Con questo si vuole ribadire¹ come, contrariamente alla volontà della dottrina tradizionale, si vada intensificando la funzione dell’Autorità Garante, non limitata al controllo ed alla giurisdizione concorrente con le altre Autorità giudiziarie, bensì volta a dare attuazione nel nostro ordinamento all’art.3 della Costituzione sotto il profilo della dignità personale e della uguaglianza delle persone.

Questa "funzione propulsiva" propria dell’opera del Garante, può anche non limitarsi alla integrazione e completamento della struttura socio-ordinamentale.

La rapida evoluzione del concetto di dignità della persona, collegato al diritto all’autodeterminazione informativa² cui deve confrontarsi l’attività istituzionale in questione, comporta un progressivo ampliamento del diritto alla privacy nell’ordinamento, che acquisisce nuovi codici comportamentali tipizzati. A ciascuno di essi corrisponde un diritto personale ed assoluto che vuole sganciarsi dalla paterna "Riservatezza" ed acquisire una propria autonomia.

La riservatezza, pertanto, è certo dinamica in relazione al sostanziale divenire del vivere sociale, inteso come volontà di essere esclusi o comunque non subir interferenze, ma lo è anche con riguardo al potere di controllo delle proprie informazioni quando sono collocate nel contesto di situazioni giuridiche rilevanti per l’ordinamento.

In primo luogo, emerge l’interesse del singolo a non essere vittima del controllo pubblico e di ogni forma che attraverso di esso comporti una stigmatizzazione sociale.

L’evidente e necessario coinvolgimento della Pubblica Amministrazione nella disciplina del trattamento dati và così di pari passo con un’altra disciplina: quella dell’accesso ai documenti amministrativi.

La legge 241 del 1990 ha aperto le porte al controllo da parte dei cittadini dell’opera svolta dalle amministrazioni pubbliche. La trasparenza dell’azione amministrativa, dunque, ha trovato tutela ancor prima dell’entrata in vigore della legge 675 del 1996, che si colloca all’interno di essa per quanto concerne il pericolo di controllo del singolo attraverso dati riguardanti la sua persona nell’ambito della loro gestione da parte della P.A.

Sicché la disciplina del trattamento dati ha trovato un terreno fertile alla propria applicazione nel processo di rinnovamento dell’amministrazione pubblica, passando attraverso la porta aperta alla partecipazione del singolo cittadino all’esercizio imparziale ed efficiente dell’azione pubblica.

In vero, secondo il comune intendimento degli operatori del diritto amministrativo, l’accesso non è in sé espressione di un diritto, ma è ritenuto uno strumento propedeutico alla tutela di situazioni giuridiche soggettive facenti capo a quel soggetto che vanta anche solo un interesse, purché serio e concreto³

Sulla scorta delle considerazioni svolte, vede bene chi individua e configura un rapporto di specialità tra le due discipline della trasparenza amministrativa e del trattamento dei dati personali, riscontrando una sicura relazione tra le due normative ed, in particolare, nell’art.22 della legge 241 del 1990, concernente anche i limiti e i presupposti di particolari categorie di trattamenti effettuati da soggetti pubblici⁴. E così, l'art.24 della legge che pone un limite alla conoscenza degli atti amministrativi da parte dei terzi.

Nell’ottica rappresentata, l'art. 13 della legge 675 del 1996 è lo strumento con il quale il singolo può esercitare il potere di controllo su quei dati personali inseriti nel flusso di informazioni gestito dalla P.A., svolgendo allo stesso tempo la funzione di partecipazione al procedimento, finalizzata alla correttezza del trattamento dei dati e dello stesso procedimento in generale. In questa accezione l'accesso è il mezzo attraverso il quale è possibile interagire con la PA in ragione della finalità che si intende realizzare.

La riservatezza, al contrario, può costituire un limite al principio della trasparenza dell'azione amministrativa, laddove le finalità e gli interessi che le motivano risultino contrapposte.

Occorre pertanto operare un costante bilanciamento dei due istituti i quali non sempre operano nella stessa direzione, piuttosto entrano spesso in conflitto.

L'accesso, infatti, ha una natura sostanziale e una relazione funzionale diversa a seconda che venga posto in relazione con il trattamento dei dati ovvero con la conoscenza degli atti e documenti amministrativi.

In quest'ultima ipotesi, il Consiglio di Stato ha per diverso tempo ritenuto prevalente il diritto di accesso sulla riservatezza ogniqualvolta il primo venisse esercitato per la difesa di un interesse giuridico e nei limiti della difesa medesima⁵

La disciplina di riferimento attua una tutela piuttosto ampia di situazioni giuridiche che trovano origine in diritti soggettivi e interessi legittimi, ed anche in interessi personali purché seri e concreti, non essendo sufficienti ad azionare il procedimento i così detti "meri interessi", cioè quegli interessi che non raggiungono la soglia di rilevanza alla stregua del criterio della meritevolezza⁶.

Ciò fa del diritto di accesso una posizione giuridico soggettiva unica, autonoma rispetto all'interesse tutelato o tutelabile anche in sede giurisdizionale.

Esso, dunque, è un bene della vita a sé stante e meritevole di tutela di coloro che partecipano all'azione amministrativa, al procedimento, o che hanno interesse a conoscere determinati documenti già acquisiti dalla PA.

Le modalità di esercizio dell'accesso consistono nella visione e nella estrazione di copia dei documenti esaminati. In quest'ultimo caso la necessità di tutela della riservatezza di terzi può dar luogo al limite della sola visione del documento, modalità ritenuta sufficiente a legittimare l’accesso ma non la diffusione del contenuto dell’atto⁷.

All’interesse poc’anzi detto corrisponde un obbligo della PA di ricerca dei documenti o delle informazioni richieste, la diligenza e l'esecuzione del quale viene garantito e tutelato tramite il ricorso al TAR avverso il diniego espresso dalla PA o tacitamente inteso dal silenzio protrattosi per oltre 30 giorni (art. 25 legge 240 del 1990).

L'indolenza o il rifiuto dell'amministrazione vengono impugnati con la procedura accelerata che viene disposta in camera di consiglio e previa audizione dei difensori che ne abbiano fatto richiesta.

Si osserva che l'actio ad exibendum appena descritta non preclude la via della ordinaria acquisizione istruttoria. In tutte e due i casi laddove la documentazione richiesta riguardi soggetti terzi, con conseguente coinvolgimento della loro sfera di riservatezza, questi ultimi vengono considerati dalla giurisprudenza prevalente controinteressati nei giudizi istaurati ai sensi dell'art.25, e comunque contradditori necessari⁸.

Anche nella regolamentazione delle modalità di accesso, emanata in attuazione dell'art.24, 2° comma, della legge 241 del 1990, il Governo con D.P.R. 27 giugno 1992 n. 352 si è preoccupato di articolare limiti e obblighi improntati al rispetto dei confliggenti principi, onde consentirne un equo contemperamento.

Siffatto sistema ammette in ogni caso l'accesso a documenti con un superamento del principio di riservatezza, se l'istanza è volta a perseguire un personale diritto di difesa.

Ad onor del vero, a fronte delle critiche di coloro che vedono nel testo del Regolamento Governativo una mera parafrasi del testo legislativo attributivo del potere in delega⁹, senza precisare l'ambito di operatività delle diverse categorie di interessi, si osserva che, la normativa secondaria di riferimento ha in qualche modo affidato alle amministrazioni la possibilità di dettare regole interne di graduazione dell'accesso a seconda della tipologia dei dati trattati.

Così facendo, le amministrazioni hanno ad esempio potuto a loro discrezione sottrarre le informazioni sul personale al libero accesso degli interessati, pur tuttavia consentendo la sola visione dei singoli atti utili alla difesa di un diritto di altri. Una modalità questa che comunque limita indubbiamente il pericolo di diffusione incontrollata del dato acquisito per effetto del procedimento di accesso.

Non si dimentichi, peraltro, che alla disciplina in esame si impone un coordinamento con la normativa sul procedimento amministrativo, laddove specialmente applicabile alle amministrazioni locali¹⁰ La pubblicità degli atti deve pertanto essere garantita, fatta eccezione per quelli sottoposti ad una esclusione prevista da legge o comunque da una temporanea e motivata dichiarazione del Sindaco o del Presidente della Provincia che ne abbia ritenuta lesiva la riservatezza dei terzi con la diffusione¹¹.

Tale orientamento è stato rispettato dalla legge sulla privacy che, con riferimento alle norme sul procedimento amministrativo e sull'accesso, si è posta in relazione di compatibilità. In merito al trattamento dei dati da parte di soggetti pubblici, infatti, l'art 27, comma 2 e 3, della legge 675 del 1996 ha stabilito la espressa riserva di legge o di una normativa secondaria in tema di comunicazione o diffusione dei dati¹².

Si noti che, la legge poc'anzi detta colloca la categoria dei trattamenti in questione tra quelli "soggetti a regime speciale", presupponendo allora un rapporto di specialità con le discipline esistenti in materia di atti amministrativi¹³ in ragione della diversa natura e funzione della gestione dei dati operata dalla PA.

