Archivio 2018 25 Ott 2018 - 7:46

Privacy, presenze, straordinari e cedolini: no ad accesso di dati che svelano abitudini di vita

Di Avv. Marco Barone

Con provvedimento doc. web n. 9049940 del 27 settembre 2018 il Garante in materia di tutela dei dati personali è stato chiamato ad esprimere un parere su una istanza di accesso civico

La disciplina dell’accesso civico

La disciplina di settore in materia di accesso civico contenuta nel d. lgs. n. 33/2013 prevede che l’accesso civico è istituto preordinato a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» e che, in tale contesto, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2).

La medesima normativa sancisce che l’accesso civico è “rifiutato”, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a)).

In tale quadro, sotto il profilo procedurale, occorre evidenziare che l’amministrazione cui è indirizzata la richiesta di accesso civico è tenuta a coinvolgere i controinteressati, individuati ai sensi dell’art. 5-bis, comma 2 (art. 5, comma 5, del d. lgs. n. 33/2013), al fine di consentirgli di presentare un’eventuale opposizione e che il Garante deve essere sentito dal Responsabile della prevenzione della corruzione e della trasparenza nel caso di riesame a esso presentato, laddove l’accesso sia stato negato o differito per motivi attinenti alla tutela della «protezione dei dati personali, in conformità con la disciplina legislativa in materia» (artt. 5, comma 7; 5-bis, comma 2, lett. a)).

Sul dato personale

Si ricorda, in proposito, che per «dato personale» deve intendersi «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del Regolamento).

La predetta disciplina di fonte europea prevede, inoltre, che il trattamento dei dati personali debba avvenire nel rispetto dei principi indicati dall’art. 5, fra cui quello di «minimizzazione dei dati», secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (par. 1, lett. c)).

Si ricorda, inoltre, che ai sensi del Codice «I diritti di cui agli articoli da 15 a 22 del Regolamento [, fra cui il «diritto di opposizione»,] riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1).

L’accesso civico ed i dati relativi a presenze, straordinari e cedolini dei dipendenti

In relazione alla richiesta di accesso civico ai «Dati e fogli presenza», «cartellini e rilevazione delle presenze sul luogo di lavoro (ad esclusione dei dati inerenti alle assenze di malattia), nonché alle informazioni sulle «ore di straordinario liquidate» ed ai relativi «cedolini emessi per il pagamento» si osserva quanto segue.

La predetta documentazione, anche se epurata dai dati inerenti alle assenze per malattia (come richiesto nell’istanza di accesso), contiene in ogni caso una estesa gamma di dati e informazioni diversi, particolarmente delicata, anche considerando il lungo arco temporale a cui sono riferiti e si desidera accedere (dai due ai quattro anni a seconda dei dipendenti).

Dati e fogli presenza dei lavoratori non sono atti pubblici

In merito, occorre precisare in via preliminare che, contrariamente a quanto rappresentato dall’istante nella richiesta di accesso (citando peraltro in modo improprio la sentenza del TAR Campania n. 5901/2017), per i dati e i fogli di presenza dei lavoratori non è previsto alcun tipo di regime di pubblicità e non è possibile considerarli, in alcun modo, come «atti pubblici».

Quanto alla possibilità di chiederne l’ostensione tramite l’istituto dell’accesso civico, deve essere tenuta in considerazione la circostanza per la quale – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).

Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso ai documenti e alle informazioni richieste.

No all’accesso civico di dati idonei a svelare le abitudini personali e di vita del dipendente

La generale conoscenza per un periodo così lungo (da due a quattro anni) delle informazioni relative a tutte le presenze (con relativi orari di entrata e uscita) e alle assenze dei lavoratori; unita, peraltro, alla specificazione delle ore di straordinario effettuato e alla relativa liquidazione riportata nel cedolino dello stipendio, può avere ripercussioni negative sul piano personale e sociale degli stessi, consentendo una ricostruzione molto dettagliata della vita e delle abitudini personali. Sul punto, si concorda con quanto osservato dal Responsabile della prevenzione della corruzione e della trasparenza secondo il quale «la piena conoscenza, riguardante un periodo lavorativo di tre anni, degli orari di entrata e di uscita, dei periodi di assenza (ferie, permessi per legge 104/1992 o per gravi motivi personali o qualsiasi altra assenza giustificata), delle possibili sospensioni dell’attività lavorativa quotidiana (permessi brevi o permessi per servizio) delle ore di straordinario prestato ed eventualmente retribuito, [può] essere idonea a svelare le abitudini personali e di vita del dipendente, e [può] essere tale da determinare un’interferenza ingiustificata e sproporzionata nei suoi diritti e nelle sue libertà».

Peraltro, con riferimento ai dati contenuti nel cedolino dello stipendio, come evidenziato nelle Linee guida dell’ANAC in materia di accesso civico, una «indiscriminata circolazione» dei dati ivi contenuti, siccome in certi casi «utili per accedere a prestiti e finanziamenti», potrebbe «favorire il verificarsi di eventuali furti di identità o di creazione di identità fittizie attraverso le quali esercitare attività fraudolente» (cfr. par. 8.1. e nota n. 12).

Per tutto quanto sopra descritto, si ritiene che – conformemente ai precedenti orientamenti del Garante in materia (cfr. i pareri contenuti nei provvedimenti n. 190, del 10/4/2017, in www.gpdp.it, doc. web n. 6383028; n. 369 del 13/9/2017, ivi, doc. web n. 7155944) – ai sensi della normativa vigente e delle richiamate indicazioni contenute nelle Linee guida dell’ANAC, il Ministero abbia correttamente rifiutato l’accesso civico. L’ostensione dei dati e delle informazioni richieste, relative alle presenze e agli straordinari dei dipendenti sopra descritti, unita al particolare regime di pubblicità dei dati oggetto di accesso civico, può infatti arrecare a seconda delle ipotesi e del contesto in cui le informazioni fornite possono essere utilizzate da terzi, proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013. Ciò anche tenendo in adeguata considerazione le ragionevoli aspettative di confidenzialità dei soggetti coinvolti, in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dal Ministero; nonché la non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

Per completezza, si ricorda, che in ogni caso la disciplina statale in materia di trasparenza «allo scopo di tutelare i diritti dei cittadini, promuovere la partecipazione degli interessati all’attività amministrativa e favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche» (art. 1, comma 1, del d. lgs. n. 33/2013) ha già previsto specifici obblighi a carico delle pubbliche amministrazioni in relazione alla relativa «dotazione organica», sancendo la pubblicazione online di specifici dati aggregati privi di dati personali.

Nello specifico, è infatti prevista la pubblicazione dei «dati relativi al costo complessivo del personale a tempo indeterminato in servizio, articolato per aree professionali, con particolare riguardo al personale assegnato agli uffici di diretta collaborazione con gli organi di indirizzo politico», nonché dei «dati relativi ai tassi di assenza del personale distinti per uffici di livello dirigenziale» (art. 16, commi 2 e 3, del d. lgs. n. 33/2013).