Gare di appalto e privacy: il tema del diritto di accesso

Talvolta la disciplina di accesso agli atti si interseca con la disciplina in materia di protezione dei dati personali (privacy).

Ciò accade ogni volta che i documenti oggetto della richiesta di accesso contengono dati personali, siano essi comuni o appartenenti alle categorie particolari di cui all’art. 9 GDPR o all’art. 10 GDPR.

In tema di appalti si parla, ad esempio, della domanda di partecipazione, che contiene sicuramente dati personali del partecipante, come i dati anagrafici del legale rappresentante della società. Si parla anche dei curriculum vitae del personale coinvolto nelle attività, o la documentazione che dimostra il possesso dei titoli, competenze ed esperienze. Ancora, si può parlare di elementi riservati contenuti nell’offerta tecnica di gara e inerenti al know how aziendale. Quest’ultimo specificamente tutelato in materia d’accesso dall’art. 53 co. 5 lett. a) D.lgs. 50/2016.

Tutti i documenti citati (così come anche altri) contengono o possono contenere dati personali.

Ciò comporta che, a fronte di un’istanza di accesso, l’amministrazione debba sempre tenere in conto che l’ostensione di determinati documenti potrebbe comportare la diffusione anche dei dati personali che tali documenti contengono.

Ci si chiede, quindi, se tali documenti possano essere oggetto di istanza di accesso e in che modo debbano essere tenuti in considerazione i diritti che la disciplina in materia di protezione dei dati personali riconosce in capo ad ogni soggetto.

La risposta si trova, da un lato, in una valutazione basata sul bilanciamento tra gli obblighi di trasparenza e gli obblighi di protezione dei dati cui è soggetta l’amministrazione – o, meglio, nell’individuazione e nella valutazione di un eventuale pregiudizio agli interessati a cui i dati si riferiscono nel caso in cui tali dati venissero conosciuti da terzi – dall’altro nella tipologia di diritto all’accesso che è stato esercitato, se ai sensi della l.n. 241/1990 c.d. accesso documentale o se ai sensi del D.lgs. 33/2013 c.d. accesso civico.

Il tema è stato affrontato più volte dal Garante per la protezione dei dati personali che, pur riconoscendo la rilevanza del diritto di accesso nell’ambito di procedure di appalto, ha riconosciuto un ruolo prevalente ai diritti di riservatezza degli interessati.

In una di queste occasioni il Garante si è espresso su una istanza di accesso civico che aveva ad oggetto un’importante mole di dati personali. (Parere su una istanza di accesso civico - 23 maggio 2019 [9124946])

Nell’ambito di un appalto di servizi, l’istante aveva infatti richiesto di ottenere dati, informazioni e documenti contenenti un gran numero di dati personali (riferiti a più di 1.700 soggetti) riguardanti, in particolare, la lista del personale utilizzato nei vari servizi, il curriculum vitae del personale, la documentazione comprovante il possesso dei titoli e le competenze di ciascun soggetto.

Ci si è chiesti se l’ostensione di tali dati fosse pregiudizievole al diritto alla riservatezza, posto che per valutare la correttezza della procedura di gara e delle successive fasi prodromiche all’aggiudicazione fosse necessario esaminare proprio quella documentazione.

Nonostante nel caso di specie fosse esclusa la possibilità di proporre istanza di accesso civico generalizzato, il Garante ha colto l’occasione per evidenziare come, in linea generale, debba essere tenuta in considerazione la circostanza per la quale (a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990) i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono “pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7”, sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).

Di conseguenza, precisa il Garante, “è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va verificata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali dei soggetti controinteressati, in base al quale decidere se rifiutare o meno l’accesso civico alle informazioni e ai documenti richiesti”.

Pertanto, “la decisione sulla eventuale ostensione di dati personali nell’ambito del procedimento di accesso civico, deve inoltre tener conto anche nel rispetto dei principi indicati dall’art. 5 del Regolamento (UE) 2016/679 (RGPD), fra cui quello di «minimizzazione dei dati», secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c), in modo che non si realizzi un’interferenza ingiustificata e sproporzionata nei diritti e libertà delle persone cui si riferiscono tali dati”.

Nel caso di specie i documenti richiesti con l’accesso civico sono tutti afferenti alla rivelazione di informazioni su attitudini, capacità culturali, professionali e lavorative dei soggetti controinteressati e per questo il Garante ha evidenziato come la relativa ostensione, “considerata anche la quantità e qualità dei dati personali coinvolti, può avere – in relazione ai casi e al contesto in cui possono essere utilizzate da parte di terzi estranei che non è dato conoscere a priori – possibili ripercussioni negative sul piano relazionale, personale, sociale dei soggetti controinteressati, sia all’interno che all’esterno dell’ambiente lavorativo”.

In definitiva, permettere l’ostensione di ogni dato costituirebbe un’interferenza ingiustificata e sproporzionata rispetto ai diritti ed alle libertà dei soggetti controinteressati, in violazione del GDPR e dei suoi principi.