La riservatezza, pertanto, si pone nei termini indicati, come limite alla trasparenza e conoscibilità degli atti amministrativi. Si veda, tuttavia, che la legge sul trattamento dati non pone soltanto dei limiti, ma interviene nella chiarificazione dei parametri di valutazione adottabili dalle amministrazioni ogni qual volta si debba decidere se dare luogo ad un accesso ovvero rifiutarlo.

E' bene rammentare, che il rifiuto della PA comporta per la stessa un obbligo di motivazione. La privacy, peraltro, non deve costituire un facile motivo per opporre il rigetto delle istanze di accesso rivolte alla PA.

La motivazione fornita dalle amministrazioni deve invece consentire di rintracciare il fondamento del provvedimento nella disciplina predisposta per il trattamento dati.

Sicché, ancora una volta, l'interpretazione autentica del Garante si propone come orientamento anche per la PA nell'esercizio e nel perseguimento dell'interesse pubblico attraverso il bilanciamento tra il diritto alla riservatezza e quello alla trasparenza amministrativa. Emerge, dunque, anche l'impegno della PA di valutare in concreto la meritevolezza degli interessi coinvolti.

La validità dei ragionamenti svolti, è facilmente accertabile con il riscontro della disciplina del trattamento dei dati sensibili da parte di soggetti pubblici.

La categoria di dati ora in esame viene sottratta al diritto di accesso dall'art. 8, 5° comma, lett. d) del D.P.R. n.352 del 1992, salvo il diritto di visura per i motivi di difesa già detti.

La norma va letta con riferimento alle modifiche introdotte dal D. Lgs. n.135 del 1999 che prevede i casi in cui le PA possono trattare dati sensibili e consentirne l'accesso, dettandone le operazioni a tal scopo eseguibili, solo a fronte di rilevanti interessi pubblici. Fuori da questi casi, resta pur sempre il limite della riserva di legge.

Il D. Lgs.135 del 1999, inoltre, individua nel Garante una nuova fonte per la individuazione delle attività da intendere rilevanti per l’interesse pubblico, in forza delle quali è ammissibile il trattamento dei dati, anche di quelli sensibili.

L'assenza di parametri certi, che consentano alla PA di contemperare i diversi interessi, viene sostituita dall'interpretazione del Garante che potrà essere interpellato in questa evenienza.

Tale funzione di guida dell'attività delle amministrazioni, comunque prevista dal novellato art.22, commi 3 e 3 bis, viene svolta dal Garante, si noti bene, nelle more dell'intervento legislativo¹⁴.

Si deve, pertanto, presupporre l’avvicendarsi del Legislatore al Garante, cosa peraltro ancora non verificatasi per la inoperosità del primo. Non può comunque escludersi che il temporaneo vuoto normativo sia opera intenzionalmente predisposta in attesa di una approfondita visione delle tipologie di trattamento da individuare secondo una definizione delle categorie di dati in possesso della PA.

Allo stato dei lavori, infatti, il Garante viene gravato dell’impegno di ridurre progressivamente le zone grigie di incertezza applicativa della futura disciplina introdotta dal Legislatore. Questo, sempre che la norma successivamente prodotta rispetti le indicazioni dell’Autority: il che non sembra obbligare il Legislatore.

Così facendo, il ruolo del Garante diventerebbe quello dell’apri pista al Legislatore: un organo, non più solo interprete della normativa relativa alla privacy, ma ideatore e realizzatore della disciplina stessa, vero e proprio organo consultivo dello Stato—amministrazione e dello Stato-Legislatore, motrice di un autonomo diritto soggettivo alla privacy.

Senza voler cavalcare l’affermazione con toni positivistici, si osserva che il sistema descritto mantiene in ogni caso uno schema aperto alla libertà di esercizio del potere discrezionale da parte della amministrazione pubblica, sempre in grado di far prevalere, se pure in determinati contesti e senza troppe difficoltà, le preminenti esigenze dell’interesse pubblico in funzione del quale opera.

Del resto quali sono i limiti del potere attribuito al Garante nell’esercizio di sostituto del Legislatore e fin dove sono obbligate le amministrazioni ai suoi pareri, incontrandolo in questa veste?

