Richiesta di accesso civico generalizzato avente ad oggetto il database in anonimo di uno studio clinico (Commento a Parere Garante Privacy n. 358 del 31 ottobre 2022)

                                                                                               [doc. web n. 9830919]

Parere su istanza di accesso civico n. 358 del 31 ottobre 2022

Richiesta di accesso civico generalizzato avente ad oggetto il database in anonimo di uno studio clinico

Nell’ambito di un procedimento relativo a una richiesta di accesso civico, il Responsabile della prevenzione della corruzione e della trasparenza dell’Istituto Superiore di Sanità ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33/2013.

Nello specifico, era stata presentata una richiesta di accesso civico generalizzato avente ad oggetto il database in anonimo di uno studio clinico identificato nell’istanza stessa.

L’amministrazione aveva rifiutato l’accesso ritenendo vi fosse la necessità di tutelare i dati sulla salute riferiti alle persone fisiche arruolate nella sperimentazione clinica e dunque invocando il limite della tutela dati personali.

Inoltre, l’amministrazione ha precisato che non sarebbe in ogni caso possibile fornire il database in anonimo, in quanto l’eventuale ostensione non sarebbe idonea, ex se, ad escludere un rischio di re-identificazione, anche a posteriori e attraverso il raffronto dei dati richiesti con altre informazioni eventualmente in possesso di terzi dei soggetti arruolati nello studio clinico.

Tuttavia, il soggetto istante, ha inoltrato una richiesta di riesame del provvedimento al RPCT, ponendo in luce le sue ragioni, ritenendo che la richiesta di accesso civico avente ad oggetto il database anonimizzato non fosse in nessun modo riconducibile a singoli pazienti ritenendo dunque impossibile identificare tramite soli dati anonimizzati i pazienti trattati.

Il Garante ricorda che i dati relativi alla salute rientrano nelle «categorie particolari di dati personali», per i quali è previsto un divieto di trattamento dall’art. 9 del RGPD.

Inoltre, data la delicatezza dei predetti dati, il regolamento europeo prevede che gli Stati membri possono accordare ulteriori garanzie e mantenere o introdurre ulteriori condizioni e limitazioni, con riguardo al trattamento di dati relativi alla salute.

Il Garante ha ribadito che la richiesta di accesso civico generalizzato a dati relativi alla salute – presentata ai sensi dell’art. 5, comma 2, d. lgs. n. 33/2013 – avendo a oggetto dati personali per i quali è previsto un esplicito divieto di divulgazione dalla disciplina vigente rientra in un caso in cui l’accesso civico generalizzato è “escluso” direttamente dal legislatore secondo la disposizione contenuta nell’art. 5-bis, comma 3, del d. lgs. n. 33/2013, ossia tramite una norma di rango primario a tutela di interessi pubblici e fondamentali.