il caso

No accesso civico a dati anche anonimizzati sulla salute se c’è rischio di re-identificazione

Il Garante privacy ha annunciato “accesso civico: no ai dati sulla salute che rendono identificabili le persone”, segnalando un caso in cui è stato negato l’accesso persino a dati anonimizzati perché si riteneva ci fosse rischio di re-identificazione. Si continua così ad affinare il rapporto tra trasparenza e privacy

01 Ott 2020
Manuel Salvi

DPO GRC Team


Il diritto all’accesso civico è destinato a confrontarsi sempre più spesso con il diritto alla privacy e questo confronto si affinerà probabilmente nel tempo, anche grazie al lavoro del Garante della privacy. A questo proposito, ieri nella sua newsletter il Garante ha annunciato “Accesso civico: no ai dati sulla salute che rendono identificabili le persone”. Il Garante in questo caso ha pubblicizzato non tanto una sanzione ma piuttosto un comportamento virtuoso, che pure però serve a fissare paletti e meglio chiarire quel delicato rapporto, trasparenza vs privacy.

Accesso civico negato per dati particolari

Il plauso del Garante è andato al Responsabile per la prevenzione della corruzione e della trasparenza dell’Ente regionale della Valle d’Aosta, il quale ha fatto prevalere la privacy sul diritto di cronaca e sulla trasparenza, negando parzialmente l’accesso a dati particolari concernenti la distribuzione dei casi di Covid-19 registrati in Regione ad un giornalista che ne aveva fatto richiesta.

Il giornalista aveva richiesto i dati di coloro che in regione avevano contratto il Covid-19, richiedendoli profilati per sesso, età, domicilio, data delle diagnosi, numero ed esiti dei tamponi eseguiti per paziente, distribuzione per Comune.

La Regione, timorosa che i contagiati potessero essere identificati, ha accordato un accesso parziale ai dati, aggregandoli o negandone l’accesso.

Il Garante attraverso il Parere su istanza di accesso civico del 3 settembre 2020, ha ribadito che l’istituto dell’accesso civico non è previsto qualora si tratti di dati particolari, quali sono quelli relativi alla salute.

Nel provvedimento il Garante osserva che, ai sensi della normativa di settore, “chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, … nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis»(artt. 5, comma 2, d. lgs. n. 33/2013).

Il 5-bis prevede che l’accesso civico debba essere rifiutato, fra l’altro, “se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali”.

Il Garante quindi conclude affermando all’interno delle osservazioni presenti nel Provvedimento n.155 del 3/09/20: “allorché un’istanza di accesso civico abbia ad oggetto dati relativi alla salute, si rende applicabile l’“esclusione dell’accesso civico”.

Tale posizione è infatti anche ribadita dalle  Linee guida dell’Anac come sottolineato anche dal Garante nel Provvedimento.

 

Accesso civico negato per dati anonimizzati

Elemento ancor più interessante, nell’esclusione di accesso civico della Regione Valle d’Aosta, è il fatto che i dati oggetto dell’accesso civico erano anonimizzati, essendo priva l’indicazione di nome e cognome dei contagiati.

Il Responsabile per la prevenzione della corruzione e della trasparenza dell’Ente regionale della Valle d’Aosta ha negato l’accesso, anche in presenza di dati anonimizzati, poiché a suo giudizio non si eliminava del tutto la possibilità, che i soggetti a cui i dati si riferiscono, possano essere re-identificati, anche a posteriori con altre informazioni eventualmente in possesso di terzi.

“L’esiguità demografica che caratterizza molti comuni della Valle d’Aosta (per non parlare delle Residenze Sanitarie Assistenziali) fa sì che dall’incrocio dei dati in oggetto con informazioni verbali facilmente acquisibili in loco sia possibile, almeno in taluni casi, risalire all’identità dei soggetti coinvolti e, conseguentemente, al loro stato di salute”.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Il Garante pertanto ha dato sostegno alla tesi dell’Ente Regionale affermando: ha correttamente accordato un accesso civico parziale, volto ad evitare l’ostensione di dati e informazioni che possano rivelare, anche indirettamente, l’identità di soggetti interessati e il connesso stato di salute” aggiungendo che la risposta parziale attraverso dati aggregati era il giusto compromesso fra riservatezza e diffusione delle informazioni.

Sanzione se si usano le iniziali per anonimizzare l’interessato

Nella Newsletter del luglio scorso al titolo “Enti locali: Garante privacy, stop a illecita diffusione di dati personali. Sanzionati alcuni Comuni e una Regione” il Garante ha voluto ribadire l’inadeguatezza dell’uso delle inziali per anonimizzare un interessato..

La newsletter già nelle sue prime righe lancia un velato monito alle PP.AA.: “Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti”.

Del difficile gioco di equilibri fra Trasparenza e Privacy, abbiamo già dato evidenza nei mesi scorsi attraverso un approfondimento dal titolo: “Accesso civico, trasparenza vs privacy: l’eccezione e la regola” (vedi di seguito).

Accesso civico, trasparenza vs privacy: l’eccezione e la regola

Nel caso sanzionato in Luglio il Comune di Greve in Chianti aveva pubblicato, nella sezione “Albo online” del sito web istituzionale del Comune, una determinazione del Segretario Generale, al cui interno erano menzionati riferimenti a vicende relative al rapporto di lavoro di un ex dipendente, anonimizzandola mediante l’uso delle iniziali e il numero di matricola.

La reclamante, ha ricorso al Garante per far valere i propri diritti, lamentando che la determinazione contenesse riferimenti alla propria persona, essendo identificabile tramite le iniziali del proprio cognome e nome, oltre al fatto che la medesima contenesse dati personali relativi a condanne penali e reati.

Se pur accessorio alla questione relativa all’argomento Privacy, l’antefatto vede la reclamante essere licenziata dal Comune dopo alcuni anni, a seguito di un’istruttoria avviata dall’Ufficio Procedimenti Disciplinari, il quale aveva rilevato che l’interessata non aveva l’idoneità per essere assunta, celando l’esistenza di un procedimento penale in corso nel periodo in cui aveva partecipato alla selezione.

A seguito del ricorso al TAR dell’interessata, il Comune e l’Unione Comunale aveva dovuto con determinazione, affidare a un legale l’incarico di difendere in giudizio l’Ente.

La violazione al GDPR avviene proprio con la suddetta determinazione poiché sul sito web del Comune, si dava conto del fatto che la “Sig.ra [iniziali del nome e del cognome]” ha proposto “ricorso al TAR contro l’Unione […] e [il] Comune […] per l’annullamento della determinazione del Responsabile del Servizio Area Amministrativa [dell’’Unione] n.  […] del […] con la quale è stata disposta l’esclusione della procedura selettiva indetta dal Comune […] nonché di ogni atto presupposto connesso e/o consequenziale, […] in particolare, la determinazione del Comune […] [che] nell’approvare l’avviso di mobilità esterna, poneva come requisito di partecipazione il non aver procedimenti penali in corso”.

Il testo menzionato, come è facilmente immaginabile, ha lasciato pochissimi dubbi ai cittadini di Greve in Chianti e ai colleghi della medesima, su quale fosse l’identità del Signora contro cui stava ricorrendo il Comune, dando inoltre informazioni su dati particolari come da Art. 10 del Reg. EU 679/2016.

Nel corso dell’istruttoria, le due amministrazioni si sono difese affermando che:

  • la pubblicazione fosse obbligatoria ai sensi del D.Lgs. 33/2013
  • la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome.

Il Garante, evidentemente non dello stesso parere, ha sanzionato il Comune e l’Unione di Comuni per 4.000 e 6.000 euro.

Ad aggravare il tutto c’era stato il precedente parere positivo del Responsabile per la protezione dei dati (Rpd/Dpo) dell’ente, il quale aveva creduto legittimo usare le iniziali di nome e cognome, pratica già diffusamente criticata dal Garante in numerosi interventi.

Se l’allegato contiene dati personali, questi vanno oscurati

La Regione Campania ha pubblicato online un documento, allegato ad una proposta di delibera, il quale conteneva i dati personali (nominativo e residenza) degli interessati, nonché informazioni relative al debito maturato per un risarcimento del danno, con specificazione del relativo ammontare, da parte della Regione nei loro confronti in esecuzione di una sentenza esecutiva.

La Regione Campania fra le proprie memorie difensive aveva, tra le altre, affermato: “i dati riportati all’interno dell’url in contestazione erano stati inseriti in conseguenza dell’obbligo di cui all’art. 73 del D. Lgs. 118/2011, relativo al procedimento di riconoscimento della legittimità di debiti fuori bilancio delle Regioni, a mente del quale “il Consiglio regionale riconosce con legge, la legittimità dei debiti fuori bilancio derivanti da: a) sentenze esecutive […]”, imponendo in capo agli enti la pubblicazione di tutti i documenti posto a supporto della relativa richiesta»;

Il Garante ha invece sottolineato che le norme citate, atte al controllo della Corte dei Conti, non prevedevano in alcun modo la diffusione online dei dati personali degli interessati e ha così sanzionato la Regione Campania per 4.000 euro.

L’episodio relativo alla Regione Campania se pur difforme ai precedenti, è qui riportato, poiché emblematico della facilità con cui spesso vengono pubblicati online documenti che posso rilevare direttamente o indirettamente dati personali di interessati e di come possa essere facile per i dipendenti pubblici, se pur certi di essere nel giusto, cadere in errore.

Conclusioni

In tema di accesso civico nella battaglia tra Trasparenza e Privacy, la domanda che sovente mi viene chiesta, è: “Chi vince?”.

La risposta apparentemente semplice, che mi capita di dare è: la Trasparenza è la regola, la Privacy è l’eccezione.

Il Decreto Trasparenza, così come la “Linea Guida Recanti indicazioni operative ai fine della definizione delle esclusioni e dei limiti all’accesso civico all’art. 5 comma 2 del D.Lgs. 33/2013” non rende certo le cose semplici.

Ogni qualvolta che vi è la richiesta di un accesso civico o ogni qualvolta si debba dare pubblicità come da normativa, l’amministrazione pubblica in questione deve svolgere una valutazione bilanciando, caso per caso, tra l’interesse pubblico alla disclosure generalizzata e la tutela di altrettanto validi interessi privati.

La figura interna prevista dal D.Lgs. 33/2013 a prendere tale decisione all’interno dell’Ente è il Responsabile della prevenzione della corruzione e della trasparenza, il quale, suggerisco io, dovrebbe sempre ingaggiare il DPO Data Protection Officer, e valutare, se richiedere un parere al Garante.

Nell’articolo già segnalatovi oltre ad esservi un puntuale approfondimento vi è anche una check list, che potrebbe aiutare nel processo di valutazione caso per caso, per negare o confermare la richiesta di accesso.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4