Parere su una istanza di accesso civico - 2 luglio 2020
Registro dei provvedimenti n. 114 del 2 luglio 2020
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);
Visto l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d. lgs. 30 giugno 2003, n. 196 (di seguito “Codice”);
Visto l’art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;
Vista la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);
Visto il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Antonello Soro;
PREMESSO
Gli artt. 1-sexies ss. del d.l. n. 416 del 30/12/1989 (convertito in l. n. 39 del 28/2/1990) recante «Norme urgenti in materia di asilo politico, di ingresso e soggiorno dei cittadini extracomunitari e di regolarizzazione dei cittadini extracomunitari ed apolidi già presenti nel territorio dello Stato» disciplinano il SIPROIMI, ossia il «Sistema di protezione per titolari di protezione internazionale e per minori stranieri non accompagnati» (denominato, prima della modifica apportata dall’art. 12 del d.l. n. 113 del 4/10/2018, «Sistema di protezione per richiedenti asilo e rifugiati» - SPRAR).
Nell’ambito del quadro normativo citato e del “Sistema di protezione per richiedenti asilo e rifugiati” - SPRAR, il Comune di Carfizzi ha presentato apposito progetto finalizzato all’accoglienza dei soggetti coinvolti, che – dopo essere stato ammesso al finanziamento da parte del Ministero dell’Interno – è stato appaltato per il triennio 2017-2019, tramite gara pubblica, ad “AGAPE Cooperativa sociale a r.l. - Onlus” per la gestione e organizzazione dei servizi di accoglienza di richiedenti/titolari di protezione internazionale e dei loro familiari beneficiari di protezione umanitaria.
In tale quadro, il Comune di Carfizzi ha ricevuto un’istanza di accesso civico – ai sensi dell’art. 5, comma 2, del d. lgs. n. 33/2013 – volta a prendere visione della documentazione detenuta dall’amministrazione locale relativa alla rendicontazione del predetto progetto SPRAR e, nello specifico, ai seguenti documenti:
«1. Rendicontazione completa del progetto SPRAR/SIPROIMI (comprensiva dei documenti e degli allegati previsti dal “Manuale unico di rendicontazione”) relativa all’anno 2018;
2. Allegato 13 della stessa rendicontazione (anche se inviato in un momento successivo al termine finale di rendicontazione);
3. Comunicazioni mensili dei posti disponibili in struttura inviate al Servizio Centrale;
4. Atti della/e procedura/e di selezione del revisore contabile indipendente del progetto e relativi atti di conferimento dell’incarico;
5. Relazione finale del revisore contabile indipendente a valere sulla rendicontazione 2018».
L’amministrazione, dopo aver coinvolto la cooperativa AGAPE nel procedimento di accesso civico in qualità di soggetto controinteressato (la quale si è opposta all’ostensione dell’intera documentazione), ha accordato un accesso civico parziale; fornendo solo alcuni documenti e rappresentando di non poter fornire gli ulteriori atti in quanto i «documenti per cui è richiesta la visione contengono dati sensibili riguardanti persone (beneficiari, operatori, professionisti, operatori economici e commerciali) e rientrano tra quelli esclusi dall’art. 5 bis comma due del D. Lgs. n. 33/2013 “Esclusioni e limiti all’accesso civico”».
In particolare risulta che siano stati già forniti i file denominati:
• Carfizzi 2018_dichiarazione obbligatoria finale;
• Carfizzi 2018_Dichiarazione beni;
• Carfizzi 2018_dichiarazione strutture;
• Carfizzi 2018_Durc Ente attuatore Agape;
• Carfizzi 2018_Convenzione
Il richiedente l’accesso civico ha quindi presentato una richiesta di riesame, insistendo nelle proprie richieste. In particolare, è stata lamentata la carenza di motivazione del provvedimento di accoglimento parziale e l’errata identificazione di AGAPE come soggetto controinteressato, rappresentando che in relazione ai documenti richiesti non sono state fornite «tutte le fatture che compongono la rendicontazione» e «quasi tutti gli allegati obbligatori della rendicontazione», compreso l’allegato 13 richiesto; le «Comunicazioni mensili dei posti disponibili in struttura inviate al Servizio Centrale»; gli atti di tutte le procedure per la selezione del revisore contabile e la dichiarazione di assenza di cause d’incompatibilità compreso il contratto e/o disciplinari d’incarico; la «Relazione finale del revisore contabile indipendente a valere sulla rendicontazione».
Il Responsabile della prevenzione della corruzione e della trasparenza (di seguito “RPCT”) del Comune di Carfizzi ha chiesto, quindi, al Garante di fornire parere sulla questione, come previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013.
OSSERVA
1. Introduzione
La richiesta di accesso civico ha a oggetto l’ostensione di tutta la documentazione relativa alla rendicontazione dell’anno 2018 del progetto “Sistema di Protezione per Richiedenti Asilo e Rifugiati” - SPRAR 2017/2019 appaltato alla cooperativa AGAPE dal Comune di Carfizzi. Il RPCT nella richiesta di parere al Garante ha evidenziato che in ogni caso «la predetta documentazione è già stata trasmessa al Ministero dell’Interno – Servizio Centrale SPRAR per i dovuti controlli».
Il Comune ha inoltre allegato, nella richiesta di parere al Garante ai fini della relativa istruttoria, tutta la documentazione oggetto dell’accesso civico. Si tratta di 15 file allegati alla rendicontazione, contenenti un gran numero di atti e documenti, di oggetto e specie differente, riportanti dati e informazioni di natura diversa riferiti a numerosi soggetti terzi coinvolti nel progetto SPRAR, per i quali è, di conseguenza, necessario operare distinte valutazioni in ordine ai profili di competenza di questa Autorità, limitati in ogni caso alla sola protezione dei dati personali.
2. Sulla motivazione del provvedimento di riscontro dell’accesso civico presentato
Si fa presente, in primo luogo, che nelle Linee guida dell’Anac in materia di accesso civico è indicato che nella risposta alle istanze di accesso civico «l’amministrazione è tenuta a una congrua e completa, motivazione, tanto più necessaria in una fase sicuramente sperimentale quale quella che si apre con le prime richieste di accesso. La motivazione serve all’amministrazione per definire progressivamente proprie linee di condotta ragionevoli e legittime, al cittadino per comprendere ampiezza e limiti dell’accesso generalizzato, al giudice per sindacare adeguatamente le decisioni dell’amministrazione» (parr. 4.2, 5.3; nonché «Allegato. Guida operativa all’accesso generalizzato», n. 13).
Nel caso sottoposto all’attenzione del Garante, invece, come rilevato anche nella richiesta di riesame, il riscontro eccessivamente sintetico fornito dall’amministrazione sull’accesso civico presentato non consente di far comprendere al soggetto istante le effettive ragioni per cui l’ostensione dei documenti richiesti tramite l’accesso civico possa causare un pregiudizio concreto alla protezione degli interessi dei soggetti controinteressati indicati nell’art. 5-bis, comma 2, del d. lgs. n. 33/2013, tale da giustificare l’accoglimento solo parziale della predetta richiesta di accesso.
3. Sul coinvolgimento dei soggetti controinteressati
I soggetti “controinteressati” nel procedimento relativo all’accesso civico sono tutti coloro (persone fisiche, persone giuridiche, associazioni, ditte individuali o altri enti) che possono subire un pregiudizio concreto a uno degli interessi indicati nell’art. 5-bis, comma 2, lett. a), b) e c), del d. lgs. n. 33/2013; ossia, in generale, la protezione dei dati personali; la libertà e la segretezza della corrispondenza; gli interessi economici e commerciali di persone fisiche o giuridiche, fra cui la proprietà intellettuale, il diritto d’autore e i segreti commerciali (art. 5, comma 5, del d. lgs. n. 33/2013).
Sotto tale profilo, il Comune ha identificato come unico soggetto controinteressato, coinvolgendolo nel procedimento di accesso civico, la cooperativa AGAPE che ha presentato una formale opposizione all’accesso, evidenziando la necessità di evitare un pregiudizio ai dati e alle informazioni personali contenute nella documentazione richiesta. Indipendentemente dalla definizione di soggetto controinteressato prima riportata, si evidenzia che, contrariamente a quanto rappresentato dal soggetto istante nella richiesta di riesame, il coinvolgimento di AGAPE nel procedimento relativo all’accesso civico appare quanto mai opportuno, anche considerando che si tratta del soggetto che ha “formato” gli atti richiesti, “detenuti” poi dal Comune ai fini del progetto SPRAR.
In relazione, invece, alla presenza di ulteriori soggetti controinteressati, si evidenzia che, ai sensi della disciplina di settore prima richiamata, anche tutte le persone fisiche coinvolte nel progetto SPRAR, cui si riferisce l’ampia documentazione oggetto dell’accesso, vanno qualificate come tali, potendo subire un pregiudizio concreto alla protezione dei propri dati personali derivante dalla relativa eventuale ostensione.
