Come si gestisce l'accesso civico generalizzato
Come noto la richiesta di accesso civico generalizzato ha interessato tutte le scuole di ogni ordine e grado, comprese Università, di tutta Italia.
L’interesse generale ha determinato un proliferare di ipotesi di risposta al FOIA di opinioni contrastanti.
Ci si è molto concentrati sul tema dell’ammissibilità o inammissibilità della richiesta, tema che, ovviamente, non è di nostra specifica pertinenza in quanto riguarda la trasparenza.
Cosa bisogna fare in caso di accesso civico generalizzato?
Devo rispondere? |
All’accesso civico generalizzato bisogna sempre rispondere entro 30 giorni. |
Devo protocollare? |
Si, come tutte le istanze valide ricevute per PEC c’è necessità di protocollazione (vedi manuale di protocollo) |
Devo fascicolare? |
Si, bisogna creare un fascicolo secondo le direttive CAD |
Devo creare il registro dell’accesso civico? |
Si, bisogna creare il registro e lo stesso va pubblicato in amministrazione trasparente in formato XML con foglio di stile |
Cosa devo rispondere? |
Se ci sono i presupposti di legge si risponde con i documenti richiesti, senza elaborazioni, rimuovendo eventuali dati personali, e rimuovendo eventuali dati protetti da segreti aziendali e similari |
Devo avvisare i controinteressati? |
Si se i documenti richiesti prevedono delle tutele di legge |
Posso rispondere con dei link invece che con documenti? |
Se i documenti richiesti sono oggetto di pubblicazione obbligatoria (D.lgs. 33/2013 e ss.mm.ii.) si può fornire il link |
Alla richiesta di monitora PA bisogna rispondere fornendo i documenti oppure fornendo un diniego? |
La risposta riguarda la trasparenza e quella più puntuale dovrebbe fornirla il Responsabile della Prevenzione della Corruzione e Trasparenza (Direttore USR). |
Devo rimuovere dati personali dai documenti prodotti in risposta? |
I documenti in risposta ad accesso civico generalizzato devono essere scevri da dati personali (anche nome e cognome è un dato personale) |
Richiesta punto 1 Contratti |
La norma prevede che per i contratti vengano pubblicate le rispettive determine in amministrazione trasparente. Ulteriori documenti necessitano della notifica ai controinteressati. |
Richiesta punto 2 DPIA |
Su indicazione del Garante non c’è obbligo di redazione DPIA |
Richiesta punto 3 Misure tecniche |
Le misure tecniche sono riassunte nel Regolamento DDI e nelle istruzioni operative impartite ai docenti (vedi su GDPRistruzione.it) |
Richiesta punto 4 DPIA |
Su indicazione del Garante non c’è obbligo di redazione DPIA |
Richiesta punto 5 TIA anno sc. corrente |
La TIA è in fase di rilascio considerato che il MI ha dichiarato che non è ammessa la DaD |
Richiesta punto 6 Valutazione comparativa anno sc. corrente |
Non c’è obbligo di conservazione, in caso di nuovi acquisti per questo anno corrente è sufficiente riportare in determina l’esito della comparazione. Le competenze acquisite dai docenti in questi ultimi due anni sono già motivo sufficiente per riutilizzare le stesse piattaforme. |
Rispondo fornendo i documenti oppure con diniego? |
Questa è questione di trasparenza amministrativa. Il DPO può solo indicare cosa omettere nelle possibili risposte documentali e quali documenti privacy devono essere stati prodotti dall’amministrazione. Per fornire un quadro orientativo riguardo l’opportunità di fornire o meno i documenti richiesti suggeriamo la lettura del contenuto a seguire |
Il DPO ci aiuta nel rispondere? |
Certo che sì! Abbiamo predisposto 2 risposte, una con l’elenco dei documenti da fornire, una con il diniego all’accesso. Sarà scelta del DS cosa rispondere, anche tenendo conto dell’orientamento del rispettivo USR |
A brevissimo vi forniremo due possibili risposte da inviare, una con consegna dei documenti richiesti ed una con diniego all'accesso.
Perchè due possibili risposte? (anche tenuto conto delle difformità di orientamento dei diversi USR)
La normativa sull’Accesso Civico Generalizzato
La normativa cosiddetta FOIA (Freedom of Information Act), introdotta con decreto legislativo n. 97 del 2016, è parte integrante del processo di riforma della pubblica amministrazione, definito dalla legge 7 agosto 2015, n. 124.
L’accesso civico generalizzato garantisce a chiunque il diritto di accedere ai dati e ai documenti posseduti dalle pubbliche amministrazioni, se non c’è il pericolo di compromettere altri interessi pubblici o privati rilevanti, indicati dalla legge.
Con la normativa FOIA, l’ordinamento italiano riconosce la libertà di accedere alle informazioni in possesso delle pubbliche amministrazioni come diritto fondamentale. Il principio che guida l’intera normativa è la tutela preferenziale dell’interesse conoscitivo di tutti i soggetti della società civile; in assenza di ostacoli riconducibili ai limiti previsti dalla legge, le amministrazioni devono dare prevalenza al diritto di chiunque di conoscere e di accedere alle informazioni possedute dalla pubblica amministrazione.
Possiamo notare motivi che ci consentono il DINIEGO all’accesso civico generalizzato?
I motivi di esclusione al diritto di accesso civico generalizzato sono indicati nell’art 5-bis (esclusioni e limiti all’accesso civico generalizzato) del DECRETO LEGISLATIVO 14 marzo 2013, n. 33.
Non è possibile ricondurre la richiesta di accesso civico in questione ai motivi di esclusione indicati in questo articolo e, considerato il principio ispiratore del FOIA, sembrerebbe ovvio, l’obbligo di ottemperare alle norme e inviare la documentazione richiesta entro i 30 gg previsti.
Tuttavia
il richiedente accesso civico, dopo le premesse, chiede dei documenti senza indicare nessuna motivazione. Alla fine dichiara che: “tutti i documenti e le risposte positive e negative ricevute a seguito della presente richiesta di accesso civico generalizzato saranno automaticamente resi accessibili al pubblico, privati dei dati personali eventualmente presenti nella mail di accompagnamento, tramite una apposita sezione del nostro sito, così da poter essere analizzati da studiosi e specialisti nell’ambito della protezione dei dati e del software libero”.
La giurisprudenza del Consiglio di Stato (ex multis Consiglio di Stato, sez. III, 25.01.2021 n. 495: se da un lato l’interesse alla trasparenza non richiede una motivazione specifica, dall’altro deve in ogni caso palesarsi non in modo assolutamente generico e destituito di un benché minimo elemento di concretezza, anche sotto forma di indizio, …., pena rappresentare un inutile intralcio all’esercizio delle funzioni amministrative e un appesantimento immotivato delle procedure di espletamento dei servizi.
Per il Consiglio di Stato è sufficiente un indizio di interesse non assolutamente generico, senza spiegazioni, affinché la richiesta di accesso civico generalizzato possa essere giudicata ammissibile, altrimenti è un inutile intralcio delle funzioni ammnistrative e un appesantimento immotivato delle procedure di espletamento di servizi. Nella richiesta, come accennato, non c’è questo indizio, ma solo la volontà di costituire una banca dati pubblica per permettere a studiosi e specialisti di analizzarla. Studiosi e specialisti non indicati, della cui esistenza e volontà si presume, soggetti comunque terzi rispetto al richiedente che non mostra un interesse ai documenti ma si preoccupa solo di metterli a loro disposizione. “Il minimo livello di concretezza” richiesto dal Consiglio di Stato è da rinvenirsi, inoltre, in una richiesta di documenti per permettere, forse, a qualcuno di non ben precisato di studiarli, perché probabilmente li troverà interessanti”?
