[doc. web n. 10259569]

Parere su istanza di accesso civico - 28 maggio 2026

Registro dei provvedimenti
n. 377 del 28 maggio 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione; 

PREMESSO

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza del Comune di Brescia ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su provvedimento di accoglimento parziale di un’istanza di accesso civico.

Dall’istruttoria risulta che una Società ha inoltrato una richiesta di accesso civico generalizzato al predetto Comune avente a oggetto l’«elenco completo delle autorizzazioni NCC attualmente attive rilasciate dal Comune di Brescia, con indicazione per ciascuna autorizzazione» dei seguenti dati:

- «Numero identificativo del titolo e stato dell'autorizzazione»;

- «Data di rilascio»;

- «Denominazione/ragione sociale (o nome e cognome per persone fisiche)»;

- «Natura giuridica del soggetto autorizzato»;

- «Sede legale e/o operativa»;

- «Indirizzo PEC ufficialmente comunicato ai fini dell'autorizzazione»;

- «Eventuali ulteriori recapiti professionali (telefono, email) comunicati all'Amministrazione».

Nell’istanza di accesso civico è stato anche chiesto, «Qualora l’Amministrazione ritenga che taluni dati debbano essere oggetto di oscuramento per ragioni di tutela della riservatezza», di ricevere «comunque l’ostensione parziale dei dati non soggetti a limitazione, ai sensi dell’art. 5-bis, comma 4, del D.Lgs. 33/2013».

La società richiedente l’accesso ha specificato che «la richiesta è finalizzata all’analisi dell’assetto autorizzativo vigente nel settore del trasporto pubblico non di linea».

Il Comune ha accolto la richiesta trasmettendo un file con indicazione del «numero identificativo del titolo e stato dell’autorizzazione», della «data di rilascio»; della «natura giuridica del soggetto autorizzato» (ditta individuale, società o onlus); della «sede legale», della «sede operativa (rimessa)». Nel file sono stati omessi i dati riguardanti la denominazione/ragione sociale e i contatti dei soggetti titolari delle licenze.

Il soggetto istante, lamentando fra l’altro la mancanza di motivazione delle predette omissioni e la non applicabilità della tutela dei dati personali a persone giuridiche e società, ha presentato una richiesta di riesame del provvedimento di accoglimento parziale al RPCT insistendo nelle proprie richieste. 

OSSERVA

1. Introduzione

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013). 

In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato art. 5-bis prevede che l’accesso civico generalizzato è:

- “escluso”, nei «casi in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti» (art. 5-bis, comma 3) ed è 

- “rifiutato”, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a).

Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Non rientrano, quindi, nella definizione di “dato personale” le informazioni riguardanti soggetti come, ad esempio, persone giuridiche, enti, associazioni, fondazioni, comitati o esercizi commerciali, che risultano sottratti dall’ambito di applicazione della disciplina in materia di protezione dei dati e, di conseguenza, non possono beneficiare della tutela di cui al citato art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 (cfr. anche cons. 14 del Regolamento UE 2016/679).

In relazione però alle informazioni relative alle imprese e ditte individuali, si evidenzia che le stesse possono costituire dati personali se consentono l’identificazione di una persona fisica (cfr. sent. Corte Giustizia UE 9/11/2010, cause C-92/09 e C-93/09, Volker und Markus Schecke e Eifert).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Osservazioni

In relazione al caso sottoposto all’attenzione di questa Autorità, dall’istruttoria è emersa la circostanza, sicuramente sintomatica, che il soggetto richiedente l’accesso è una società privata, XX, che risulta avere effettuato con carattere sistematico analoghe richieste di accesso civico a diversi enti locali. La citata società ha tra le sue attività, risultanti dal registro delle imprese e dal relativo sito web, [OMISSIS].

In tale contesto, si ricorda che la disciplina nazionale di settore prevede che la «licenza per l’esercizio del servizio di taxi e l’autorizzazione per l’esercizio del servizio di noleggio con conducente sono rilasciate dalle amministrazioni comunali» (art. 8, comma 1, della l. n. 21 del 15/1/1992, recante la «Legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea»).

Rispetto a tali dati – come ricordato anche dal Comune nel riscontro all’accesso civico – è stato «istituito un registro informatico pubblico nazionale delle imprese titolari di licenza per il servizio taxi effettuato con autovettura, motocarrozzetta e natante e di quelle di autorizzazione per il servizio di noleggio con conducente effettuato con autovettura, motocarrozzetta e natante» (Registro Elettronico NCC Taxi, di seguito “RENT”) presso il Centro elaborazione dati del Ministero delle infrastrutture e dei trasporti (art. 10-bis, comma 3, del d.l. n. 135 del 14/12/2018). Il Decreto Ministeriale n. 203 del 2/7/2024 – su cui questa Autorità ha fornito parere con provv. n. 328 del 23/5/2024 (in www.gpdp.it, doc. web n. 10019934) – ha regolato la tipologia di dati in esso contenuti (cfr. allegato A) e il relativo regime di accessibilità (art. 4), disciplinando le modalità di accesso e di funzionamento del predetto registro nazionale. 

Pertanto, lo stesso legislatore nazionale ha previsto uno speciale regime di conoscibilità dei dati riguardanti le autorizzazioni per il servizio di noleggio con conducente e contenuti nel RENT, definendo tipologia di dati eventualmente accessibili e soggetti legittimati ad accedervi, che è non derogabile dalla disciplina in materia di accesso civico generalizzato (cfr. provv. n. 31 del 23/1/2025, in www.gpdp.it, doc. web n. 10110495; n. 218 del 26/3/2026, ivi, doc. web n. 10240405; n. 366 del 20/6/2024, ivi, doc. web n. 10060992; Linee guida dell’ANAC in materia di accesso civico, par. 6.3). 

Nello specifico, è sancito che possano accedere ai dati contenuti nel RENT i soggetti indicati nell’art. 4, comma 1, lett. c) del citato Decreto, fra cui «chiunque sia legittimato ai sensi della legislazione vigente, unicamente per la consultazione dei dati di cui all’Allegato A, lettere a), ad esclusione del dato relativo alla sede legale nel caso di ditta individuale, c), e), h), i), l), m), n) e o)». Ai sensi di tale disposizione, le informazioni consultabili sono, in relazione alle autorizzazioni riguardanti il NCC, «denominazione, ragione sociale, codice fiscale, partita IVA, legale rappresentante o titolare dell’impresa»; sede legale dell’impresa a esclusione però della sede legale per le ditte individuali; Comune che ha rilasciato l’autorizzazione; uso in base al quale è immatricolata l’autovettura; numero dei posti incluso il conducente; denominazione commerciale del veicolo; codice di identificazione del natante a motore adibito al trasporto di persone in base a licenza e autorità presso cui è tenuto il codice identificativo del medesimo natante; tipologia e stazza lorda (tnl) del natante a motore; numero massimo di persone trasportabili dal natante a motore incluso l’equipaggio.

Si ricorda che fra le eccezioni assolute all’accesso civico, ossia fra le situazioni in cui l’accesso civico deve essere escluso senza necessità di effettuare alcun bilanciamento o valutazione in ordine all’esistenza di un eventuale pregiudizio concreto a interessi pubblici e privati, vi è il caso – come quello in esame – in cui l’accesso è subordinato dalla disciplina vigente «al rispetto di specifiche condizioni, modalità o limiti» (art. 5-bis, comma 3).

L’accesso civico alle informazioni richieste dalla Società istante riguardanti le autorizzazioni NCC rilasciate dal Comune va, di conseguenza, escluso secondo l’art. 5, comma 3, del d. lgs. n. 33/2013 in quanto la disciplina contenuta nel Decreto Ministeriale n. 203/2024, in attuazione dell’art. 10-bis, comma 3, del d.l. n. 135/2018, ne subordina l’accesso a specifici limiti e condizioni. 

A ciò si aggiunge che un’eventuale ostensione delle informazioni richieste dalla Società istante, che peraltro risulta aver effettuato istanze di accesso civico generalizzato del medesimo tenore anche ad altri Comuni del territorio, altera il regime di conoscibilità previsto per il RENT dal legislatore nazionale e le misure di sicurezza adottate dal Ministero ai sensi dell’art. 32 del RGPD. Ciò in quanto di fatto verrebbe consentita una duplicazione delle informazioni contenute in una banca dati nazionale di un soggetto pubblico da parte di soggetti privati, in assenza del consenso dei soggetti interessati o degli altri presupposti di liceità del trattamento previsti dall’art. 6, par. 1, del RGPD. Peraltro, tali dati verrebbero arricchiti con le ulteriori informazioni, chieste dalla Società istante, che neanche il legislatore nazionale ha previsto che possano essere oggetto di conoscibilità ai sensi dell’art. 4, comma 1, lett. c), del citato Decreto ministeriale. Il riferimento è, ad esempio, alla sede legale per le ditte individuali e agli indirizzi p.e.c. o ai recapiti forniti al Comune per il rilascio della licenza, con il possibile rischio di “usi impropri” e/o di “riutilizzo” e trattamento ulteriore dei dati personali per finalità non compatibili con quelle per le quali i dati personali sono stati inizialmente raccolti, in contrasto con quanto previsto dall’art. 6, comma 4, del RGPD.

Quanto alla circostanza rappresentata dalla Società istante nella richiesta di riesame, laddove è evidenziato che i dati richiesti riguardanti le autorizzazioni appartenenti a ditte individuali nelle quali il titolare è una persona fisica, come la «denominazione commerciale (o nome e cognome del titolare), PEC professionale […] attengono esclusivamente all’esercizio di un’attività d’impresa svolta in forza di un titolo autorizzativo pubblico, non alla sfera privata del soggetto» per cui «god[rebbero] di una tutela della riservatezza significativamente ridotta rispetto a quelli della vita privata», si rappresenta che quanto affermato non trova, per il caso in esame, alcun riscontro nella disciplina in materia di protezione dei dati personali e non risulta, pertanto, a essa conforme.

Come infatti ricordato nel citato provvedimento del Garante n. 521/2016, contenente l’«Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico» (cfr. anche provv. n. 241 del 24/4/2024, in www.gpdp.it, doc. web n. 10018263; n. 37 del 29/1/2023, ivi, doc. web n. 9870805; n. 35 del 29/1/2023, ivi, doc. web n. 9867327; n. 15 del 18/1/2018, ivi, doc. web n. 7689066; provv. n. 360 del 10/8/2017, ivi, doc. web n. 6969290; provv n. 506 del 30/11/2017, ivi, doc. web n. 7316508), in base alla giurisprudenza della Corte europea dei diritti dell’uomo, l’articolo 10 della Cedu non conferisce, in via generale, all’individuo il diritto di accesso alle informazioni in possesso delle autorità pubbliche, né obbliga tali autorità a conferire allo stesso le medesime informazioni. Un tale diritto, o un tale obbligo, può essere, infatti, ricondotto alla più ampia libertà di espressione tutelata dall’art. 10 della Cedu, soltanto in situazioni particolari e a specifiche condizioni. Tra queste, assume particolare rilievo la circostanza che le informazioni oggetto di accesso attengano a questioni di interesse pubblico e pertanto, l’accesso alle informazioni in possesso delle autorità pubbliche possa ritenersi strumentale all’esercizio della libertà del richiedente di ricevere e di diffondere al pubblico le medesime informazioni, tale per cui il diniego dell’accesso costituirebbe una lesione di questa libertà (cfr. sul punto il caso Magyar Helsinki Bizottság v. Ungheria, 8 Novembre 2016, parr. 156 e 160-163).

Inoltre, come indicato anche nelle Linee guida dell’ANAC sull’accesso civico, l’accesso “generalizzato” è servente rispetto alla conoscenza di dati e documenti detenuti dalla p.a. «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) (cfr. par. 8.1). Di conseguenza, quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessarie al raggiungimento del predetto scopo, oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato (ivi). 

Nel caso in esame, dagli atti non emergono con evidente chiarezza elementi che possano consentire di ritenere che la conoscenza generalizzata delle informazioni richieste – quali la sede operativa (che per le ditte individuali potrebbe coincidere anche con il domicilio o la residenza del soggetto interessato), l’indirizzo p.e.c. o eventuali ulteriori recapiti quali telefono o e-mail comunicati al Comune ai fini del rilascio dell’autorizzazione – possa essere strumentale a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico». Al contrario, considerando la tipologia e la natura dei predetti dati oggetto dell’istanza di accesso civico, la relativa conoscenza a soggetti terzi estranei – tenuto conto del particolare regime di pubblicità dei dati oggetto di accesso civico – determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati che peraltro non risultano coinvolti nel procedimento riguardante l’accesso civico impedendogli di presentare un eventuale opposizione motivata (art. 5, par. 1, lett. b e c, del RGPD), arrecando a quest’ultimi un possibile pregiudizio alla tutela dei dati personali (art. 5-bis, comma 2, lett. a, del d. lgs. n. 33/2013).

Resta chiaramente fermo che le informazioni oggetto di accesso civico, non riferite a persone fisiche o ditte individuali, ma riguardanti persone giuridiche, società, associazioni non rientrano nella definizione di «dato personale» secondo l’art. 4, par. 1, n. 1, del RGPD. Per tali dati resta quindi ferma ogni altra valutazione dell’amministrazione in ordine l’esistenza di ulteriori limiti all’accesso civico previsti per tutelare altri interessi privati secondo l’art. 5-bis, comma 2, lett. c), del d. lgs. n. 33/2013, fra cui anche gli «interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d’autore e i segreti commerciali», non sindacabili da questa Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla Responsabile della prevenzione della corruzione e della trasparenza del Comune di Brescia, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 28 maggio 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori