E’ legittimo il rifiuto della regione di ostendere i dati relativi ai soggetti contagiati da Covid-19 a fronte di una richiesta di accesso civico.

Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Parere su istanza di accesso civico n. 155 del 3 settembre 2020

Il fatto

Nel parere oggetto di commento, il responsabile per la prevenzione della corruzione e della trasparenza della regione Valle d’Aosta aveva chiesto al Garante per la protezione dei dati personali di valutare la legittimità del provvedimento della Regione stessa con cui era stato accolta soltanto parzialmente la richiesta di accesso civico su alcuni dati in possesso della pubblica amministrazione.

In particolare, un giornalista aveva richiesto un accesso civico alla regione Valle d’Aosta avente ad oggetto il rilascio dei dati relativi ai casi di Covid 19 che si erano verificati all’interno del territorio regionale, suddivisi per comune, sesso, età, esito della malattia, domicilio dei soggetti coinvilti, data della diagnosi di infezione, numero dei tamponi ed esiti per ogni paziente nonché numero e distribuzione dei casi di infezione per ognuno dei comuni facenti parte del territorio della regione.

A fronte della suddetta richiesta di accesso, la Regione aveva acconsentito soltanto parzialmente ad ostendere i dati richiesti, ritenendo che fosse legittimo fornire soltanto parzialmente i dati ed in forma aggregata per garantire il rispetto della privacy degli interessati: nello specifico, l’amministrazione regionale aveva permesso al giornalista l’accesso soltanto al numero dei tamponi effettuati ogni settimana per ogni Comune, divisi per sesso, nonché al numero dei casi positivi totali e dei relativi guariti per ogni Comune, anch’essi divisi per sesso e al numero dei casi positivi e dei relativi guariti all’interno della regione, anch’essi divisi per sesso. Secondo detta amministrazione pubblica, infatti, permettere l’accesso totale a tutti i dati richiesti, avrebbe determinato un pregiudizio alla privacy degli interessati in quanto avrebbe comportato la comunicazione o la diffusione di informazioni relative allo stato di salute di soggetti che, anche in considerazione dell’esiguità demografica dei comuni della regione Valle d’Aosta, avrebbe potuto permettere al richiedente o a soggetti terzi di identificare gli interessati che erano stati contagiati dal virus.

Non soddisfatto della risposta della Regione, il giornalista ha presentato una richiesta di riesame dell’accesso civico e conseguentemente la Regione ha ritenuto opportuno, a propria volta, formulare una richiesta di parere al Garante per la protezione dei dati personali al fine di verificare se il rifiuto alla ostensione totale dei dati richiesti sia legittimo o meno dal punto di vista del rispetto della normativa privacy.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Il parere del Garante

Il Garante per la protezione dei dati personali ha preliminarmente rilevato come la richiesta di ostensione formulata dal giornalista riguardi dati relativi alla diffusione del Covid 19 all’interno dei comuni della regione Valle d’Aosta e quindi ha ad oggetto informazioni relativi a ciascun soggetto che è stato contagiato dal virus: tali informazioni sono strettamente personali come il sesso, l’età, l’esito dell’infezione, il domicilio, il numero e il risultato dei tamponi effettuati.

Ciò premesso, il Garante ha ricordato come la normativa che disciplina l’accesso pubblico, riconosce a qualunque soggetto il diritto di accedere ai dati e ai documenti che sono detenuti dalla Pubblica amministrazione, a condizione che vengano rispettati i limiti che sono previsti per tutelare degli altri interessi giuridicamente rilevanti. In particolare, prosegue il Garante è la stessa normativa che disciplina l’accesso civico a specificare come l’amministrazione pubblica debba rifiutare di ostendere i dati richiesti allorquando attraverso tale rifiuto si possa evitare un pregiudizio concreto degli interessati dei cui dati personali si tratta e addirittura deve escludere l’ostensione nei casi di in cui la legge preveda il divieto di accesso o di divulgazione dei dati stessi.

Ebbene, posto che dato personale è qualsiasi informazione che riguarda una persona fisica che sia identificata o identificabile e che i dati relativi alla salute hanno ad oggetto qualsiasi dato attinente alla salute fisica o mentale della persona o che comunque siano idonei a rivelare informazioni relative al suo stato di salute, il garante ha evidenziato come il codice privacy italiano preveda espressamente il divieto di diffondere e quindi di portare a conoscenza di soggetti indeterminati i dati relativi alla salute delle persone fisiche, anche qualora detta diffusione avvenga attraverso la semplice messa a disposizione di tali dati a soggetti terzi o comunque permettendone la loro consultazione.

In considerazione di ciò, il garante ha precisato che nel caso in cui l’istanza di accesso civico abbia ad oggetto i dati relativi alla salute di una persona è necessario escludere l’accesso civico.

A tal proposito il Garante ha rilevato altresì che, nel caso di specie si deve ritenere che i dati e le informazioni relativi a persone che abbiano contratto il virus Covid 19 rientrano senza dubbio all’interno della definizione di dati sulla salute e pertanto, in applicazione di quanto appena esposto, deve essere escluso l’accesso civico volto all’ostensione di detti dati.

Tale divieto opera anche nel caso per cui il Garante è stato richiesto di esprimere il parere, nonostante i dati e le informazioni richieste dal giornalista non contengano l’indicazione del nome e del cognome dei soggetti contagiati. Infatti, la richiesta di accesso civico formulata dal giornalista ha ad oggetto dati personali (quali la diffusione all’interno del Comune, il sesso, l’età, il numero e l’esito dei tamponi, il domicilio dei contagiati nonché la data della diagnosi dell’infezione per ogni paziente) che se portati a conoscenza di terzi possono permettere la identificazione degli interessati. La mole e la tipologia di dati richiesta con l’accesso, quindi, non garantisce che gli interessati a cui dati si riferiscono non possano essere re-identificati dallo stesso richiedente o anche da soggetti terzi che abbiano la disponibilità di ulteriori e diverse informazioni che, incrociate con quelli comunicati dall’amministrazione pubblica, permettano di identificare gli interessati anche a posteriori.

In altri termini, secondo il Garante, il richiedente o altri soggetti terzi potrebbero utilizzare delle ulteriori informazioni dei quali egli fossero in possesso per incrociarli con i dati comunicati dall’amministrazione pubblica e così poter identificare anche a posteriori i soggetti contagiati dal virus. Ciò, a maggior ragione, se si considera che i comuni della regione Valle d’Aosta sono per la maggior parte demograficamente piccoli e pertanto è più facile, incrociando i dati comunicati con delle informazioni anche verbali acquisibili direttamente nel territorio comunale, risalire all’identità dei soggetti coinvolti e quindi conoscere il loro stato di salute.

In conclusione, il Garante per la protezione dei dati personali ha quindi affermato che è legittima la decisione della regione Valle d’Aosta di accordare un accesso civico soltanto parziale al giornalista, rifiutando di ostendere i dati e le informazioni che avrebbero potuto permettere, anche attraverso l’incrocio con dati diversi, l’individuazione dei soggetti interessati e quindi prendere conoscenza del loro stato di salute.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento