Non è possibile accedere ai dati personali completi contenuti nei titoli abilitativi edilizi (SCIA e CILA) sulla base di una mera richiesta di accesso civico generalizzato.
Garante privacy, parere del 3 gennaio 2019, Presidente Soro, Relatore Iannini
A margine
Il fatto
Un’impresa presenta ad un Comune istanza di accesso civico generalizzato ai sensi dell’art. 5, comma 2, del d. lgs. n. 33/2013 alle copie, contenenti i dati del committente, la descrizione dell’intervento, la località del cantiere e il nome del tecnico progettista, delle Segnalazioni Certificate di Inizio Attività (SCIA) e delle Comunicazioni Inizio Attività Asseverata (CILA) concernenti interventi edili da attuarsi nel territorio comunale.
Al fine di non arrecare un possibile pregiudizio alla privacy delle persone interessate, il Comune riscontra senza comunicare dati personali ma fornendo solo i dati relativi alla tipologia di titolo edilizio (SCIA o CILA), alla descrizione dell’intervento e alle informazioni relative all’effettuazione nel Comune o in una sua frazione.
L’impresa contesta la decisione e chiede il riesame della pratica anche a fronte di pareri difformi sulla questione del Difensore civico regionale competente secondo cui: “…… non si profila la sussistenza di un pregiudizio concreto all’interesse privato alla protezione dei dati personali. Infatti, il regime di pubblicità dei titoli in materia di edilizia è connotato da un ambito particolarmente esteso, come è dimostrato dalla necessaria pubblicazione nell’albo pretorio del provvedimento di rilascio del permesso di costruire ai sensi dell’art. 20, co. 6, del d.P.R. 380/2001. Inoltre, fino alla novella del 2016, rientravano tra gli obblighi di pubblicazione previsti dal decreto 33/2013 i provvedimenti finali dei procedimenti relativi ad autorizzazioni e concessioni, ai quali viene equiparata la segnalazione certificata di inizio attività; dal particolare regime di pubblicità di tali atti deriva la impossibilità di qualificare come “controinteressati” dei soggetti i cui dati si riferiscono”.
Il Garante per la privacy sostiene invece la correttezza della scelta dell’amministrazione.
Da ultimo, a seguito di un’ulteriore istanza della ditta, il Garante interviene nuovamente sulla questione al fine di evitare pericolosi precedenti che incoraggino possibili trattamenti illeciti di dati personali.
Il parere
L’Autorità chiarisce che, diversamente da quanto indicato per altre pratiche edilizie e da quanto affermato dal Difensore civico, non esiste un obbligo di pubblicazione da parte delle PP.AA. delle Segnalazioni certificate di inizio di attività-SCIA o delle Comunicazioni di inizio lavori asseverata-CILA presentate all’ente, né in forma integrale né in forma riassuntiva e che per i dati personali ivi contenuti il legislatore non ha previsto alcun regime di pubblicità.
Ciò in quanto la disposizione contenuta nell’art. 20, comma 6, del d.P.R. n. 380/2001 è una norma di settore attinente al solo «procedimento per il rilascio del permesso di costruire», che rappresenta un titolo edilizio diverso dalla CILA e dalla SCIA. La predetta disposizione, che non è ripetuta (né richiamata) per i procedimenti relativi agli altri titoli edilizi (CILA o SCIA), inoltre, non prevede neanche la pubblicazione del provvedimento sull’albo pretorio nella sua integrità, ma della mera «notizia» dell’«avvenuto rilascio del permesso di costruire» (i cui estremi sono peraltro «indicati nel cartello esposto presso il cantiere, secondo le modalità stabilite dal regolamento edilizio»). Alla CILA e alla SCIA, disciplinate nel medesimo d.P.R. n. 380/2001 (testo unico in materia edilizia), non è di conseguenza in nessun modo applicabile il limitato regime di pubblicità previsto per la “notizia” dell’avvenuto rilascio del permesso di costruire.
Quanto all’abrogato art. 23, comma 2, del d. lgs. n. 33/2013, lo stesso non prevedeva l’obbligo di pubblicazione online dei “provvedimenti integrali”, con tutti i dati personali ivi contenuti, relativi ai titoli edilizi dei procedimenti di “autorizzazione o concessione”, ma solo di una «scheda sintetica» degli elementi previsti dalla disposizione, ossia «il contenuto, l’oggetto, la eventuale spesa prevista e gli estremi relativi ai principali documenti contenuti nel fascicolo relativo al procedimento». Il richiamo al ricordato articolo, quindi, non è idoneo ad affermare l’esistenza di un «regime di pubblicità […] connotato da un ambito particolarmente esteso», come invece rappresentato dal Difensore civico, di tutti i titoli abilitativi in materia di edilizia.
Ad avviso dell’Autorità, come già precedentemente evidenziato nel parere n. 360/2017, non è quindi possibile condividere le conseguenze a cui arriva il Difensore civico regionale.
La predetta interpretazione è in contrasto con la normativa in materia di accesso civico e di protezione dei dati personali, alla luce delle quali l’amministrazione cui è indirizzata la richiesta di accesso civico è invece “tenuta” a coinvolgere i soggetti controinteressati, individuati ai sensi dell’art. 5-bis, comma 2 (art. 5, comma 5, del d. lgs. n. 33/2013) e a rifiutare l’ostensione dei dati, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela della protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a)), intendendo per “dato personale” «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» (art. 4, par. 1, n. 1, del Regolamento europeo).
Il Garante sottolinea poi che la generale conoscenza delle informazioni riportate nelle SCIA e nelle CILA, considerando la quantità e qualità dei dati personali contenuti – come data e luogo di nascita, codici fiscali, residenza, e-mail, pec, numeri di telefono fisso e cellulare, documentazione tecnica sugli interventi – potrebbe determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati. Tutto ciò, in violazione anche del principio di minimizzazione previsto dal Regolamento europeo sulla privacy (Gdpr), con possibili ripercussioni negative sul piano relazionale, professionale, personale e sociale.
Peraltro l’impresa richiedente, che ha tra le sue attività quella di conduzione di campagne di marketing e web marketing, nonché la fornitura di servizi di gestione dei programmi di fidelizzazione e affiliazione commerciale, ha presentato la stessa domanda in maniera sistematica, per più periodi, a diversi enti locali. L’accoglimento della richiesta di accesso civico potrebbe quindi esporre anche al pericolo di duplicazione di banche dati di soggetti pubblici da parte di soggetti privati, in assenza del consenso dei soggetti interessati o degli altri presupposti di liceità del trattamento.
L’Autorità conferma quindi, anche alla luce della normativa e delle stesse linee guida Anac, la correttezza dell’operato del Comune, nel valutare l’esistenza di un possibile pregiudizio concreto alla protezione dei dati delle persone interessate – ad esempio i proprietari, gli usufruttuari e tecnici incaricati – fornendo di conseguenza solo una sintesi delle pratiche richieste.
Da ultimo, si evidenzia che tale decisione sull’ “accesso civico generalizzato” non impedisce di accedere ai documenti amministrativi completi a chi dimostri di avere un interesse qualificato.
di Simonetta Fabris