava l’attivazione del diritto di accesso civico solo strumentalmente all’adempimento degli obblighi di pubblicazione; ora è proprio la libertà di accedere ai dati e ai documenti, cui corrisponde una diversa versione dell’accesso civico, a divenire centrale nel nuovo sistema, in analogia agli ordinamenti aventi il Freedom of Information Act (FOIA), ove il diritto all’informazione è generalizzato e la regola generale è la trasparenza mentre la riservatezza e il segreto eccezioni.

In coerenza con il quadro normativo, il diritto di accesso civico generalizzato si configura - come il diritto di accesso civico disciplinato dall’art. 5, comma 1 - come diritto a titolarità diffusa, potendo essere attivato “da chiunque” e non essendo sottoposto ad alcuna limitazione quanto alla legittimazione soggettiva del richiedente (comma 3). A ciò si aggiunge un ulteriore elemento, ossia che l’istanza “non richiede motivazione”. In altri termini, tale nuova tipologia di accesso civico risponde all’interesse dell’ordinamento di assicurare ai cittadini (a “chiunque”), indipendentemente dalla titolarità di situazioni giuridiche soggettive, un accesso a dati, documenti e informazioni detenute da pubbliche amministrazioni e dai soggetti indicati nell’art. art. 2-bis del d.lgs. 33/2013 come modificato dal d.lgs. 97/2016.

Per quanto sopra evidenziato, si ritiene che i principi delineati debbano fungere da canone interpretativo in sede di applicazione della disciplina dell’accesso generalizzato da parte delle amministrazioni e degli altri soggetti obbligati, avendo il legislatore posto la trasparenza e l’accessibilità come la regola rispetto alla quale i limiti e le esclusioni previste dall’art. 5 bis del d.lgs. 33/2013, rappresentano eccezioni e come tali da interpretarsi restrittivamente. Sul punto si daranno indicazioni nei successivi paragrafi.

2 . 2 .    Distinzione fra accesso generalizzato e accesso civico

L’accesso generalizzato non sostituisce l’accesso civico “semplice” (d’ora in poi “accesso civico”) previsto dall’art. 5, comma 1 del decreto trasparenza, e disciplinato nel citato decreto già prima delle modifiche ad opera del d.lgs. 97/2016. L’accesso civico rimane circoscritto ai soli atti, documenti e informazioni oggetto di obblighi di pubblicazione e costituisce un rimedio alla mancata osservanza degli obblighi di pubblicazione imposti dalla legge, sovrapponendo al dovere di pubblicazione, il diritto del privato di accedere ai documenti, dati e informazioni interessati dall’inadempienza.

I due diritti di accesso, pur accomunati dal diffuso riconoscimento in capo a “chiunque”, indipendentemente dalla titolarità di una situazione giuridica soggettiva connessa, sono quindi destinati a muoversi su binari differenti, come si ricava anche dall’inciso inserito all’inizio del comma 5 dell’art. 5, “fatti salvi i casi di pubblicazione obbligatoria”, nel quale viene disposta l’attivazione del contraddittorio in presenza di controinteressati per l’accesso generalizzato.

L’accesso generalizzato si delinea come affatto autonomo ed indipendente da presupposti obblighi di pubblicazione e come espressione, invece, di una libertà che incontra, quali unici limiti, da una parte, il rispetto della tutela degli interessi pubblici e/o privati indicati all’art. 5 bis, commi 1 e 2, e dall’altra, il rispetto delle norme che prevedono specifiche esclusioni (art. 5 bis, comma 3).

2.3.    Distinzione fra accesso generalizzato e accesso agli atti ex l.  241/1990

L’accesso generalizzato deve essere anche tenuto distinto dalla disciplina dell’accesso ai documenti amministrativi di cui agli articoli 22 e seguenti della legge 7 agosto 1990, n. 241 (d’ora in poi “accesso documentale”). La finalità dell’accesso documentale ex l. 241/90 è, in effetti, ben differente da quella sottesa all’accesso generalizzato ed è quella di porre i soggetti interessati in grado di esercitare al meglio le facoltà - partecipative e/o oppositive e difensive – che l'ordinamento attribuisce loro a tutela delle posizioni giuridiche qualificate di cui sono titolari. Più precisamente, dal punto di vista soggettivo, ai fini dell’istanza di accesso ex lege 241 il richiedente deve dimostrare di essere titolare di un «interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l'accesso». Mentre la legge 241/90 esclude, inoltre, perentoriamente l’utilizzo del diritto di accesso ivi disciplinato al fine di sottoporre l’amministrazione

6
 


Autorità Nazionale Anticorruzione



a un controllo generalizzato, il diritto di accesso generalizzato, oltre che quello “semplice”, è riconosciuto proprio “allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”.

Dunque, l’accesso agli atti di cui alla l. 241/90 continua certamente a sussistere, ma parallelamente all’accesso civico (generalizzato e non), operando sulla base di norme e presupposti diversi.

Tenere ben distinte le due fattispecie è essenziale per calibrare i diversi interessi in gioco allorché si renda necessario un bilanciamento caso per caso tra tali interessi. Tale bilanciamento è, infatti, ben diverso nel caso dell’accesso 241 dove la tutela può consentire un accesso più in profondità a dati pertinenti e nel caso dell’accesso generalizzato, dove le esigenze di controllo diffuso del cittadino devono consentire un accesso meno in profondità (se del caso, in relazione all’operatività dei limiti) ma più esteso, avendo presente che l’accesso in questo caso comporta, di fatto, una larga conoscibilità (e diffusione) di dati, documenti e informazioni.

In sostanza, come già evidenziato, essendo l’ordinamento ormai decisamente improntato ad una netta preferenza per la trasparenza dell’attività amministrativa, la conoscibilità generalizzata degli atti diviene la regola, temperata solo dalla previsione di eccezioni poste a tutela di interessi (pubblici e privati) che possono essere lesi/pregiudicati dalla rivelazione di certe informazioni.

Vi saranno dunque ipotesi residuali in cui sarà possibile, ove titolari di una situazione giuridica qualificata, accedere ad atti e documenti per i quali è invece negato l’accesso generalizzato.

Nel rinviare a quanto specificato nel § 6.3. si consideri, d’altra parte, che i dinieghi di accesso agli atti e documenti di cui alla legge 241/1990, se motivati con esigenze di “riservatezza” pubblica o privata devono essere considerati attentamente anche ai fini dell’accesso generalizzato, ove l’istanza relativa a quest’ultimo sia identica e presentata nel medesimo contesto temporale a quella dell’accesso ex. l. 241/1990, indipendentemente dal soggetto che l’ha proposta. Si intende dire, cioè, che laddove l’amministrazione, con riferimento agli stessi dati, documenti e informazioni, abbia negato il diritto di accesso ex l. 241/1990, motivando nel merito, cioè con la necessità di tutelare un interesse pubblico o privato prevalente, e quindi nonostante l’esistenza di una posizione soggettiva legittimante ai sensi della 241/1990, per ragioni di coerenza sistematica e a garanzia di posizioni individuali specificamente riconosciute dall’ordinamento, si deve ritenere che le stesse esigenze di tutela dell’interesse pubblico o privato sussistano anche in presenza di una richiesta di accesso generalizzato, anche presentata da altri soggetti. Tali esigenze dovranno essere comunque motivate in termini di pregiudizio concreto all’interesse in gioco. Per ragioni di coerenza sistematica, quando è stato concesso un accesso generalizzato non può essere negato, per i medesimi documenti e dati, un accesso documentale.


3.    Prime indicazioni operative generali per l’attuazione

3 . 1 .    Adozione di una disciplina sulle diverse tipologie di accesso

Considerata la notevole innovatività della disciplina dell’accesso generalizzato, che si aggiunge alle altre tipologie di accesso, sembra opportuno suggerire ai soggetti tenuti all’applicazione del decreto trasparenza l’adozione, anche nella forma di un regolamento interno sull’accesso, di una disciplina che fornisca un quadro organico e coordinato dei profili applicativi relativi alle tre tipologie di accesso, con il fine di dare attuazione al nuovo principio di trasparenza introdotto dal legislatore e di evitare comportamenti disomogenei tra uffici della stessa amministrazione.

In particolare, tale disciplina potrebbe prevedere:
1.    una sezione dedicata alla disciplina dell’accesso documentale;
2.    una seconda sezione dedicata alla disciplina dell’accesso civico (“semplice”) connesso agli obblighi di pubblicazione di cui al d.lgs. n. 33;



7
 


Autorità Nazionale Anticorruzione



3.    una terza sezione dedicata alla disciplina dell’accesso generalizzato. Tale sezione dovrebbe disciplinare gli aspetti procedimentali interni per la gestione delle richieste di accesso generalizzato. Si tratterebbe, quindi, di:

a)    provvedere a individuare gli uffici competenti a decidere sulle richieste di accesso generalizzato;
b)    provvedere a disciplinare la procedura per la valutazione caso per caso delle richieste di accesso.


3 . 2 .    Adeguamenti organizzativi

Al fine di rafforzare il coordinamento dei comportamenti sulle richieste di accesso si invitano le amministrazioni e gli altri soggetti tenuti ad adottare anche adeguate soluzioni organizzative, quali, ad esempio, la concentrazione della competenza a decidere sulle richieste di accesso in un unico ufficio (dotato di risorse professionali adeguate, che si specializzano nel tempo, accumulando know how ed esperienza), che, ai fini istruttori, dialoga con gli uffici che detengono i dati richiesti.


4.    Ambito soggettivo e oggettivo di applicazione dell’accesso generalizzato

4.1.    Ambito soggettivo

L’ambito dei soggetti nei confronti dei quali è possibile attivare l’accesso civico è lo stesso declinato nell’art. 2 bis del decreto trasparenza come introdotto dal d.lgs. 97/2016, in virtù dell’espresso richiamo contenuto nell’art. 2, comma 1 del medesimo decreto.

Più precisamente, si tratta di: pubbliche amministrazioni (art. 2-bis, comma 1); enti pubblici economici, ordini professionali, società in controllo pubblico ed altri enti di diritto privato assimilati (art. 2-bis, comma 2); società in partecipazione pubblica ed altri enti di diritto privato assimilati (art. 2-bis, comma 3).

1.    Pubbliche amministrazioni
Ai fini del d.lgs. n. 33/2013 per “pubbliche amministrazioni”, si intendono “tutte le amministrazioni di cui all’articolo 1, comma 2 del decreto legislativo 30 marzo 2001, n. 165 e successive modificazioni, ivi comprese le autorità portuali, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione” (art. 2-bis, comma 1 del d.lgs. n. 33/2013).

2.    Enti pubblici economici, ordini professionali, società in controllo pubblico ed altri enti di diritto privato
assimilati

La medesima disciplina prevista per le pubbliche amministrazioni sopra richiamate è estesa, “in quanto compatibile”, anche a:

a)    enti pubblici economici e ordini professionali;
b)    società in controllo pubblico come definite dal decreto legislativo emanato in attuazione dell’art. 18 della legge 7 agosto 2015, n. 124 (d.lgs. 175/2016 c.d. Testo unico in materia di società a partecipazione pubblica).

c)    associazioni, fondazioni e enti di diritto privato comunque denominati, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, la cui attività sia finanziata in modo maggioritario per almeno due esercizi finanziari consecutivi nell’ultimo triennio da pubbliche amministrazioni e in cui la totalità dei titolari o dei componenti dell’organo d’amministrazione o di indirizzo sia designata da pubbliche amministrazioni.

3.    Società in partecipazione pubblica ed altri enti di diritto privato assimilati
La medesima disciplina si applica, sempre in quanto compatibile, e “ limitatamente ai dati e ai documenti inerenti all'attività di pubblico interesse disciplinata dal diritto nazionale o dell'Unione europea” alle società in partecipazione

8
 


Autorità Nazionale Anticorruzione



pubblica, come definite dal decreto legislativo emanato in attuazione dell’art. 18 della legge 7 agosto 2015, n.
124 (d.lgs. 175/2016) nonché alle associazioni, alle fondazioni e agli enti di diritto privato, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, che esercitano funzioni amministrative, attività di produzione di beni e servizi a favore delle amministrazioni pubbliche o di gestione di servizi pubblici.

Per le categorie di soggetti di cui ai punti 2 e 3 il legislatore prevede che la disciplina della trasparenza si applichi “in quanto compatibile”. Il principio della compatibilità, tuttavia, concerne la sola necessità di trovare adattamenti agli obblighi di pubblicazione in ragione delle caratteristiche organizzative e funzionali dei citati soggetti. Non è invece operante per quel che concerne l’accesso generalizzato, stante la ratio e la funzione del generalizzato descritta nel primo paragrafo delle presenti Linee guida. L’accesso generalizzato, pertanto, è da ritenersi senza dubbio un istituto “compatibile” con la natura e le finalità dei soggetti sopra elencati ai punti 2 e 3, considerato che l’attività svolta da tali soggetti è volta alla cura di interessi pubblici.

E’ necessario, inoltre, attribuire significato alla disposizione legislativa che delimita il campo di applicazione per quanto attiene ai soggetti indicati al comma 3 dell’art. 2 bis del decreto trasparenza, limitatamente ai dati e ai documenti inerenti all’attività di pubblico interesse disciplinata dal diritto nazionale o dell’Unione europea.

L’intento del legislatore è quello di garantire che la cura concreta di interessi della collettività, anche ove affidati a soggetti esterni all’apparato amministrativo vero e proprio, rispondano comunque a principi di imparzialità, del buon andamento e della trasparenza.

Si ritiene che nel novero di tali attività possano rientrare quelle qualificate come tali da una norma di legge, dagli atti costitutivi o dagli statuti delle società, l’esercizio di funzioni amministrative, la gestione di servizi pubblici nonché le attività che pur non costituendo diretta esplicazione della funzione o del servizio pubblico svolti sono ad esse strumentali. Al riguardo si rinvia alle precisazioni che saranno contenute nelle Linee guida di adeguamento al d.lgs. 97/2016 della delibera ANAC 8/2015 in corso di adozione.

4 . 2 .    Ambito oggettivo

Sotto il profilo dell’ambito oggettivo, l’accesso civico generalizzato è esercitabile relativamente “ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione”, ossia per i quali non sussista uno specifico obbligo di pubblicazione.

Dalla lettura dell’art. 5 bis si evince, inoltre, che oggetto dell’accesso possono essere anche le informazioni detenute dalle p.a. e dagli altri soggetti indicati al § 4.1.

Il primo riferimento non è solo ai “documenti amministrativi”, ma anche ai “dati” che esprimono un concetto informativo più ampio, da riferire al dato conoscitivo come tale, indipendentemente dal supporto fisico sui cui è incorporato e a prescindere dai vincoli derivanti dalle sue modalità di organizzazione e conservazione.

La distinzione tra documenti e dati acquista rilievo nella misura in cui essa comporta che l’amministrazione sia tenuta a considerare come validamente formulate, e quindi a darvi seguito, anche le richieste che si limitino a identificare/indicare i dati desiderati, e non anche i documenti in cui essi sono contenuti.

Si evidenzia, tuttavia, che il testo del decreto dispone che “l’istanza di accesso civico identifica i dati, le informazioni o i documenti richiesti”; pertanto non è ammissibile una richiesta meramente esplorativa, volta semplicemente a “scoprire” di quali informazioni l’amministrazione dispone. Le richieste, inoltre, non devono essere generiche, ma consentire l’individuazione del dato, del documento o dell’informazione, con riferimento, almeno, alla loro natura e al loro oggetto1.

Allo stesso modo, nei casi particolari in cui venga presentata una domanda di accesso per un numero manifestamente irragionevole di documenti, imponendo così un carico di lavoro tale da paralizzare, in modo molto sostanziale, il buon funzionamento dell’amministrazione, la stessa può ponderare, da un lato, l’interesse dell’accesso del pubblico ai documenti e, dall’altro, il carico di lavoro che ne deriverebbe, al fine di

1 Cfr. Parere C. di S. 18.2.2016, par. 11.3
9
 


Autorità Nazionale Anticorruzione



salvaguardare, in questi casi particolari e di stretta interpretazione, l’interesse ad un buon andamento dell’amministrazione (cfr. CGUE, Tribunale Prima Sezione ampliata 13 aprile 2005 causa T 2/03).

Per quanto concerne la richiesta di informazioni, per informazioni si devono considerare le rielaborazione di dati detenuti dalle amministrazioni effettuate per propri fini contenuti in distinti documenti. Poiché la richiesta di accesso civico generalizzato riguarda i dati e i documenti detenuti dalle pubbliche amministrazioni (art. 5, comma 2 del decreto trasparenza), resta escluso che – per rispondere a tale richiesta – l’amministrazione sia tenuta a formare o raccogliere o altrimenti procurarsi informazioni che non siano già in suo possesso. Pertanto, l’amministrazione non ha l’obbligo di rielaborare i dati ai fini dell’accesso generalizzato, ma solo a consentire l’accesso ai documenti nei quali siano contenute le informazioni già detenute e gestite dall’amministrazione stessa.


5.    Distinzione fra eccezioni assolute all’accesso generalizzato e “limiti” (eccezioni relative o qualificate)

Come già accennato, la regola della generale accessibilità è temperata dalla previsione di eccezioni poste a tutela di interessi pubblici e privati che possono subire un pregiudizio dalla diffusione generalizzata di talune informazioni.

Dalla lettura dell’art. 5 bis, co. 1, 2 e 3 del decreto trasparenza si possono distinguere due tipi di eccezioni, assolute o relative.

Al ricorrere di queste eccezioni, le amministrazioni, rispettivamente, devono o possono rifiutare l’accesso generalizzato. La chiara identificazione di tali eccezioni rappresenta un elemento decisivo per consentire la corretta applicazione del diritto di accesso generalizzato.

5 . 1 .    Eccezioni assolute

L’accesso generalizzato è escluso nei casi indicati al co. 3 dell’art. 5 bis, nei casi cioè in cui una norma di legge, sulla base di una valutazione preventiva e generale, per tutelare interessi prioritari e fondamentali, dispone sicuramente la non ostensibilità di dati, documenti e informazioni ovvero la consente secondo particolari condizioni, modalità e/o limiti.

Solo una fonte di rango legislativo può giustificare la compressione del diritto a conoscere cui ora il nostro ordinamento è improntato.

Dette esclusioni (eccezioni assolute) ricorrono in caso di:
a)    segreto di Stato;
b)    negli altri casi di divieto di accesso o divulgazione previsti dalla legge, ivi compresi i casi in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche modalità o limiti, inclusi quelli di cui all’art. 24, comma 1, della legge n. 241 del 1990.

Con riferimento a quest’ultima indicazione normativa, va registrato che essa delinea una parziale sovrapposizione delle eccezioni assolute dell’accesso generalizzato con quelle previste nella l. 241/1990. Stanti, tuttavia, le diverse finalità dei due istituti, l’individuazione di queste esclusioni, come si avrà modo di chiarire in seguito, si rivela di particolare delicatezza. In generale, il rinvio della disciplina dell’accesso generalizzato a quella delle esclusioni della legge 241/1990 non può che essere letto alla luce delle finalità di ampia disclosure sottesa alla nuova normativa e richiamate nella prima parte di queste linee guida.

5.2.    Limiti (eccezioni relative o q ualificate)

Al di fuori dei casi sopra indicati, possono ricorrere, invece, limiti (eccezioni relative o qualificate) posti a tutela di interessi pubblici e privati di particolare rilievo giuridico elencati ai commi 1 e 2 dell’art. 5-bis del decreto trasparenza.

10
 


Autorità Nazionale Anticorruzione



Il legislatore non opera, come nel caso delle eccezioni assolute, una generale e preventiva individuazione di esclusioni all’accesso generalizzato, ma rinvia a una attività valutativa che deve essere effettuata dalle amministrazioni con la tecnica del bilanciamento, caso per caso, tra l’interesse pubblico alla disclosure generalizzata e la tutela di altrettanto validi interessi considerati dall’ordinamento.

L’amministrazione, cioè, è tenuta a verificare, una volta accertata l’assenza di eccezioni assolute, se l’ostensione degli atti possa determinare un pregiudizio concreto e probabile agli interessi indicati dal legislatore.

Affinché l’accesso possa essere rifiutato, il pregiudizio agli interessi considerati dai commi 1 e 2 deve essere concreto quindi deve sussistere un preciso nesso di causalità tra l’accesso e il pregiudizio. L’amministrazione, in altre parole, non può limitarsi a prefigurare il rischio di un pregiudizio in via generica e astratta, ma dovrà:

a)    indicare chiaramente quale – tra gli interessi elencati all’art. 5 bis, co. 1 e 2 – viene pregiudicato;
b)    valutare se il pregiudizio (concreto) prefigurato dipende direttamente dalla disclosure dell’informazione richiesta;

c)    valutare se il pregiudizio conseguente alla disclosure è un evento altamente probabile, e non soltanto possibile.

Detta valutazione, proprio perché relativa alla identificazione di un pregiudizio in concreto, non può essere compiuta che con riferimento al contesto temporale in cui viene formulata la domanda di accesso: il pregiudizio concreto, in altri termini, va valutato rispetto al momento ed al contesto in cui l’informazione viene resa accessibile, e non in termini assoluti ed atemporali. Tale processo logico è confermato dalle previsioni dei commi 4 e 5 dell’art. 5- bis del decreto trasparenza: da una parte, il diniego dell’accesso non è giustificato, se ai fini della protezione di tale interesse è sufficiente il differimento dello stesso per la tutela degli interessi considerati dalla norma (art. 5 -bis, comma 5). I limiti, cioè, operano nell’arco temporale nel quale la tutela è giustificata in relazione alla natura del dato, del documento o dell’informazione di cui si chiede l’accesso (art. 5- bis co. 5). Allo stesso modo, l’amministrazione dovrà consentire l’accesso parziale utilizzando, se del caso, la tecnica dell’oscuramento di alcuni dati, qualora la protezione dell’interesse sotteso alla eccezione sia invece assicurato dal diniego di accesso di una parte soltanto di esso. In questo caso, l’amministrazione è tenuta a consentire l’accesso alle parti restanti (art. 5-bis, comma 4, secondo alinea).

L’amministrazione è tenuta quindi a privilegiare la scelta che, pur non oltrepassando i limiti di ciò che può essere ragionevolmente richiesto, sia la più favorevole al diritto di accesso del richiedente. Il principio di proporzionalità, infatti, esige che le deroghe non eccedano quanto è adeguato e necessario per raggiungere lo scopo perseguito (cfr. sul punto CGUE, 15 maggio 1986, causa C- 222/84; Tribunale Prima Sezione ampliata 13 aprile 2005 causa T 2/03).

5 . 3 .    La motivazione del diniego o dell’accoglimento della richiesta  di accesso

Nella risposta negativa o parzialmente tale, sia per i casi di diniego connessi all’esistenza di limiti di cui ai co. 1 e 2 che per quelli connessi all’esistenza di casi di eccezioni assolute di cui al co. 3, l’amministrazione è tenuta a una congrua e completa, motivazione, tanto più necessaria in una fase sicuramente sperimentale quale quella che si apre con le prime richieste di accesso. La motivazione serve all’amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell’accesso generalizzato, al giudice per sindacare adeguatamente le decisioni dell’amministrazione.

Possono, tuttavia, verificarsi circostanze in cui potrebbe essere pregiudizievole dell’interesse coinvolto imporre all’amministrazione anche solo di confermare o negare di essere in possesso di alcuni dati o informazioni (si consideri ad esempio il caso di informazioni su indagini in corso). In tali ipotesi, di stretta interpretazione, se si dovesse pretendere una puntale specificazione delle ragioni del diniego, l’amministrazione potrebbe disvelare, in tutto o in parte, proprio informazioni e dati che la normativa ha escluso o limitato dall’accesso per tutelarne la riservatezza (pubblica o privata).

Ove ci si trovi in situazioni del genere, e ove questo non comporti la rivelazione di informazioni protette, è quantomeno opportuno indicare le categorie di interessi pubblici o privati che si intendono tutelare

11
 


Autorità Nazionale Anticorruzione



e almeno le fonti normative che prevedono l’esclusione o la limitazione dell’accesso da cui dipende la scelta dell’amministrazione.

La motivazione è necessaria anche in caso di accoglimento dell’istanza, specie nelle ipotesi in cui la richiesta lambisce diritti di soggetti terzi che, come controinteressati, sono stati coinvolti ai sensi dell’art. 5 co.

5 del decreto trasparenza.


6.    Le eccezioni assolute

Una prima categoria di eccezioni è prevista dalla legge ed ha carattere tassativo. Come anticipato, si tratta di eccezioni poste da una norma di rango primario a tutela di interessi pubblici e privati fondamentali e prioritari rispetto a quello del diritto alla conoscenza diffusa. In presenza di tali eccezioni l’amministrazione è tenuta a rifiutare l’accesso (segreto di Stato o divieto di divulgazione) ovvero a consentirlo secondo condizioni modalità e limiti previsti da norme di legge.

Nella valutazione dell’istanza di accesso, l’amministrazione deve quindi verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3.

Il legislatore rinvia ai casi di segreto di Stato, agli altri casi di divieto di accesso o divulgazione previsti dalla legge, ivi compresi i casi in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti, inclusi quelli di cui all'articolo 24, comma 1, della legge n. 241 del 1990.

6 . 1 .    Segreto di Stato

La definizione di Segreto di Stato è contenuta nell’art. 39 della legge 3 agosto 2007, n. 124, che ha abrogato la previgente legge 24 ottobre 1977, n. 801, secondo il quale “sono coperti dal segreto di Stato gli atti, i documenti, le notizie, le attività e ogni altra cosa la cui diffusione sia idonea a recare danno all'integrità della Repubblica, anche in relazione ad accordi internazionali, alla difesa delle istituzioni poste dalla Costituzione a suo fondamento, all’indipendenza dello Stato rispetto agli altri Stati e alle relazioni con essi, alla preparazione e alla difesa militare dello Stato”.

Il Segreto di Stato è finalizzato alla salvaguardia di supremi e imprescindibili interessi dello Stato, quali l’integrità della Repubblica, la difesa delle istituzioni, l’indipendenza dello Stato, la preparazione e la difesa militare dello Stato (art. 3, comma 1, D.P.C.M. 8 aprile 2008 attuativo del citato art. 39, comma 5 della l. n. 124/2007) e trova legittimazione costituzionale proprio in quanto mezzo o strumento necessario per raggiungere tale finalità (Corte Costituzionale, sentenza 24 maggio 1977 n. 86).

Inoltre, la medesima legge prevede che il Segreto di Stato si estenda anche a cose e attività che non sono necessariamente riconducibili alla categoria di “documento amministrativo”.

Il potere di disporre il vincolo derivante dal Segreto di Stato è attribuito in via esclusiva al Presidente del Consiglio dei ministri (art. 39, comma 4) ed è stabilito un limite temporale al vincolo stesso, in quanto, decorsi quindici anni dall’apposizione del Segreto di Stato o, in mancanza di questa, dalla sua opposizione confermata, chiunque vi abbia interesse può richiedere al Presidente del Consiglio dei ministri di avere accesso alle informazioni, ai documenti, agli atti, alle attività, alle cose e ai luoghi coperti dal Segreto di Stato

(art.  39,  comma  7).  Il  Segreto  in  parola  è  opponibile  anche  all’autorità  giudiziaria,  eccetto  la    Corte
Costituzionale.
Il Segreto di Stato va tenuto distinto dalle classifiche di segretezza, disciplinate dall’art. 42 della legge n. 124/2007, che sono apposte dalle singole amministrazioni per circoscrivere la conoscenza delle informazioni per i soggetti che abbiano necessità di accedervi o a ciò abilitati in ragione delle loro funzioni istituzionali.

6.2.    Altri casi di segreto o di divieto di divulgazione

Nell’ordinamento esistono altre diverse disposizioni che prevedono espressamente casi di segreto o di divieto di divulgazione.

12
 


Autorità Nazionale Anticorruzione



Nelle presenti linee guida non può che rinviarsi a tali diverse disposizioni indicando di seguito alcune esemplificazioni che, in quanto tali, non sono esaustive.

Si ricorda, ad esempio, il segreto statistico, regolamentato dal d.lgs. del 6 settembre 1989 n. 322 all’art. 9; il Segreto militare disciplinato dal RD 11 luglio 1941 n. 161; le classifiche di segretezza di atti e documenti di cui all’art. 42 della l. 124/2007; il segreto bancario previsto dall’art. 7 del d.lgs. 385/1993; i limiti alla divulgazione delle informazioni e dei dati conservati negli archivi automatizzati del Centro elaborazione dati in materia di tutela dell’ordine e della sicurezza pubblica ai sensi dell’art. 9 della l. 121/1981; le disposizioni sui contratti secretati previste dall’art. 162 del d.lgs. 50/2016; il segreto scientifico e il segreto industriale di cui all’art. 623 del c.p.; il segreto sul contenuto della corrispondenza (art. 616 ss. c.p.); il segreto professionale (art. 622 c.p. e 200 c.p.p.) e i “pareri legali” che attengono al diritto di difesa in un procedimento contenzioso

(giudiziario, arbitrale o amministrativa) come confermato anche dagli artt. 2 e 5 del dPCM 26.1.1996, n. 200; i divieti di divulgazione connessi al segreto d’ufficio come disciplinato dall’art. 15 del d.P.R. n. 3/1957. Tra i casi di segreto previsti dall’ordinamento, rientra quello istruttorio in sede penale, delineato dall’art. 329 c.p.p., a tenore del quale “gli atti di indagine compiuti dal pubblico ministero e dalla polizia giudiziaria sono coperti da segreto fino a quando l’imputato non ne possa avere conoscenza e, comunque, non oltre la chiusura delle indagini preliminari”. In questo caso la disciplina sull’accessibilità è regolata direttamente dal codice di procedura penale e a essa è necessario fare esclusivo riferimento. Regolata dalla disciplina particolare della legge 124/2007, è anche la trasmissione di informazioni e analisi a enti esterni al Sistema di informazione per la sicurezza della Repubblica che può essere effettuata solo su autorizzazione del Presidente del Consiglio dei Ministri o dell’Autorità delegata, sentito il CISR (art. 4, co. 3 lett. f) l. 124/2007).
Salvo che non sia possibile un accesso parziale, con oscuramento dei dati, alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a:

    dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del Codice; art. 7-bis, comma 6, d. lgs. n. 33/2013).
    dati idonei a rivelare la vita sessuale (art. 7-bis, comma 6, d. lgs. n. 33/2013).

    dati identificativi di persone fisiche beneficiarie di aiuti economici da cui è possibile ricavare informazioni relative allo stato di salute ovvero alla situazione di disagio economico-sociale degli interessati (limite alla pubblicazione previsto dall’art. 26, comma 4, d. lgs. n. 33/2013)

Resta, in ogni caso, ferma la possibilità che i dati personali per i quali sia stato negato l’accesso generalizzato possano essere resi ostensibili al soggetto che abbia comunque motivato nell’istanza l’esistenza di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso», trasformando di fatto, con riferimento alla conoscenza dei dati personali, l’istanza di accesso generalizzato in un’istanza di accesso ai sensi della l. 241/1990.

Il diritto di accesso ai propri dati personali rimane, invece, regolato dagli artt. 7 ss. del d. lgs. n. 196/2003 e dal procedimento ivi previsto per la relativa tutela, inclusi i limiti di conoscibilità espressamente previsti anche nei confronti dell’interessato medesimo (art. 8 del d.lgs. n. 196/2003).

6.3. Eccezioni assolute in caso in cui l’ accesso è subordinato dalla “disciplina vigente al rispetto di specifiche condizioni, modalità o limiti, inclusi quelli di cui all’art. 24 c. 1 della legge 241/1990”.


Il co. 3 dell’art. 5-bis prevede nei casi di esclusione dell’accesso generalizzato anche quelli in cui l’accesso è subordinato dalla “disciplina vigente al rispetto di specifiche condizioni, modalità o limiti, inclusi quelli di cui all’art. 24 c.

1 della legge 241/1990”. Si tratta, a ben vedere, nella maggior parte, di ipotesi in cui l’accesso non è escluso assolutamente, ma è subordinato a condizioni particolari o al possibile uso del potere di differimento da parte delle p.a..


13
 


Autorità Nazionale Anticorruzione



Si consideri la disciplina sugli atti dello stato civile e quella sulle informazioni contenute nelle anagrafi della popolazione conoscibili nelle modalità previste dalle relative discipline di settore2, agli Archivi di Stato e altri Archivi disciplinati dagli artt. 122 ss. del D. Lgs. 22/01/2004, n. 42 «Codice dei beni culturali e del paesaggio, ai sensi dell’articolo 10 della legge 6 luglio 2002, n. 137, che ne regolano le forme di consultazione; agli elenchi dei contribuenti e alle relative dichiarazioni dei redditi la cui visione ed estrazione di copia è ammessa nelle forme stabile dall’art. 69, comma 6, del d.P.R. n. 600/19733.

Relativamente al rinvio all’art. 24 co. 1 della legge 241/1990, riferita al diverso istituto dell’accesso agli atti, detta norma contiene alcune esclusioni espressamente previste anche nella disciplina dell’accesso generalizzato per i casi di segreto di Stato e di divieto di divulgazione previsti dalla legge. Al riguardo non può che rinviarsi alle considerazioni sopra espresse.

Gli altri casi indicati dall’art. 24 c. 1 della l. 241/1990 attengono:
a)    ai divieti di divulgazione espressamente previsti dal regolamento governativo di cui al co. 6 dell’art. 24 della legge 241/1990 e dai regolamenti delle pubbliche amministrazioni adottati ai sensi del co. 2 del medesimo articolo 24;

b)    nei procedimenti tributari, alle particolari norme che li regolano;
c)    nei confronti dell’attività della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, alle particolari disposizioni che ne regolano la formazione

d)    nei procedimenti selettivi, alle esclusioni dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi.

Con riferimento ai casi di cui alla lett. a) dell’art. 24, co. 1, legge 241/1990 si sottolinea che il regolamento governativo di cui all’art. 24 co. 6 della medesima legge 241/1990 ancora non è stato adottato né la maggior parte delle amministrazioni risulta abbia adottato i regolamenti ai sensi dell’art. 24 co. 2 che devono individuare le categorie di documenti formati o rientranti nella loro disponibilità sottratti all’accesso ai sensi del co. 1 dello stesso articolo 24 e cioè relativi alle stesse categorie di casi o procedimenti previsti in detto comma.

Giova evidenziare che il regolamento governativo di cui al co. 6 dell’art. 24 della legge 241/1990 deve disciplinare i casi di sottrazione all’accesso con riferimento alle stesse categorie di interessi che la normativa sull’accesso generalizzato identifica come casi di esclusioni “relative” all’accesso generalizzato stesso. Si profila, dunque, una potenziale sovrapposizione fra le due normative.

Ad avviso dell’Autorità tale potenziale sovrapposizione, è necessario sia i nterpretata tenendo conto della parziale coincidenza tra le categorie di interessi che, ai sensi dell’art. 24, comma 6, della l. 241/1990, giustificano l’esclusione del diritto di accesso documentale, mentre, ai sensi dell’art. 5 bis, co. 1 e 2 del decreto trasparenza, comportano eccezioni solo relative all’accesso generalizzato.

In tutti questi casi le amministrazioni, non potendo applicare le esclusioni generali del regime dell’accesso documentale, devono tenere in adeguata considerazione il grado di maggiore trasparenza al quale deve essere assoggettata l’attività istituzionale a seguito dell’intervento novellatore di cui al d.lgs. 97/16, valutando caso per caso le istanze di accesso a dati, documenti o informazioni detenute dalle medesime.

Tale interpretazione è conforme all’evoluzione sostanziale del principio di trasparenza nel nostro ordinamento come indicato nel § 2 delle presenti linee guida, è sorretta dal principio della successione delle leggi nel tempo e della specialità della disciplina, ed è coerente con lo scopo della norma, che è quello di garantire un’ampia libertà di accesso ai dati e documenti delle pubbliche amministrazioni.

In considerazione di quanto sopra e tenuto conto della diversa ratio dell’accesso 241 e dell’accesso generalizzato, sarebbe comunque auspicabile che il governo, nel predisporre il regolamento ex art. 24 co. 6, valuti attentamente l’evidenziata sovrapposizione fra le due normative e individui soluzioni compatibili con la


2    Cfr. artt. 33 ss. del d.P.R. n. 223/1989 [sono accessibili da chiunque, ad eccezione degli estratti per copia integrale]; artt.

106    ss. del d.P.R. n. 396/2000.
3    Cfr. provvedimento del Garante per la protezione dei dati personali del 18/2/2010, in www.gpdp.it, doc. web n. 1705106

14
 


Autorità Nazionale Anticorruzione



disciplina dell’accesso generalizzato e con l’evoluzione del principio di trasparenza nel nostro ordinamento, salvaguardando il favor per la trasparenza stabilito dal legislatore.

Per quanto riguarda le eccezioni all’accesso che operano nei procedimenti tributari, il legislatore rinvia alle specifiche norme che regolano detti procedimenti. Si rammenta, a titolo esemplificativo, quanto previsto dall’art. 68 del d.P.R. n. 600/1973 in relazione al segreto di ufficio in materia di accertamenti tributari. Ciò comporta, da una parte che gli atti definitivi sono accessibili anche ai fini dell’accesso generalizzato e che, di conseguenza, l’amministrazione deve, semmai, usare il potere di differimento dell’accesso come previsto al co. 5 dell’art. 5 bis; d’altra parte, l’ostensione di tali atti, data la loro peculiare natura, è opportuno avvenga nei limiti derivanti dall’applicazione della normativa in materia di tutela della riservatezza, eventualmente anche con un accesso parziale ai sensi del co. 4 dell’art. 5 bis. Una volta divenuti accessibili, anche i dati ed documenti dei procedimenti tributari saranno poi soggetti all’applicazione dei limiti di cui all’art. 5 bis, co. 1 e
2.
Analogamente ai procedimenti tributari, per quanto concerne l’attività della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione per i quali il legislatore tiene ferme le particolari disposizioni che ne regolano la formazione, l’accesso agli atti prodromici è di norma escluso. Si tratta, in realtà, di un’esclusione non assoluta, perché in qualche caso, una volta definito il procedimento con l’adozione dell’atto finale, può essere consentito l’accesso agli atti. Anche in queste ipotesi, l’amministrazione può fare uso del potere di differimento.

Diversamente, invece, l’eccezione opera in modo assoluto nei procedimenti selettivi con riferimento a documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi, data la natura di tali informazioni riconducibili all’area dei dati personali cd. “supersensibili”. Si tratta, di atti che possono essere presenti in procedimenti relativi, ad esempio, a concorsi pubblici, trasferimenti di personale, procedure per nomine ad incarichi particolari o per il conferimento di mansioni superiori.


7.    I limiti (esclusioni relative o qualificate) al diritto di accesso generalizzato derivanti dalla tutela di interessi pubblici

La disciplina dell’accesso civico generalizzato prevede la possibilità di rigettare l’istanza qualora il diniego sia necessario per evitare un pregiudizio concreto alla tutela di uno degli interessi pubblici elencati nel nuovo art. 5-bis, comma 1 del d.lgs. n. 33/2013, inerenti a:

a)    la sicurezza pubblica e l’ordine pubblico;
b)    la sicurezza nazionale;

c)    la difesa e le questioni militari;
d)    le relazioni internazionali;
e)    la politica e la stabilità finanziaria ed economica dello Stato;
f)    la conduzione di indagini sui reati e il loro perseguimento;
g)    il regolare svolgimento di attività ispettive.

Come si è evidenziato nel § 5.2 le esclusioni relative sono caratterizzate dalla necessità di adottare una valutazione caso per caso dell’esistenza del pregiudizio alla tutela di interessi pubblici o privati considerati meritevoli di una peculiare tutela dall’ordinamento.

Di seguito sono fornite alcune prime indicazioni utili a dare supporto alle amministrazioni nella identificazione degli interessi pubblici considerati dall’art. 5 bis co. 1. In via generale, e questo vale anche quando si tratterà degli interessi privati, ogni definizione di tali interessi implica il rinvio a concetti per loro natura dinamici anche in relazione alle posizioni della giurisprudenza nazionale e dell’Unione Europea. Si consideri, peraltro, che le materie individuate dalla legge, in gran parte mutuate da quelle indicate nel Regolamento 1049/2011 CE, sono spesso parzialmente sovrapponibili; inoltre alcuni interessi considerati

15
 


Autorità Nazionale Anticorruzione



sono assolutamente contigui con altri disciplinati da norme di settore che, ad esempio, prevedono l’apposizione del segreto (ricadendo così nelle esclusioni assolute). Le esemplificazioni relative al contenuto degli interessi di cui ai punti successivi, pertanto, sono avanzate al fine di consentire alle amministrazioni di meglio circoscrivere tali materie, non una interpretazione ingiustificatamente estensiva.

7 . 1 .    Sicurezza pubblica e ordine pubblico

La sicurezza pubblica è funzione inerente alla prevenzione dei reati e al mantenimento dell’ordine pubblico e comprende la tutela dell'interesse generale alla incolumità delle persone, e quindi la salvaguardia di un bene che abbisogna di una regolamentazione uniforme su tutto il territorio nazionale (Corte Cost. 21/2010). Essa concerne la tutela di quei beni giuridici fondamentali e degli interessi pubblici primari sui quali si fonda la ordinata e civile convivenza degli appartenenti alla comunità nazionale e ricomprende l’insieme di tutte le misure preventive e repressive finalizzate alla salvaguardia delle istituzioni, delle libertà costituzionali e dell’incolumità dei cittadini. Il nucleo della funzione inerente alla pubblica sicurezza ha dunque ad oggetto le attività volte ad assicurare l’incolumità, con riferimento alla integrità fisica e psichica, delle persone, la sicurezza dei possessi e il rispetto di ogni altro bene giuridico di fondamentale importanza per l’esistenza e lo svolgimento dell’ordinamento.

La nozione, elaborata soprattutto dalla giurisprudenza della Corte costituzionale (C. Cost. n. 77/1987; n.
218/1988; n. 115/1995; 169/2006 ), sulla base delle attribuzioni conferite all’aut orità di pubblica sicurezza dal T.U. delle leggi di Pubblica Sicurezza (r.d. n. 773/1931, art. 1), ha trovato una conferma nel diritto positivo nell’art. 159, co. 2, del decreto legislativo 31 marzo 1998, n.112 secondo cui: “le funzioni ed i compiti amministrativi relativi all’ordine pubblico e sicurezza pubblica di cui all’articolo 1, comma 3, lettera l) della legge 15 marzo 1997, n. 59, concernono le misure preventive e repressive dirette al mantenimento dell’ordine pubblico, inteso come il complesso dei beni giuridici fondamentali e degli interessi pubblici primari sui quali si regge l’ordinata e civile convivenza nella comunità nazionale, nonché alla sicurezza delle istituzioni, dei cittadini e dei loro beni”(C. Cost. n. 290/2001).
L’esercizio delle funzioni di pubblica sicurezza e di tutela dell’ordine pubblico coinvolgono non solo l’apparato statale e i suoi organi periferici quali Autorità di Pubblica Sicurezza ma anche gli enti territoriali attraverso le autorità locali di pubblica sicurezza e di governo (art. 54 del TUEL).

