Per diritto di accesso si intende, il diritto di un soggetto a conoscere informazioni gestite da un altro soggetto.

Il diritto di accesso nei confronti della pubblica amministrazione è il diritto ad avere notizie precise del contenuto degli atti di un determinato procedimento amministrativo. Per quanto riguarda il trattamento dei dati personali, si tratta invece del diritto dell’interessato a conoscere i dati che lo riguardano e in che modo vengono gestiti dal titolare del trattamento.

Normativa italiana sul diritto di accesso

Esistono varie norme che garantiscono il diritto di accesso. La prima fonte è la legge 241 del 1990, ossia la legge sul procedimento amministrativo; il decreto legislativo 14 marzo 2013, numero 22, che ha introdotto gli istituti dell’accesso civico e dell’accesso generalizzato; infine, il diritto d’accesso in materia di trattamento dei dati personali è regolamentato in via generale dall’articolo 15 del regolamento UE 16/679 (GDPR).

Diritto di accesso: implicazioni per le PA

Il diritto di accesso, nel diritto amministrativo, è espressione di uno dei principi fondamentali che caratterizzano la pubblica amministrazione, ossia il principio di trasparenza. L’articolo 22 della legge 241/1990 definisce il diritto di accesso come “il diritto degli interessati di prendere visione e di estrarre copia di documenti amministrativi”. Il successivo art. 23 afferma che: ”il diritto di accesso di cui all’articolo 22 si esercita nei confronti delle pubbliche amministrazioni, delle aziende autonome e speciali, degli enti pubblici e dei gestori di pubblici servizi. Il diritto di accesso nei confronti delle Autorità di garanzia e di vigilanza si esercita nell’ambito dei rispettivi ordinamenti, secondo quanto previsto dall’articolo 24”.

L’accesso agli atti può essere distinto in formale o informale: il primo consiste nel chiedere ed ottenere copia di documenti, il secondo di prenderne semplicemente visione.

Un’ulteriore distinzione può essere fatta secondo l’art. 5 del decreto legislativo 33/2013, che distingue l’accesso civico e l’accesso generalizzato. L’Accesso civico semplice consente a chiunque di richiedere documenti, dati o informazioni che le amministrazioni hanno l'obbligo di pubblicare nella sezione "Amministrazione trasparente" dei propri siti istituzionali, nei casi in cui gli stessi non siano stati pubblicati (art.5, c. 1). Per presentare una richiesta di Accesso civico semplice è disponibile il modulo online nella sezione Amministrazione trasparente da inviare al Responsabile della prevenzione della corruzione e della trasparenza.

L' Accesso civico generalizzato consente a chiunque di richiedere dati e documenti ulteriori rispetto a quelli che le amministrazioni sono obbligate a pubblicare (art. 5, c. 2). Per presentare una richiesta di Accesso civico generalizzato relativa a dati e documenti detenuti dal Dipartimento della funzione pubblica, è disponibile il modulo online nella sezione Amministrazione trasparente.

Quando l'accesso può essere negato

Ai sensi dell’articolo 24 della legge 241/1990, l’accesso ai documenti amministrativi è escluso nelle seguenti ipotesi:

a) per i documenti coperti da segreto di Stato ai sensi della legge 24 ottobre 1977, n. 801, e successive modificazioni, e nei casi di segreto o di divieto di divulgazione espressamente previsti dalla legge, dal regolamento governativo di cui al comma 6 e dalle pubbliche amministrazioni ai sensi del comma 2 del presente articolo;

b) nei procedimenti tributari, per i quali restano ferme le particolari norme che li regolano;

c) nei confronti dell’attività della pubblica amministrazione diretta all’emanazione di atti normativi, amministrativi generali, di pianificazione e di programmazione, per i quali restano ferme le particolari norme che ne regolano la formazione;

d) nei procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psico-attitudinale relativi a terzi”.

Diritto di accesso e privacy: come garantire la protezione dei dati personali

Il diritto di accesso è uno dei diritti fondamentali previsti dal GDPR per consentire all’interessato di avere la certezza che il titolare tratti i dati in modo conforme alla normativa europea. L’articolo 15 del GDPR regola il diritto di accesso e determina le modalità con cui questo può essere esercitato ai fini della data protection.

Come rispondere alle richieste di accesso

Ai sensi del paragrafo 3 del GDPR, “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune”. L’istanza non richiede particolari formalità ed il titolare ha 30 giorni di tempo per rispondere, salvo problematiche particolari. Il diritto di accesso è un’opportunità per le organizzazioni per dimostrare agli utenti interesse per la gestione dei loro dati personali e per mostrare doti di trasparenza e lealtà nei rapporti.

Competenze e conoscenze necessarie per gestire il diritto di accesso

Il GDPR prevede formazione per il personale che a che fare con i dati e che il titolare del trattamento imposti una linea guida che consenta l’esercizio dei diritti degli interessati, tra i quali il diritto di accesso, direttamente nella fase di progettazione del sistema di gestione dei dati personali (privacy by design).

Ruolo del Data Protection Officer (DPO)

Il DPO è una figura centrale nel sistema GDPR.

Il DPO si occupa al contempo sia di offrire consulenze di tipo tecnico legale, che di controllare che vengano rispettate e correttamente applicate le procedure previste dalla normativa e di mantenere un rapporto di collaborazione con l’Autorità Garante per il trattamento dei dati personali nelle ipotesi in cui sia necessario interagire. Il DPO deve assicurarsi che il titolare abbia chiaro quali sono i suoi obblighi e facilitare le operazioni per la tutela del diritto dell’interessato.

Diritto di accesso e responsabilità: sanzioni e conseguenze in caso di violazioni

In caso di mancata risposta o di rifiuto ingiustificato da parte del titolare, l’interessato può proporre reclamo all’Autorità Garante per il trattamento dei dati personali. Laddove accerti la lesione del diritto di accesso dell’interessato, il Garante può imporre al titolare di consegnare la copia dei documenti e dei dati e sanzionare il titolare con multe anche molto rilevanti per mezzo dell’emissione di un’ordinanza-ingiunzione.

Buone pratiche da seguire

Tutte le politiche aziendali finalizzate alla trasparenza ed al rendere più semplice l’esercizio del diritto di accesso generano fiducia nell’interessato. Un’ottima soluzione può essere un from da compilare sul sito aziendale, oltre ad un’informativa chiara, semplice ed accessibile a chiunque.