[doc. web n. 9953563]

Parere su istanza di accesso civico - 5 ottobre 2023

Registro dei provvedimenti
n. 466 del 5 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione (ANAC), adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente l’«Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (di seguito “RPCT”) del Ministero della Difesa, presentata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33 del 14/3/2013;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (doc. web n. 1098801);

VISTA la documentazione in atti;

PREMESSO

Con nota in atti il RPCT del Ministero della Difesa ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, in ordine a un provvedimento di diniego parziale di un’istanza di accesso civico.

Dall’istruttoria è emerso che è stata presentata una richiesta di accesso civico avente ad oggetto:

1) i «dati numerici relativi alla consistenza organica del personale militare in servizio, in riferimento agli anni 2018, 2019, 2020, 2021, 2022 e 2023, suddivisa per: - Esercito; - Marina; - Aeronautica; - Arma dei Carabinieri»;

2) per gli anni 2018, 2019, 2020, 2021, 2022 e 2023:

- «la percentuale del personale militare in servizio dell’Esercito, della Marina, dell’Aeronautica e dell’Arma dei Carabinieri, vaccinata anti covid.19 con 1, 2 e 3 dosi;

- la quantità di personale militare dell’Esercito, della Marina, dell’Aeronautica e dell’Arma dei Carabinieri, disposto in quiescenza;

- la quantità di personale militare in servizio dell’Esercito, della Marina, dell’Aeronautica e dell’Arma dei Carabinieri, deceduto, riportando la data del decesso»

Il soggetto istante ha rappresentato nella domanda di accesso di voler ottenere i predetti dati considerando che «l’art.4 ter.1 DL 44/2021 ha disposto l’obbligo vaccinale anti covid.19 per tutto il comparto difesa e sicurezza» e che «i dati richiesti sarebbero fondamentali (se incrociati con altri dati statistici) al fine di meglio valutare gli eventi avversi che possono scaturire dalla vaccinazione anti covid.19».

Il Ministero ha accolto l’istanza con riferimento ai dati richiesti, a eccezione delle date di decesso dei militari, rispetto alle quali ha eccepito oltre che un «difetto di interesse della collettività generale dei cittadini», anche ragioni di «riservatezza dei dati personali», rappresentando che «l’ostensione delle date di decesso, pur se prive di riferimenti nominativi, consentirebbe una facile e immediata identificazione dei dati personali dei singoli deceduti, tale da ritenere che la disclosure possa risultare eccessiva anche in termini di privacy».

Con nota in atti il soggetto istante ha presentato al RPCT richiesta di «riesaminare il diniego parziale espresso […] [dal] Ministero», sul presupposto che «l’ostensione dei dati richiesti non viola la privacy dei soggetti, previo oscuramento delle generalità (nome e cognome)».

OSSERVA

1. Introduzione

Ai sensi della normativa di settore in materia di accesso civico generalizzato, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2, d. lgs. n. 33/2013).

In relazione ai profili di competenza di questa Autorità, si evidenzia, che il citato art. 5-bis prevede che l’accesso civico generalizzato è rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a).

Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, RGPD). Ai sensi della richiamata disciplina europea «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

Ciò premesso, occorre avere presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b) e c)).

Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

In relazione ai «dati personali delle persone decedute», la normativa europea in materia di protezione dei dati personali, il RGPD stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27).

In tale quadro, il legislatore italiano ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f, del d. lgs. n. 101 del 10/8/2018).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali. Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili (v. provv. n. 2 del 10/1/2019, in www.gpdp.it, doc. web n. 9084520. Sui dati dei deceduti cfr. anche provv. n. 118 del 7/4/2022, ivi, doc. web n. 9772545; n. 90 del 23/3/2023, ivi, doc. web n. 9888188).

2. I dati dei soggetti vaccinati

In relazione ai dati dei soggetti vaccinati, si ritiene utile ricordare che la normativa statale di settore contenuta nel Decreto del Ministero della salute del 17/9/2018 recante «Istituzione dell'Anagrafe nazionale vaccini» in attuazione dell’art. 4-bis del d.l. n. 73 del 7/6/2017 (su cui il Garante ha reso il parere n. 438 del 26/7/2018, in www.gpdp.it, doc. web n. 9025504) prevede che nella predetta anagrafe siano registrati a livello nazionale, fra gli altri dati, i soggetti vaccinati e da sottoporre a vaccinazione, le dosi e i tempi di somministrazione delle vaccinazioni effettuate, le date di eventuale decesso.

Il regime di conoscibilità delle predette informazioni è regolamentato nell’art. 4 del citato decreto intitolato «Accesso ai dati» che disciplina le modalità di accesso dei soggetti istituzionali ai dati degli assistiti, rigorosamente, «in forma aggregata e anonima», subordinando quindi l’accesso dei predetti dati «al rispetto di specifiche condizioni, modalità o limiti» (cfr. art. 5-bis, comma 3, del d. lgs. n. 33/2013).

3. Il caso sottoposto all’attenzione del Garante

La peculiarità della fattispecie in esame risiede in primo luogo nella circostanza che l’istanza di accesso civico è stata formulata al Ministero della difesa con specifico riferimento a una precisa e più ristretta categoria professionale (i militari), per i quali la disciplina di settore ha previsto specifici obblighi vaccinali anti Covid-19.

In particolare, oggetto di accesso civico risultano essere dati numerici aggregati riguardanti il personale militare in servizio e in quiescenza, divisi per arma (Esercito, Marina, Aeronautica e Carabinieri) e singolo anno (dal 2018 al 2023), con indicazione delle percentuali di soggetti vaccinati (divise per numero di dosi da 1 a 3) e delle percentuali di soggetti deceduti con specificazione delle singole date di decesso di ciascun militare.

In tale contesto, risulta che i dati richiesti sono quindi in linea di massima dati numerici e percentuali, a eccezione delle date di decesso dei militari che sono richieste in forma disaggregata.

Dagli atti risulta, inoltre, chiaramente che il soggetto istante non ha necessità dei dati identificativi dei militari, avendo ribadito di non volere ricevere «le generalità (nome e cognome)» degli stessi e che i dati richiesti compresivi però anche della data di decesso del militare, sarebbero necessari soprattutto – come dichiarato nella domanda di accesso civico – “se incrociati con altri dati statistici”, al fine “di meglio valutare gli eventi avversi che possono scaturire dalla vaccinazione anti covid.19”.

Si ritiene quindi dirimente effettuare un’adeguata valutazione, anche alla luce di quanto dichiarato dal soggetto istante, circa il rischio di reidentificabilità dei militari tramite l’ostensione dei dati richiesti, derivante anche dal possibile raffronto o incrocio dei dati con altre fonti, banche dati o dati statistici che possono fornire informazioni ulteriori sui militari stessi.

4. Il dato anonimo

Per identificazione «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, del 10/4/2014, in https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf).

Come sancito dal RGPD, le informazioni anonime sono le «informazioni che non si riferiscono a una persona fisica identificata o identificabile o [i] dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato» (cons. n. 26).

Anonimizzare un documento o un database significa, quindi, effettuare un trattamento successivo di dati personali in modo tale che gli stessi non possano più essere attribuiti “a una persona specifica”.

L’anonimizzazione è, infatti, il risultato del trattamento di dati personali volto a impedire irreversibilmente l’identificazione dei soggetti interessati (Gruppo art. 29-WP29, Opinion 05/2014 on Anonymisation techniques, cit.). Nel mettere in atto tale procedimento, il titolare del trattamento deve tener conto di diversi elementi e prendere in considerazione tutti i mezzi che “possono ragionevolmente” essere utilizzati per l’identificazione dei soggetti interessati anche a posteriori (ivi).

Esistono, al riguardo, diverse pratiche e tecniche di anonimizzazione (es.: la randomizzazione e la generalizzazione, l’aggiunta del rumore statistico, le permutazioni, la privacy differenziale, l’aggregazione, il k-anonimato, la l-diversità, la t-vicinanza, ecc.), che presentano gradi variabili di affidabilità, con differenti punti di forza e debolezza. Tali tecniche offrono garanzie di protezione della sfera privata efficaci soltanto se la loro applicazione viene progettata in maniera adeguata, con decisione caso per caso, utilizzando – se possibile – anche combinazione di tecniche diverse (ivi). Ciò anche ricordando che un insieme di dati resi anonimi può comunque presentare rischi residui per le persone interessate (ivi).

