“Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis.”
Questo è il secondo comma dell’articolo 5 del decreto legislativo 33 del 2013. Ci dice che la Pubblica Amministrazione deve fornire, a chiunque lo chieda, dati e documenti in suo possesso. Persone fisiche o giuridiche possono esercitare il diritto di accesso (detto accesso generalizzato) senza fornire alcuna motivazione specifica e le Pubbliche Amministrazioni hanno il dovere di fornire la documentazione richiesta previo bilanciamento degli interessi in gioco.
Un quotidiano italiano ha esercitato questo diritto nei confronti del Garante per la Protezione dei Dati Personali cercando di ottenere la documentazione riguardante l’istruttoria disposta dallo stesso Garante sul cosiddetto “Sistema operativo 5 stelle” conclusasi con il provvedimento prescrittivo del 21 dicembre 2017 poi aggiornato da un provvedimento dello scorso 16 maggio 2018.
Il Garante ha accolto solo parzialmente la richiesta del quotidiano effettuando un bilanciamento tra esigenze di trasparenza e diritti e libertà dei soggetti coinvolti nell’istruttoria. In ogni caso, ha fornito molti documenti dai quali emergono gli aspetti più problematici nell’applicazione del vecchio Codice della Privacy e, oggi, del GDPR. In particolare, emerge la difficoltà nel garantire la catena di protezione quando più soggetti sono coinvolti nel trattamento dei dati personali. Nella fattispecie, infatti, il soggetto titolare, in particolare l’Associazione Rousseau, non trattava in proprio i dati personali del blog e della piattaforma di votazione ma li aveva affidati a soggetti terzi che dovevano essere formalizzati come “responsabili del trattamento” e, soprattutto, controllati così come prescrive l’art. 28 del GDPR.
La protezione dei dati personali non ammette anelli deboli.