Ciò nonostante, visto che il Comune ha in ogni caso fornito un accesso civico solo parziale, privo di dati personali, il mancato coinvolgimento di tutti i soggetti controinteressati appare giustificato anche ai sensi di quanto riportato nelle Linee guida dell’ANAC in materia di accesso civico, laddove è indicato che (par. 8.1.) «il soggetto destinatario dell’istanza, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato, privilegiando l’ostensione di documenti con l’omissione dei “dati personali” in esso presenti, laddove l’esigenza informativa, alla base dell’accesso generalizzato, possa essere raggiunta senza implicare il trattamento dei dati personali. In tal modo, tra l’altro, si soddisfa anche la finalità di rendere più celere il procedimento relativo alla richiesta di accesso generalizzato, potendo accogliere l’istanza senza dover attivare l’onerosa procedura di coinvolgimento del soggetto “controinteressato”». A ciò si aggiunge che, nelle medesime Linee guida, è anche precisato che «quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali “dati personali”) non necessarie [allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico] oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta dovrebbe accordare l’accesso parziale ai documenti, oscurando i dati personali ivi presenti».
3. Sulle valutazioni da effettuare in ordine alla possibilità di accordare l’ostensione dei documenti richiesti
Nella richiesta di riesame sul provvedimento di accoglimento parziale dell’accesso civico, il soggetto istante ha evidenziato i punti per i quali ritiene non corretta la scelta del Comune di non rendere ostensibile tutta la documentazione domandata, ribadendo, pertanto, la richiesta di accesso civico anche a informazioni personali, indicando quelle desiderate e quelle da oscurare.
Al riguardo, deve essere ricordato che l’accesso civico va rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla «protezione dei dati personali, in conformità con la disciplina legislativa in materia» ed è, in ogni caso “escluso” nei casi «di divieti di […] divulgazione previsti dalla legge» (art. 5-bis, commi 2, lett. a, e 3, del d. lgs. n. 33/2013).
Occorre evidenziare che «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Sono, pertanto, sottratte dai profili di competenza di questa Autorità e dall’ambito di applicazione della disciplina in materia di protezione dei dati personali le persone giuridiche, gli enti e le associazioni, che non possono beneficiare del citato limite all’accesso civico di cui all’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013.
Ciò premesso, occorre aver presente che, nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono), deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso alle informazioni e ai documenti richiesti.
Inoltre, è necessario rispettare in ogni caso i principi del RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c).
Con particolare riferimento al caso in esame, concordando anche con quanto rappresentato dal RPCT del Comune nella richiesta di parere al Garante in ordine alla possibilità di fornire ulteriore documentazione senza ledere il diritto alla protezione dei dati personali, si ritiene necessario affrontare le specifiche criticità inerenti ai singoli file che contengono atti e documenti oggetto di possibile ostensione, individuati dall’amministrazione e inviati a questa Autorità ai fini della propria istruttoria dal RPCT nella richiesta di parere, denominati: «Allegato 1_piano finanziario [preventivo]»; «Allegato 2_piano finanziario rimodulato»; «allegato 3_prospetto di rendicontazione finale»; «Allegato 4_quadro riassuntivo dei pagamenti effettuati dal comune in favore dell'ente attuatore [agape]»; «Allegato 5_registro delle spese»; «Allegato 6_quadro riassuntivo dei pagamenti»; «Allegato 7 _relazione finale del revisore SPRAR 2018»; «Allegato 8_disciplinare di incarico revisore contabile»; «Allegato 9_polizza fideiussoria»; «Allegato 10_costo orario def» «Allegato 11_ dettaglio personale»; «Allegato 12_prospetto versamento oneri; «Allegato 13 _registro erogazioni»; «Allegato 14 _registro presenze»; «Allegato 15_giustificativi».
4. Sui documenti contenenti dati aggregati o non riferiti a persone fisiche (allegati 1-4 e 9)
Alla luce di quanto già evidenziato nel paragrafo precedente, con specifico riferimento ai documenti denominati «Allegato 1_piano finanziario [preventivo]»; «Allegato 2_piano finanziario rimodulato»; «allegato 3_prospetto di rendicontazione finale»; «Allegato 4_quadro riassuntivo dei pagamenti effettuati dal comune in favore dell'ente attuatore [agape]» e «Allegato 9_polizza fideiussoria» – fermo restando ogni altra valutazione circa l’esistenza di ulteriori limiti all’accesso civico – non è possibile richiamare il limite della protezione dei dati personali previsto dall’art. 5, comma 2, lett. a), del d. lgs. n. 33/2013 in quanto tali atti contengono solo dati aggregati o riferiti alla cooperativa Agape.
5. Sui documenti che riguardano il soggetto revisore contabile (allegati 7 e 8)
Occorre in primo luogo ricordare che la normativa statale in materia di trasparenza già prevede l’obbligo di pubblicazione online delle informazioni riferite a consulenti e collaboratori dell’ente (fra cui rientra anche il soggetto designato revisore contabile), per le quali non è possibile eccepire alcun limite derivante dalla protezione dei dati personali. Si tratta in particolare degli estremi dell’atto di conferimento dell’incarico; del curriculum vitae; dei dati relativi allo svolgimento di incarichi o la titolarità di cariche in enti di diritto privato regolati o finanziati dalla pubblica amministrazione o lo svolgimento di attività professionali; dei compensi, comunque denominati, relativi al rapporto di consulenza o di collaborazione, con specifica evidenza delle eventuali componenti variabili o legate alla valutazione del risultato (art. 15, comma 1, lett. a-d, del d. lgs. n. 33/2013).
Rispetto a tali oneri informativi, si ritiene che il Comune – ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell’ANAC, conformemente ai precedenti orientamenti di questa Autorità (cfr. parere contenuto nel provv. n. 230 del 18/4/2018, in www.gpdp.it, doc. web n. 8987117) – abbia correttamente respinto l’istanza di accesso civico all’«Allegato 8_disciplinare di incarico revisore contabile» richiesto, che riporta ulteriori dati e informazioni di contesto contenuti nel «disciplinare di incarico» riferiti al revisore contabile, la cui ostensione potrebbe determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto controinteressato (peraltro non coinvolto nel procedimento relativo all’accesso civico), arrecando a quest’ultimo quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall'art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013.
Il documento denominato «Allegato 7 _relazione finale del revisore SPRAR 2018» contiene, invece, il verbale di verifica amministrativa e contabile del revisore (che riporta anche la propria dichiarazione circa l’inesistenza di cause di incompatibilità e/o di confitto di interesse, domandata dal soggetto istante nella richiesta di riesame) con i relativi allegati. Per tali atti non è possibile richiamare il limite della protezione dei dati personali previsto dall’art. 5, comma 2, lett. a), del d. lgs. n. 33/2013 per negare l’ostensione dell’intera documentazione. Ciò in quanto alcuni specifici dati ivi contenuti possono essere agevolmente oscurati per consentire l’ostensione del documento richiesto ai sensi dell’art. 5-bis, comma 4, del d. lgs. n. 33/2013. Si tratta nello specifico dei dati riferiti al rappresentante del Comune e al revisore contabile, quali il luogo e la data di nascita, il codice fiscale, gli estremi e la copia della carta identità, l’indirizzo, il numero di cellulare, l’e-mail e la firma autografa, la cui generale conoscenza tramite l’accesso civico può comportare un pregiudizio ai soggetti controinteressati ed è contraria al principio di minimizzazione dei dati (in quanto non «limitati a quanto necessario rispetto alle finalità» di trasparenza ai sensi dell’art. 5, par. 1, lett. c, del RGPD), nonché di informazioni «non necessarie [allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico] oppure [di] informazioni personali di dettaglio che risult[a]no comunque sproporzionate, eccedenti e non pertinenti» (Line guida dell’ANAC in materia di trasparenza, par. 8.1).
6. Sui documenti che riguardano i pagamenti e le spese sostenute per il progetto SPRAR (allegati 5, 10-15)
I documenti contenuti negli allegati 5 e da 10 a 15 contengono, fra l’altro, un enorme numero di dati e informazioni personali di diversa specie e natura riferiti, a seconda dei singoli atti, a persone fisiche (rifugiati e richiedenti asilo, dipendenti, lavoratori, ecc.), nonché a persone giuridiche, associazioni enti. È necessario quindi effettuare le opportune distinzioni.
6.1. Registro delle erogazioni e delle presenze riferiti a soggetti richiedenti asilo ai fini del riconoscimento dello status di rifugiato (all. 13 e 14)
Nella documentazione oggetto di accesso vi sono innumerevoli atti contenenti dati di natura particolarmente delicata - sia con riferimento alla sola identità dei richiedenti asilo (in alcuni casi anche minori) e dei rifugiati, che in relazione ai benefici economici ricevuti o ai giorni di presenza nei centri di accoglienza -, la cui generale conoscenza tramite l’istituto dell’accesso civico può essere fonte di discriminazione o foriera di rischi specifici per i soggetti interessati, anche considerando la possibile ricostruzione della vita e delle abitudini dei soggetti ospitati nei centri di accoglienza, sottoposti peraltro a protezione internazionale e tutelati dalla Convenzione di Ginevra sullo statuto dei rifugiati del 1951. Si concorda, pertanto, con la decisione dell’amministrazione di rifiutare l’accesso a qualsiasi dato e informazione riferiti, anche indirettamente, a tali soggetti (peraltro in tutti i casi minorenni o giovani dai 18 ai 35 anni), per evitare un rischio concreto per la protezione dei relativi dati personali ai sensi dell’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Ciò anche ricordando, con riferimento particolare ai soli benefici economici, che anche la normativa in materia di trasparenza prevede un espresso divieto di diffusione di dati dei soggetti beneficiari di aiuti economici laddove «da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, del d. lgs. n. 33/2013), con la conseguenza di ricadere, per queste specifiche informazioni, in un caso di esclusione assoluta dell’accesso civico vigendo un espresso «diviet[o] di […] divulgazione previst[o] dalla legge» (art. 5-bis, comma 3, del d. lgs. n. 33/2013).
Per i summenzionati motivi, ai sensi del richiamato art. 5-bis, comma 3, del d. lgs. n. 33/2013, deve essere “escluso” l’accesso civico all’«allegato 13 _registro erogazioni» che contiene il nominativo dei beneficiari (tutti soggetti che, secondo quanto riportato dal RPCT, sono richiedenti asilo fra i 18 e i 35 anni), il numero di giorni di presenza nella struttura di accoglienza diviso per i singoli mesi, l’importo giornaliero e totale del beneficio economico ricevuto (c.d. pocket money), la data e la firma del soggetto interessato.
Analogamente – anche considerando il particolare regime di pubblicità che caratterizza l’istituto (art. 3, comma 1, del d. lgs. n. 33/2013) – va rifiutato l’accesso civico all’«Allegato 14 _registro presenze», che contiene il nominativo dei soggetti interessati (che, secondo quanto riportato, dal RPCT sono richiedenti asilo minorenni), con indicazione dei giorni di presenza mensile e dell’indirizzo della struttura adibita ad accoglienza.
Al riguardo, non è possibile accordare – come invece domandato dal soggetto istante nella richiesta di riesame – neanche un accesso civico parziale, oscurando i nominati dei soggetti interessati e la firma. Ciò in quanto tale accorgimento non elimina del tutto la possibilità che i soggetti richiedenti asilo siano re-identificati, anche indirettamente, tramite gli ulteriori dati di dettaglio e di contesto contenuti nella documentazione richiesta o mediante altre informazioni in possesso di terzi. A tale riguardo, come prima ricordato, si considera infatti “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
Nulla osta, invece – allo scopo di soddisfare comunque le esigenze informative alla base dell’accesso civico e di «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) – a fornire al soggetto istante dati aggregati, non riferibili ai singoli soggetti richiedenti asilo e, in ogni caso, privi, in quanto tali, di qualsiasi informazione idonea a identificarli anche indirettamente.
6.2. Retribuzioni, cedolini, buste paga e altri dati riferiti a dipendenti e lavoratori (all. 10-12)
Quanto ai dati personali riferiti a dipendenti e lavoratori, non possono essere condivise le osservazioni riportate dal soggetto istante nella richiesta di riesame secondo le quali fornire l’«elenco del personale non viola la riservatezza dei soggetti coinvolti, né trattasi di informazioni dannose agli stessi, se rese pubbliche», in quanto «La diffusione di tale informazione (tra l’altro già nota, in considerazione delle ridotte dimensioni del comune), infatti, non può danneggiare in alcun modo i lavoratori, potendo rappresentare l’esperienza lavorativa, in un progetto innovativo come lo Sprar, solo una nota positiva nel proprio bagaglio culturale e professionale, e non certo dannosa per l’immagine del collaboratore». Inoltre, sempre secondo il soggetto istante, con riferimento alle buste paga sarebbe possibile la relativa concessione «omettendo le parti del documento non accessibili (ad es., nella busta paga, fruizione permessi l. 104, maternità, cessioni del quinto, residenza, codice fiscale, iban, ma non di certo il nominativo, la qualifica, il periodo di competenza ed il netto corrisposto».
In relazione ai predetti dati personali, laddove non sia già previsto un regime di pubblicità ai sensi della normativa in materia di trasparenza (es: per organi di vertice dirigenti, consulenti, collaboratori laddove riconducibili alle fattispecie previste agli artt. 14 e 15 del d. lgs. n. 33/2013), questa Autorità si è già espressa con ampiezza di argomentazioni in numerosi casi ritenendo sussistente, contrariamente a quanto sostenuto dal soggetto istante, la sussistenza del limite previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Nel caso in esame, si ritiene che non vi siano motivi per cambiare il proprio orientamento, peraltro considerando che i soggetti controinteressati non sono stati coinvolti nel procedimento relativo all’accesso civico.
Pertanto, con riferimento a tali dati personali riferiti a dipendenti e lavoratori, quali nominativo e retribuzioni, nonché, in ogni caso, cedolini dello stipendio, buste paga, tipologia contrattuale, ore lavorate, costo orario, straordinari, data di pagamento, presenze al lavoro – ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico, conformemente ai precedenti orientamenti del Garante in materia di accesso civico ai dati dei dipendenti (cfr. pareri contenuti nei seguenti provvedimenti: n. 185 del 10/10/2019, in www.gpdp.it, doc. web n. 9198091; n. 186 del 10/10/2019, ivi, doc. web n. 9198098; n. 60 del 14/3/2019, ivi, doc. web n. 9102014; n. 164 del 12/9/2019, ivi, doc. web n. 9157101; n. 54 del 7/3/2019, ivi, doc. web n. 9102429; n. 48 del 28/2/2019, ivi, doc. web n. 9103079; n. 29 del 7 febbraio 2019, in www.gpdp.it, doc. web n. 9086520; n. 485 del 29/11/2018, ivi, doc. web n. 9063969; n. 373 del 31/5/2018, ivi, doc. web n. 9001960; n. 142 dell´8/3/2018, ivi, doc. web n. 8684742) – si ritiene che, considerando la tipologia e la natura dei dati anche di tipo economico riferiti a lavoratori e il particolare regime di pubblicità dei dati oggetto di accesso civico, dall’ostensione dei dati e delle informazioni richieste potrebbero derivare ai soggetti interessati ripercussioni negative sul piano sociale, relazionale e professionale, comportando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Ciò anche pensando alle possibilità di carriera o a eventuali impieghi futuri in contesti diversi, nonché alle ragionevoli aspettative di confidenzialità dei soggetti interessati e alla non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.). L’ostensione di dati di dettaglio dell’attività lavorativa è, inoltre, contraria al principio di minimizzazione dei dati laddove non «limitati a quanto necessario rispetto alle finalità» di trasparenza ai sensi dell’art. 5, par. 1, lett. c, del RGPD.
Sotto tale profilo, è del tutto irrilevante la circostanza, rappresentata dal soggetto istante, per la quale «l’esperienza lavorativa, in un progetto innovativo come lo Sprar» non potrebbe «danneggiare in alcun modo i lavoratori, potendo rappresentare, solo una nota positiva nel proprio bagaglio culturale e professionale, e non certo dannosa per l’immagine del collaboratore», in quanto, ad esempio, anche la stessa notizia di aver effettuato un’attività lavorativa presso una ONLUS (la cooperativa AGAPE) che gestisce un progetto presso un centro di accoglienza e con soggetti richiedenti asilo rappresenta di per sé è un’informazione di natura delicata che non necessariamente si ha l’interesse a rendere pubblica; né può essere considerato, al riguardo, un elemento favorevole all’ostensione il fatto che l’identità dei lavoratori sarebbe «già nota, in considerazione delle ridotte dimensioni del comune», poiché non è detto che sia tale anche in altre realtà territoriali.
Pertanto, alla luce di tali considerazioni, si ritiene che il Comune abbia correttamente respinto l’istanza di accesso civico all’«Allegato 10_costo orario def», all’«Allegato 11_ dettaglio personale» e all’«Allegato 12_prospetto versamento oneri», che contengono – rispettivamente – il nominativo di n. 16 dipendenti della cooperativa AGAPE e il dettaglio, diviso anche per mensilità, dei pagamenti effettuati con indicazione delle specifiche riportate nella busta paga (retribuzione lorda annua, mensile e numero di mensilità; oneri sociali e previdenziali annui a carico del datore di lavoro; quota TRF; numero di ore annuali previste da contratto; costo orario); tipologia contrattuale; totale ore lavorate (da busta paga); totale ore lavorate sul progetto; percentuale di ore imputazione al progetto; costo orario; totale costo imputato al progetto; totale ore straordinarie lavorate sul progetto; importo retribuito ore straordinarie; data di pagamento; importo netto busta paga; importi tributari relativi alle addizionali regionali e comunali, Irpef e Irap versati.
Anche in questo caso, non si ritiene possibile accordare neanche un accesso civico parziale, oscurando i nominati dei soggetti interessati. Ciò in quanto tale accorgimento non elimina del tutto la possibilità che i soggetti interessati siano re-identificati, anche all’interno dello stesso luogo di lavoro, tramite gli ulteriori dati di dettaglio e di contesto contenuti nella documentazione richiesta.
Nulla osta, invece alla possibilità di fornire dati aggregati, non riferibili ai singoli dipendenti e, in ogni caso, privi, in quanto tali, di qualsiasi informazione idonea a identificare i lavoratori anche indirettamente.
6.3. Registro delle spese, quadro riassuntivo dei pagamenti (all. 5-6)
In relazione ai documenti denominati «Allegato 5_registro delle spese»; «Allegato 6_quadro riassuntivo dei pagamenti», occorre precisare che gli stessi contengono un quadro dettagliato di centinaia di voci di spesa con indicazione dei soggetti che hanno ricevuto pagamenti (società, ditta individuale, persona fisica), della tipologia di giustificativo di pagamento (fattura, ricevuta, nota di debito, buste paga ecc.), della modalità di pagamento (bonifico, pos, assegno, contanti), della data del pagamento, degli importi del pagamento (sia quello indicato nel giustificativo che quello imputato al progetto).
Al riguardo, come è già è stato evidenziato nel precedente par. 3, tutti i dati e le informazioni riferite a società, persone giuridiche, enti o associazioni non rientrano nella definizione di “dato personale” (riferibile solo a persone fisiche, fra cui rientrano anche i nominativi indicati nelle “ditte individuali”) esulano dalla competenza di questa Autorità ai sensi dell’art. 4, par. 1, n. 1, del RGPD.
Sul punto, si ritiene di concordare almeno parzialmente con quanto rappresentato dal RPCT nella richiesta di parere al Garante, laddove è rappresentata la possibilità di consentire l’ostensione dei predetti documenti escludendo, però, «i dati personali e le altre informazioni capaci di identificare, anche indirettamente una pluralità di soggetti terzi interessati» in quanto idonei a causare un pregiudizio concreto alla protezione dei dati personali ai sensi dell’art. 5-bis, comma 2, lett. a), nei seguenti termini.
Con esclusivo riferimento alle informazioni riguardanti persone fisiche, potrebbero essere presenti fra le tipologie di spesa effettuata alcune informazioni per le quali è previsto un obbligo di pubblicazione, alla luce del quale non è possibile richiamare alcun limite derivante dalla protezione dei dati personali. Il riferimento è, ad esempio, a eventuali pagamenti a professionisti o consulenti, riconducibili alla fattispecie di cui all’art. 15 del d lgs. n. 33/2013. In tal caso, spetta all’amministrazione destinataria della richiesta di accesso civico effettuare tale tipo di controllo.
Quanto invece a eventuali spese (pagamenti, benefici economici o rimborsi) in favore di soggetti richiedenti asilo si ritiene che, per i motivi già indicati nel precedente paragrafo 6.1., non è possibile fornire alcun tipo di informazione o dato a essi singolarmente riferiti (es. importo, data di pagamento, ecc.). Ciò neanche tramite oscuramento del relativo nominativo, a causa del pericolo di una possibile re-identificazione (anche potenziale) di tali soggetti da parte di terzi attraverso l’interconnessione o il raffronto con altri dati e informazioni eventualmente posseduti. È possibile però fornire, come già detto, il dato aggregato relativo al complesso delle spese effettuate in favore di tali “categorie di persone”.
Analogamente, non si ritiene possibile fornire i dati personali riportati negli allegati 5 e 6, relativi alle voci di spesa riferite ai singoli stipendi pagati mensilmente per ogni dipendente con indicazione dell’importo mensile, neanche mediante oscuramento del nominativo del lavoratore, per i motivi già indicati nel precedente par. 6.2. Ciò considerando che, in ogni caso, il dipendente potrebbe essere facilmente re-identificato all’interno dello stesso luogo di lavoro (ad esempio dai colleghi), tenendo anche conto del numero esiguo (nella misura di qualche decina) dei soggetti interessati.
Anche in questo caso, sarà possibile però fornire dati aggregati, non riferibili ai singoli dipendenti, ma relativi al complesso dei pagamenti effettuati per tutti gli impiegati.
6.4. Giustificativi dei pagamenti (all. 15)
Questione molto più complessa è quella riguardante la valutazione in ordine all’ostensione di tutta l’enorme mole di informazioni contenute nel documento denominato «Allegato 15_giustificativi». Si tratta, invero di una vera e propria una banca dati non strutturata, divisa in numerose cartelle e sottocartelle, contenenti la copia di tutti i giustificativi (fatture, scontrini, note di debito e di pagamento, biglietti, ecc.) con i relativi numerosi allegati contenenti a volte anche il documento d’identità e quasi sempre il codice iban su cui effettuare i pagamenti; presentati per ognuna delle 30 voci indicate nel registro delle spese e divise per mese di pagamento.
Dato il volume dei documenti, dati e informazioni ivi presenti, non è stato possibile esaminarli del dettaglio e nella loro interezza.
