Parere del 23-04-2021, N.157, DATI SU EMERGENZA SANITARIA DETENUTI DA ISTITUTI SCOLASTICI

Con riferimento a una istanza di accesso civico generalizzato inerente a una serie di dati relativi alla emergenza sanitaria detenuti da Istituti scolastici (numero settimanale, da inizio della raccolta, diviso per singolo circolo/scuola e singolo plesso: degli alunni positivi in isolamento, in quarantena e sottoposti a tampone; di casi in attesa di esito; di classi in isolamento o quarantena, di classi focolaio), il Garante osserva quanto segue. Preliminarmente, occorre osservare che i dati riferiti a persone fisiche, identificate o identificabili, che hanno contratto il virus da Covid-19 rientrano nella definizione di dati sulla salute i quali, come affermato in altri pareri (n. 188/2017; n. 98/2018; n. 2/2019), sono esclusi dall’accesso in virtù delle eccezioni assolute di cui all’art. 5-bis, comma 3, d.lgs. n. 33/2013. Inoltre, le informazioni riferite a persone fisiche, identificate o identificabili, che – pur non essendo positive al Covid-19 – sono state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento sono in ogni caso di natura particolarmente delicata, essendo peraltro riferite nel caso in esame a soggetti minorenni. Pertanto, un’eventuale ostensione di tali dati personali, unita al particolare regime di pubblicità dei dati oggetto di accesso civico, potrebbe determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà individuali, in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. b e c, del RGPD), nonché essere fonte di rischi specifici per i soggetti interessati, determinando possibili ripercussioni negative sul piano personale, sociale e relazionale, sia all’interno che all’esterno dell’ambiente scolastico arrecando un pregiudizio concreto alla tutela della protezione dei dati personali ai sensi dell’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013, tenendo anche conto delle ragionevoli aspettative di confidenzialità dei controinteressati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dagli Istituti scolastici, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti ai minori e alle relative famiglie, dall’eventuale conoscibilità, da parte di chiunque, dei dati richiesti tramite l’accesso civico.

Come evidenziato dai singoli Istituti scolastici, inoltre, le informazioni richieste, anche se prive dell’indicazione del nome e del cognome degli alunni, contengono dati di dettaglio che, «laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute», possono consentire di risalire all’identità dei soggetti coinvolti. Ciò anche considerando il ristretto ambito di riferimento, la variabilità del numero di casi (che settimanalmente potrebbero essere anche esigui), il particolare regime di pubblicità dei dati ricevuti tramite accesso civico e il «raffronto» dei dati richiesti con altre informazioni eventualmente in possesso di terzi, che potrebbero consentire l’identificazione indiretta dell’alunno minorenne interessato, con rivelazione a un pubblico generalizzato del suo stato di salute. A differenza di un precedente parere (n. 155/2020) in cui il Garante ha concordato con la decisione di una Regione di fornire i dati sull’emergenza sanitaria in forma aggregata (su base territoriale più ampia, a livello comunale), nel caso in esame si ritiene che la predetta soluzione potrebbe non essere utile, considerando ad esempio che in comuni molto piccoli potrebbero essere presenti anche singoli istituti/plessi scolastici e l’aggregazione a livello comunale sarebbe sostanzialmente inutile, coincidendo con la singola scuola o plesso. Inoltre, l’Autorità ritiene di non poter suggerire nemmeno di fornire i dati richiesti a un livello di aggregazione più esteso rispetto al «singolo circolo/scuola e singolo plesso», in quanto l’istante ha presentato richieste di accesso ai singoli Istituti che posseggono informazioni riferite solo ai propri studenti e non a un livello più aggregazione più esteso. Al riguardo, non è possibile fornire l’accesso civico – come affermato dalle Linee guida ANAC – a dati o informazioni che non siano già detenuti dalla singola amministrazione, non avendo quest’ultima l’obbligo di formare, raccogliere o altrimenti procurarsi informazioni che non siano già in suo possesso oppure di rielaborare i dati ai fini dell’accesso. A ciò si aggiunge, infine, che gli Istituti scolastici non sono soggetti competenti alla elaborazione dei “dati ufficiali” relativi dell’emergenza sanitaria da Covid-19, la quale è invece rimessa agli enti deputati alla sorveglianza sanitaria. Di conseguenza, i dati richiesti, di diversa tipologia e riferiti ad alunni, possono essere non integri o incompleti; e la relativa comunicazione o diffusione potrebbe, a seconda dei singoli casi, porsi in contrasto con il principio generale di “esattezza dei dati”, di cui dall’art. 5, par. 1, lett. d), RGPD.