I concetti di ordine e sicurezza pubblica e gli interessi ad essi sottesi sono riconducibili ad altri concetti individuati dal legislatore. Ad esempio, l’interesse pubblico inerente alla sicurezza pubblica e all’ordine pubblico viene in rilievo anche nell’adozione di misure preventive e repressive da parte degli enti locali riconducibili all’ambito della sicurezza urbana (quali, ad esempio, quelle previste all’art. 54, co. 4, del d. lgs. 267/2000, recante il testo unico delle leggi sull’ordinamento degli enti locali; cfr. C. Cost. n. 115/2011). Da tale concetto va escluso quanto attiene, invece, alle attività volte a mitigare il disagio sociale (corte Cost n. 222/2010). Diversa dalla sicurezza e dell’ordine pubblico, è, invece, l’attività di polizia amministrativa. Non tutte le attività di polizia amministrativa, infatti, sono relative alla sicurezza e all’ordine pubblico.
L’attività di contrasto al crimine e di tutela della sicurezza pubblica, pertanto, non possono essere divulgate per evitare che venga vanificata l’azione delle forze di polizia. Il pregiudizio concreto alla tutela degli interessi inerenti alla sicurezza pubblica e all’ordine pubblico, può derivare, a titolo esemplificativo, dalla conoscibilità di documenti, dati o informazioni attinenti le strutture, i mezzi, le dotazioni, il personale e le azioni strettamente strumentali alla tutela dell’ordine pubblico, alla prevenzione e alla repressione della criminalità con particolare riguardo alle tecniche investigative, all’identità delle fonti di informazione e alla sicurezza dei beni, delle persone coinvolte, all’attività di polizia giudiziaria e di conduzione delle indagini. Un limite all’accesso potrebbe configurarsi, inoltre, nel caso in cui le informazioni richieste riguardino l’organizzazione e il funzionamento dei servizi di polizia e del personale delle forze armate messe a disposizione dell’autorità di pubblica sicurezza, la detenzione e custodia di armi ed esplosivi. Sempre a titolo di esempio, nel caso di istanze di accesso alla documentazione relativa alla descrizione progettuale e funzionale di impianti industriali a rischio, è meritevole di apprezzamento la necessità di evitare atti di sabotaggio.


16
 


Autorità Nazionale Anticorruzione



7 . 2 .    Sicurezza nazionale

La Sicurezza nazionale è un bene costituzionale che gode di tutela prioritaria e costituisce interesse essenziale, insopprimibile della collettività, con palese carattere di assoluta preminenza su ogni altro in quanto tocca la esistenza stessa dello Stato.

La Corte Costituzionale con orientamento consolidato ha definito la Sicurezza nazionale quale “interesse dello Stato-comunità alla propria integrità territoriale, alla propria indipendenza e, al limite, alla stessa sua sopravvivenza” (C.

Cost. sent. n. 86/1977, n. 82/1976, n. 110/1998, n. 106/2009, n. 40/2012, n. 24/2014).
Ci si è anche riferiti alla “sicurezza esterna ed interna dello Stato e della necessità di protezione da ogni azione violenta o comunque non conforme allo spirito democratico che ispira il nostro assetto costituzionale dei supremi interessi che valgono per qualsiasi collettività organizzata a Stato e possono coinvolgere la esistenza stessa dello Stato” (C. Cost. sent. n. 86 del 24 maggio 1977)

Il concetto di sicurezza esterna ed interna dello Stato si può desumere a livello normativo dagli articoli 6 e 7 della legge 3 agosto 2007, n. 124, istitutiva del Sistema di informazione per la sicurezza della Repubblica, che nel declinare i compiti delle Agenzie di informazioni e sicurezza definisce la sicurezza esterna “la difesa dell’indipendenza, dell’integrità e della sicurezza della Repubblica – anche in attuazione di accordi internazionali - dalle minacce provenienti dall’estero” e richiama la difesa della “sicurezza interna della Repubblica e le istituzioni democratiche poste dalla

Costituzione a suo fondamento da ogni minaccia, da ogni attività eversiva e da ogni forma di aggressione criminale o terroristica”.
La nozione di sicurezza nazionale evoca, in ogni caso, un concetto dinamico e risulta legata “ tanto al grado di maturità del paese cui si riferisce quanto al contesto storico: ne costituisce esempio la rilevanza strategica assunta dai concetti di sicurezza economico-finanziaria e di sicurezza ambientale”. ( “Glossario Intelligence 2013”).

Ai fini dell’accesso generalizzato, l’identificazione degli interessi connessi alla sicurezza nazionale è frequentemente collegata con la difesa del segreto di Stato ma riguarda la possibilità di accesso ad atti, dati e documenti che non compromettono il Segreto di Stato in quanto tale.

7.3.    Difesa e questioni militari

Il concetto di “difesa” trova fondamento nella individuazione di un interesse costituzionale superiore espressamente riconosciuto all’art. 52, co.1, della Costituzione e declinato con riferimento alla difesa della

Patria. La Corte costituzionale ha rilevato che il dovere di difesa, nella sua ampia accezione, contempla in primo luogo il dovere militare, organizzato nelle Forze armate. In merito la Corte costituzionale ha ritenuto che sia “esclusivo” interesse dello Stato, con carat tere unitario ed indivisibile, la difesa della integrità territoriale, della indipendenza e della sopravvivenza. L’impianto normativo riconosce alla funzione difesa quella specificità insita nella natura delle Forze armate, codificata a livello ordinamentale dal decreto legislativo n. 66 del 2010 e del relativo T.U. regolamentare (d.PR 90 del 2010) riguardanti l’organizzazione, le funzioni, le attività della Difesa.

La difesa del territorio nazionale è oggetto di accordi di cooperazione e di trattati con la conseguente responsabilità dello Stato anche in sede internazionale. Così è oggetto di accordi internazionali tra Stati la installazione di opere difensive, di basi militari terrestri, marittime e aeronautiche che tiene conto di situazioni complessive che spesso esigono anche il segreto militare. Si tratta di attività che implicano decisioni esclusivamente statali quali la individuazione dei mezzi di difesa, delle linee generali di conservazione, di sviluppo e di capacità difensiva delle Forze Armate e tutto quanto ciò che, nei piani strategici, è diretto a garantire la sicurezza interna ed esterna dello Stato.

La natura delle attività e dell’organizzazione del sistema difesa implica particolare attenzione ai fini dell’accesso circa alcune attività relative sia all’area tecnico operativa, connesse con la pianificazione, l’impiego e l’addestramento delle Forze armate, sia all’area tecnico industriale, strettamente correlata al funzionamento della precedente area.

Si ricorda, in ogni caso, che una parte dell’attività relativa alla difesa e alle questioni militari è sottoposta, come anticipato nel § 6.2.1 , a vincoli di particolare riservatezza o segretezza.


17
 


Autorità Nazionale Anticorruzione



7 . 4 .    Relazioni internazionali

Per “relazioni internazionali” si intendono i rapporti intercorrenti tra Stati sovrani e, per estensione, ai rapporti tra i vari soggetti internazionali. In tal senso per Relazioni internazionali non si intende solo la politica estera di uno Stato, ma il “sistema internazionale”, nel quale operano vari attori a diversi livelli. Con l’espressione “politica estera” ci si riferisce, infatti, specificamente all’insieme dei programmi d’azione e dei comportamenti di un determinato attore internazionale nei confronti degli altri.

Secondo la giurisprudenza della Corte Costituzionale (cfr. sentenze n. 211/2006 e n. 131/2008), mentre i “rapporti internazionali” , sono astrattamente riferibili a singole relazioni, dotate di elementi di estraneità rispetto al nostro ordinamento, la “politica estera” concerne l'attività internazionale dello Stato unitariamente considerata in rapporto alle sue finalità ed al suo indirizzo.

A titolo esemplificativo si riportano alcuni atti relativi all’ambito delle relazioni internazionali meritevoli di attenzione ai fini dell’accesso generalizzato:

-    i documenti concernenti le procedure relative alla negoziazione ed alla stipula di accordi ed atti internazionali con altri Stati, ove vi sia la necessità non solo di tutelare la necessaria riservatezza degli atti inerenti i negoziati, ma anche per salvaguardare l’integrità degli stessi rapporti diplomatici con i Paesi interessati, che potrebbero essere pregiudicati se tali atti fossero resi accessibili; ciò sempre che gli stessi documenti od atti non siano stati pubblicati nel corso di conferenze internazionali;
-    i lavori preparatori e la documentazione predisposta in vista di incontri bilaterali e multilaterali;
-    i documenti di posizione interni ai negoziati UE, laddove siano suscettibili di compromettere la posizione italiana nei negoziati in corso, a meno che non vi sia un interesse prevalente alla divulgazione;

-    le comunicazioni, i rapporti ed i documenti provenienti dalle rappresentanze ed uffici consolari all’estero sulla situazione politica ed economica dei Paesi di accreditamento, nonché comunicazioni, rapporti e documenti provenienti dalle rappresentanze o delegazioni presso organizzazioni internazionali e fori multilaterali riguardanti l’attività di detti organismi;

-    i carteggi scambiati dall’amministrazione con i rappresentanti degli Stati esteri in Italia ed esponenti dei Governi e delle amministrazioni degli Stati esteri.

Al fine dell’identificazione dell’interesse alla tutela delle relazioni internazionali possono rilevare anche:
-    la tutela della sicurezza delle Rappresentanze diplomatico-consolari e delle OO.II, della sicurezza delle Alte Personalità in visita, il libero espletamento della sovranità degli altri Stati ma anche della sovranità nazionale come disciplinati nelle norme di diritto internazionale e da norme interne, quali ad esempio:

 Convenzione di Vienna del 1961 sulle relazioni diplomatiche (in particolare gli artt. 22-37) e relativa legge nazionale di ratifica;

    Convenzione di Vienna del 1963 sulle relazioni consolari (in particolare gli artt. 31-41 e 49-50) e relativa legge nazionale di ratifica;

    Accordi di Sede con le Organizzazioni Internazionali che hanno sede in Italia - con particolare riguardo alle norme sulla sicurezza e inviolabilità della Sede, delle comunicazioni, dei vertici delle organizzazioni e dei loro funzionari nonché ai privilegi e immunità - e relative leggi nazionali di ratifica.

7.5.    Politica e stabilità finanziaria ed economica dello Stato

La definizione del concetto di politica e stabilità finanziaria evoca quanto già previsto dall’art. 24 comma

6 lett. b) legge 241/1990 relativamente ai “processi di formazione, di determinazione e di attuazione della politica monetaria e valutaria”. Il concetto è contiguo anche a quello delineato dall’ art. 4 comma 1 lett. a) del

Regolamento Ce 1049/2001 relativamente alla tutela della “politica finanziaria, monetaria o economica della Comunità o di uno Stato membro”.

Si ritiene quindi che meritino particolare attenzione ai fini dell’accesso generalizzato gli atti relativi ai processi di formazione e determinazione della politica monetaria e valutaria la cui pubblicazione possa comportare turbative sui mercati valutari e dei capitali nonché gli atti relativi al fabbisogno del bilancio dello

Stato, alla politica fiscale ed all’emissione dei titoli di debito pubblico, materie interconnesse con la politica

18
 


Autorità Nazionale Anticorruzione



finanziaria ed economica dello Stato. L’eventuale esigenza di riservatezza, in tali casi, è connessa alla necessità di evitare che la conoscenza di taluni documenti possa creare situazioni di vantaggio a favore di alcuni o causare turbamenti dei mercati finanziari; a tale proposito si ricorda che la manipolazione dei mercati, anche finanziari, è condotta illecita disciplinata dal codice penale (art. 501 reato di aggiotaggio) e dal codice civile (art. 2637).

Il nucleo degli interessi sottesi a tale limitazione all’accesso assurge a carattere costituzionale e sovranazionale: infatti gli equilibri di finanza pubblica della Repubblica, in tutte le sue componenti ai sensi dell’art. 114 della Costituzione, sono tutelati dagli artt. 81, 97, 117 commi 2 e 3 e 119 Costituzione, ove, peraltro, sono espressamente indicati le regioni e gli enti territoriali; contestualmente alla crescita dell’Europa quale entità volta anche all’armonizzazione ed al coordinamento delle politiche finanziarie, il concetto di equilibrio di finanza pubblica si è evoluto, con la codificazione in sede di Trattato, del concetto di stabilità economica- finanziaria, rispetto al quale lo Stato ha poteri di disciplina generale e di coordinamento.

Nel concetto di politica economica rientrano le scelte di bilancio, gli atti relativi al fabbisogno del bilancio dello Stato, alla politica fiscale ed all’emissione dei titoli di debito pubblico.

Nel concetto di stabilità finanziaria rientra la gestione delle finanze pubbliche, la sostenibilità del debito pubblico, la capitalizzazione delle istituzioni finanziarie; andrà prestata particolare attenzione quindi, a tutte le informazioni (precipuamente in possesso di Banca d’Italia, Mef, Consob, Isvap) per la salvaguardia della stabilità del sistema finanziario italiano, la prevenzione e la gestione delle crisi finanziarie con potenziale effetto di natura sistemica, incluse quelle con ripercussioni rilevanti in altri paesi, attinenti a singole banche o imprese assicurative, gruppi bancari o assicurativi, conglomerati finanziari o altre istituzioni finanziarie in grado di avere effetti di contagio sul sistema finanziario italiano.

7 . 6 .    Conduzioni di indagini sui reati e loro perseguimento

L’interesse pubblico sotteso alla conduzione di indagini sui reati e il loro perseguimento è strettamente connesso alla sicurezza e all’ordine pubblico e all’esercizio di attività giudiziaria. Quanto alla sicurezza e all’ordine pubblico si rinvia a quanto indicato al § 7.1.

Con riferimento alle possibili sovrapposizioni con l’esercizio dell’attività giudiziaria, occorre chiarire che l’accesso generalizzato riguarda, atti, dati e informazioni che siano riconducibili a un’attività amministrativa, in senso oggettivo e funzionale.

Esulano, pertanto, dall’accesso generalizzato gli atti giudiziari, cioè gli atti processuali o quelli che siano espressione della funzione giurisdizionale, ancorché non immediatamente collegati a provvedimenti che siano espressione dello “ius dicere”, purché intimamente e strumentalmente connessi a questi ultimi. L’accesso e i limiti alla conoscenza degli atti giudiziari, ovvero di tutti gli atti che sono espressione della funzione giurisdizionale, anche se acquisiti in un procedimento amministrativo, sono infatti disciplinati da regole autonome previste dai rispettivi codici di rito. Si consideri, al riguardo, la speciale disciplina del segreto istruttorio, ai sensi dell’art. 329 c.p.p.; il divieto di pubblicazione di atti (art. 114 c.p.p.) e il rilascio di copia di atti del procedimento a chiunque vi abbia interesse, previa autorizzazione del pubblico ministero o del giudice che procede (art. 116 c.p.p.). Per i giudizi civili, ad esempio, l’art. 76 disp. att. c.p.c., che stabilisce che le parti e i loro difensori possono esaminare gli atti e i documenti inseriti nel fascicolo d’ufficio e in quelli delle altre parti e ottenere copia dal cancelliere; pertanto l’accesso è consentito solo alle parti e ai loro difensori. Per le procedure concorsuali la legge fallimentare che riconosce al comitato dei creditori e al fallito il diritto di prendere visione di ogni atto contenuto nel fascicolo, mentre per gli altri creditori e i terzi l’accesso è consentito purché gli stessi abbiano un interesse specifico e attuale, previa autorizzazione del giudice delegato, sentito il curatore (r.d. 16 marzo 1942, n. 267, art. 90).

La possibilità di consentire l’accesso alla documentazione inerente le indagini sui reati e sul loro perseguimento senza che ciò comporti un pregiudizio al corretto svolgimento delle stesse va valutata in relazione alla peculiarità della fattispecie e dello stato del procedimento penale.

In merito all’accesso a documenti detenuti dalle amministrazioni che siano afferenti a un procedimento penale, occorre considerare che potrebbe non esservi una preclusione automatica e assoluta alla loro conoscibilità e che l’esistenza di un’indagine penale non è di per sè causa ostativa all’accesso a documenti che

19
 


Autorità Nazionale Anticorruzione



siano confluiti nel fascicolo del procedimento penale o che in qualsiasi modo possano risultare connessi con i fatti oggetto di indagine. Resta, comunque, ferma la disciplina in materia di tutela dei dati personali e quanto previsto dalle presenti linee guida ai §§ 6.2.1 e 8.1. Al riguardo, si fa presente che, secondo un prevalente orientamento giurisprudenziale, non ogni denuncia di reato presentata dalla pubblica amministrazione all'autorità giudiziaria costituisce atto coperto da segreto istruttorio penale e come tale sottratto all'accesso; laddove, infatti, la denuncia sia riconducibile all'esercizio delle istituzionali funzioni amministrative, l’atto non ricade nell’ambito di applicazione dell’art. 329 c.p.p. e non può ritenersi coperto dal segreto istruttorio.
Diversamente, se la pubblica amministrazione trasmette all'autorità giudiziaria una notizia di reato nell'esercizio di funzioni di polizia giudiziaria specificamente attribuite dall'ordinamento, si è in presenza di atti di indagine compiuti dalla polizia giudiziaria, che, come tali, sono soggetti a segreto istruttorio ai sensi dell'art. 329 c.p.p. (Cons. Stato, sez. VI, 29 gennaio 2013, n. 547).

7 . 7 .    Regolare svolgimento di attività ispettive

L’attività ispettiva è preordinata ad acquisire elementi conoscitivi necessari per lo svolgimento delle funzioni di competenza delle pubbliche amministrazioni.

Le attività ispettive, che, come chiarito dalla Corte costituzionale, rappresentano la più rilevante modalità di svolgimento dell’attività di vigilanza, possono essere disposte a fini generalmente conoscitivi, ovvero al fine di acquisire dati conoscitivi strettamente connessi alla valutazione dell’interesse pubblico all’interno di un procedimento volto all’adozione di un atto amministrativo.

Solo nei casi di stretta strumentalità della attività ispettive rispetto all’adozione di un provvedimento amministrativo conclusivo del procedimento principale, in linea generale l’accessibilità ai documenti ispettivi può concretizzarsi solo dopo che gli atti conclusivi del procedimento abbiano assunto il carattere di definitività. Ne consegue che le restrizioni all’accesso si applicano di norma unicamente per il periodo nel quale la protezione è giustificata dall’esigenza di non compromettere la decisione finale da valutarsi anche in relazione alla necessità di non pregiudicare attività ispettive collegate a quelle oggetto dell’accesso o quelle, ad esse connesse, che l’amministrazione abbia già programmato di realizzare. In questi casi, le amministrazioni possono fare uso del potere di differimento dell’accesso
Limitazioni all’accesso nella fase endoprocedimentale ispettiva, che possono essere motivate dall’evitare il pregiudizio al regolare svolgimento della stessa, possono riguardare a mero titolo di esempio le notizie sulla programmazione dell’attività di vigilanza, sulle modalità e i tempi del suo svolgimento, le indagini sull’attività degli uffici, dei singoli dipendenti, o sull’attività di enti pubblici e privati su cui l’amministrazione esercita forme di vigilanza. Ciò vale sia per le richieste e le indagini condotte d’ufficio, sia per quelle avviate su segnalazione di privati, di organizzazioni di categoria o sindacali e similari. Sono riconducibili alle limitazioni soprarichiamate anche le attività ispettive presso istituti di patronato, enti previdenziali e assistenziali, anche in sedi estere.
Le attività ispettive disposte e realizzate al di fuori di uno stretto collegamento con un determinato procedimento amministrativo, possono porre esigenze di tutela in caso di accesso generalizzato diverse dalle prime. L’eventuale differimento, quindi, non sarà funzionale a garantire la riservatezza nel procedimento, ma ad altre esigenze di riservatezza dei dati raccolti, che ne sconsigliano la diffusione.

Essendo l’attività ispettiva di carattere trasversale rispetto alle attività svolte dalle pubbliche amministrazioni e dai soggetti tenuti a garantire l’accesso generalizzato, occorre anche porre in evidenza le possibili ricadute che l’accesso anche differito alle attività ispettive può comportare rispetto alla tutela degli altri interessi protetti nella stessa norma sull’accesso generalizzato Si considerino, a mero titolo di esempio e sempre fatta salva la necessità di una attenta valutazione nel caso specifico, i documenti relativi all’attività ispettiva dalla cui diffusione possa comunque derivare pregiudizio alla prevenzione e repressione della criminalità nei settori di competenza anche attraverso la conoscenza delle tecniche informative ed operative nonché degli atti di organizzazione interna, quando questa possa pregiudicare le singole attività di indagine; a documenti relativi ad attività ispettiva la cui diffusione può pregiudicare l’attività di organismi nazionali ed esteri, ovvero incidere sulla correttezza delle relazioni internazionali; a documenti acquisiti nel corso di attività ispettive la cui diffusione potrebbe ledere la proprietà intellettuale, il diritto di autore o segreti commerciali di soggetti

20
 


Autorità Nazionale Anticorruzione



pubblici o privati. Ancora, laddove l’attività ispettiva possa comportare l’acquisizione di documentazione processuale anche penale, la richiesta di accesso generalizzato potrà trovare accoglimento purchè non comporti, tra gli altri, un pregiudizio al corretto svolgimento dell’attività di indagine (cfr. §7.6).



8.    I limiti (esclusioni relative o qualificate) al diritto di accesso generalizzato derivanti dalla tutela di interessi privati

Il decreto trasparenza ha previsto, all’art. 5-bis, comma 2, che l’accesso generalizzato è rifiutato se il diniego è necessario per evitare il pregiudizio concreto alla tutela degli interessi privati specificamente indicati dalla norma e cioè:

a)    protezione dei dati personali
b)    libertà e segretezza della corrispondenza

c)    interessi economici e commerciali di una persona fisica o giuridica, ivi compresi proprietà intellettuale, diritto d'autore e segreti commerciali

In questo paragrafo si riportano le linee guida per la corretta applicazione di tale disposizione.

8 . 1 .    I limiti derivanti dalla pr otezione dei dati personali .

L’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 prevede che l’accesso generalizzato deve essere rifiutato laddove possa recare un pregiudizio concreto «alla protezione dei dati personali, in conformità con la disciplina legislativa in materia ». Occorre in primo luogo rilevare che per «dato personale» si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b, del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196, di seguito “Codice”). Le informazioni riferite a persone giuridiche, enti e associazioni non rientrano, quindi, in tale nozione4.

In proposito, con riferimento alle istanze di accesso generalizzato aventi a oggetto dati e documenti relativi a (o contenenti) dati personali, l’ente destinatario dell’istanza deve valutare, nel fornire riscontro motivato a richieste di accesso generalizzato, se la conoscenza da parte di chiunque del dato personale richiesto arreca (o possa arrecare) un pregiudizio concreto alla protezione dei dati personali, in conformità alla disciplina legislativa in materia. La ritenuta sussistenza di tale pregiudizio comporta il rigetto dell’istanza, a meno che non si consideri di poterla accogliere, oscurando i dati personali eventualmente presenti e le altre informazioni che possono consentire l’identificazione, anche indiretta, del soggetto interessato.
In tale contesto, devono essere tenute in considerazione le motivazioni addotte dal soggetto controinteressato, che deve essere obbligatoriamente interpellato dall’ente destinatario della richiesta di accesso generalizzato, ai sensi dell’art. 5, comma 5, del d. lgs. n. 33/2013. Tali motivazioni costituiscono un indice della sussistenza di un pregiudizio concreto, la cui valutazione però spetta all’ente e va condotta anche in caso di silenzio del controinteressato, tenendo, altresì, in considerazione gli altri elementi illustrati di seguito.

La disciplina in materia di protezione dei dati personali prevede che ogni trattamento – quindi anche una comunicazione di dati personali a un terzo tramite l’accesso generalizzato – deve essere effettuato «nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale […]», ivi inclusi il diritto alla reputazione, all’immagine, al nome, all’oblio 5, nonché i diritti inviolabili della persona di cui agli artt. 2 e 3 della Costituzione. Nel quadro descritto, anche le comunicazioni


4    Cfr. art. 40, comma 2, del d.l. 6/12/2011, n. 201, convertito con modificazioni in l. 22 dicembre 2011, n. 214.

5    Cfr. art. 17, nonché consideranda nn. 65 e 66 del Regolamento (UE) n. 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

21
 


Autorità Nazionale Anticorruzione



di dati personali nell’ambito del procedimento di accesso generalizzato non devono determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà delle persone cui si riferiscono tali dati ai sensi dell’art. 8 della Convenzione europea per la salvaguardai dei diritti dell’uomo e delle libertà fondamentali, dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea e della giurisprudenza europea in materia.

Il richiamo espresso alla disciplina legislativa sulla protezione dei dati personali da parte dell’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 comporta, quindi, che nella valutazione del pregiudizio concreto, si faccia, altresì, riferimento ai principi generali sul trattamento e, in particolare, a quelli di necessità, proporzionalità, pertinenza e non eccedenza, in conformità alla giurisprudenza della Corte di Giustizia Europea6, del Consiglio di Stato7, nonché al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/20168.

In attuazione dei predetti principi, il soggetto destinatario dell’istanza, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato, privilegiando l’ostensione di documenti con l’omissione dei «dati personali » in esso presenti, laddove l’esigenza informativa, alla base dell’accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali. In tal modo, tra l’altro, si soddisfa anche la finalità di rendere più celere il procedimento relativo alla richiesta di accesso generalizzato, potendo accogliere l’istanza senza dover attivare l’onerosa procedura di coinvolgimento del soggetto «controinteressato» (art. 5, comma 5, del d. lgs. n. 33/2013). Al riguardo, deve essere ancora evidenziato che l’accesso generalizzato è servente rispetto alla conoscenza di dati e documenti detenuti dalla p.a. «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013). Di conseguenza, quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessarie al raggiungimento del predetto scopo, oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta dovrebbe accordare l’accesso parziale ai documenti, oscurando i dati personali ivi presenti9.

Ai fini della valutazione del pregiudizio concreto, vanno prese in considerazione le conseguenze – anche legate alla sfera morale, relazionale e sociale – che potrebbero derivare all’interessato (o ad altre persone alle quali esso è legato da un vincolo affettivo) dalla conoscibilità, da parte di chiunque, del dato o del documento richiesto, tenuto conto delle implicazioni derivanti dalla previsione di cui all’art. 3, comma 1, del d. lgs. n.

33/2013, in base alla quale i dati e i documenti forniti al richiedente tramite l’accesso generalizzato sono considerati come «pubblici», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 7 del d. lgs. n. 33/2013). Tali conseguenze potrebbero riguardare, ad esempio, future azioni da parte di terzi nei confronti dell’interessato, o situazioni che potrebbero determinare l’estromissione o la discriminazione dello stesso individuo, oppure altri svantaggi personali e/o sociali10. In questo quadro, può essere valutata, ad esempio, l’eventualità che l’interessato possa essere esposto a minacce, intimidazioni, ritorsioni o turbative al regolare svolgimento delle funzioni pubbliche o delle attività di pubblico interesse esercitate, che potrebbero derivare, a seconda delle particolari circostanze del caso, dalla conoscibilità di determinati dati11. Analogamente, vanno tenuti in debito conto i casi in cui la conoscibilità di determinati dati personali da parte di chiunque possa favorire il verificarsi




6    Corte di Giustizia (Grande Sezione), 29 giugno 2010, procedimento C‑28/08 P, Bavarian Lager c. Commissione europea.

7    Consiglio di Stato, 12/8/2016, n. 3631.

8    Cfr., in particolare, considerando n. 154 e artt. 5 e 86.

9    Si pensi, ad esempio, a dati di persone fisiche quali, fra l’altro, la data di nascita, il codice fiscale, il domicilio o l’indirizzo di residenza, i recapiti telefonici o di posta elettronica personali, l’ISEE o la relativa fascia, i dati bancari, ecc.

10    Cfr. Gruppo Art. 29, Opinion 03/2013 on purpose limitation, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf, p. 25).

11    Si pensi, ad esempio, ai nominativi del personale ispettivo, o di quello coinvolto in attività istruttorie relative a materie di particolare delicatezza, oppure ancora ai dati relativi agli autori di segnalazioni ed esposti.

22
 


Autorità Nazionale Anticorruzione



di eventuali furti di identità o di creazione di identità fittizie attraverso le quali esercitare attività fraudolente12.
Nel valutare l’impatto nei riguardi dell’interessato, vanno tenute in debito conto anche le ragionevoli aspettative di quest’ultimo riguardo al trattamento dei propri dati personali al momento in cui questi sono stati raccolti, ad esempio nel caso in cui le predette conseguenze non erano prevedibili al momento della raccolta dei dati.

Per verificare l’impatto sfavorevole che potrebbe derivare all’interessato dalla conoscibilità da parte di chiunque delle informazioni richieste, l’ente destinatario della richiesta di accesso generalizzato deve far riferimento a diversi parametri, tra i quali, anche la natura dei dati personali oggetto della richiesta di accesso o contenuti nei documenti ai quali di chiede di accedere, nonché il ruolo ricoperto nella vita pubblica, la funzione pubblica esercitata o l’attività di pubblico interesse svolta dalla persona cui si riferiscono i predetti dati.

Riguardo al primo profilo, la presenza di dati sensibili13 e/o giudiziari14 può rappresentare un indice della sussistenza del predetto pregiudizio, laddove la conoscenza da parte di chiunque che deriverebbe dall’ostensione di tali informazioni – anche in contesti diversi (familiari e/o sociali) – possa essere fonte di discriminazione o foriera di rischi specifici per l’interessato15. In linea di principio, quindi, andrebbe rifiutato l’accesso generalizzato a tali informazioni, potendo invece valutare diversamente, caso per caso, situazioni particolari quali, ad esempio, quelle in cui le predette informazioni siano state deliberatamente rese note dagli interessati, anche attraverso loro comportamenti in pubblico16.

Analoghe considerazioni sull’esistenza del pregiudizio concreto possono essere fatte per quelle categorie di dati personali che, pur non rientrando nella definizione di dati sensibili e giudiziari, richiedono una specifica protezione quando dal loro utilizzo, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, possano derivare rischi specifici per i diritti e le libertà fondamentali degli interessati (si pensi, ad esempio, ai dati genetici, biometrici, di profilazione, sulla localizzazione o sulla solvibilità economica, di cui agli artt. 17 e 37 del Codice).

Tra gli altri fattori da tenere in considerazione ai fini della valutazione della sussistenza del pregiudizio in esame, merita rilievo anche la circostanza che la richiesta di accesso generalizzato riguardi dati o documenti contenenti dati personali di soggetti minori, la cui conoscenza può ostacolare il libero sviluppo della loro personalità, in considerazione della particolare tutela dovuta alle fasce deboli17.

Riguardo al secondo profilo, va considerato altresì che la sussistenza di un pregiudizio concreto alla protezione dei dati personali può verificarsi con più probabilità per talune particolari informazioni – come ad esempio situazioni personali, familiari, professionali, patrimoniali – di persone fisiche destinatarie dell’attività amministrativa o intervenute a vario titolo nella stessa e che, quindi, non ricoprono necessariamente un ruolo nella vita pubblica o non esercitano funzioni pubbliche o attività di pubblico interesse18. Ciò anche pensando,

12    Si pensi, ad esempio, all’indiscriminata circolazione delle firme autografe, dei dati contenuti nel cedolino dello stipendio che sono utili per accedere a prestiti e finanziamenti, oppure ad alcune informazioni contenute nelle dichiarazioni dei redditi che sono richieste ai fini del rilascio delle credenziali di accesso a servizi fiscali telematici quali la dichiarazione dei redditi precompilata.

13    Ai sensi del d. lgs. n. 196/2003, «dati sensibili» sono « i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale» (art. 4, comma 1, lett. d).

14    Ai sensi del d. lgs. n. 196/2003 «dati giudiziari» sono «i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale» (art. 4, comma 1, lett. e).

15    Cfr. Parere del Garante per la protezione dei dati personali del 3/3/2016 n. 92, in www.gpdp.it, doc. web n. 4772830; nonché Relazione Illustrativa al Decreto legislativo recante revisione e semplificazione delle disposizioni in materia di prevenzione della corruzione pubblicità e trasparenza, correttivo della legge 6 novembre 2012, n. 190 e del decreto legislativo 14 marzo 2013, n. 33, ai sensi dell’articolo 7 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche, in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Decreto_legislativo_trasparenza.pdf
16    Vedi, ad esempio, il caso delle cariche dirigenziali di partiti, sindacati, associazioni o organizzazioni a carattere religioso, politico o sindacale.

17    Cfr. documenti citati supra in nota 12.

18    In questo senso, può al contrario ritenersi che, in generale e salvo ogni diversa valutazione nel caso concreto, anche in ragione del contenuto dell’atto, sulla base dei parametri illustrati nelle presenti Linee guida, non osti in linea di principio all’ostensione di un documento la sola presenza, sullo stesso, dell’indicazione nominativa del funzionario o del dirigente che l’ha adottato, essendo la conoscibilità esterna di questi dati personali normalmente connaturata allo svolgimento della funzione pubblica di volta in volta esercitata.

23
 


Autorità Nazionale Anticorruzione



come già visto, alle ragionevoli aspettative di confidenzialità degli interessati riguardo a talune informazioni in possesso dei soggetti destinatari delle istanze di accesso generalizzato o la non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque di tali dati. Tale ragionevole aspettativa di confidenzialità è un elemento che va valutato in ordine a richieste di accesso generalizzato che possono coinvolgere dati personali riferiti a lavoratori o a altri soggetti impiegati a vario titolo presso l’ente destinatario della predetta istanza19.

8 . 2 .    Libertà e segretezza della corrispondenza

L’accesso generalizzato è rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela della «libertà e la segretezza della corrispondenza» (art. 5, comma 2-bis, d. lgs. n. 33/2013).
Si tratta di una esclusione diretta a garantire la libertà costituzionalmente tutelata dall’art. 15 Cost. che prevede espressamente come « La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge»20.

Tale tutela – che si estende non solo alle persone fisiche, ma anche alle persone giuridiche, enti, associazioni, comitati ecc. – copre le comunicazioni che hanno carattere confidenziale o si riferiscono alla intimità della vita privata21 ed è volta a garantire non solo la segretezza del contenuto della corrispondenza fra soggetti predeterminati, ma anche la più ampia libertà di comunicare reciprocamente, che verrebbe pregiudicata dalla possibilità che soggetti diversi dai destinatari individuati dal mittente possano prendere conoscenza del contenuto della relativa corrispondenza.

Tenuto conto che «la stretta attinenza della libertà e della segretezza della comunicazione al nucleo essenziale dei valori della personalità […] comporta un particolare vincolo interpretativo, diretto a conferire a quella libertà, per quanto possibile, un significato espansivo»22, la nozione di corrispondenza va intesa in senso estensivo a prescindere dal mezzo di trasmissione utilizzato, stante la diffusione delle nuove tecnologie della comunicazione.

Tale interpretazione è suffragata anche dalle norme penali a tutela dell’inviolabilità dei segreti che considerano come «corrispondenza » non solo quella epistolare23, ma anche quella telegrafica, telefonica, informatica o telematica24, ovvero quella effettuata con ogni altra forma di comunicazione a distanza (art. 616, comma 4, codice penale)25.

La predetta nozione di corrispondenza comprende, inoltre, sia il contenuto del messaggio, che gli eventuali file allegati, nonché i dati esteriori della comunicazione, quali, ad esempio, l’identità del mittente e del destinatario, l’oggetto, l’ora e la data di spedizione26.

Ciò premesso occorre precisare che, ai fini delle valutazioni in ordine all’individuazione dei casi in cui il diniego all’accesso generalizzato è necessario per evitare un pregiudizio concreto alla tutela della «libertà e la


19    Si pensi, ad esempio, a quelle particolari informazioni contenute a vario titolo nel fascicolo personale del dipendente, fra le quali anche quelle relative alla natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché alle componenti della valutazione o alle notizie concernenti il rapporto di lavoro tra il personale dipendente e l’amministrazione, idonee a rivelare informazioni sensibili. Si pensi ancora alle informazioni relative alla busta paga, ai dati fiscali, al salario, ecc. dei soggetti interessati, in relazione alle quali andrebbe privilegiata l’ostensione delle sole fasce o tabelle stipendiali piuttosto che l’esatto ammontare, considerando che la conoscenza dello stesso, o di dettagli relativi alla situazione economico-patrimoniale, da parte di chiunque potrebbe pregiudicare gli interessi del singolo, ad esempio, in eventuali transazioni o trattative negoziali o legali.

20    Cfr., altresì, l’art. 8 della Convenzione europea per la salvaguardai dei diritti dell’uomo e delle libertà fondamentali, nonché l’art. 7 della Carta dei diritti fondamentali dell’Unione europea.

21    Cfr. art. 93, comma 1, della l. 22/04/1941, n. 633, recante «Protezione del diritto d’autore e di altri diritti connessi al suo esercizio»;

22    Corte Cost. n. 81 del 11/03/1993; cfr. anche, in materia, tra le altre, le sentenze nn. 34 del 1973, 366 del 1991.

23    Per la definizione di corrispondenza epistolare cfr. art. 24 del D.P.R. 29/05/1982, n. 655 recante «Approvazione del regolamento di esecuzione dei libri I e II del codice postale e delle telecomunicazioni (norme generali e servizi delle corrispondenze e dei pacchi)».

24    Cfr. art. 49 del d. lgs. 07/03/2005, n. 82 recante «Codice dell’amministrazione digitale».
25    Cfr. Linee guida del Garante per la protezione dei dati personali per posta elettronica e internet dell’1/3/2007, in G.U. n. 58 del 10 marzo 2007 e in www.gpdp.it, doc. web 1387522. Cfr. anche Provvedimenti del Garante per la protezione dei dati personali del 6 maggio 2013, doc. web n. 2411368; del 24 maggio 2007, doc. web n. 1419749.

26    Cfr. anche Linee guida del Garante per la protezione dei dati personali per posta elettronica e internet, cit. Cfr., altresì, Corte Cost. n. 81/1993, cit.

24
 


Autorità Nazionale Anticorruzione



segretezza della corrispondenza», l’ente destinatario dell’istanza di accesso generalizzato dovrà tenere in considerazione la natura della stessa, le intenzioni dei soggetti coinvolti nello scambio della corrispondenza e la legittima aspettativa di confidenzialità degli interessati ivi compresi eventuali soggetti terzi citati all’interno della comunicazione.

In questa valutazione, poiché nel contesto dello svolgimento delle attività amministrative e di pubblico interesse degli enti destinatari delle richieste di accesso generalizzato, l’utilizzo della corrispondenza (posta, e-mail, fax, ecc.) costituisce la modalità ordinaria di comunicazione, non solo tra i diversi enti, ma anche fra questi e i terzi, per la corretta applicazione del limite previsto dall’art. 5, comma 2-bis, d. lgs. n. 33/2013 non si dovrà necessariamente escludere l’accesso a tutte queste comunicazioni ma soltanto a quelle che, secondo una verifica da operare caso per caso, abbiano effettivamente un carattere confidenziale e privato.

Tali caratteristiche, ad esempio, possono essere rinvenute nel caso in cui venga utilizzato l’indirizzo di posta elettronica individuale fornito al personale dall’ente presso il quale svolge la propria attività lavorativa, allorquando l’individualità dell’indirizzo e-mail attribuito al lavoratore e la sua veste esteriore, o altre circostanze del caso, possano essere ritenute tali da determinare una legittima aspettativa di confidenzialità – del mittente, del destinatario o di terzi – rispetto a talune forme di comunicazione (estranee o meno all’attività lavorativa)27.

8 . 3 . Interessi economici e commerciali di una persona fisica o giuridica, ivi compresi proprietà intellettuale, diritto d'autore e segreti commerciali

La previsione dell’art. 5 bis co.2 lett. c) del decreto trasparenza include nella generica definizione di “interessi economici e commerciali”, tre specifici ambiti tutelati dall’ordinamento e tutti collegati con l’interesse generale di garantire il buon funzionamento delle regole del mercato e della libera concorrenza. .

Il termine "proprietà intellettuale" indica un sistema di tutela giuridica – che si basa sul riconoscimento di diritti esclusivi - di beni immateriali, ossia le creazioni intellettuali, aventi anche rilevanza economica: si tratta dei frutti dell'attività creativa e inventiva umana come, ad esempio, le opere artistiche e letterarie, le invenzioni industriali e i modelli di utilità, il design, i marchi. Al concetto di proprietà intellettuale fanno capo le tre grandi aree del diritto d'autore, del diritto dei brevetti e del diritto dei marchi, questi ultimi ricompresi nel più ampio concetto di proprietà industriale.

Il diritto d’autore tutela le opere dell’ingegno di carattere creativo riguardanti le scienze, la letteratura, la musica, le arti figurative, l’architettura, il teatro, la cinematografia, la radiodiffusione e, da ultimo, i programmi per elaboratore e le banche dati, qualunque ne sia il modo o la forma di espressione. La tutela autoriale non soggiace ad alcun onere di deposito, come invece si richiede per le invenzioni industriali. Il contenuto del diritto d’autore si articola in diritto morale e diritto patrimoniale d’autore, disciplinati entrambi dalla l.

633/1941 e successive modifiche e integrazioni (da ultimo, la l. 208/2015 ed il d.lgs. 8/2016); la tutela dei diritti d’autore rientra fra le attività della SIAE, ed è stata oggetto di una serie di convenzioni internazionali, volte a conseguire un regolamento uniforme in materia. L'Unione europea conduce da diversi anni una politica attiva nel campo della proprietà intellettuale finalizzata all'armonizzazione delle legislazioni nazionali: numerosissime le Convenzioni e le Direttive in materia.

Il diritto di proprietà intellettuale (diritto d'autore) e quello di proprietà industriale (brevetti, know-how, marchi e modelli) e costituiscono risorse fondamentali per qualunque impresa.
Il tema del segreto industriale è spesso strettamente collegato con quello del segreto commerciale dal quale non sempre è nettamente distinguibile, sia perché simili sono i problemi che li coinvolgono, sia perché la disciplina ad essi applicabile è comune: infatti, possono essere presenti, nel know -how specifico dell’impresa, aspetti inventivi, tutelabili anche come brevetti. L’idea innovativa può riguardare le diverse fasi dell’attività dell’impresa, la produzione industriale (per esempio un nuovo tipo di procedimento di fabbricazione che

27 Provvedimenti del Garante per la protezione dei dati personali del 2 aprile 2008, doc. web n. 1519703; del 21 gennaio 2010, doc. web n. 1701577.


25
 


Autorità Nazionale Anticorruzione



consenta l’uso di un prodotto preesistente ma a costi molto inferiori), l’organizzazione aziendale, il modo di effettuare la commercializzazione di un bene o di un servizio e così via. E’ chiaro che l’imprenditore ha interesse non solo ad innovare ma anche a mantenere in suo possesso tale innovazione ossia ad evitare che imprese concorrenti possano copiare la sua invenzione. Egli può assicurarsene l’esclusiva attraverso lo speciale strumento del brevetto industriale o lasciare che la sua invenzione rimanga segreta, magari per un certo lasso di tempo (segreto aziendale).

Costituiscono oggetto di tutela (segreti commerciali) le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, quelle relative all'organizzazione, quelle finanziarie, ossia il know-how aziendale, soggette al legittimo controllo del detentore, ove tali informazioni siano segrete, nel senso che non siano, nel loro insieme o nella precisa configurazione e combinazione dei loro elementi, generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; abbiano valore economico in quanto segrete; siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete; riguardino dati relativi a ricerche, prove o altri dati segreti, la cui elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata l'autorizzazione dell'immissione in commercio di prodotti chimici, farmaceutici o agricoli implicanti l'uso di sostanze chimiche.
Con la recente Direttiva UE 2016/943 dell'8 giugno 2016, sono state emanate disposizioni sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti. La direttiva è volta a garantire il buon funzionamento del mercato interno, e a svolgere un effetto deterrente contro la divulgazione illecita di segreti commerciali, senza minare i diritti e le libertà fondamentali o l'interesse pubblico, in particolare la pubblica sicurezza, la tutela dei consumatori, la sanità pubblica, la tutela dell'ambiente e la mobilità dei lavoratori.


9.    Decorrenza della disciplina e aggiornamento delle Linee guida

Secondo quanto previsto nelle presenti Linee guida, a partire dal 23 dicembre 2016, data stabilita da legislatore, deve essere data immediata applicazione all’istituto dell’accesso generalizzato, con la valutazione caso per caso delle richieste presentate.

Da ciò discende l’opportunità che:
a)    le amministrazioni adottino nel più breve tempo possibile soluzioni organizzative come indicato al §
3.2.    al fine di coordinare la coerenza delle risposte sui diversi tipi di accesso;
b)    le amministrazioni adottino una disciplina interna sugli aspetti procedimentali per esercitare l’accesso con i contenuti di cui al § 3.1.

c)    sia istituito presso ogni amministrazione un registro delle richieste di accesso presentate (per tutte le tipologie di accesso).

Le presenti Linee guida costituiscono una prima individuazione delle esclusioni e dei limiti all’accesso generalizzato. Una volta emanate, l’Autorità, ha intenzione di predisporre un monitoraggio sulle decisioni delle amministrazioni sulle richieste di accesso generalizzato; a tal fine l’Autorità raccomanda la realizzazione di una raccolta organizzata delle richieste di accesso, “cd. registro degli accessi”, che le amministrazioni è auspicabile pubblichino sui propri siti. Il registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale. Oltre ad essere funzionale per il monitoraggio che l’Autorità intende svolgere sull’accesso generalizzato, la pubblicazione del cd. registro degli accessi può essere utile per le p.a. che in questo modo rendono noto su quali documenti, dati o informazioni è stato consentito l’accesso in una logica di semplificazione delle attività.

Entro un anno si provvederà ad un aggiornamento delle Linee guida, da adottarsi sempre d’intesa con il Garante per la protezione dei dati personali. L’aggiornamento della Linee guida consentirà di tenere conto delle prassi nel frattempo formatasi con le decisioni delle amministrazioni, ovvero con le decisioni su

26
 


Autorità Nazionale Anticorruzione



eventuali ricorsi amministrativi o giurisdizionali, e di selezionare le tecniche di bilanciamento e le scelte concretamente operate che risulteranno più coerenti rispetto alle indicazioni formulate nelle presenti Linee guida.

Tali Linee guida provvederanno ad una più precisa individuazione delle esclusioni disposte dalla legge e alla precisazione degli interessi, pubblici e privati, meritevoli di tutela in caso di accesso generalizzato, così come elencati ai commi 1 e 2 dell’art. 5 bis del d.lgs. n. 33. Qualora nel frattempo fosse adottato il regolamento governativo previsto dal comma 6 dell’art. 24 della legge n. 241 del 1990, finalizzato alla individuazione di esclusioni dall’accesso documentale, esso sarà opportunamente considerato in sede di redazione delle nuove Linee guida, ai fini di una migliore precisazione di tali interessi.



Raffaele Cantone







Depositato presso la Segreteria del Consiglio in data

Il Segretario




































27
 


Autorità Nazionale Anticorruzione











ALLEGATO. GUIDA OPERATIVA ALL’ ACCESSO GENERALIZZATO.






TITOLARITÀ, AMBITO DI APPLICAZIONE E OGGETTO

DEL DIRITTO DI ACCESSO GENERALIZZATO



(1)    Chi può presentare richiesta di accesso generalizzato ai sensi dell’art. 5, comma 2 del d. lgs. n. 33/2013?

L’accesso generalizzato può essere presentato da chiunque. Infatti, non occorre possedere, né dimostrare, una specifica legittimazione soggettiva, e chiunque può presentare richiesta, anche indipendentemente dall’essere cittadino italiano o residente nel territorio dello Stato.

(2) Qual è l’ambito soggettivo di applicazione del diritto di accesso generalizzato?

Il diritto di accesso generalizzato si applica:

1)    a tutte le amministrazioni pubbliche, come esemplificate all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 e successive modificazioni, ivi comprese le autorità portuali, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione
2)    agli enti pubblici economici e ordini professionali;

3)    alle società in controllo pubblico come definite dal decreto legislativo emanato in attuazione dell’art. 18 della legge 7 agosto 2015, n. 124 (d.lgs. 175/2016 c.d. Testo unico in materia di società a partecipazione pubblica);
4)    alle associazioni, fondazioni e enti di diritto privato comunque denominati, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, la cui attività sia finanziata in modo maggioritario per almeno due esercizi finanziari consecutivi nell’ultimo triennio da pubbliche amministrazioni e in cui la totalità dei titolari o dei componenti dell’organo d’amministrazione o di indirizzo sia designata da pubbliche amministrazioni;

Il diritto di accesso generalizzato si applica, limitatamente ai dati e ai documenti inerenti all'attività di pubblico interesse disciplinata dal diritto nazionale o dell'Unione europea, anche:

1)    alle società in sola partecipazione pubblica come definite dal decreto legislativo emanato in attuazione dell’art. 18 della legge 7 agosto 2015, n. 124 (d.lgs. 175/2016 c.d. Testo unico in materia di società a partecipazione pubblica);

2)    alle associazioni, alle fondazioni e agli enti di diritto privato, anche privi di personalità giuridica, con bilancio superiore a cinquecentomila euro, che esercitano funzioni amministrative, attività di produzione di beni e servizi a favore delle amministrazioni pubbliche o di gestione di servizi pubblici.

28
 


Autorità Nazionale Anticorruzione



Cfr. § 4.1. delle Linee guida

(3) È necessario motivare la richiesta di accesso generalizzato?

Per presentare la richiesta di accesso generalizzato non è necessario fornire una motivazione: tutti i soggetti cui si applica il diritto di accesso generalizzato sono tenuti a prendere in considerazione le richieste di accesso generalizzato, a prescindere dal fatto che queste rechino o meno una motivazione o una giustificazione a sostegno della richiesta.

(4) Che cosa si può richiedere con l’accesso generalizzato?

Con la richiesta di accesso generalizzato possono essere richiesti i documenti, dati e informazioni in possesso dell’amministrazione. Ciò significa:

•    che l’amministrazione non è tenuta a raccogliere informazioni che non sono in suo possesso per rispondere ad una richiesta di accesso generalizzato, ma deve limitarsi a rispondere sulla base dei documenti e delle informazioni che sono già in suo possesso

•    che l’amministrazione non è tenuta a rielaborare informazioni in suo possesso, per rispondere ad una richiesta di accesso generalizzato: deve consentire l’accesso ai documenti, ai dati ed alle informazioni così come sono già detenuti, organizzati, gestiti e fruiti.

•    che sono ammissibili, invece, le operazioni di elaborazione che consistono nell’oscuramento dei dati

personali presenti nel documento o nell’informazione richiesta, e più in generale nella loro anonimizzazione, qualora ciò sia funzionale a rendere possibile l’accesso

La richiesta di accesso generalizzato deve identificare i documenti e i dati richiesti. Ciò significa:

•    che la richiesta indica i documenti o i dati richiesti, ovvero

•    che la richiesta consente all’amministrazione di identificare agevolmente i documenti o i dati richiesti.

Devono  essere  ritenute  inammissibili  le  richieste  formulate  in  modo  così  vago  da  non  permettere

all’amministrazione di identificare i documenti o le informazioni richieste. In questi casi, l’amministrazione destinataria della domanda dovrebbe chiedere di precisare l’oggetto della richiesta.

Cfr. § 4.2. delle Line guida

(5) Richieste massive

L’amministrazione è tenuta a consentire l’accesso generalizzato anche quando riguarda un numero cospicuo di documenti ed informazioni, a meno che la richiesta risulti manifestamente irragionevole, tale cioè da comportare un carico di lavoro in grado di interferire con il buon funzionamento dell’amministrazione. Tali circostanze, adeguatamente motivate nel provvedimento di rifiuto, devono essere individuate secondo un criterio di stretta interpretazione, ed in presenza di oggettive condizioni suscettibili di pregiudicare in modo serio ed immediato il buon funzionamento dell’amministrazione.








29
 


Autorità Nazionale Anticorruzione



(2)

IL PROCEDIMENTO DI ACCESSO GENERALIZZATO

(6) A quale ufficio va presentata la richiesta di accesso generalizzato?

La richiesta di accesso generalizzato può essere presentata, alternativamente:

1)    all'ufficio che detiene i dati, le informazioni o i documenti;

2)    all'Ufficio relazioni con il pubblico;

3)    ad altro ufficio, che l'amministrazione abbia indicato nella sezione "Amministrazione trasparente" – “Altri contenuti –Accesso civico” del sito istituzionale.

(7)    Come si fa a presentare l’istanza di accesso generalizzato?

Ai sensi del comma 3 dell’art. 5 del d. lgs. n. 33/2013, l’istanza può essere trasmessa per via telematica secondo le modalità previste dal decreto legislativo 7 marzo 2005, n. 82 recante il «Codice dell’amministrazione digitale» (CAD).

Tra queste modalità, l’amministrazione o l’ente è opportuno privilegi quella meno onerosa per chi presenta l’istanza.

Ai sensi dell’art. 65, co. 1 lett. c) del CAD, le richieste presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici sono valide anche se sottoscritte e presentate unitamente alla copia del documento d’identità.

Resta fermo che l’istanza può essere presentata anche a mezzo posta, fax o direttamente presso gli uffici indicati dall’art. 5, comma 3, del d. lgs. n. 33/2013, e che laddove la richiesta di accesso generalizzato non sia sottoscritta dall’interessato in presenza del dipendente addetto, la stessa debba essere sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di identità del sottoscrittore, che va inserita nel fascicolo (cfr. art. 38, commi 1 e 3, del d.P.R. 28 dicembre 2000, n. 445).

(8) Bisogna pagare per poter effettuare l’accesso generalizzato?

Il rilascio di dati o documenti in formato elettronico, in risposta alla richiesta di accesso generalizzato, è gratuito. Quando l’amministrazione risponde alla richiesta di accesso generalizzato mediante il rilascio di documenti ed informazioni in formato cartaceo, può richiedere il rimborso dei soli costi effettivamente sostenuti e documentati per la riproduzione su supporti materiali.

È da preferire il rilascio dei documenti e dei dati in formato elettronico quando il rilascio dei documenti o dei dati in formato elettronico è indicato dal richiedente, nei limiti in cui tale modalità risulti comunque agevole per

l’amministrazione che detiene di dati.

(9)    L’amministrazione o l’ente destinatario dell’istanza è obbligato a darne comunicazione a eventuali soggetti controinteressati?

Laddove la richiesta di accesso generalizzato possa incidere su interessi connessi alla protezione dei dati personali, o alla libertà e segretezza della corrispondenza oppure agli interessi economici e commerciali (ivi compresi la proprietà intellettuale, il diritto d’autore e i segreti commerciali), l’ente destinatario della richiesta di accesso deve darne comunicazione ai soggetti titolari di tali interessi, mediante invio di copia con raccomandata con avviso di ricevimento (o per via telematica per coloro che abbiano consentito tale forma di comunicazione).

30
 


Autorità Nazionale Anticorruzione



Il soggetto controinteressato può presentare (anche per via telematica) una eventuale e motivata opposizione all’istanza di accesso generalizzato, entro dieci giorni dalla ricezione della comunicazione della richiesta di accesso generalizzato. Decorso tale termine, l’amministrazione provvede sulla richiesta di accesso generalizzato, accertata la ricezione della comunicazione da parte del controinteressato.

(10) Quanto tempo ha l’amministrazione per rispondere alle richieste di accesso generalizzato?

Il procedimento di accesso generalizzato deve concludersi con provvedimento espresso e motivato nel termine di trenta giorni dalla presentazione dell’istanza, con la comunicazione dell’esito al richiedente e agli eventuali controinteressati. Tali termini sono sospesi (fino ad un massimo di dieci giorni) nel caso di comunicazione della richiesta al controinteressato.

(11) I diritti procedimentali dei controinteressati

Quando la richiesta di accesso generalizzato riguarda documenti o dati la cui divulgazione può comportare un pregiudizio ad uno degli interessi individuati dall’art. 5-bis, comma 2, se l’amministrazione individua dei privati controinteressati comunica loro la richiesta. Entro dieci giorni, i controinteressati possono presentare una motivata opposizione alla richiesta di accesso.

(12) Accoglimento della richiesta di accesso generalizzato

In caso di accoglimento, l’amministrazione provvede a trasmettere tempestivamente al richiedente i dati o i documenti richiesti.

Nel caso in cui l’accesso sia consentito nonostante l’opposizione del controinteressato, i dati o i documenti richiesti possono essere trasmessi al richiedente non prima di quindici giorni dalla ricezione della stessa comunicazione da parte del controinteressato.


























31
 


Autorità Nazionale Anticorruzione





(13) La motivazione del provvedimento

Il provvedimento di rifiuto adottato in applicazione dei limiti di cui all’art. 5 bis, commi 1 e 2 contiene una adeguata motivazione che dà conto della sussistenza degli elementi che integrano l’esistenza del pregiudizio concreto. Va parimenti motivato adeguatamente il provvedimento di rifiuto adottato in applicazione delle esclusioni di cui all’art. 5-bis, co. 3.

Anche il provvedimento di accoglimento contiene una adeguata motivazione che dà conto della insussistenza di uno o più elementi che integrano l’esistenza del pregiudizio concreto, specie quando è adottato nonostante l'opposizione del controinteressato.

Cfr. § 5.3 delle Linee guida














































32
 


Autorità Nazionale Anticorruzione



(3)

LA TUTELA



(14) Come può tutelarsi il richiedente in caso di rifiuto o di mancata risposta da parte dell’amministrazione?

In caso di diniego totale o parziale dell’accesso o di mancata risposta entro il termine indicato dal comma 6 del d. lgs. n. 33/2013, il richiedente può presentare richiesta di riesame al responsabile della prevenzione della corruzione e della trasparenza, che decide con provvedimento motivato, entro il termine di venti giorni.

In alternativa, laddove si tratti di atti delle amministrazioni delle regioni o degli enti locali, il richiedente può presentare ricorso al difensore civico competente per ambito territoriale (qualora tale organo non sia stato istituito, la competenza è attribuita al difensore civico competente, per l’ambito territoriale immediatamente superiore, se presente). In tal caso, il ricorso deve comunque essere notificato anche all’amministrazione interessata. È previsto che il difensore civico si pronunci entro trenta giorni dalla presentazione del ricorso e che se il difensore civico ritiene illegittimo il diniego o il differimento, ne debba informare il richiedente e comunicarlo all’amministrazione competente. Se questa non conferma il diniego o il differimento entro trenta giorni dal ricevimento della comunicazione del difensore civico, l’accesso è consentito.

In ogni caso, a fronte del rifiuto espresso, del differimento o dell’inerzia dell’amministrazione, il richiedente può attivare la tutela giurisdizionale davanti al giudice amministrativo, ai sensi dell'articolo 116 del Codice del processo amministrativo.

(15)    L’ente destinatario della richiesta di accesso generalizzato può chiedere un parere al Garante per la protezione dei dati personali?

È    previsto che il Garante per la protezione dei dati personali sia sentito solo dal responsabile della prevenzione della corruzione nel caso di richiesta di riesame e dal difensore civico nel caso di ricorso laddove l’accesso generalizzato sia stato negato o differito per motivi attinenti la tutela della «protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a, d. lgs. n. 33/2013). In tali ipotesi, il Garante si pronuncia entro il termine di dieci giorni dalla richiesta, durante i quali il termine per l’adozione del provvedimento da parte del responsabile della prevenzione della corruzione o per la pronuncia del difensore civico sono sospesi.


(16)    Quali sono i rimedi previsti per i controinteressati nel caso di accoglimento dell’istanza da parte dell’amministrazione o dell’ente, nonostante l’opposizione presentata?

Ai sensi del co. 9 dell’art. 5 del d.lgs. 33/2013, nei casi di accoglimento della richiesta, il controinteressato può presentare richiesta di riesame al Responsabile per la prevenzione della corruzione e della trasparenza (RPCT) e, per i soli atti di Regioni ed enti locali, ricorso al difensore civico. Avverso la decisione dell’ente o dell’amministrazione ovvero a quella del RPCT dell’amministrazione o dell’ente o a quella del difensore civico, il controinteressato può proporre ricorso al TAR ai sensi dell’art. 116 del d.lgs. 104/2010 sul codice del processo amministrativo.


33
 


Autorità Nazionale Anticorruzione



(17)  Entro quali termini si pronuncia il RPCT sulla richiesta di riesame?

Il RPCT decide con provvedimento motivato, entro il termine di venti giorni dall’istanza di riesame. Il termine è sospeso qualora il RPCT senta il Garante per la protezione dei dati personali se l’accesso è stato negato o differito a tutela degli interessi di cui all’art. 5 bis co. 2 lett. a) (relativi alla protezione dei dati personali). Il Garante si pronuncia entro 10 giorni dalla richiesta.

Gli stessi termini valgono nel caso la richiesta di riesame sia avanzata dal controinteressato in caso di accoglimento dell’istanza nonostante la sua opposizione.



(18) Quale è il procedimento da seguire davanti al difensore civico?

Laddove si tratti di atti delle amministrazioni delle regioni o degli enti locali, il richiedente o il controinteressato può presentare ricorso al difensore civico competente per ambito territoriale (qualora tale organo non sia stato istituito, la competenza è attribuita al difensore civico competente per l’ambito territoriale immediatamente superiore). In tal caso, il ricorso deve comunque essere notificato anche all’amministrazione interessata. La norma (art. 5 co 8) prevede che il difensore civico si pronunci entro trenta giorni dalla presentazione del ricorso.

Il termine è sospeso qualora il difensore civico senta il Garante per la protezione dei dati personali se l’accesso è stato negato o differito a tutela degli interessi di cui all’art. 5 bis co. 2 lett. a) (relativi alla protezione dei dati personali). Il Garante si pronuncia entro 10 giorni dalla richiesta.

Se il difensore civico ritiene illegittimo il diniego o il differimento, deve informarne il richiedente e darne comunicazione all’amministrazione competente. Se questa non conferma il diniego o il differimento entro trenta giorni dal ricevimento della comunicazione del difensore civico, l’accesso è consentito.


(19) È possibile in ogni caso ricorrere al giudice?

La normativa prevede che si può impugnare la decisione dell’amministrazione competente o, in caso di richiesta

di riesame, la decisione del responsabile della prevenzione della corruzione e della trasparenza, di fronte al

Tribunale amministrativo regionale ai sensi dell’articolo 116 del Codice del processo amministrativo di cui al

decreto legislativo 2 luglio 2010, n. 104.

03/03/2016 n° 92
Area: Prassi, Circolari, Note

Parere su uno schema di decreto legislativo concernente la revisione e semplificazione delle disposizioni di prevenzione della corruzione, pubblicità e trasparenza - 3 marzo 2016

Registro dei provvedimenti
n. 92 del 3 marzo 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore  il dott. Antonello Soro;

PREMESSO

La Presidenza del Consiglio dei Ministri ha richiesto il parere del Garante in ordine a uno schema di decreto legislativo concernente la revisione e semplificazione delle disposizioni di prevenzione della corruzione, pubblicità e trasparenza.

Il provvedimento si pone come correttivo del decreto legislativo 14 marzo 2013, n.33, ai sensi dell'articolo 7 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche.

Lo schema di decreto legislativo si articola in tre Capi, per un totale di 44 articoli, di cui il I – che comprende gli articoli da 1 a 40- dedicato alle modifiche al decreto legislativo n. 33 del 2013 in materia di trasparenza, il II consistente nel solo l'articolo 41, che apporta modifiche alla legge n. 109 del 2012 in materia di anticorruzione ed il III recante disposizioni finali e transitorie, che include abrogazioni e clausola di invarianza finanziaria.

L'esame del Garante verterà principalmente (ma non solo) sulle disposizioni contenute al Capo I e in particolare su quelle applicabili a "dati personali", al fine di valutarne la compatibilità con la disciplina, anche comunitaria, in materia di protezione dei dati personali, tenuto conto delle osservazioni già formulate nel parere relativo allo schema di decreto legislativo 14 marzo 2013, n.33 (Provv. del 7 febbraio 2013 n. 49, in www.garanteprivacy.it, doc. web n. 2243168).

RILEVATO

Il tema dell'applicazione delle disposizioni sulla c.d. "trasparenza" è particolarmente delicato e necessita di un approccio equilibrato per evitare che i diritti fondamentali alla riservatezza e alla protezione dei dati personali, nonché la dignità dell'individuo (art. 2 del d. lgs. 30/6/2003, n. 196 intitolato "Codice in materia di protezione dei dati personali", attuativo della direttiva comunitaria 95/46/CE, di seguito «Codice») possano essere gravemente pregiudicati da una indiscriminata diffusione di documenti riportanti dati personali.

Occorre, infatti, tenere in adeguata considerazione le conseguenze e i rischi per la vita privata e per la dignità della persone interessate derivanti dal crescente e generalizzato obbligo di pubblicazione delle informazioni del settore pubblico, previsto anche dal suddetto intervento normativo mediante la diffusione di dati personali sul web che è, per definizione, la forma più ampia e più invasiva di diffusione di dati.

I rischi connessi al trattamento dei dati personali sulla rete emergono ancora di più ove si consideri la delicatezza di talune informazioni e la loro facile reperibilità una volta pubblicate, grazie anche ai motori di ricerca.

Si consideri anche il rischio di "cristallizzazione" delle informazioni sul web, a fronte di oggettive difficoltà pratiche (oltre che giuridiche, a volte) nell'ottenere la loro cancellazione una volta decorso il termine di pubblicazione e, soprattutto, laddove un termine non sia fissato o comunque i dati non siano cancellati dopo il raggiungimento dello scopo perseguito, in violazione del cd. "diritto all'oblio.

L'Autorità -come si ricordava supra- ha già espresso un parere condizionato sulla bozza di decreto legislativo n. 33/2013, a fronte del quale occorre far presente che mentre alcune indicazioni sono state recepite dal Governo in maniera integrale, altre non sono state accolte o lo sono state solo parzialmente e  restano quindi  pienamente valide e riproducibili in relazione allo schema di decreto in esame.

Dal momento che lo schema di decreto non ha pienamente attuato il criterio di delega volto alla rimodulazione degli obblighi di pubblicazione,  appare necessario modificare le disposizioni del d. lgs. n. 33/2013 la cui formulazione ingenera dubbi interpretativi , rischiando oltretutto di violare l'art. 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, gli artt. 7 e 8 della Carta dei diritti fondamentali dell'Unione europea, nonché la disciplina europea e nazionale in materia di protezione dei dati personali (dir. 95/46/CE; d. lgs. 30 giugno 2003, n. 196).

L'intervento appare necessario anche considerando, in prospettiva, gli effetti negativi che potrebbero prodursi a causa dell'aumento del contenzioso di fronte ai giudici, dei possibili futuri contrasti giurisprudenziali, della proposizione di eventuali ricorsi alla Corte costituzionale e alla Corte di giustizia UE.

