Un Comitato di famiglie, professionisti della scuola e studenti attivi nella società civile, con l’obiettivo unico di rendere piena trasparenza dello stato di diffusione del CoViD-19 nelle Scuole della Provincia di Modena, ha inoltrato istanze di accesso civico generalizzato a diversi Istituti scolastici finalizzati a ottenere dati sotto la forma di “report Sars-Cov2” che settimanalmente vengono inviati dalle
Scuole della Provincia di Modena al sistema di Sorveglianza Sanitaria e nello specifico copia del database delle serie storiche contenente le seguenti rilevazioni:
- numero di casi in isolamento
- numero di casi in quarantena
- numero di casi sottoposti a tampone (molecolare o antigenico)
- numero di casi in attesa di esito
- numero di casi con esito positivo
- numero di casi con esito negativo
- numero di classi in isolamento
- numero di classi in quarantena preventiva
- numero di classi focolaio.
Molti degli Istituti scolastici interessati hanno negato l’accesso civico con identico provvedimento, per motivi inerenti alla protezione dei dati personali, rappresentando che l’ostensione del complesso delle informazioni richieste, anche se private dei dati direttamente indentificativi dei soggetti interessati, "laddove combinati con informazioni verbali facilmente acquisibili soprattutto in realtà scolastiche contenute, consentono di risalire all’identità dei soggetti coinvolti e, quindi, al loro stato di salute".
Il richiedente l’accesso civico ha quindi presentato una richiesta di riesame sui provvedimenti di diniego al RPCT dell’Ufficio Scolastico Regionale per l’Emilia-Romagna, ritenendole non legittime e insistendo nelle proprie richieste, chiedendo inoltre che venga offerta la disponibilità a identificare la maniera più comoda di raccogliere le informazioni richieste con l’intento di non gravare sulle attività della Scuola.
Il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’Ufficio Scolastico Regionale per l’Emilia-Romagna ha chiesto al Garante un parere.
La questione sottoposta all’attenzione del Garante riguarda l’ostensione, tramite l’istituto dell’accesso civico, di database e dati relativi all’emergenza sanitaria e alla rilevazione di casi di diffusione del Covid-19, di isolamento/quarantena, di effettuazione di tamponi riferiti ad alunni di istituti scolastici situati in una stessa provincia, a cadenza settimanale, partendo dalla data della prima rilevazione, contenuti nei report inviati dalle Scuole al sistema di Sorveglianza Sanitaria.
Dagli atti e dall’istanza di accesso civico non si evince chiaramente se la richiesta di accesso riguarda solo casi passati o la volontà di attivare una vera e propria comunicazione sistematica – anche pro futuro – sui tali dati e informazioni, a cadenza settimanale, dall’amministrazione al Comitato.
In ogni caso, il Garante evidenzia che l’istituto dell’accesso civico può avere a oggetto solo dati e documenti detenuti dalle pubbliche amministrazioni, con impossibilità di accogliere istanze che abbiano a oggetto dati o informazioni non ancora in possesso della p.a. o l’attivazione di flussi futuri di comunicazione di dati.
I dati e le informazioni riferite a persone fisiche, identificate o identificabili, che hanno contratto il virus da Covid-19 rientrano sicuramente nella definizione di dati sulla salute per i quali va escluso l’accesso civico ai sensi dell'art. 5-bis, comma 3, del d. lgs. n. 33/2013.
Inoltre, le informazioni sono riferite a persone fisiche, identificate o identificabili, che – pur non essendo positive al Covid-19 – sono state sottoposte a tampone (molecolare o antigenico), o a quarantena oppure a isolamento sono di natura particolarmente delicata, essendo peraltro riferite nel caso in esame a soggetti minorenni. Un’eventuale ostensione di tali dati personali, unita al particolare regime di pubblicità dei dati oggetto di accesso civico, può essere fonte di rischi specifici per i soggetti interessati, determinando possibili ripercussioni negative sul piano personale, sociale e relazionale, sia all’interno che all’esterno dell’ambiente scolastico. In tal modo, potrebbe effettivamente determinarsi un’interferenza ingiustificata e sproporzionata nei diritti e libertà individuali, in violazione del principio di minimizzazione dei dati, arrecando proprio quel pregiudizio concreto alla tutela della protezione dei dati personali. Al riguardo, bisogna, inoltre, tener conto delle ragionevoli aspettative di confidenzialità dei controinteressati in relazione al trattamento dei propri dati personali al momento in cui questi sono stati raccolti dagli Istituti scolastici, nonché della non prevedibilità, al momento della raccolta dei dati, delle conseguenze derivanti ai minori e alle relative famiglie, dall’eventuale conoscibilità, da parte di chiunque, dei dati richiesti tramite l’accesso civico.
Il Garante conclude con una ulteriore considerazione: in relazione ai dati dell’emergenza sanitaria da Covid-19, gli Istituti scolastici non sono i soggetti compenti all’elaborazione dei “dati ufficiali”, che è invece rimessa agli enti deputati alla sorveglianza sanitaria. Di conseguenza i dati richiesti, di diversa tipologia riferiti agli alunni (es.: numero di alunni sottoposti a tampone, con indicazione dell’esito positivo o negativo; numero di alunni sottoposti a quarantena oppure a isolamento), da essi eventualmente detenuti anche incidentalmente (ad esempio perché trasmessi dai genitori o da altri soggetti) possono essere non integri o incompleti; e la relativa comunicazione o diffusione potrebbe, a seconda dei singoli casi, porsi in contrasto con il principio generale di “esattezza dei dati”, sancito dall’art. 5, par. 1, lett. d), del RGPD.