Indice
1.I fatti
Il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) del Comune di Cattolica ha inviato all’Autorità Garante per la protezione dei dati personali una richiesta di parere su di un’istanza di accesso civico che era stata in precedenza ricevuta dal medesimo Comune.
In particolare, il richiedente aveva chiesto all’amministrazione comunale l’accesso civico rispetto alla documentazione relativa alla procedura di liquidazione di n. 5 sinistri elencati in due determine dirigenziali. Tuttavia, l’amministrazione comunale aveva rifiutato l’accesso civico, in quanto le pratiche di risarcimento di cui veniva chiesto l’accesso riguardavano le lesioni subite da persone fisiche a seguito di sinistri che si erano verificati nel territorio comunale e pertanto erano ivi presenti dei dati “relativi alla salute” dei soggetti danneggiati che pertanto erano per legge esclusi dalla ostensione in base ad accesso civico. In secondo luogo, l’amministrazione comunale aveva ritenuto di non poter fornire al richiedente neanche la documentazione con l’oscuramento dei dati personali degli interessati.
Non soddisfatto della decisione, il richiedente aveva richiesto il riesame al RPCT del Comune, evidenziando che i documenti richiesti riguardavano i contributi economici corrisposti a persone che non avevano problemi di salute ma che semplicemente rivendicavano un danno subito a causa di un sinistro. Tuttavia, il RPCT, ritenendo di dover confermare il diniego già formulato dal Comune, ha chiesto al Garante il proprio parere sull’istanza di accesso.
2. I principi applicabili
Preliminarmente il Garante privacy ha ricordato che l’accesso civico è finalizzato a garantire delle forme diffuse di controllo delle funzioni istituzionali e sull’impiego delle risorse pubbliche nonché di permettere a chiunque di partecipare al dibattito pubblico. Per tale finalità, quindi, la normativa di settore permette a chiunque di accedere ai dati e ai documenti in possesso della pubblica amministrazione che non sono già stati oggetto di pubblicazione, purchè vengano rispettati i limiti della tutela degli interessi giuridicamente rilevanti dei soggetti coinvolti. In particolare, il limite più rilevante è quello rappresentato dalla tutela dei dati personali dei controinteressati: pertanto, la normativa sull’accesso civico prevede che l’Ente richiesto debba rifiutare l’accesso quando ciò sia necessario per evitare un pregiudizio concreto alla tutela dei dati personali.
In secondo luogo, il Garante ha evidenziato come la normativa in materia di accesso civico prevede altresì che detto accesso deve essere rifiutato nei casi in cui il divieto di accesso o di divulgazione dei dati è previsto per legge.
Partendo da tali presupposti, il Garante per la protezione dei dati personali ha evidenziato come i dati e i documenti oggetto dell’istanza di accesso civico, nel caso in cui detta istanza venga accolta, divengono pubblici e conseguentemente ogni soggetto ha diritto di conoscerli e di utilizzarli e riutilizzarli (anche se ogni loro uso o riuso configura un nuovo e ulteriore trattamento, che pertanto deve essere compiuto rispettando i limiti previsti dal GDPR e dalla normativa in materia di privacy).
Potrebbe interessarti anche:
- Garante sanziona struttura sanitaria dal cui sito internet si poteva facilmente accedere ai dati sanitari di 1700 utenti
- La Regione, titolare del trattamento dei dati sanitari, risponde anche nel caso di trattamento illegittimo su richiesta del Ministero
- Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free
3. Il parere del Garante
Nel caso in esame, il Garante ha ritenuto che la richiesta di accesso civico riguardi documenti relativi alle liquidazioni di sinistri subiti da persone fisiche, che si sostanzia in delle perizie medico-legali volte a quantificare il risarcimento dei danni subiti da tali persone.
Ciò premesso, il Garante ha evidenziato come il codice privacy prevede un espresso divieto di diffusione dei dati relativi alla salute, cioè esclude la possibilità di portare detti dati a conoscenza di soggetti indeterminati, in qualunque forma, ivi compresa la loro messa a disposizione o la loro consultazione.
In considerazione di ciò, il caso in esame rientra in una delle ipotesi di esclusione dell’accesso civico previste dalla legge.
Il Garante non ha ritenuto convincenti le argomentazioni del richiedente l’accesso, secondo cui la richiesta riguardava l’accesso a documenti finalizzati a valutare se la liquidazione del danno fosse giusta o eccessiva e pertanto non si tratterebbe di dati relativi alla salute. Secondo l’Autorità, infatti, il Regolamento europeo definisce dati relativi alla salute ogni informazione personale che riguardi la salute fisica o mentale di una persona fisica e che riveli informazioni relative al suo stato di salute. Pertanto, in tale definizione rientrano anche i dati di quelle persone fisiche che si sono sottoposte a delle perizie medico legali per ottenere la liquidazione del danno subito in un sinistro. Inoltre, il Garante ha ricordato che nella suddetta categoria di dati “particolari” rientra qualsiasi informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia, l’esistenza di una patologia oppure una condizione di invalidità, disabilità o handicap di una persona.
In considerazione di tutto quanto sopra, il Garante per la protezione dei dati personali ha ritenuto di concordare con il provvedimento di diniego all’accesso civico adottato dal Comune di Cattolica ed ha altresì condiviso la posizione di detta amministrazione comunale circa l’impossibilità di procedere ad un’ostensione dei documenti richiesti con l’oscuramento dei nominativi dei soggetti coinvolti, in quanto sarebbe comunque possibile identificare detti soggetti in maniera indiretta, attraverso gli ulteriori dati e informazioni che sono contenuti nella documentazione richiesta o che potrebbero essere comunque in possesso di terzi.
In conclusione, il Garante ha ritenuto che la soluzione adottata dal Comune di Cattolica, di pubblicare sul sito web istituzionale le determinazioni dirigenziali con cui sono stati liquidati i sinistri de quo, mediante l’indicazione dei soli importi liquidati e la descrizione generale del sinistro (senza alcun dato personale), appare idonea a garantire le esigenze di informazione alla collettività che sono alla base della normativa in materia di accesso civico e allo stesso tempo è rispettosa della normativa in materia di protezione dei dati personali .
Volume consigliato:
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento