In relazione alla Privacy CILA e SCIA lo scorso 3 gennaio il Garante per la protezione dei dati personali ha reso un parere (il n. 1) di interesse anche per gli operatori degli uffici tecnici e per i professionisti, ribadendo [nota 1] che lo strumento dell’accesso civico generalizzato (di cui all’art. 5 comma 2 [2] del Decreto Legislativo n. 33/2013) non è utilizzabile per ottenere i dati personali contenuti nelle segnalazioni certificate di inizio attività e nelle comunicazioni di inizio lavori asseverate.
Come è noto, infatti, i suddetti titoli edilizi prevedono l’inserimento di numerosi dati personali ed informazioni, secondo il seguente prospetto riepilogativo:
– con riferimento al titolare: generalità anagrafiche, codice fiscale, residenza, e-mail, p.e.c., numero di telefono fisso e cellulare; relazione con l’immobile oggetto dell’intervento (ad esempio, proprietario, comproprietario, usufruttuario, ecc.);
– con riferimento all’intervento: tipologia, data di inizio e conclusione lavori, carattere eventualmente oneroso, ditta incaricata dei lavori, direttore dei lavori, progettista, eventuali altri tecnici di fiducia, elaborati grafici;
– con riferimento all’immobile: ubicazione, dati catastali, destinazione d’uso.
Potrebbe interessarti anche: Scia alternativa al permesso di costruire – edilizia residenziale
La motivazione alla base del principio espresso dal Garante ha un dato normativo inequivoco: nel Testo Unico Edilizia [3] non vi è alcuna indicazione circa un obbligo di pubblicazione da parte del Comune in relazione alla SCIA e alla CILA. Diversamente, un regime di pubblicità esiste per il permesso di costruire, laddove l’art. 20 comma 6 del medesimo Testo Unico prevede che:
– “dell’avvenuto rilascio del permesso di costruire è data notizia al pubblico mediante affissione all’albo pretorio”;
– “gli estremi del permesso di costruire sono indicati nel cartello esposto presso il cantiere, secondo le modalità stabilite dal regolamento edilizio”.
È di lampante evidenza, quindi, che non sia corretto equiparare il permesso di costruire alla SCIA e alla CILA, allo scopo di ritenere applicabile a queste ultime il regime di pubblicità del primo, peraltro in assenza di qualunque richiamo normativo e tenuto conto della netta differenza ontologica esistente fra i citati titoli edilizi (su cui in questa sede è superfluo soffermarsi oltre).
Di conseguenza, secondo il Garante, anche nel caso di accesso civico in materia di SCIA e CILA vale la regola generale secondo cui l’amministrazione cui è indirizzata la richiesta è “tenuta” a coinvolgere i soggetti controinteressati individuati [4] e a negare l’accesso se necessario ad evitare un pregiudizio concreto alla tutela dei dati personali [5], intendendo per “dato personale” «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» [6].
Privacy CILA e SCIA: interrogativi
A questo punto è necessario porsi due interrogativi in relazione alla Privacy CILA e SCIA:
– è possibile ottenere i dati contenuti in una SCIA o in una CILA con strumenti diversi dall’accesso civico di cui all’art. 5 del Decreto Legislativo n. 33/2013?
– nel caso della SCIA e della CILA, come avviene il bilanciamento fra riservatezza e accesso?
Con riferimento al primo quesito, la risposta è positiva. Infatti, rimane sempre possibile richiedere l’accesso agli atti amministrativi ai sensi degli artt. 22 ss. della Legge n. 241/1990, a chi dimostri di possedere «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso»: l’esempio classico può essere quello del confinante che si ritiene leso dall’intervento oggetto di SCIA o CILA.
Al contrario, non pare utilizzabile neanche l’accesso civico con “oscuramento” di alcuni dati, previsto espressamente dall’art. 5 bis comma 4 [7] del Decreto Legislativo n. 33/2013. Infatti, oscurare, ad esempio, i dati identificativi (nome e cognome) del committente non elimina la possibilità che i soggetti interessati siano identificati indirettamente tramite gli ulteriori dati di contesto contenuti nella documentazione richiesta. A tale riguardo, occorre ricordare che – ai sensi del Regolamento europeo n. 679/2016– «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»[8].
Più complesso il discorso in merito alla seconda domanda
La normativa statale in materia di trasparenza e accesso civico è chiara nello stabilire i presupposti (soggettivi e oggettivi) per l’esercizio del diritto di accesso civico – effettuando il bilanciamento fra gli interessi e valori fondamentali sopra descritti (trasparenza amministrativa e diritto alla protezione dei dati personali) – laddove prevede che «chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto», a meno che ciò non comporti un pregiudizio concreto alla tutela dell’interesse alla protezione dei dati personali, in conformità con la disciplina legislativa in materia.
Questo significa che, laddove una P.A. riceva una richiesta di accesso civico a dati personali (o a documenti che ne contengano) e gli stessi non siano oggetto di pubblicazione obbligatoria, la stessa è tenuta in primo luogo a verificare se dall’ostensione dei predetti dati possa derivare un pregiudizio concreto alla protezione dei dati personali del/i soggetto/i a cui gli stessi si riferiscono e, in tal caso, a rifiutarne l’accesso civico [9].
Per effettuare la valutazione descritta, l’amministrazione cui è indirizzata la richiesta di accesso civico è tenuta a coinvolgere i soggetti controinteressati, anche al fine di consentire loro di presentare eventuale motivata opposizione. Tali motivazioni costituiscono «un indice della sussistenza di un pregiudizio concreto, la cui valutazione però spetta all’ente e va condotta anche in caso di silenzio del controinteressato», tenendo, altresì, in considerazione i criteri contenuti nelle richiamate Linee guida dell’ANAC in materia di accesso civico [10].
In sintesi, perciò, non è possibile accordare una generale prevalenza della trasparenza o del diritto di accesso civico “generalizzato” a scapito di altri diritti ugualmente riconosciuti dall’ordinamento (quali quello alla riservatezza e alla protezione dei dati personali), in quanto, procedendo in tal modo, si vanificherebbe proprio il necessario bilanciamento degli interessi in gioco che richiede un approccio equilibrato nella ponderazione dei diversi diritti coinvolti, tale da evitare che i diritti fondamentali di eventuali controinteressati possano essere invece gravemente pregiudicati dalla messa a disposizione a terzi – non adeguatamente ponderata – di dati, informazioni e documenti che li riguardano.
In caso contrario, vi sarebbe infatti il rischio di generare comportamenti irragionevoli in contrasto, per quanto attiene alla tutela della riservatezza e del diritto alla protezione dei dati personali, con la disciplina internazionale ed europea in materia [11].
Privacy CILA e SCIA: pregiudizio concreto alla tutela della protezione
Ulteriore aspetto interessante, connesso alle precedenti osservazioni, riguarda la valutazione circa l’esistenza di un pregiudizio concreto al rispetto della Privacy CILA e SCIA. Su tale aspetto il Garante ha ricordato come debba essere tenuta in considerazione la circostanza per la quale – a differenza dei documenti a cui si è avuto accesso ai sensi della Legge n. 241/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali [12]. Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che deve valutarsi l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso civico alle informazioni e ai documenti richiesti.
La valutazione dell’ostensione di dati personali nell’ambito del procedimento di accesso civico deve, inoltre, essere effettata anche nel rispetto dei principi indicati dall’art. 5 del Regolamento europeo, fra cui quello di «minimizzazione dei dati», secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati[13], in modo che non si realizzi un’interferenza ingiustificata e sproporzionata nei diritti e libertà delle persone cui si riferiscono tali dati[14].
Privacy CILA e SCIA: conclusioni
In conclusione, perciò, rifiutare l’accesso nel caso specifico è giustificabile e corretto in quanto la quantità e la qualità delle informazioni personali contenute nelle SCIA e nelle CILA può effettivamente arrecare ai soggetti controinteressati, a seconda delle ipotesi e del contesto in cui le informazioni fornite possono essere utilizzate da terzi, proprio quel pregiudizio concreto alla tutela della protezione dei dati personali previsto dall’art. 5 bis, comma 2, lett. a), del Decreto Legislativo n. 33/2013 e determinare un’interferenza ingiustificata e sproporzionata nei diritti e nelle libertà dei soggetti controinteressati – in violazione del ricordato principio di minimizzazione dei dati, con possibili ripercussioni negative sul piano relazionale, professionale, personale e sociale.
Ciò anche tenendo conto delle ragionevoli aspettative di confidenzialità dei soggetti controinteressati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dall’amministrazione, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti dalla eventuale conoscibilità da parte di chiunque dei dati richiesti tramite l’accesso civico [15].
Per esempio, utilizzando proprio il caso specifico sottoposto all’attenzione del Garante, se si ritenesse possibile l’accesso civico generalizzato nel caso della SCIA e della CILA, chi potrebbe impedire che, tramite una serie sistematica di accessi in più Comuni, un’impresa privata possa creare database contenenti informazioni utili per “calibrare” proposte di marketing commerciale e campagne social medianel settore degli interventi edilizi e dei connessi servizi tecnici, senza l’espresso consenso degli interessati?
Note Privacy CILA e SCIA
[1] Ad esempio, cfr. i seguenti provvedimenti del Garante, tutti reperibili su www.gpdp.it: n. 360/2017, n. 361/2017; n. 364/2017; n. 359/2018; n. 426/2018; n. 453/2018; n. 517/2018.[2] “Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis.”
[3] DPR n. 380/2001.
[4] Art. 5 comma 5: “Fatti salvi i casi di pubblicazione obbligatoria, l’amministrazione cui è indirizzata la richiesta di accesso, se individua soggetti controinteressati, ai sensi dell’articolo 5-bis, comma 2, è tenuta a dare comunicazione agli stessi, mediante invio di copia con raccomandata con avviso di ricevimento, o per via telematica per coloro che abbiano consentito tale forma di comunicazione. Entro dieci giorni dalla ricezione della comunicazione, i controinteressati possono presentare una motivata opposizione, anche per via telematica, alla richiesta di accesso. A decorrere dalla comunicazione ai controinteressati, il termine di cui al comma 6 è sospeso fino all’eventuale opposizione dei controinteressati. Decorso tale termine, la pubblica amministrazione provvede sulla richiesta, accertata la ricezione della comunicazione.”
[5] Art. 5 bis comma 2 lett. a): “L’accesso di cui all’articolo 5, comma 2, è altresì rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di uno dei seguenti interessi privati: a) la protezione dei dati personali, in conformità con la disciplina legislativa in materia;”
[6] Art. 4, par. 1, n. 1, del Regolamento europeo n. 679/2016.
[7] Secondo cui “Se i limiti di cui ai commi 1 e 2 riguardano soltanto alcuni dati o alcune parti del documento richiesto, deve essere consentito l’accesso agli altri dati o alle altre parti.”
[8] Art. 4, par. 1, n. 1, del Regolamento europeo n. 679/2016.
[9] Cfr., a tal proposito, anche il par. 8.1. delle Linee guida dell’ANAC, secondo cui “L’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 prevede che l’accesso generalizzato deve essere rifiutato laddove possa recare un pregiudizio concreto «alla protezione dei dati personali, in conformità con la disciplina legislativa in materia»”.
[10] In particolare par. 8.1, intitolato «I limiti derivanti dalla protezione dei dati personali», consultabile a questo link.
[11] Art. 8 della Convenzione europea per la salvaguardia dei diritti dell´uomo e delle libertà fondamentali; artt. 7 e 8 della Carta dei diritti fondamentali dell´Unione europea, Dir. 95/46/CE, Reg. (UE) 27/4/2016 n. 2016/679.
[12] Art. 3, comma 1, del Decreto Legislativo n. 33/2013.
[13] Art. 5, par. 1, lett. c).
[14] Cfr. anche art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali; art. 8 della Carta dei diritti fondamentali dell’Unione europea e della giurisprudenza europea in materia.
[15] Cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, secondo cui “Va considerato altresì che la sussistenza di un pregiudizio concreto alla protezione dei dati personali può verificarsi con più probabilità per talune particolari informazioni –come ad esempio situazioni personali, familiari, professionali, patrimoniali –di persone fisiche destinatarie dell’attività amministrativa o intervenute a vario titolo nella stessa e che, quindi, non ricoprono necessariamente un ruolo nella vita pubblica o non esercitano funzioni pubbliche o attività di pubblico interesse. Ciò anche pensando, come già visto, alle ragionevoli aspettative di confidenzialità degli interessati riguardo a talune informazioni in possesso dei soggetti destinatari delle istanze di accesso generalizzato o la non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque di tali dati. Tale ragionevole aspettativa di confidenzialità è un elemento che va valutato in ordine a richieste di accesso generalizzato che possono coinvolgere dati personali riferiti a lavoratori o a altri soggetti impiegati a vario titolo presso l’ente destinatario della predetta istanza.”