5. Osservazioni sul rischio di reidentificazione nel caso in esame

Nel quadro descritto, si evidenzia che si considerano dati aggregati, e quindi non identificativi, «le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia» e che «Il valore minimo attribuibile alla soglia è pari a tre» (art. 4, comma 1, lett. a, recante i «Criteri per la valutazione del rischio di identificazione», delle «Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101», provv. n. 514 del 19/12/2018, in www.gpdp.it, doc. web n. 9069677).

Il rischio di reidentificazione dell’interessato va, pertanto, accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici” (cfr. considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).
Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).

Pertanto, è necessario valutare adeguatamente il rischio di reidentificazione, rispettando le opportune soglie di aggregazione dei dati che devono essere proporzionate al campione di riferimento e alle informazioni ivi contenute.

Sul punto, si ricorda che, in linea generale, «la sola applicazione ex-ante di tecniche di aggregazione, non consente sempre di prevenire casi di singolarità all’interno di un campione. In aggiunta, possono, infatti, verificarsi di frequente situazioni, variabili in ragione del contesto, nelle quali la disponibilità di una informazione ausiliaria da parte di un soggetto terzo (cd attaccante) può consentire la re-identificazione di un interessato presente in un campione sottoposto a preventive tecniche di aggregazione» (cfr. par. 7, provv. n. 87 del 19/5/2020, in www.gpdp.it, doc. web n. 9370217).

Nel caso sottoposto all’attenzione di questa Autorità – come d’altronde evidenziato dalla relazione del Ministero – è stato precisato che l’amministrazione non può fornire le date di decesso dei militari sulla base del fatto che «nel caso della richiesta ostensiva in argomento, pur applicando le misure atte a mitigare un’eccessiva esposizione dell’informazione, quale ad esempio l’anonimizzazione (ovvero privare la data di decesso di ogni riferimento nominativo), comunque non verrebbe meno l’identificabilità della persona defunta, giacché la data del decesso — combinata all’appartenenza alle Forze Armate/Arma dei Carabinieri — consentirebbe un’agevole ricostruzione, seppur indirettamente, dell’identità del de cuius. Ciò, anche nella considerazione della ragionevole esiguità del numero dei militari in servizio in una determinata Forza Armata e deceduti in un determinato giorno».

Allo stato degli atti, quindi, non emergono elementi che consentono a questa Autorità di potersi discostare dalle citate valutazioni effettuate dal Ministero – sul quale, in base al principio di accountability/«responsabilizzazione» del titolare del trattamento – ricade la valutazione, in concreto, in ordine alla natura identificativa dei dati richiesti e al rischio di reidentificazione dei soggetti interessati (art. 5, par. 2, e 24 del RGPD).

Ciò, tenendo conto del rischio di reidentificabilità dei militari connessi alla ostensione della data di decesso in forma disaggregata unitamente agli altri dati aggregati riferiti alla singola categoria interessata (quella delle forza armate), perdipiù divisa per arma e anno (in una soglia temporale ristretta agli ultimi cinque anni), nonché della possibilità (e volontà) rappresentata dal soggetto istante (o, dato il regime di pubblicità propria dell’accesso civico, anche di soggetti terzi) di incrociare e raffrontare i dati richiesti con altre informazioni (banche dati o dati statistici).

Le esigenze conoscitive dichiarate dal soggetto istante (ossia valutare meglio gli eventi avversi che possono scaturire dalla vaccinazione anti covid-19) debbono poter essere raggiunte in conformità alla disciplina in materia di protezione dei dati personali, tramite adeguate tecniche di anonimizzazione, senza quindi fornire elementi che possano consentire di identificare, anche in maniera indiretta o a-posteriori, i militari interessati ancorché deceduti (vaccinati e non).

In tale contesto, si ritiene che la soluzione adottata dal Ministero di accogliere l’istanza di accesso civico ai soli dati numerici e aggregati indicati nella richiesta di accesso civico  – allo scopo di soddisfare in ogni caso le esigenze informative manifestate dal soggetto istante e alla base dell’istituto dell’accesso civico e di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – senza fornire però anche le date di decesso dei militari sia conforme alle regole in materia di protezione dei dati personali e al principio di minimizzazione dei dati previsto dal regolamento europeo in materia di protezione ei dati personali (art. 5, par. 1, lett. c, RGPD).

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza del Ministero della Difesa, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

In Roma, 5 ottobre 2023

IL PRESIDENTE
Stanzione