I dati non si possono esporre ad una semplice richiesta generalizzata
Il Garante per la privacy con il parere n. 9483596 del 15 ottobre 2020 ha stabilito che non si possono esporre gli affari interni della polizia locale ad una normale richiesta di accesso civico generalizzato.
Nel caso esaminato un cittadino ha richiesto al responsabile della trasparenza del comune di Milano l’accesso ad una serie di documenti interni del comando di polizia locale ovvero ordini di servizio, disposizioni scritte e indicazioni, ma senza successo.
Contro il rigetto parziale della domanda l’interessato ha presentato richiesta di riesame che ha coinvolto l’Autorità Garante la quale ha ritenuto corretto il rifiuto per i motivi che di seguito si espongono.
Il Garante ha preliminarmente ricordato che, ai sensi della normativa di settore, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (artt. 5, comma 2, d. lgs. n. 33/2013).
Il citato 5-bis prevede tuttavia che l’accesso civico debba essere rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a).
Ciò premesso, il Garante ha precisato che occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.
Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).
In tale quadro, si ritiene che, il Comune di Milano –……– abbia correttamente respinto l’accesso civico alla documentazione richiesta (cfr. pareri contenuti nei seguenti provvedimenti: n. 61 del 14/3/2019, in www.gpdp.it, doc. web n. 9113854; n. 60 del 14/3/2019, ivi, doc. web n. 9102014; n. 516 del 19/12/2018, ivi, doc. web n. 9075337; n. 190 del 10/4/2017, ivi, doc. web n. 6383028; n. 369 del 13/9/2017, ivi, doc. web n. 7155944).
Ciò in quanto la relativa ostensione, anche considerando il particolare regime di pubblicità dei dati e informazioni ricevuti tramite l’istituto dell’accesso civico (cfr. art. 3, comma 1, d. lgs. n. 33/2013), potrebbe determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà del personale appartenente alla Polizia locale, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. b e c, del RGPD), arrecando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013.
Al riguardo, si deve infatti tenere conto della tipologia e della natura dei dati e delle informazioni personali, anche di dettaglio, contenuti negli ordini di servizio – di tipo preventivo e consuntivo – richiesti, quali per ogni singolo lavoratore, come descritto dal RPCT: turno di servizio previsto, lavoro svolto, attività da svolgere nel giorno seguente, prestazioni effettive, alla luce delle eventuali variazioni intervenute, dati su eventuali assenze programmate o su assenze dal servizio comunicate a seguito di malattie o infortuni, posizione lavorativa del dipendente, turno di riposo, prestazione svolta in regime di straordinario, permessi fruiti anche ai sensi della legge n. 104/92, etc.
La generale conoscenza, derivante da un eventuale accoglimento della richiesta di accesso civico ai predetti dati e informazioni, inerenti aspetti molto particolareggiati dell’attività lavorativa svolta, può essere fonte di rischi specifici per i soggetti interessati, anche considerando la possibile ricostruzione della vita e delle abitudini dei soggetti appartenenti al personale appartenente alla Polizia locale del Comune di Milano addetto all’“Ufficio Ricorsi all’Autorità Giudiziaria” (che peraltro non risulta essere stato coinvolto nel procedimento relativo all’accesso civico come controinteressato), determinando possibili ripercussioni negative sul piano personale, professionale, sociale e relazionale, sia all’interno che all’esterno dell’ambiente lavorativo….
Al riguardo, non è possibile accordare – come invece domandato dal soggetto istante nella richiesta di riesame – neanche un accesso civico parziale, oscurando i nominativi dei soggetti interessati. Ciò in quanto tale accorgimento non elimina del tutto la possibilità – come evidenziato anche dal RPCT – che questi ultimi possano essere re-identificati, anche all’interno dello stesso luogo di lavoro, tramite gli ulteriori dati di dettaglio e di contesto contenuti nella documentazione richiesta o mediante altre informazioni in possesso di terzi. A tale riguardo, …, si considera infatti “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Il Garante, pertanto ha ritenuto legittimo il diniego di accesso agli atti opposto dall’Amministrazione milanese poiché ha ritenuto che, anche tentando di anonimizzare i dati dei soggetti interessati, il rischio di ledere i loro diritti fosse comunque rilevante considerato che i dati di dettaglio che sarebbero rimasti evidenziati avrebbero potuto consentire una ricognizione delle persone coinvolte.
Fonte: www.garanteprivacy.it