Inoltre, si richiede nei punti 2 e 4 la valutazione di impatto DPIA a fronte di una sua personale valutazione in merito, esplicitata nelle premesse, che lo ha indotto a ritenere, erroneamente, che la stessa non andava fatta solamente durante il periodo di pandemia, per una “concessione” del Garante dovuta allo stato di emergenza. Quindi la richiede ugualmente. Le Istituzioni scolastiche non sono obbligate alla redazione della DPIA. Provvedimento del Garante del 26 marzo 2020 “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati.”. Sul punto, nella pagina dedicata proprio alla valutazione d’impatto, il Garante ha precisato che: si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala". Non basta quindi la presenza di un trattamento verso minori ma serve anche la “larga scala”, elemento che, ritornando anche al provvedimento del 26 marzo 2020, non è rinvenibile con riferimento alla singola scuola.
La richiesta formulata da Monitora PA pare difettare di quella base di concretezza necessaria per essere accolta, riducendosi ad essere qualificata come una mera istanza volta ad un controllo pretestuoso in ordine alla legittimità dell’azione amministrativa sull’utilizzo delle tecnologie comunicative.
La richiesta di FOIA da parte di monitora PA è arrivata dopo altre comunicazioni, in un breve arco temporale. La prima riguardava i codici di tracciamento visite sul sito web Google Analytics, la seconda relativo alla presenza nel sito di Google Fonts. Inoltre, l’associazione “Monitora PA”, con una istanza comune a tutte le Istituzioni scolastiche dichiara di aver avviato “il primo FOIA massivo della storia italiana, come primo passo di una strategia che si svilupperà completamente nei prossimi 3/4 mesi”, aggiungendo di voler: “liberare 8 milioni di studenti dal controllo dei GAFAM a Scuola”.
Parliamo dunque di più richieste in un breve arco temporale, a cui ne seguiranno altre a breve termine, finalizzate non dall’effettiva esigenza di conoscenza di documenti amministrativi (tutelata dal FOIA) ma caratterizzate da mere finalità esplorative al fine di attuare una strategia di contrasto alle multinazionali informatiche: le GAFAM.
Consiglio di Stato | Sezione AP | Sentenza | 2 aprile 2020 | n. 10
… 36.6. Sarà così possibile e doveroso evitare e respingere: richieste manifestamente onerose o sproporzionate e, cioè, tali da comportare un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione; richieste massive uniche (v., sul punto, Circolare FOIA n. 2/2017, par. 7, lett. d; Cons. St., sez. VI, 13 agosto 2019, n. 5702), contenenti un numero cospicuo di dati o di documenti, o richieste massive plurime, che pervengono in un arco temporale limitato e da parte dello stesso richiedente o da parte di più richiedenti ma comunque riconducibili ad uno stesso centro di interessi; richieste vessatorie o pretestuose, dettate dal solo intento emulativo, da valutarsi ovviamente in base a parametri oggettivi.
Conclusione sul possibile DINIEGO
È plausibile che la richiesta di accesso civico possa essere ricondotta a quanto indicato nelle Sentenze del Consiglio di Stato per la mancanza di un indizio di motivazione con una richiesta generica finalizzata alla costituzione di una banca dati utilizzabile da studiosi, la finalità di contrasto alle GAFAM comprovata da più richieste riconducibili ad uno stesso centro di interesse in un arco temporale limitato, onerosa per la Pubblica Amministrazione.
In merito all’onerosità e al carico di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione c’è da rilevare quanto segue.