Appare al riguardo opportuno sottolineare che l'eventuale violazione di disposizioni contenute in fonti dell'Unione europea direttamente applicabili genera, infatti, in capo a qualsiasi operatore del diritto l'obbligo di disapplicazione delle norme interne con esse in contrasto(1)e che il mancato rispetto di tale obbligo è fonte di responsabilità civile (2).

Di quanto rappresentato si terrà conto nella disamina dell'articolato, in relazione al quale il Garante svolge le osservazioni di seguito riportate, evidenziando le criticità rilevate e contestualmente suggerendo per ciascuna di esse le possibili soluzioni.

RITENUTO

1. Razionalizzazione degli obblighi di pubblicazione

La delega di cui all'art. 7 l. 124/2015 prevedeva, tra i principi e criteri direttivi, la razionalizzazione degli obblighi di pubblicazione, "ai fini di eliminare le duplicazioni e di consentire che tali obblighi siano assolti attraverso la pubblicità totale o parziale di banche dati detenute da pubbliche amministrazioni"; la "ridefinizione e precisazione dell'ambito soggettivo di applicazione degli obblighi e delle misure in materia di trasparenza" e la "riduzione e concentrazione degli oneri gravanti in capo alle amministrazioni pubbliche".

Tali criteri di delega – idonei a valorizzare l'efficacia degli obblighi di pubblicazione - non sembrano essere stati sufficientemente sviluppati dallo schema di decreto, tenuto altresì conto che l'intervento novellatore, per quello che qui interessa, non sembra aver contemperato adeguatamente le esigenze di trasparenza con il principio (di matrice europea) di proporzionalità dei dati personali rispetto gli scopi perseguiti. Esso si limita infatti, essenzialmente: a) a ridefinire (ma in maniera complessivamente estensiva) l'ambito di applicazione soggettivo degli obblighi di pubblicità, includendovi ad esempio gli enti pubblici economici, le autorità portuali, gli ordini professionali, le società in controllo pubblico, associazioni, fondazioni, enti di diritto privato anche privi di personalità giuridica; b) introdurre una clausola di "flessibilità" che demanda ad Anac la precisazione, in sede di piano nazionale anticorruzione, degli obblighi di pubblicazione e delle relative modalità di attuazione in relazione alla natura dei soggetti, alla loro dimensione organizzativa e alle attività svolte; 3) demandare ad Anac la previsione, con propria delibera su parere del Garante, dei casi nei quali la pubblicazione in forma integrale possa essere sostituita da quella in forma riassuntiva, elaborata per aggregazione.

Tali modifiche non concorrono ancora, di per sé sole, a sviluppare adeguatamente le potenzialità proprie dei suddetti criteri di delega, che se attuati in ogni loro parte consentirebbero invece di razionalizzare e più efficacemente rimodulare gli obblighi di pubblicazione in funzione del grado di esposizione del singolo organo al rischio corruttivo, della funzionalità del dato da pubblicare rispetto alla effettiva conoscibilità, da parte dei cittadini, delle modalità e delle caratteristiche dell'agire amministrativo, nonché del bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati personali degli interessati.

Diritto che viene, peraltro, significativamente compresso anche in ragione del nuovo istituto dell'accesso civico introdotto al comma 2 dell'articolo 5, che estende, in misura rilevante e con pochissimi limiti, i casi di ostensione di dati personali a terzi. Tale innovazione rende, pertanto, ancor più necessario un complessivo ripensamento, in funzione riequilibratrice, della disciplina generale degli obblighi di pubblicazione, tale da renderla maggiormente compatibile con il doveroso rispetto del diritto alla protezione dei dati personali  dei cittadini.

La disciplina legislativa, così modificata, dovrà poi trovare più compiuta attuazione con un apposito regolamento, emanato su proposta del Ministro delegato per la semplificazione e la pubblica amministrazione  volto a individuare, con un maggior grado di dettaglio e con una fonte suscettibile di più agevoli novelle, le tipologie di informazioni soggette al regime di trasparenza, nonché le modalità e le caratteristiche dell'eventuale pubblicazione.

Si voglia, pertanto, modificare in tal senso lo schema di decreto in esame, tanto sotto il profilo delle previsioni generali degli obblighi di pubblicazione, quanto relativamente alle singole disposizioni di settore.

In ogni caso, la complessità dei nuovi e ulteriori adempimenti sanciti in capo alle amministrazioni suggerisce l'opportunità di prevedere un congruo termine di adeguamento agli obblighi imposti, al fine di evitare che l'applicazione, non sufficientemente preparata, delle nuove misure possa arrecare pregiudizio ai dati personali dei numerosi interessati coinvolti.

2. La trasparenza e la pubblicazione di dati personali.

2.1 Definizione di "trasparenza"

La trasparenza, affinché sia effettiva «garanzia delle libertà individuali e collettive, nonché dei diritti civili, politici e sociali», integrando «il diritto ad una buona amministrazione e concorrendo alla realizzazione di una amministrazione aperta, al servizio del cittadino» (art. 1, comma 2, del d. lgs. n. 33/2013), non può essere realizzata violando la dignità e i diritti fondamentali della persona, come il diritto alla riservatezza e il diritto alla protezione dei dati personali, costituzionalmente garantiti e previsti anche dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (artt. 7 e 8) nonché della Carta dei diritti fondamentali dell'Unione europea.

Il necessario contemperamento tra l'esigenza di trasparenza e i diritti sopra menzionati che lo Stato ha l'obbligo di promuovere e proteggere deve, quindi, orientare il legislatore e le amministrazioni nel processo di selezione dei dati personali che devono essere resi pubblicamente accessibili (nonché disponibili per il riuso), e nella definizione delle misure e degli accorgimenti che devono essere adottati per salvaguardare i predetti diritti.

Il ruolo del Garante nella fase di predisposizione e di controllo dell'applicazione delle disposizioni ed atti emanati sulla base del predetto decreto dovrebbe pertanto essere adeguatamente riconosciuto nell'articolato.

In particolare laddove concernenti dati personali, tali disposizioni /atti dovrebbero essere adottati "d'intesa" con il Garante e non solo "sentito" il Garante (v. art. 4 dello schema che modifica l'art.3, comma 1 bis ).

Pertanto, all'articolo 4 dello schema di decreto, capoverso 1-bis, si vogliano sostituire le parole da: "sentito" a: "adottata", con le seguenti: ", con delibera adottata d'intesa con il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali"

2.1.1. Va innanzi tutto osservato che la definizione di trasparenza contenuta nello schema di decreto è equivoca visto che non tutti gli atti della P.A. sono effettivamente pubblici e accessibili, anche dopo la riforma introdotta (come indirettamente desumibile dall'art. 1, comma 2, prima parte). Per prevenire problemi interpretativi si propone di far riferimento alle ipotesi regolate dalla disciplina in oggetto.

Inoltre, in coerenza con quanto osservato e considerando le limitazioni effettivamente previste dalle disposizioni del decreto (cfr., fra l'altro, la modifica proposta all'art. 5-bis del d.lgs. n. 33 del 2013), si propone di eliminare dal testo l'aggettivo «totale» riferito alla definizione di «accessibilità». Il permanere di tale definizione, infatti, oltre a essere incoerente con il sistema delineato dal legislatore delegato, potrebbe indurre i funzionari pubblici, che saranno chiamati a prendere decisioni in merito all'accoglimento (o meno) delle istanze di «accesso civico», a ritenere –erroneamente- che il legislatore esprima una incondizionata preferenza per l'accesso rispetto ai casi di esclusione indicati negli articoli successivi (sul punto si tornerà più diffusamente al punto 3 in relazione al nuovo accesso civico).

La definizione contenuta nell'art. 1, comma 1, del d.lgs n. 33 del 2013 andrebbe modificata nel modo seguente:

«La trasparenza è intesa come accessibilità dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti  fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, nei limiti del presente decreto».

2.2. La "pubblicazione ai sensi della normativa vigente"

L'art. 3 del nuovo testo dispone che «tutti i documenti, le informazioni e i dati oggetto di accesso civico e di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell'articolo 7».

In proposito, si evidenzia che – come ampiamente noto – la «normativa vigente» prevede già molteplici obblighi di pubblicazione obbligatoria di dati a carico delle pubbliche amministrazioni. Tali obblighi sono contenuti in diverse normative di settore di livello nazionale, regionale o locale che disciplinano analiticamente modalità e tempi di pubblicazione diversi a seconda della fattispecie considerata.

Solo per rappresentare l'eterogeneità del fenomeno, si pensi ai seguenti esempi di pubblicazioni obbligatorie ai sensi della normativa vigente: pubblicazioni ufficiali dello Stato (in cui rientra per esempio la pubblicazione delle ordinanze del giudice dell'udienza preliminare di rimessione degli atti alla Corte Costituzionale con indicazione del nominativo dell'imputato e dei relativi capi di imputazione), pubblicazioni matrimoniali (8 gg.), atti di cambiamento del nome (gg. 30), comunicazione di avviso deposito di atti giudiziari e cartelle esattoriali a persone irreperibili (1 gg.); elenco dei giudici popolari, graduatorie dei concorsi pubblici, pubblicazione di deliberazioni, ordinanze e "determine" contenenti dati personali sull'albo pretorio deli enti locali (15 gg.) etc.

Occorre preliminarmente segnalare l'irragionevolezza dell'estensione automatica degli obblighi previsti dal d. lgs. n. 33/2013 (quali il mantenimento sul web per cinque anni, l'obbligo di indicizzazione, il riutilizzo, la vigilanza dell'Anac e la responsabilità disciplinare in caso di inadempimento prevista dall'art. 45, comma 4, dello stesso decreto) a tutti i dati, documenti e informazioni rese pubbliche sulla base degli obblighi giuridici più eterogenei (di cui quelli elencati costituiscono solo degli esempi).

Tale criticità, già presente nel testo normativo vigente, diventa tuttavia ulteriormente rilevante per effetto delle revisioni introdotte con il decreto legislativo in corso di approvazione, in particolare con riferimento alle modifiche apportate all'istituto dell'accesso civico, con l'estensione dell'accessibilità «ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto», con ciò quindi ricomprendendo anche un volume enorme di dati che non sono, di per sé, oggetto di pubblicazione.

Il sistema di trasparenza del d. lgs. n. 33/2013 che si vuole creare e l'introduzione del nuovo «accesso civico», se non viene chiarito che gli obblighi di pubblicazione ai sensi della normativa vigente sono solo quelli specificamente previsti dal decreto stesso, potrebbero determinare conseguenze addirittura paradossali. Si pensi al caso in cui un Comune, dopo aver rimosso le pubblicazioni matrimoniali dei nubendi dal sito web istituzionale dopo il periodo di 8 gg. previsto dall'art. 55 del d.P.R. n. 396 del 3/11/2000, riceva una richiesta di accesso civico all'atto. Ai sensi del nuovo art. 5, poiché la pubblicazione matrimoniale costituisce un obbligo di pubblicazione previsto dalla disciplina vigente, il Comune anziché limitarsi a dare accesso al documento al richiedente, sarebbe anche obbligato a ripubblicare sul sito web istituzionale la vecchia pubblicazione matrimoniale.

Proprio per evitare applicazioni distorte della norma, il Garante è intervenuto sul problema già con le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» del 15 maggio 2014 (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436) (di seguito «Linee guida»), formulando proprie indicazioni circa la necessità di interpretare la locuzione «pubblicazione obbligatoria ai sensi della normativa vigente» alla luce di un criterio logico-sistematico, distinguendo il regime giuridico delle pubblicazioni obbligatorie ai sensi della normativa vigente in materia di «trasparenza» contenute nel d. lgs. n. 33/2013, dal regime giuridico previsto per altri tipi di pubblicità online (es.: pubblicazioni matrimoniali, pubblicazioni in G.U., pubblicazioni sull'albo pretorio degli enti locali o di altri enti etc.).

Appare però necessario, considerato quanto già rilevato circa il non compiuto utilizzo dello spazio offerto dallo stesso criterio di delega per consentire la rimodulazione degli obblighi di pubblicazione,  e cogliendo l' occasione della revisione normativa in corso, quanto meno apportare le modifiche necessarie a superare i dubbi interpretativi sopra segnalati.

Tali modifiche di seguito espressamente riportate, dovrebbero riguardare non solo l'art. 3, ma anche le altre norme a esso collegate ( Art. 5, comma 1; 8, comma 1-3; 9, comma 1; 43, comma 1; 45, comma 1 e 3; 46, comma 1; 48, comma 2 e 5 del d.lgs. n. 33 del 2013).

La modifiche proposte sono le seguenti:

a) sostituire nel testo del decreto legislativo la locuzione relativa ai dati oggetto di pubblicazione obbligatoria «ai sensi della normativa vigente», con altra locuzione che limiti più chiaramente l'applicazione della disciplina prevista dal decreto legislativo n. 33/2013 ai soli dati oggetto di pubblicazione obbligatoria ai sensi della normativa in materia di trasparenza e, segnatamente, del medesimo d. lgs. n. 33/2013;

b) sostituire le parole: "normativa vigente" con le seguenti: «presente decreto» negli artt. 3, comma 1 del d.lgs. 33, invariato in parte qua (sulla definizione di dato pubblico); 5, comma 1 (sull'accesso civico); 7, comma 1 (sul riutilizzo); 8, commi 1-3 (sulla durata obblighi pubblicazione); 9, comma 1 (sulla sezione "Amministrazione trasparente"); 43, comma 1 (sul responsabile della trasparenza); 45, commi 1 e 3; 46, comma 1 (sui poteri dell'ANAC); 48, commi 1, 2 e 5 (sull'attuazione degli obblighi di pubblicità e trasparenza). Sostituire altresì le parole: "disciplina vigente»" con le seguenti: "presente decreto", all'art. 3, commi 1 e 1-bis (sulla definizione di dato pubblico).

3. La conoscibilità dei dati. Pubblicità dei "soldi pubblici"

La bozza del nuovo decreto legislativo 33/2013 prevede all'art. 5 l'introduzione di un nuovo art. 4-bis, intitolato «Trasparenza nell'utilizzo delle risorse pubbliche», che prevede:

«1. L'Agenzia per l'Italia digitale, al fine di promuovere l'accesso e migliorare la comprensione dei dati relativi all'utilizzo delle risorse pubbliche, gestisce un sito internet denominato "Soldi pubblici" che consente l'accesso ai dati dei pagamenti delle pubbliche amministrazioni e ne permette la consultazione in relazione alla tipologia di spesa sostenuta e alle amministrazioni che l'hanno effettuata, nonché all'ambito temporale di riferimento.

2. Ciascuna amministrazione pubblica sul proprio sito istituzionale, in una parte chiaramente identificabile della sezione "Amministrazione trasparente", i dati sui propri pagamenti e ne permette la consultazione in relazione alla tipologia di spesa sostenuta, all'ambito temporale di riferimento e ai beneficiari.

3. Per le spese in materia di personale si applica quanto previsto dagli articoli da 15 a 20».

Occorre, precisare meglio e distinguere l'onere di pubblicità a carico dell'AGID e quello ricadente sulle singole amministrazioni. In tal senso, appare opportuno prevedere espressamente che sono pubblici i "dati aggregati" e che i dati pubblicati dalla singola amministrazione fanno riferimento alle "categorie di beneficiari" a cui si riferiscono e non «ai beneficiari» la cui diffusione soggiace, invece, trattandosi di dati personali, ai limiti previsti espressamente dal successivo art. 26 del d. lgs. 33/2013.

All'articolo 5, comma 1, lettera b), capoverso "Art. 4-bis", vanno apportate le seguenti modificazioni:

a) al comma 1, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata";

b) al comma 2, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata" e sostituire le parole: "e ai beneficiari" con le seguenti: "e alle categorie di beneficiari".

4. Pubblicità dei dati ed accesso civico.

4.1. Nuovo accesso civico

L'art. 6 dello schema di decreto, che sostituisce integralmente l'art. 5 del d.lgs. n. 33 del 2013, modifica profondamente l'istituto dell'accesso civico. Si prevede infatti che, allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, chiunque «ha diritto di accedere ai dati e documenti detenuti dalle pubbliche amministrazioni», senza alcuna limitazione quanto alla legittimazione soggettiva del richiedente e senza motivazione, salvo le eccezioni previste dall'art. 5-bis (che prevedono ipotesi in cui l'accesso civico debba essere rifiutato perché reca pregiudizi a interessi pubblici e privati).

È previsto, inoltre, l'obbligo per l'amministrazione cui è indirizzata la richiesta di accesso di dare comunicazione della predetta richiesta a eventuali soggetti controinteressati, che, entro dieci giorni, possono presentare una motivata opposizione (art. 5, comma 4). Nel caso di accoglimento della richiesta, l'amministrazione competente «provvede tempestivamente, e comunque non oltre trenta giorni dalla presentazione dell'istanza, a trasmettere al richiedente i dati o i documenti richiesti […]» (art. 5, comma 5).

L'intento dell'accesso civico –che la relazione illustrativa dichiara non solo essere ispirato ma anche "equivalente a quella che nei sistemi anglosassoni è definita Freedom of information act (FOIA)"- sarebbe quello di consentire ai cittadini di verificare la correttezza dell'azione amministrativa dotandoli di uno strumento ulteriore rispetto a quelli tradizionalmente forniti dall'ordinamento ai portatori di interessi "qualificati":  tuttavia, a differenza del testo vigente, il nuovo accesso civico riguarda non solo i dati oggetto di un obbligo di pubblicazione previsto dalla disciplina vigente, ma ogni dato e documento ulteriore comunque detenuto da qualunque soggetto cui la legislazione si applica.

Con specifico riferimento ai dati personali, è previsto che la richiesta di accesso civico possa essere negata se il diniego è necessario per evitare un pregiudizio alla tutela della «protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a).

E' in primo luogo lecito domandarsi, come i soggetti pubblici, che detengono grandi banche di dati, anche sensibili, dei cittadini decideranno se accogliere o meno le istanze di accesso al documento contenente dati personali, in assenza di un parametro per effettuare il bilanciamento fra la protezione dei dati personali e l'interesse del richiedente, dal momento che l'istanza non è  motivata ed è dunque carente dell'indicazione della finalità perseguita, che costituisce elemento determinante ai fini della valutazione della legittimità del trattamento.

Interpretazioni difformi potrebbero infatti determinare, oltretutto, un diverso grado di tutela del diritto alla protezione dei dati personali dei controinteressati, con conseguenze anche paradossali.

Si pensi a una richiesta di accesso civico avente a oggetto la lista dei nominativi dei minori iscritti a una scuola, corredata da tutte le ulteriori informazioni nella disponibilità dell'amministrazione (dall'indirizzo di residenza alla composizione o allo stato reddituale della famiglia, a eventuali disabilità).

O si consideri, ancora, a quali conseguenze potrebbero essere esposti i contribuenti ove l'istanza di accesso civico venisse avanzata nei confronti dell'anagrafe tributaria, ove confluiscono, tra gli altri, tutti i dati detenuti da ogni istituto di credito con riferimento a saldi, movimenti e giacenza media di tutti i conti correnti.

Per non citare l'impatto, in termini estremamente negativi, suscettibile di derivare dall'ostensione, a chiunque ne faccia richiesta, di informazioni sulla salute o la vita sessuale dei singoli, detenuti da strutture ospedaliere e di cura.

Al riguardo si osserva quanto segue:

1) L'eccezione contenuta nell'art. 5-bis fa salva la disciplina in materia di protezione dei dati personali in base alla quale la comunicazione di dati personali da parte di soggetti pubblici ad altri soggetti privati o a enti pubblici economici è ammessa solo se prevista da una norma di legge o di regolamento (art. 19, comma 2, del Codice). Nella medesima disciplina è previsto un regime speciale per l'accesso ai documenti amministrativi (artt. 59 e 60) che rimanda esplicitamente alla normativa contenuta nella legge n. 241 del 7/8/1990 e ai regolamenti di attuazione, stabilendo – e tale disciplina resta ferma – che è possibile accordare l'accesso anche a documenti contenenti dati personali, con precise precauzioni per i dati sensibili e giudiziari, nonché per quelli idonei a rivelare lo stato di salute o la vita sessuale (principio del pari rango).

Una deroga o una modifica di tale disciplina, attraverso il decreto legislativo che modifica il d. lgs. 33/2013, deve pertanto ritenersi esclusa. Secondo, infatti, l'art. 7 della legge delega (l. n. 124/2015), il governo può procedere solo alla modifica del d. lgs. n. 33/2013 e all'istituzione del diritto di accesso civico, nei limiti dei divieti di divulgazione previsti dall'ordinamento e della tutela degli interessi pubblici e privati (la delega, quindi, non comprende una deroga al Codice, né ovviamente la sua indiretta abrogazione).

Sarebbe del tutto illogico se i limiti al diritto di accesso ai documenti amministrativi contenuti nella l. n. 241/1990 (che valgono nei confronti di un interessato che dimostri un interesse qualificato all'accesso), venissero meno quando l'istanza è presentata secondo la procedura dell'«accesso civico».

Per tali motivi, appare coerente con il sistema che i limiti imposti dal rispetto della protezione dei dati personali per l'accesso agli atti amministrativi ai sensi della l. n. 241/1990, siano pienamente efficaci anche per coloro che inoltrano richieste di accesso civico ai sensi del d. lgs. n. 33/2013.

Il nuovo accesso civico, inoltre, disciplina le richieste di accesso non solo a documenti, ma anche a dati. Al riguardo, occorre tenere presente che, ove i dati a cui si chiede l'accesso siano dati personali del richiedente (interessato), tale accesso resta disciplinato nel Codice (artt. 7 e 8) secondo il procedimento e i tempi ivi stabiliti e con i rimedi, in caso di omesso o ritardato riscontro da parte del titolare del trattamento, espressamente previsti dal Codice (artt. 145 ss.), che non possono essere derogati in questa sede (con competenza del giudice ordinario anziché di quello amministrativo).

2) La Direttiva comunitaria 95/46/CE «relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati» prevede la necessità del rispetto del principio di finalità in base al quale «Gli Stati membri dispongono che i dati personali devono essere: […] b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità» (art. 6).

Tale articolo è stato recepito nel Codice che prevede come «I dati personali oggetto di trattamento sono: […] b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi» (art. 11). Ciò vuol dire che una P.A. può effettuare un trattamento di dati personali ulteriore – come la comunicazione di dati personali a terzi a seguito di una richiesta di «accesso civico» – solo se la finalità dell'ulteriore trattamento è compatibile con gli scopi originari del trattamento stesso. Per valutare la predetta compatibilità si può fare riferimento anche ai criteri indicati dal Gruppo Art. 29 nel Parere n. 3/2013 sul principio di limitazione della finalità.

È bene ricordare, altresì, che il testo finale di compromesso adottato dal Consiglio Ue in data 18 dicembre 2015 a seguito dell'accordo politico con il Parlamento europeo sul «Regolamento (Ue) 2016/… del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati), e che abroga la direttiva 95/46/CE» (non ancora pubblicato in GUUE) , prevede all'art. 6, comma 3-bis, identici criteri per la valutazione della compatibilità di trattamenti ulteriori, come la ragionevole aspettativa dell'interessato, il contesto del trattamento, le connessioni esistenti fra le singole finalità .

Appare evidente che il sistema copre, attraverso obblighi di pubblicazione e/o «accesso civico», la totalità dei dati trattati dalla P.A. con un'ampiezza che, se non accompagnata dalla individuazione delle categorie di atti da ritenersi ricompresi nella definizione e dalla contestuale individuazione di limiti precisi a detto accesso, determinerà conseguenze patologicamente rilevanti e tra le più varie.

L'assenza di una motivazione da parte del richiedente, nel privare l'amministrazione destinataria delle istanze di ostensione dei necessari elementi di ponderazione in ordine al fine così perseguito, può determinare, alternativamente, una eccessiva rigidità interpretativa, per cui l'amministrazione medesima tenderà a rigettare le richieste depauperando di ogni utilità lo strumento dell'accesso civico, oppure, al contrario, una dilatazione ingiustificata della nozione di trasparenza, per cui verranno trasmessi al richiedente dati e documenti senza alcun ragionevole criterio selettivo.

Ciò che appare fuor di dubbio è che la mancata previsione, per le richieste di accesso civico, dell'obbligo di motivazione - che, pur non arrivando ad assumere i contorni ben definiti di una "situazione giuridicamente rilevante", fornisca elementi di valutazione idonei a legittimare l'istanza – rischia di comportare un'applicazione della disposizione diseguale da ufficio a ufficio.

Infatti, la decisione in ordine all'ostensibilità dell'atto o del documento, essendo affidata unicamente alla valutazione del funzionario pubblico senza aver fornito a quest'ultimo alcun parametro di valutazione, rischia altresì di essere talmente discrezionale da sfociare nell'arbitrarietà, conseguenza del tutto paradossale ove si consideri che il legislatore delegato ha voluto rafforzare l'istituto "al fine di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche".

La disciplina in esame andrebbe pertanto significativamente rimodulata, prevedendo che laddove l'accoglimento dell'istanza di accesso possa determinare la comunicazione al richiedente di dati personali di terzi, l'ostensione del documento può essere effettuata soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso ovvero, previo oscuramento dei dati personali presenti.

L'accertamento in questione terrà ovviamente conto di quanto manifestato dal controinteressato, al quale deve essere sempre data comunicazione della richiesta di accesso.

Tale previsione va poi completata con un generale divieto di comunicazione di dati sensibili o giudiziari nonché di dati personali di minorenni, in osservanza della tutela rafforzata accordata dall'ordinamento interno e dal diritto dell'Unione europea a tali categorie di dati personali.

L'opportunità delle suddette modifiche è, del resto, avvalorata da un'analisi di diritto comparato, con particolare riguardo alla disciplina del Freedom of Information Act di cui alla Section 552 dell'U.S. Code. Essa, infatti, sancisce il diniego dell'ostensione non solo di "documenti medici" ma anche di altre tipologie di documenti, qualora possa derivarne un'ingiustificata ingerenza nella sfera di riservatezza individuale.

Tale disciplina prevede anche la possibilità di oscurare i dati personali eventualmente presenti in atti, a carattere prevalentemente generale, ai quali il cittadino richieda di accedere.

Le suddette modifiche legislative dovrebbero comunque essere completate con un regolamento attuativo volto a individuare nel dettaglio le categorie di dati e di documenti suscettibili di accesso ai sensi dell'art. 5, comma 2, nonché i casi di rigetto dell'istanza a fini di tutela degli interessi di cui all'art. 5-bis. In assenza di una normativa regolamentare di attuazione che declini con maggiore dettaglio oggetto e limiti dell'accesso, nella nuova forma prevista, vi è, infatti, il concreto rischio di interpretazioni irragionevolmente diverse tra le varie amministrazioni e, al loro interno, tra i vari uffici, con un'ingiustificata disparità di trattamento, per i cittadini, che ne deriverebbe.

Pertanto, all'articolo 6, comma 2, capoverso "Art. 5-bis", si voglia apportare la seguente modifica:

a) dopo il comma 3 inserire il seguente: "3-bis. Qualora dall'accesso di cui all'art. 5, comma 2, possa derivare la comunicazione di dati personali, esso è accolto soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso rispetto al diritto del controinteressato alla protezione dei propri dati personali, ovvero previo oscuramento dei dati personali presenti. L'accesso è in ogni caso rifiutato qualora esso comporti la comunicazione di dati sensibili o giudiziari o, comunque, di dati personali di minorenni.";

b) dopo il comma 5 aggiungere, in fine, il seguente: "5-bis. Il Governo adotta, su proposta del Ministro delegato per la semplificazione e la pubblica amministrazione, un regolamento ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, e successive modificazioni, per l'attuazione delle disposizioni di cui all'articolo 5 e al presente articolo e, in particolare, per l'individuazione delle categorie di dati e di documenti suscettibili di accesso, nonché dei casi di diniego a fini di tutela degli interessi di cui al presente articolo."

4.1.1. In relazione, infine, ai termini procedurali previsti per l'accesso civico è opportuno modificare le relative disposizioni anche al fine di consentire alle pp.aa. di valutare eventuali opposizioni formulate da possibili controinteressati come previsto dell'art. 5, comma 4.

Infatti, la disciplina in oggetto prevede che, entro trenta giorni dalla presentazione della richiesta, l'amministrazione non solo deve adottare il provvedimento conclusivo del procedimento relativo all'istanza di accesso civico, ma deve provvedere alla immediata trasmissione al richiedente dei dati o dei documenti oggetto di accesso civico.

Ciò significa che il soggetto controinteressato non è effettivamente tutelato. Per come sono formulati i commi 4 e 5 del nuovo art. 5 del d.lgs. n. 33/013, la p.a. che esamina una richiesta di accesso civico ha trenta giorni dalla presentazione dell'istanza per valutare o meno se dare un riscontro positivo alla richiesta di accesso civico.

In questo arco di tempo deve, in primo luogo, verificare se la richiesta viola uno dei limiti previsti dal comma 5-bis.

Effettuata questa valutazione, se individua controinteressati, deve inviare a questi ultimi la comunicazione della richiesta di accesso e dalla ricezione della stessa decorrono ulteriori dieci giorni in cui il controinteressato può opporsi.      Non è previsto che la comunicazione al controinteressato sospenda i termini del procedimento per cui il tempo materiale a disposizione della p.a. per valutare le eventuali deduzioni dei controinteressati (che in linea di principio potrebbero essere anche molto numerosi, nel caso in cui, ad esempio, la richiesta attenga ai dati contenuti all'interno di una banca dati) ed emettere il provvedimento, motivato, di accettazione o diniego della richiesta di accesso, potrebbe essere veramente esiguo.

Infine, poiché allo scadere dei trenta giorni è previsto non solo che la p.a. emetta il provvedimento finale – come nel procedimento dell'accesso ai documenti amministrativi ai sensi della l. n. 241/1990 –, ma che fornisca proprio l'accesso al dato o al documento oggetto di «accesso civico», non è fornita alcuna tutela al controinteressato che, al contrario, voglia opporsi al provvedimento della p.a., mediante impugnazione del provvedimento finale di fronte all'autorità competente ed eventuale richiesta di un provvedimento cautelare per negare l'ostensione dei dati.

In materia di protezione dei dati personali, infatti, il danno derivante dalla semplice conoscenza di un'informazione è in re ipsa e non c'è risarcimento che possa riparare al danno effettuato (si pensi ad esempio alla rivelazione di dati idonei a rivelare lo stato di salute).

Al fine di consentire ai controinteressati di fare un'effettiva opposizione al diritto di accesso civico ai propri dati personali da parte di terzi, vanno modificati i termini procedimentali, omologando il procedimento a quello previsto per l'accesso agli atti amministrativi dalla l. n. 241/1990.

Per le ragioni su esposte è pertanto necessario apportare le seguenti modifiche all'articolo 6 dello schema:

a) al capoverso "Art. 5":

1) Al comma 5, al primo periodo, sostituire le parole: "L'amministrazione competente provvede tempestivamente e comunque non oltre trenta giorni dalla presentazione dell'istanza" con le seguenti: "Il procedimento di accesso civico deve concludersi nel termine di trenta giorni dalla presentazione dell'istanza all'ufficio competente, con la comunicazione al richiedente e all'eventuale controinteressato, al fine di consentirgli di fare opposizione al provvedimento. In caso di accoglimento della richiesta di accesso civico l'amministrazione competente provvede a trasmettere entro un congruo periodo di tempo, comunque non prima di quindici giorni," e, dopo la parola: "indicando", inserire la seguente: "al richiedente";

2) al comma  2, sostituire le parole: "interessi pubblici e privati giuridicamente rilevanti", con le seguenti: "interessi giuridicamente rilevanti, secondo quanto previsto dall'articolo 5-bis del presente decreto";

b) al Capoverso "Art. 5-bis", al comma 1, all'alinea, sopprimere la parola: "pubblici" e, al comma 2, alinea, sopprimere la parola: "privati".

4.2. Al fine di armonizzare con le disposizioni del Codice la previsione sulla giurisdizione competente a conoscere le controversie in materia di accesso civico, nel rispetto del riparto di giurisdizione sancito in linea generale, va poi precisato al comma 7 dell'art. 5, che qualora le controversie abbiano ad oggetto il diritto alla protezione dei dati personali, è competente il giudice ordinario e si applica il procedimento sancito dall'art. 152 del Codice.

5. Introduzione del Capo I bis intitolato "dati pubblici aperti" e dell'art. 7 intitolato "dati aperti e riutilizzo"

La bozza del nuovo decreto legislativo 33/2013 prevede l'introduzione di un nuovo capo I-bis intitolato «Dati pubblici aperti». La locuzione utilizzata è equivoca, anche perché all'interno del capo sono collocati gli artt. 5 «accesso civico a dati e documenti», 5-bis «limiti all'accesso civico», 5-ter «accesso per fini scientifici ai dati elementari raccolti per finalità statistiche» che non disciplinano quindi il tema dei dati pubblici «aperti» riportato nel titolo del capo (contenuto invece nell'art. 7, all'interno del successivo capo 1-ter «Pubblicazione dei dati, delle informazioni e dei documenti»).

Occorre poi evidenziare che i dati oggetto di pubblicazione obbligatoria, ai sensi dell'art. 7 d. lgs. n. 33/2013, non possono essere considerati «dati di tipo aperto». Tali dati sono, infatti, ai sensi del Codice dell'amministrazione digitale-CAD (D.Lgs. 7/3/2005, n. 82), quelli utilizzabili da parte di chiunque, anche per finalità commerciali, in formato disaggregato secondo i termini di una licenza d'uso (art. art. 68, comma 3, lett. b, del CAD).(3)

L'art. 7 del d. lgs. n. 33/2013, che prevede che i dati e i documenti oggetto di pubblicazione obbligatoria sono pubblicati in «formato di tipo aperto» che, ai sensi dell'art. 68 del CAD, è «un formato di dati reso pubblico, documentato esaustivamente e neutro rispetto agli strumenti tecnologici necessari per la fruizione dei dati stessi» (art. 68, comma 3, lett. a, del CAD). La disposizione citata persegue correttamente lo scopo di non obbligare gli utenti a dotarsi di programmi proprietari o a pagamento per la fruizione – e, quindi, per la visualizzazione – dei file contenenti i dati oggetto di pubblicazione obbligatoria.

Sempre ai sensi del citato art. 7, i dati e i documenti oggetto di pubblicazione obbligatoria possono essere riutilizzati, ma solo ai sensi della normativa in materia di riutilizzo dei documenti nel settore pubblico (d. lgs. n. 36/2006) e della normativa in materia di protezione dei dati personali (d. lgs. n. 196/2003). Al riguardo si propone di rinominare- laddove ritenuto necessario il mantenimento di un apposito capo- il capo I-bis in maniera più coerente con il sistema, come ad esempio, «Accesso ai dati», e di sostituire il titolo dell'art. 7 con «Riutilizzo dei dati pubblicati»

6. Durata degli obblighi di pubblicazione

L'art. 8, comma 3, del decreto n. 33 prevede che «I dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell'anno successivo a quello da cui decorre l'obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti, fatti salvi i diversi termini previsti dalla normativa in materia di trattamento dei dati personali e quanto previsto dagli articoli 14, comma 2, e 15, comma 4». Il nuovo comma 3-bis, inserito dall'art. 8, c.1, lett.b) dello schema, prevede, inoltre, che «L'Autorità nazionale anticorruzione, sulla base di una valutazione del rischio corruttivo, delle esigenze di semplificazione e delle richieste di accesso, determina i casi in cui la durata della pubblicazione del dato e del documento può essere inferiore a 5 anni».

La formulazione dell'art. 8 è suscettibile di ingenerare dubbi in sede applicativa, rimettendo all'interprete la valutazione, in concreto, del limite temporale della pubblicazione sul web da ritenere applicabile per ciascuna fattispecie, con il rischio di interpretazioni irragionevolmente differenti e, quindi, di ingiustificate disparità di trattamento.

In particolare, l'art. 8 prevede un limite generale di cinque anni, a cui si accompagnano tre deroghe:

a) nel caso in cui gli atti producono ancora i loro effetti alla scadenza dei cinque anni, con la conseguenza che gli stessi devono rimanere pubblicati fino alla cessazione della produzione degli effetti;

b) nel caso di alcuni dati e informazioni riguardanti i titolari «di incarichi politici, anche se non di carattere elettivo, di livello statale regionale e locale» (art. 14, comma 2) e i «titolari di cariche di governo e di incarichi amministrativi di vertice, nonché di incarichi di collaborazione o consulenza» che devono rimanere pubblicati online per i tre anni successivi dalla cessazione del mandato o dell'incarico dei soggetti (art. 15, comma 4);

c) nel caso in cui siano previsti «diversi termini» dalla normativa in materia di trattamento dei dati personali.

Con riferimento a quanto previsto nel d. lgs. n. 33/2013 in ordine ai «diversi termini» (che sarebbero) contenuti nella normativa in materia di trattamento dei dati personali, si rappresenta che – come già evidenziato criticamente dal Garante nel parere del 7 febbraio 2013 (par. 7) – il Codice non prevede limiti temporali espliciti, ma solo che i dati personali devono essere «conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati» e che l'interessato ha diritto di ottenere la cancellazione dei dati personali «di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati»(4). Tali previsioni recepiscono, peraltro, le identiche disposizioni contenute nella direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali(5) le quali, in quanto tali, non possono essere derogate in virtù del principio del primato del diritto europeo. Da tale principio, inoltre, discende l'obbligo di interpretare il diritto nazionale in maniera conforme al diritto europeo(6) e, nello specifico, alle disposizioni direttamente applicabili che impongono il rispetto dei principi di pertinenza, necessità e proporzionalità, in base ai quali la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all'obiettivo perseguito e, in particolare, quando tale obiettivo non può essere realizzato in modo ugualmente efficace con modalità meno pregiudizievoli per la riservatezza degli interessati.(7)

La previsione dell'ampio e generalizzato arco temporale quinquennale non sembra rispettosa del principio di proporzionalità di matrice europea che impone la commisurazione dei termini alla luce della finalità del trattamento.

Nel dettaglio, la predetta disposizione sembra infatti porsi in contrasto con:

- l'art. 6, par. 1, lett. e), della direttiva 95/46/CE, laddove prevede espressamente che i dati siano conservati per un periodo di tempo «non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati»;

- l'art. 12, par. 1, lett. b) della direttiva 95/46/CE, laddove prevede il diritto dell'interessato di ottenere la cancellazione di dati personali che lo riguardano quando il loro «trattamento non è conforme alle disposizioni della stessa direttiva», incluso appunto il caso in cui questi siano conservati per un periodo di tempo «non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati» (art. 6, par. 1, lett. e, dir. 95/46/CE cit.);

- i principi affermati nella sentenza della Corte di Giustizia UE 9 novembre 2010, cause riunite C-92/09 e C-93/09 che ha dichiarato l'invalidità di un regolamento comunitario nella parte in cui imponeva la pubblicazione di dati personali di beneficiari di finanziamenti di fondi strutturali senza prevedere, fra l'altro, un limite temporale per la durata della stessa, commisurato ai periodi nel corso dei quali gli interessati hanno percepito gli aiuti (punto n. 1 del dispositivo).

Inoltre, la previsione relativa alla durata quinquennale del periodo di pubblicazione online è suscettibile di generare antinomie anche rispetto alla disciplina nazionale di recepimento della direttiva 95/46/CE, in particolare con l'art. 11, comma 1, lett. d) ed e) e l'art. 7, comma 3, lett. b), del Codice che prevedono, rispettivamente, che i dati personali devono essere «conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati» e che l'interessato ha diritto di ottenere la cancellazione dei dati «di cui non è necessaria la conservazione in relazione agli scopi per i quali sono stati raccolti o successivamente trattati».

Per tale motivo, il Garante nelle citate Linee guida del 2014 ha già evidenziato alle pubbliche amministrazioni che «laddove atti, documenti e informazioni, oggetto di pubblicazione obbligatoria per finalità di trasparenza, contengano dati personali, questi ultimi devono essere oscurati, anche prima del termine di cinque anni, quando sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici e gli atti stessi hanno prodotto i loro effetti».

Tutte queste considerazioni inducono pertanto a promuovere un intervento correttivo del testo dell'articolo volto ad attenuare l'attuale difformità della disciplina sulla trasparenza dal quadro normativo europeo e nazionale in materia di protezione dei dati personali.

Al fine di sopperire alle criticità evidenziate appare opportuno attribuire al Garante un potere di proposta rispetto alla determinazione con cui Anac identifica i casi nei quali la pubblicazione del dato e del documento può essere inferiore a cinque anni All'art. 8, comma 1, lettera b),  si richiede pertanto di riformulare il comma 3-bis, ivi richiamato, nel modo seguente, inserendo, dopo le parole:  «L'Autorità nazionale anticorruzione", le seguenti: ", anche su proposta del Garante per la protezione dei dati personali, "».

7. La conoscibilità dei dati "pubblici". Motori di ricerca e indicizzazione

L'art. 9, comma 1, prevede che le «amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione "Amministrazione trasparente"» (cfr. anche art. 7-bis, comma 1).

Come già evidenziato nel parere del Garante del 7 febbraio 2013, un obbligo così ampio e indifferenziato di indicizzare la documentazione pubblicata è contrario al principio di proporzionalità nel trattamento dei dati personali rispetto alle specifiche finalità di trasparenza di volta in volta perseguite e non tiene in considerazione le esigenze di avere dati esatti, aggiornati e contestualizzati (art. 6, par. 1, lett. d. dir. 95/46/CE. Cfr. anche art. 7, par.1, lett. c e d, della medesima direttiva). In base al citato principio di proporzionalità, la pubblicazione di dati personali è consentita soltanto quando è al contempo necessaria e appropriata rispetto all'obiettivo perseguito e, in particolare, quando tale obiettivo non può essere realizzato in modo ugualmente efficace con modalità meno pregiudizievoli per la riservatezza degli interessati.(8)

Se la trasparenza, ai sensi dell'art. 1, comma 1, del decreto legislativo 33/2013, deve essere intesa come «accessibilità totale dei dati e documenti detenuti dalle pubbliche amministrazioni allo scopo di tutelare i diritti fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche», la stessa può essere adeguatamente garantita mediante la messa a disposizione delle relative informazioni sui siti web istituzionali senza necessità di indicizzazione. La reperibilità, senza distinzioni, dei dati personali mediante i comuni motori di ricerca espone, infatti, la vita privata alla generale curiosità del pubblico, determinando conseguenze ultronee rispetto agli obiettivi di trasparenza già efficacemente raggiunti attraverso la pubblicazione dei medesimi dati sui siti web istituzionali delle amministrazioni.

Un malinteso (e dilatato) principio di trasparenza può infatti determinare conseguenze gravi e pregiudizievoli tanto della dignità delle persone quanto della stessa convivenza sociale. Deve infatti essere tenuto presente che i motori di ricerca "decontestualizzano" i dati personali disponibili on ine, estrapolandoli dal sito in cui sono contenuti e trasformandoli in una parte – non controllata e non controllabile – secondo una "logica" di priorità di importanza del tutto sconosciuta e non conoscibile all'utente. Inoltre, una volta che i dati personali sono resi accessibili in maniera indifferenziata su Internet può risultare velleitario limitarne l'uso effettivo e assicurare il rispetto dei principi di protezione dei dati.

Un intervento normativo rispettoso del principio di proporzionalità dovrebbe prevedere, pertanto, una graduazione delle modalità di reperibilità in rete delle informazioni, oggetto degli obblighi di trasparenza, tramite i motori di ricerca. In questo quadro, potrebbe essere ritenuta giustificata l'indicizzazione da parte dei comuni motori di ricerca dei dati personali riferiti a soggetti che ricoprono cariche politiche per la rilevanza pubblica del ruolo ricoperto o della funzione esercitata. Tale obiettivo non giustifica, invece, che la trasparenza dell'amministrazione si trasformi nella "trasparenza delle persone" (per esempio nell'indicizzazione dei redditi dei dirigenti, dei dati personali dei soggetti beneficiari di sovvenzioni e aiuti economici sopra i mille euro nell'anno solare, etc.).

È, inoltre, necessario adeguare il testo normativo all'applicazione del diritto europeo e alla sentenza della Corte di Giustizia UE del 13 maggio 2014, causa C-131/12, Google Spain SL, Google Inc/Agencia Española de Protección de Datos, dando comunque la possibilità al richiedente di chiedere al titolare del trattamento la deindicizzazione dei propri dati identificativi.

Peraltro, anche l'Autorità nazionale anticorruzione-ANAC, nella propria relazione annuale 2014 al Parlamento, ha evidenziato che «ad avviso dell'Autorità il regime applicabile alle informazioni oggetto di pubblicazione e diffusione via web potrebbe essere articolato e graduato anche con riferimento al periodo di pubblicazione, alle modalità di conservazione, alla indicizzazione dei contenuti da parte dei motori di ricerca esterni».(9)

Si suggerisce pertanto di sopprimere, all'interno dell'art. 9, comma 1, l'intero periodo: «Le amministrazioni non possono disporre filtri e altre soluzioni tecniche atte ad impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all'interno della sezione "Amministrazione trasparente"».

8. Obblighi di pubblicazione relativi ai "Titolari di incarichi politici", "Dirigenti" titolari di "Cariche di Governo" e di "Incarichi amministrativi di vertice"

L'art. 14 d.lgs. n. 33 del 2013,disciplina gli obblighi di pubblicazione dei dati reddituali e patrimoniali dei «titolari di incarichi politici» anche non elettivi, nonché degli incarichi dirigenziali a qualsiasi titolo conferiti.

Nel successivo articolo 15, invece, sono disciplinati gli oneri di trasparenza di titolari di «cariche di governo» e di «incarichi amministrativi di vertice».

Le modifiche sul punto innovano profondamente il precedente bilanciamento effettuato dal legislatore delegato, equiparando completamente gli obblighi di trasparenza dei dirigenti delle amministrazioni pubbliche e degli altri soggetti cui il decreto si applica a quelli previsti per i titolari di incarichi politici. Tale previsione, oltre ad assimilare condizioni  non del tutto equiparabili fra loro ( quali quelle dei titolari di incarichi dirigenziali e dei titolari di incarichi politici) impone la pubblicazione della propria situazione patrimoniale ad un notevolissimo numero di soggetti: secondo le elaborazioni dell'Aran, infatti, i dirigenti pubblici ai quali si applicherebbero tali nuove disposizioni sarebbero oltre 140.000, senza contare coniugi né parenti fino al secondo grado.

Inoltre, il predetto personale dirigenziale sarebbe assoggettato ad importanti obblighi di trasparenza (e quindi ad un trattamento giuridico limitativo della riservatezza individuale) a prescindere dall'effettivo rischio corruttivo insito nella funzione svolta, così come altri soggetti pubblici risulterebbero invece inspiegabilmente esclusi dai medesimi obblighi pur potendo ricoprire incarichi di analogo rilievo (si pensi ai soggetti di cui all'articolo 17, comma 22, della legge 127/1997, tenuti alla mera comunicazione dei propri dati patrimoniali, senza che in relazione agli stessi sussista alcun obbligo di pubblicazione sul sito dell'amministrazione di appartenenza ).

Al riguardo, si sottolinea peraltro che non è facilmente individuabile la categoria degli incarichi politici e se vadano intesi con i soli vertici politico-rappresentativi delle amministrazioni statali, regionali e locali (es.: Ministri, consiglieri, assessori) o con organi diversi, come presidenti e collegi degli enti (es: presidente INPS, organi delle Camere di commercio, Senato accademico degli atenei, etc.). Nel testo del decreto, inoltre, in alcuni casi si utilizza il termine «incarichi politici» e in altri organi «di indirizzo politico» (cfr. artt. 7-bis, 13, 14, 15, 16, 17, 23, 43, 45) presente nella precedente versione dell'art. 14 del d. lgs. 33/2013. Non si comprende, però, se si tratta o meno della stessa categoria.

A ciò si aggiunge che il nuovo art. 14 non specifica se gli obblighi di pubblicazione della situazione patrimoniale si applichino a tutti, oppure solo ai soggetti tenuti a fare le dichiarazioni previste dalla l. n. 441 del 5/7/1982.

La questione non è di poco conto, considerando che ad esempio l'Anac ha ritenuto che la disposizione si applicasse ai  membri del Senato accademico dell'Università di cui fanno parte anche studenti e personale tecnico amministrativo, ma non ai sindaci, consiglieri e assessori con popolazione inferiore a 15.000 abitanti (cfr. delibera Anac 7/10/2014 n. 144). La conseguenza è che uno studente che fa parte di un Senato accademico sarebbe tenuto a pubblicare la propria dichiarazione dei redditi, mentre un sindaco di un comune di 14.999 abitanti non sarebbe obbligato.

È estremamente importante che vengano chiaramente definite le categorie ed i tipi di incarichi che si intendono ricomprendere nella locuzione e quindi quali siano i soggetti tenuti agli obblighi di pubblicazione indicati all'art. 14 del decreto, posto che la relativa violazione è soggetta a sanzione (art. 41, comma 1, del d. lgs. 33/2013).

Alla luce della disposizione contenuta nell'art. 15, non è poi dato capire cosa si intenda effettivamente per soggetti titolari di «cariche di governo» (solo quelli nominati dal Consiglio dei ministri, da Ministri o anche quelli nominati dal Parlamento e da Commissioni parlamentari, oppure ancora da consigli o assessori di regioni ed enti locali?) e di «incarichi amministrativi di vertice».

Più in generale, si sottolinea in questa materia l'importanza di un approccio rispettoso del principio di proporzionalità di derivazione europea (art. 6, par. 1, lett. c, dir. 95/46/CE), che tenga in considerazione l'orientamento espresso dalla Corte di giustizia nelle sentenze del 20 maggio 2003 (Cause riunite C-465/00, C-138/01 E C-139/01, Rechnungshof e al.), del 9 novembre 2010 (Cause riunite C-92/09 e C-93/09, Volker und Markus Schecke GbR e al.) e del 29 giugno 2010 (Causa C-28/08P, Commissione/Bavarian Lager). Secondo tale orientamento, le istituzioni pubbliche, prima di divulgare informazioni riguardanti una persona fisica, devono soppesare l'interesse dell'Unione a garantire la trasparenza delle proprie azioni con la lesione dei diritti riconosciuti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell'UE, senza che possa riconoscersi alcuna automatica prevalenza dell'obiettivo di trasparenza sul diritto alla protezione dei dati personali, anche qualora siano coinvolti rilevanti interessi economici (par. 85, sentenza Volker und Markus Schecke GbR e al.).

In questo quadro, va messa in luce la necessità di adottare una graduazione degli obblighi di pubblicazione di dati personali sotto il profilo della platea dei soggetti coinvolti, del contenuto degli atti da pubblicare e delle modalità di assolvimento di tali oneri Andrebbero dunque previsti livelli differenziati di trasparenza del personale pubblico, tali da modulare la conoscibilità delle informazioni a seconda del ruolo e della carica ricoperta, in modo da evitare interferenze sproporzionate sulla sfera privata degli interessati.

Al riguardo si ritiene necessario quantomeno definire, possibilmente all'inizio del decreto legislativo, l'ambito di riferimento delle categorie dei titolari di «incarichi politici», delle «cariche di governo» e degli «incarichi amministrativi di vertice»; in subordine, indicare quali siano i criteri per identificarli.

9. Obblighi di pubblicazione concernenti le spese ed i pagamenti effettuati dalle pp.aa.

Il comma 1-bis, inserito all'art. 41 dall'art. 33, comma 1, lettera a) dello schema di decreto, prevede che «Le amministrazioni di cui al comma 1 pubblicano altresì, nei loro siti istituzionali, i dati relativi a tutte le spese e a tutti i pagamenti effettuati, distinti per tipologia di lavoro, bene o servizio, e ne permettono la consultazione, in forma sintetica e aggregata. in relazione alla tipologia di spesa sostenuta, all'ambito temporale di riferimento e ai beneficiari».

La disposizione si potrebbe prestare a interpretazioni difformi con riferimento alla pubblicazione dei dati dei beneficiari di spese sanitarie che potrebbero rivelare dati sul relativo stato di salute.

Al fine di evitare equivoci si propone di precisare il testo dell'art. 41, comma 1-bis sostituendo alle parole: "ai beneficiari" con le seguenti: "alle categorie dei beneficiari»

10. Tutela giurisdizionale

L'art. 50 del d.lgs. 33, invariato in parte qua, devolve alla giurisdizione  amministrativa le controversie relative agli obblighi di pubblicazione previsti dalla normativa vigente. Tale articolo, come già segnalato in passato (cfr. Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa del 7 febbraio 2013, doc web. n. 2243168), si pone in contrasto con l'art. 152 del Codice, che prevede la competenza del G.O. per le controversie in materia di protezione di dati personali. Sul punto c'è già contrasto giurisprudenziale (cfr. T.A.R. Milano, Lombardia, sez. III, n. 615 del 3/3/2015 che ha previsto la competenza del G.O. per le controversie sulle pubblicazioni previste dal del d. lgs. 33/2013 concernenti dati personali).

Al riguardo, come già proposto in relazione al riparto di giurisdizione per le controversie inerenti l'accesso civico, si rappresenta la necessità di modificare l'articolo  50 sostituendo, al primo periodo, le parole: "dalla normativa vigente" con le seguenti: "dal presente decreto" e aggiungendo, in fine, il seguente periodo: "Resta ferma la giurisdizione dell'autorità giudiziaria ordinaria rispetto a controversie che riguardano comunque l'applicazione delle disposizioni del decreto legislativo 30 giugno 2003, n. 196".

In alternativa si propone di concentrare innanzi al giudice ordinario la giurisdizione per tutte le controversie relative agli obblighi di trasparenza.

IL GARANTE

esprime parere favorevole sullo schema di decreto legislativo recante il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni, con le seguenti condizioni:

a) modificare il presente schema sviluppando in maniera più pregnante i criteri di delega di cui all'art. 7, comma 1, lettere a), c) ed e), della l. 124 del 2015, in particolare razionalizzando e più efficacemente rimodulando gli obblighi di pubblicazione in funzione del grado di esposizione del singolo organo al rischio corruttivo, della funzionalità del dato da pubblicare rispetto alla effettiva necessità, da parte dei cittadini, di conoscere le modalità e le caratteristiche dell'agire amministrativo, nonché del bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati personali degli interessati. Demandare altresì ad un regolamento di attuazione la disciplina, nel dettaglio, delle tipologie di informazioni soggette al regime di trasparenza, nonché delle modalità e delle caratteristiche dell'eventuale pubblicazione (§ 1);

b) all'articolo 2, comma 1, del presente schema, si valuti l'opportunità di modificare l'art. 1, comma 1, del d.lgs n. 33 del 2013, nel modo seguente:

«La trasparenza è intesa come accessibilità dei dati e documenti detenuti dalle pubbliche amministrazioni, allo scopo di tutelare i diritti  fondamentali e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche, nei limiti del presente decreto» (§ 2.1.1.);

c) all'articolo 4, comma 1, lettera b)dello schema di decreto, capoverso 1-bis, si vogliano sostituire le parole da: "sentito" a: "adottata", con le seguenti: ", con delibera adottata d'intesa con il Garante per la protezione dei dati personali nel caso in cui siano coinvolti dati personali" (§ 2.1)

d) sostituire, nel testo del decreto legislativo, la locuzione relativa ai dati oggetto di pubblicazione obbligatoria «ai sensi della normativa vigente», con altra che limiti più chiaramente l'applicazione della disciplina prevista dal decreto legislativo n. 33/2013 ai soli dati oggetto di pubblicazione obbligatoria ai sensi della normativa in materia di trasparenza e, segnatamente, del medesimo d. lgs. n. 33/2013 (§ 2.2.a.);

e) sostituire le parole: "normativa vigente" con le seguenti: «presente decreto» negli artt. 3, comma 1 del d.lgs. 33, invariato in parte qua (sulla definizione di dato pubblico); 5, comma 1 (sull'accesso civico); 7, comma 1 (sul riutilizzo); 8, commi 1-3 (sulla durata obblighi pubblicazione); 9, comma 1 (sulla sezione "Amministrazione trasparente"); 43, comma 1 (sul responsabile della trasparenza); 45, commi 1 e 3; 46, comma 1 (sui poteri dell'ANAC); 48, commi 1, 2 e 5 (sull'attuazione degli obblighi di pubblicità e trasparenza). Sostituire altresì le parole: "disciplina vigente»" con le seguenti: "presente decreto", all'art. 3, commi 1 e 1-bis (sulla definizione di dato pubblico) (§ 2.2.b);

f) all'articolo 5, comma 1, lettera b), capoverso "Art. 4-bis", si apportino le seguenti modificazioni:

a) al comma 1, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata";

b) al comma 2, dopo la parola: "consultazione", inserire la seguente: ", in forma aggregata" e sostituire le parole: "e ai beneficiari" con le seguenti: "e alle categorie di beneficiari" (§ 3);

g) modificare l'articolo 5 del d.lgs. 33 come novellato dall'art. 6 dello schema, prevedendo che - ove l'accoglimento dell'istanza di accesso possa determinare la comunicazione al richiedente di dati personali di terzi- il documento possa essere osteso soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso ovvero, previo oscuramento dei dati personali presenti (§ 4.1);

g.1) prevedere, all'art. 5-bis, introdotto dall'art. 6 dello schema, un generale divieto di comunicazione di dati sensibili o giudiziari, nonché di dati personali di minorenni (§ 4.1);

g.2) demandare a un regolamento attuativo l'individuazione, nel dettaglio, delle categorie di dati e documenti suscettibili di accesso ai sensi dell'art. 5, comma 2, nonché i casi di rigetto dell'istanza a fini di tutela degli interessi di cui all'art. 5-bis (§ 4.1);

h) all'articolo 6 dello schema siano apportate le seguenti modificazioni:

1) al comma 1, capoverso "Art. 5", al comma  2, sostituire le parole: "interessi pubblici e privati giuridicamente rilevanti", con le seguenti: "interessi giuridicamente rilevanti, secondo quanto previsto dall'articolo 5-bis del presente decreto" (§ 4.1.1);

2) al comma 1, capoverso "Art. 5", al comma 5, al primo periodo, sostituire le parole: "L'amministrazione competente provvede tempestivamente e comunque non oltre trenta giorni dalla presentazione dell'istanza" con le seguenti: "Il procedimento di accesso civico deve concludersi nel termine di trenta giorni dalla presentazione dell'istanza all'ufficio competente, con la comunicazione al richiedente e all'eventuale controinteressato, al fine di consentirgli di fare opposizione al provvedimento. In caso di accoglimento della richiesta di accesso civico l'amministrazione competente provvede a trasmettere entro un congruo periodo di tempo, comunque non prima di quindici giorni," e, dopo la parola: "indicando", inserire la seguente: "al richiedente" (§ 4.1.1);

3) al comma 1, capoverso "Art. 5", al comma 7 aggiungere, in fine, il seguente periodo: "Per le controversie aventi ad oggetto il diritto alla protezione dei dati personali si applica il disposto di cui all'art. 152 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003 e successive modificazioni (4.2);

4) al comma 2, Capoverso "Art. 5-bis", apportare le seguenti modificazioni:

4.a) al comma 1, all'alinea, sopprimere la parola: "pubblici" e, al comma 2 del medesimo capoverso, alinea, sopprimere la parola: "privati" (§ 4.1.1)

4.b) dopo il comma 3 inserire il seguente: "3-bis. Qualora dall'accesso di cui all'art. 5, comma 2, possa derivare la comunicazione di dati personali, esso è accolto soltanto ove risulti accertata, in atti, la prevalenza dell'interesse perseguito dall'accesso rispetto al diritto del controinteressato alla protezione dei propri dati personali, ovvero previo oscuramento dei dati personali presenti. L'accesso è in ogni caso rifiutato qualora esso comporti la comunicazione di dati sensibili o giudiziari o, comunque, di dati personali di minorenni." (§ 4.1);

4.c) dopo il comma 5 aggiungere, in fine, il seguente: "5-bis. Il Governo adotta, su proposta del Ministro delegato per la semplificazione e la pubblica amministrazione, un regolamento ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, e successive modificazioni, per l'attuazione delle disposizioni di cui all'articolo 5 e al presente articolo e, in particolare, per l'individuazione delle categorie di dati e di documenti suscettibili di accesso, nonché dei casi di diniego a fini di tutela degli interessi di cui al presente articolo." (§ 4.1);

i) all'art. 8, comma 1, lettera b),  si riformuli il comma 3-bis, ivi richiamato, nel modo seguente, inserendo, dopo le parole:  «L'Autorità nazionale anticorruzione", le seguenti: ", anche su proposta del Garante per la protezione dei dati personali"  (§ 6);

l) all'art. 9, comma 1, del decreto n. 33, nel testo vigente, si sopprima il secondo  periodo (§ 7);

m) in relazione all'articolo 14, definire, possibilmente all'inizio del decreto legislativo, quali sono i titolari di «incarichi politici», le «cariche di governo» e gli «incarichi amministrativi di vertice»; in subordine, indicare quali siano i criteri per identificarli (§ 8);

n) all'art. 33, comma 1, lettera a) dello schema di decreto, al comma 1-bis, ivi inserito, si valuti di sostituire le parole: "ai beneficiari" con le seguenti: "alle categorie di beneficiari » (§ 9);

o) modificare l'articolo  50 del d.lgs. 33 sostituendo, al primo periodo, le parole: "dalla normativa vigente" con le seguenti: "dal presente decreto" e aggiungendo, in fine, il seguente periodo: "Resta ferma la giurisdizione del giudice  ordinario rispetto a controversie che riguardano comunque l'applicazione delle disposizioni del decreto legislativo 30 giugno 2003, n. 196».  In alternativa, si preveda la concentrazione innanzi al giudice ordinario della giurisdizione per tutte le controversie relative agli obblighi di trasparenza (§ 10);

e con la seguente osservazione:

si valuti l'opportunità di rinominare- laddove ritenuto necessario il mantenimento di un' apposita sezione- il capo I-bis del decreto n. 33, introdotto dall'articolo 5, comma 1, lettera a), del presente decreto, in maniera più coerente con il sistema, come ad esempio, «Accesso ai dati», e di sostituire il titolo dell'art. 7 con «Riutilizzo dei dati pubblicati» (§ 5).

Roma, 3 marzo 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

___________________________________

NOTE

(1) Cfr. ex plurimis, Corte cost. 11 luglio 1989 n. 389; Corte cost. 8 giugno 1984 n. 170.

(2) Corte di Cassazione, sentenza n. 29736/2012.

(3) 9. Ai sensi dell'art. 68, comma 3, lett. b), del CAD sono "dati di tipo aperto" quei dati che presentano le seguenti tre caratteristiche:

"1)  sono disponibili secondo i termini di una licenza che ne permetta l'utilizzo da parte di chiunque, anche per finalità commerciali, in formato disaggregato;

2) sono accessibili attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, in formati aperti ai sensi della lettera a), sono adatti all'utilizzo automatico da parte di programmi per elaboratori e sono provvisti dei relativi metadati;

3) sono resi disponibili gratuitamente attraverso le tecnologie dell'informazione e della comunicazione, ivi comprese le reti telematiche pubbliche e private, oppure sono resi disponibili ai costi marginali sostenuti per la loro riproduzione e divulgazione. L'Agenzia per l'Italia digitale deve stabilire, con propria deliberazione, i casi eccezionali, individuati secondo criteri oggettivi, trasparenti e verificabili, in cui essi sono resi disponibili a tariffe superiori ai costi marginali. In ogni caso, l'Agenzia, nel trattamento dei casi eccezionali individuati, si attiene alle indicazioni fornite dalla direttiva 2003/98/CE del Parlamento europeo e del Consiglio, del 17 novembre 2003, sul riutilizzo dell'informazione del settore pubblico, recepita con il decreto legislativo 24 gennaio 2006, n. 36".

(4) Artt. 11, comma 1, lett. e, e 7, comma 3, lett. b, del Codice.

(5) Art. 6, par. 1, lett. e, e art. 12, par. 1, lett. b, dir. 95/46/CE.

(6) Cfr., ex pluribus, le sentenze della Corte di Giustizia CE, 10 aprile 1984, causa 14/83, Von Colson e Kamann, punto 26; 13 novembre 1990, C-106/89, Marleasing, punto 8; 16 dicembre 1993, causa C-334/92, Wagner Miret, punto 20; 25 febbraio 1999, causa C-131/97, Carbonari, punto 48; 5 ottobre 2004, C-397/01, Pfeiffer, punto 114; Corte di Giustizia CE, 29/1/2008, C-275/06, Productores de Música de España-Promusicae, punto 70.

(7) Art. 6, par. 1, lett. c, e art. 7, par.1, lett. c e d, dir. 95/46/CE; artt. 3 e 11 del Codice. V. inoltre, Corte di Giustizia CE, 20/5/2003, cause riunite C-465/00, C-138/01 e C-139/01 e Corte Costituzionale austriaca 28 novembre 2003, KR 1/00-33, in http://www.vfgh.at/cms/vfgh-site/attachments/3/8/6/CH0006/CMS1108403943433/kr1-33-00.pdf.

(8) Cfr. Corte di Giustizia CE, 20 maggio 2003, cause riunite C-465/00, C-138/01 e C-139/01 e Corte Costituzionale austriaca 28 novembre 2003, KR 1/00-33, in www.vfgh.at/cms/vfgh-site/attachments/3/8/6/CH0006/CMS1108403943433/kr1-33-00.pdf.

(9) Relazione disponibile in http://www.anticorruzione.it/portal/rest/jcr/repository/collaboration/Digital%20Assets/anacdocs/Attivita/Pubblicazioni/RelazioniAnnuali/2015/ANAC.Relazione.2014.02.07.15.pdf(cfr., in particolare, p. 326 ss.).
 

01/07/2019 n° 1
Area: Prassi, Circolari, Note