In questo caso, trattandosi di un caso di accesso di tipo “massivo”, si rinvia alle indicazioni contenute nelle Linee guida dell’ANAC in materia di accesso civico (in particolare par. 4.2. e punto n. 5 dell’«Allegato. Guida operativa all’accesso generalizzato»), nonché nella Circolare del Ministro per la semplificazione e la pubblica amministrazione n. 2/2017 recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)» (parr. 7 e 8); invitando l’amministrazione ad avviare eventualmente un dialogo cooperativo con il richiedente l’accesso «nel tentativo di ridefinire l’oggetto della richiesta entro limiti compatibili con i principi di buon andamento e di proporzionalità». Ciò anche considerando, la necessità di coinvolgere nel procedimento un elevato numero di soggetti controinteressati e di operare le conseguenti operazioni di individuazione, selezione e oscuramento di dati personali, peraltro molto onerose in termini tempo e di risorse umane impiegate.
In ogni caso, in generale, dall’analisi che si è potuto effettuare, dato anche il breve termine concesso al Garante (10 giorni) per l’adozione del parere, è stata riscontrata la presenza di informazioni di dettaglio su forniture per acquisto di beni e servizi; su rimborsi per spese o biglietti; su rimborsi e pagamenti per rifugiati (es.: voci di spesa I2, I5) o per soggetti esterni; su buste paga dei dipendenti comprensive del bonifico effettuato e dei relativi dati bancari (es.: voci di spesa p1, p2, p4, p5, p6).
A campione è stata analizzata più nel dettaglio la voce A1 nella quale sono presenti n. 5 file, fra cui quello relativo al mese di febbraio in cui è presente la scannerizzazione pari a n. 12 pagine contenente copia degli scontrini fiscali per il rimborso delle spese sostenute da un dipendente per la partecipazione a un corso di formazione pari in totale a € 75,80, con indicazione dei dati del lavoratore (nominativo, residenza, codice fiscale, codice iban su cui effettuare il pagamento, date e oggetto del corso di formazione effettuato, data e luogo in cui si è mangiato e alloggiato). Analogamente, per la voce A2 sono presenti n. 10 file, fra cui quello relativo al mese di marzo in cui è presente la scannerizzazione pari a n. 2 pagine contenente la ricevuta per il professionista incaricato «per l’attività si supervisione psicologica occasionale dell’equipe agape presso il centro SPRAR asilo di Carfizzi» con indicazione del nominativo del professionista, importo ricevuto, bonifico bancario con indicazione dell’indirizzo, codice iban e istituto bancario su cui accreditare le somme.
Pertanto – ferma restando ogni altra valutazione circa l’esistenza di ulteriori limiti all’accesso civico di cui all’art. 5-bis, comma 2, lett. c) del d. lgs. n. 33/2013 con riferimento alle informazioni riferibili a società, persone giuridiche, enti o associazioni – in relazione ai dati personali presenti nell’«Allegato 15_giustificativi», valgono le considerazioni già espresse nei precedenti paragrafi 6, 6.1, 6.2, 6.3, 6.4 circa l’esistenza di casi di esclusione o di rifiuto dell’accesso civico per la presenza di un pregiudizio concreto alla tutela della protezione dei dati personali dei soggetti controinteressati previsto dall’art. 5-bis, comma 2, lett. a), del citato decreto o per violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD).
Per tutti i dati personali riferiti a soggetti diversi da quelli oggetto dei precedenti paragrafi è necessario effettuare le valutazioni previste dalla normativa in materia di accesso civico, verificando, caso per caso, l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali di cui all’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013, previo coinvolgimento dei soggetti controinteressati; provvedendo in ogni caso a oscurare dati personali contrari al principio di minimizzazione (es: codici iban, documenti di riconoscimento, recapiti personali, indirizzo di residenza ecc.).
Sulle modalità con cui effettuare tale valutazione è possibile far riferimento alle Linee guida dell’ANAC in materia di accesso civico più volte citate, al cui contenuto, pertanto, si rinvia integralmente (cfr., in particolare, il par. 8 intitolato «I limiti derivanti dalla protezione dei dati personali»), unitamente ai precedenti pareri del Garante in materia di accesso civico pubblicati sul sito web istituzionale (https://www.garanteprivacy.it/temi/accesso-civico), massimati sul portale “FOIA - Centro nazionale di competenza” del Dipartimento della Funzione Pubblica della Presidenza del Consiglio dei Ministri (http://www.foia.gov.it/pareri/).
TUTTO CIÒ PREMESSO IL GARANTE
esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza Comune di Carfizzi, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.
Fonte: Garante per la Protezione dei Dati