Le richieste del punti 3 e 5 e cioè le misure tecniche adottate per l’utilizzo di piattaforme che eroghino servizi più complessi anche non rivolti esclusivamente alla didattica e la TIA, richiedono una estrapolazione e una decontestualizzazione dalla analisi dei rischi effettuata per la definizione di una struttura adeguata al rischio ai sensi dell’art. 32 del GDPR 679/2016. Operazione che comporta oneri aggiuntivi e scarsi benefici per il richiedente. La semplice produzione della documentazione specificamente prodotta per l’uso delle piattaforme e la TIA che ne consegue, come ad esempio, le istruzioni agli autorizzati del trattamento dati ed il regolamento per l’uso delle piattaforme approvato dal Consiglio di Istituto non sarebbero, da sole, sufficienti a fornire un quadro completo, esaustivo delle misure tecniche adottate per il rispetto della privacy di cui l’Istituto si è dotato. Un insieme di strumenti, tecniche e tecnologie (come la pseudonomizzazione e la crittografia) e procedure. La comunicazione della documentazione relativa a tutte le contromisure adottate a contrasto del rischio esporrebbe l’amministrazione ad un immotivato, ingiustificato rischio di sicurezza. La conoscenza delle contromisure di sicurezza adottate, infatti, inficia l’efficacia delle stesse riportando quel rischio che cercano di mitigare a livelli inaccettabili e non conformi all’art. 32 del GDPR 679/2016 che recita: “ll titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
La comunicazione di tutta la documentazione relativa al rischio dunque non è ammissibile, l’estrapolazione di quella proposta comporta oneri per l’amministrazione e scarsi benefici per il richiedente per i motivi esposti. Inoltre è già riconosciuta una più ampia tutela al cittadino dalla stessa normativa sulla privacy che impone la redazione della documentazione richiesta. Ci riferiamo al “reclamo diretto al Garante” che ciascun cittadino, direttamente, autonomamente, liberamente, facilmente, senza costi può richiedere a tutela del rispetto della privacy direttamente all’Autorità, la sola che può formulare giudizi di legittimità e di merito in materia, applicare sanzioni e obbligare al rispetto delle norme.
Rammentiamo che in base al principio di “accountability” il Titolare del trattamento dati ha la responsabilità di progettare e implementare una struttura adeguata al rischio e ha l’onere di dimostrare di averlo fatto. In base al principio di privacy by design e by default tali oneri a carico del Titolare del trattamento, sono continui, costanti e tutto quanto progettato e implementato va rivisto in considerazione di quanto empiricamente riscontrato sulla base di audit di controllo a cui devono necessariamente seguire adempimenti operativi con l’applicazione di adeguate contromisure a contrasto del rischio, la cui valutazione è mutata proprio sulla base di quanto effettivamente si è verificato. Mutevoli aspetti anche legati al contesto internazionale, indicazioni del MI, indicazioni dell’Agid, provvedimenti esplicativi del Garante devono essere considerati nell’analisi. Al titolare del trattamento, dunque, spetta la responsabilità, comportamenti proattivi, monitoraggi, comportamenti adattivi e l’onere della prova. L’organo di controllo previsto dalle norme a tutela del cittadino può essere soltanto l’Autorità Garante della Privacy che ne ha l’onere, la legittimità e le competenze a cui il cittadino può accedere, direttamente, liberamente, agevolmente e senza costi per la propria tutela. Non potendosi, nonostante le dichiarate intenzioni, sostituire all’Autorità di controllo, la richiesta di documentazione tecnica, valutabile solo nel merito, appare una immotivata richiesta di controllo generalizzato, non supportato da vero interesse conoscitivo, all’esistenza o meno della documentazione prodotta, fra l’altro di tutti gli Istituti d’Italia. Alla luce di questo, appare anche plausibile, nonostante le difficoltà oggettive, ricondurre all’accesso civico sottoposto alla 241/90 in luogo dell’accesso civico generalizzato regolamentato dall’art. 5 comma 2 del D.lgs 33/2013, la richiesta pervenuta. In tal caso si prefigura il motivo di inammissibilità della richiesta per “controllo generalizzato” art. 24 comma 3 L. 241/90.
La documentazione relativa alle misure tecniche adottate andrebbe poi “epurata” dai dati personali del personale coinvolto tutelati dall’art 5-bis comma 2 d.lgs 33/2013 e effettuata anche la richiesta al controinteressato.
Tutto ciò rappresenta un carico irragionevole di lavoro idoneo a interferire con il buon andamento della pubblica amministrazione e la richiesta di tutta questa mole di informazioni eccessivamente onerosa, comportando l’inammissibilità della richiesta di accesso civico generalizzato per le motivazioni già esposte delle sentenze del Consiglio di Stato già citate.
Staff GDPRistruzione.it