Peraltro, i nuovi interventi normativi in materia di privacy hanno determinato un ridimensionamento anche della giurisprudenza amministrativa¹⁵, prima tradizionalmente favorevole alla prevalenza del diritto di accesso sulla riservatezza, ora dell’avviso che la legge 675 del 1996 sia divenuto un "ostacolo insormontabile" all’istanza di accesso16

Problemi sorgono riguardo all'accesso degli atti di diritto privato della PA, rispetto ai quali anche la giurisprudenza alterna divergenti soluzioni¹⁷

Prevalente per lungo tempo e fin quasi ai giorni nostri è stata la teoria che circoscriveva il diritto di accesso agli atti che rappresentavano espressione di potestà o si strumenti pubblicistici. Sulla scorta di tale orientamento si veniva ad escludere che si potesse esercitare diritto di accesso in modo legittimo nell'ambito dell'attività di diritto privato esercitata da soggetti pubblici¹⁸.

La ratio, che il Consiglio di Stato rintracciava nella legge 241 del 1999, presupponeva che l'esigenza di garantire rispetto ed attuazione dei principi di correttezza, buon andamento e imparzialità della PA, fosse prerogativa di una amministrazione percepita come autorità nell'esercizio di potestà autoritative.

La supremazia dell'autorità di fronte al singolo individuo privato, quindi, giustificava l'accesso come un potere che bilanciasse la sproporzione di natura istituzionale dei due soggetti in rapporto tra loro.

Una successiva giurisprudenza¹⁹ ha esteso l'ambito operativo della legge 241 del 1990 ancorando il diritto di accesso all'attività amministrativa e non agli atti amministrativi intesi in senso stretto.

Altri atti, allora, sono divenuti suscettibili di accesso. Sicuramente tutti quegli atti volti a realizzare l'attività amministrativa o, meglio, le sue finalità: atti non necessariamente formati e prodotti da pubbliche amministrazioni.

Si è venuto, così, a comprendere nel diritto di accesso gli atti del concessionario pubblico, generalmente un soggetto di natura privata.

L’apertura operata dalla Adunanza Plenaria ha trovato presto un temperamento nelle argomentazioni svolte in relazione al processo di osmosi progressiva, corrente tra le discipline pubblicistiche e quelle privatistiche.

Peraltro, si rileva la spinta del Legislatore, mosso dalle sollecitazioni provenienti dal diritto comunitario, di ammettere soggetti di diritto privato nel novero di quelli che operano in ambito di diritto pubblico e che si sostituiscono agli enti e agli organismi pubblici nell’esercizio di ruoli storicamente di competenza della pubblica amministrazione, comunque finanziati con fondi di provenienza pubblica²⁰.

In ogni caso, i giudici amministrativi distinguono le attività di diritto privato della pubblica amministrazione da quella, sempre di diritto privato, inerente l’azione residuale svolta dai concessionari pubblici.

L’elemento di differenza tra le due attività fa riferimento a quella attività collegata alla gestione degli interessi collettivi, che, per quanto di natura privata, resta soggetta ai principi di imparzialità e buon andamento cui va soggetta l’azione amministrativa in virtù del vincolo finalistico.

Pertanto, l’applicazione della disciplina dell’accesso agli atti di diritto privato segue il criterio di pertinenza dell’atto alla gestione dell’interesse pubblico.

Tale assunto fa seguito al principio cardine dell’agire della pubblica amministrazione, ossia la "funzionalità" di qualsiasi potere riconosciuto dall’ordinamento per il soddisfacimento degli interessi pubblici.

La soluzione prospettata, tuttavia, non appare a molti sufficiente a dare confini certi all’attività di diritto privato di soggetti quali i concessionari pubblici.

In merito all’azione svolta dalla PA attraverso strumenti privatistici, si osserva comunque, che ad essa appartengono elementi irrinunciabili del diritto comune che conservano aree di operatività inaccessibili agli istituti pubblicistici.

Si fa il caso dei principi di buona fede e correttezza, o della trasparenza e del dovere di informazione alla base del diritto dei consumatori, altresì utenti del servizio pubblico.

Il banco di prova su cui intendiamo sperimentare quanto detto nei paragrafi che precedono è quello del trattamento dei dati personali sensibili da parte dei soggetti pubblici con particolare attenzione ai dati sanitari²¹.

L’orientamento prevalente²² a riguardo distingue tre categorie di informazioni:

a) le informazioni obbiettivamente neutre, che non arrecano in assoluto attraverso la loro diffusione pregiudizio alla persona cui si riferiscono;
b) le informazioni che, pure a fronte del vincolo di riservatezza espressa dall’interessato, sono sottoposte ad un regime di divulgazione dettato da finalità sociali;
c) infine, le informazioni di cui l’interessato non vuole la divulgazione e non interessano utilità sociali.

La maggiore sensibilità di quest’ultima categoria di dati, individuata dalla dottrina se pure nella asserita genericità della formula legislativa, riguarda la disposizione dell’art. 22, legge 675 del 1996.

Tra i dati che interessano la disposizione in esame, quelli sanitari rappresentano il genere più trattato se si considerano anche solo le informazioni sulla storia clinico - sanitaria dell’individuo nonché le relative informazioni di carattere amministrativo sociale.

La disciplina tratta dal coordinamento dell’art. 22, comma 3, e dell’art.27 della legge sul trattamento dati personali introduce una regolamentazione più severa e rigida, assoggettando l’attività di raccolta dei dati sanitari all’inderogabile vincolo del consenso della persona interessata o dell’espressa autorizzazione del Garante. Una tutela questa per alcuni non del tutto soddisfacente, se si considera la discrezionalità più o meno accurata dell’organo Garante che la autorizza e le manifestazioni di consenso che vengono rilasciate in situazioni di condizionamento dell’interessato²³.

Detto limite sembra superato recentemente dalla specifica disposizione del D. L.gs. 11 maggio 1999, n. 135, laddove prevede che ai soggetti pubblici il trattamento è consentito solo se autorizzato da espressa autorizzazione di legge, prescindendo dal consenso dell’interessato e dall’autorizzazione del Garante.

Proprio la disciplina riguardante la tutela della salute è quella per cui lo stesso decreto legislativo ha individuato le attività di rilevante interesse pubblico comprese tra quelle di competenza del servizio sanitario nazionale e degli altri organismi sanitari pubblici (art.17), per le quali è autorizzato il trattamento dei dati.

Infatti, i soggetti che perseguono le finalità di cui al comma 1 dell’art. 17 sono ammessi anche all’identificazione dell’interessato nel rispetto del principio di pertinenza dei dati con la specifica fase di attività in relazione alla quale i medesimi sono incaricati.

Così facendo, è stata esonerata l’amministrazione sanitaria dal dover richiedere il consenso dell’interessato ovvero dall’autorizzazione del Garante.

Ma il Legislatore, a ben vedere, opera una distinzione concernente il trattamento dei dati sanitari in ragione della finalità perseguita.

La disciplina appena illustrata, pertanto, risulta valida avendo una propria finalità nella tutela dell’incolumità fisica e della salute dell’interessato.

Diversamente la normativa si atteggia in relazione alla tutela della salute del terzo o della collettività. Infatti, l’art. 23, comma 1, in questo caso mantiene a carico dei soggetti pubblici l’obbligo di richiedere ed ottenere il consenso dell’interessato, o terzo interessato, in alternativa all’autorizzazione del Garante.²⁴

Si prenda a contrario l’esempio dato dall’orientamento del TAR Lombardia²⁵ il quale, risolvendo una fattispecie simile a quella decisa dal Consiglio di Stato, ha ritenuto la legittimità dell’accesso anche ai dati sensibili per la tutela di situazioni giuridicamente rilevanti, rimettendo all’amministrazione in sede regolamentare il potere ad essa attribuito dal novellato art.22, comma 3 bis e 4, di specificare quali dati tra quelli sensibili siano suscettibili di trattamento mediante accesso.

Argomenta il TAR Lombardia sulla scorta che la considerazione fatta dal D. Lgs. 135 del 1999, art. 16, lett. a), in base alla quale l’attività di accesso operata in conformità alla legge 241 del 1990, soprattutto in virtù dell’art.22 legge 675 del 1996, è di rilevante interesse pubblico se coinvolge il trattamento dati necessari a far valere il diritto di difesa in sede amministrativa o giudiziaria.

Nel caso di specie il Collegio ha preso a riferimento il recente Regolamento n.5 del 2000, emanato dall’INAIL, che all’art. 15 disciplina le richieste di accesso su documenti amministrativi contenenti dati personali relativi a soggetti terzi (salute e accertamento medico legale).

Facilmente si nota, pertanto, come ancora una volta sia proprio la Legge ad aver messo sullo stesso piano il diritto alla difesa e quello alla riservatezza dei dati sensibili, con riferimento in questa sede ai dati sanitari.

Nuovamente emerge il conflitto tra i due diritti in questione.

Sul punto si segnala in conclusione la pronuncia del Consiglio di Stato²⁶ che, decidendo in appello su di una sentenza del TAR Campania affine all’orientamento del TAR Lombardia, ha motivato la legittimità dell’accesso del ricorrente allorquando questo debba far valere o difendere un diritto "almeno pari di rango a quello dell’interessato dai dati".

Il Collegio, dunque, ha nuovamente sancito un principio di bilanciamento degli interessi in gioco da prendere in considerazione nella valutazione in concreto operata dall’amministrazione per prima, e poi dal giudice del controllo chiamato in virtù dell’art. 25, legge 241 del 1990.

Novembre 2001