Accesso civico ai dati sull’emergenza sanitaria detenuti da una scuola: necessario rispettare la privacy dei minori
Un caso affrontato dal Garante della Privacy durante la pandemia ha riguardato un comitato, costituito da famiglie, professionisti della scuola e studenti attivi nella società civile, con l’obiettivo unico di rendere piena trasparenza dello stato di diffusione del Covid-19 nelle Scuole. A questo fine inoltrò istanze di accesso civico generalizzato – ai sensi dell’art. 5 comma 2, del d. lgs. n. 33/2013 – a diversi Istituti scolastici per ottenere dati sotto la forma di «“Report Sars-Cov2”.
Come noto la normativa prevede che, «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (artt. 5, comma 2, d. lgs. n. 33/2013).
L’ art. 5-bis prevede che l’accesso civico debba essere rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (comma 2, lett. a), ed è, comunque «escluso», nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3).
Il Garante, si è espresso sulla sussistenza del limite derivante dalla protezione dei dati personali di cui all’art. 5-bis, comma 2, lett. a), d.lgs. n. 33/2013. Ciò con particolare riferimento ai dati relativi all’emergenza sanitaria detenuti da istituti scolastici (numero settimanale, da inizio della raccolta, diviso per singolo circolo/scuola e singolo plesso: degli alunni positivi in isolamento, in quarantena e sottoposti a tampone; di casi in attesa di esito; di classi in isolamento o quarantena e di classi focolaio).
Al riguardo, è stato osservato che i dati riferiti a persone fisiche, identificate o identificabili, che hanno contratto il virus da Covid-19 rientrano nella definizione di dati sulla salute, i quali sono esclusi dall’accesso in virtù delle eccezioni assolute di cui all’art. 5-bis, comma 3, d.lgs. n. 33/2013. Inoltre, è stato osservato che le informazioni riferite a persone fisiche, identificate o identificabili, che – pur non essendo positive al Covid-19 – erano state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento erano in ogni caso di natura particolarmente delicata, essendo peraltro riferite nel caso in esame a soggetti minorenni.
Peraltro, le informazioni che erano state richieste, anche se prive dell’indicazione del nome e del cognome degli alunni, contenevano dati di dettaglio che, “laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute”, potevano consentire di risalire all’identità dei soggetti coinvolti.
Ciò anche considerando il ristretto ambito di riferimento, la variabilità del numero di casi (che settimanalmente potevano essere anche esigui), il particolare regime di pubblicità dei dati ricevuti tramite accesso civico e il raffronto dei dati richiesti con altre informazioni eventualmente in possesso di terzi (provv. 23 aprile 2021, n. 157, doc. web n. 9582723).
In conclusione è evidente dal caso esaminato che l’accesso civico generalizzato pur rappresentando uno strumento azionabile da chiunque deve sottostare alle rigide regole di data Protection e ciò in particolare quando si ha a che fare con dati sullo stato di salute e di minori.