In tale contesto e con l’obiettivo raccomandato dall’Autorità Nazionale Anticorruzione nella delibera n. 1309 del 28 dicembre 2016 di uniformare i comportamenti degli uffici nella trattazione delle richieste, come già esposto nella Parte I (Cap. VIII, par. 8.2), l’Istituto ha adottato un regolamento che coordina le precedenti normative interne sulle modalità di accesso civico semplice e documentale16 con la nuova tipologia di accesso, al fine di garantire un approccio sistemico alla norma.
Tale regolamento è strutturato in cinque capi:
1. Capo I – Principi generali: descrive le finalità del regolamento delimitandone gli ambiti applicativi e fornendo le definizioni delle fondamentali nozioni ricorrenti;
2. Capo II – Accesso ai documenti amministrativi: disciplina le modalità di esercizio dell’accesso ai documenti amministrativi ai sensi degli artt. 22 e seguenti della legge n. 241/1990;
3. Capo III – Accesso civico: disciplina le modalità di esercizio dell’accesso civico ai sensi dell’art. 5, comma 1 d.lgs. n. 33/2013, finalizzato alla richiesta di pubblicazione dei dati come previsto dallo stesso decreto legislativo;
4. Capo IV – Accesso generalizzato: disciplina le modalità di esercizio dell’accesso civico ai sensi dell’art. 5, comma 2 d.lgs. n. 33/2013, che può essere esercitato anche per i dati che non soggiacciono all’obbligo di pubblicazione;
16 Determinazione del Presidente n. 13 del 21 gennaio 2015 e delibera del Consiglio di amministrazione n.
5 del 13 gennaio 2000 che si intendono abrogate per effetto del nuovo regolamento.
31 5. Capo V – Norme finali: disciplina le modalità di raccolta e gestione delle diverse
istanze di accesso; l’istituzione e la gestione del registro degli accessi.
Il Capo del regolamento relativo all’accesso generalizzato contiene tutti i dettagli necessari a una gestione efficace delle istanze, individuando ruoli e risorse coinvolti, nonché definendo principi e criteri generali per la valutazione delle richieste pervenute.
Nelle more dell’adozione di tale provvedimento e della sua piena operatività, la gestione delle diverse richieste di accesso e lo sviluppo di azioni per il coordinamento dei comportamenti delle strutture destinatarie delle istanze, sono stati svolti dal Servizio ispettorato e sicurezza.
Lo stesso regolamento tiene conto della specifica disciplina attinente alla materia della privacy e, in particolare, alla gestione dei dati personali delicati e sensibili.
Anche in merito alle limitazioni ed esclusioni del diritto di accesso, è stato svolto un lavoro di coordinamento e conciliazione rispetto alle esclusioni previste all’interno della delibera n. 5 del 13 gennaio 2000 per una corretta gestione delle sovrapposizioni e apparenti incongruenze normative rispetto alle limitazioni previste ex legge n.
241/199017.
In una fase iniziale di adeguamento alla normativa vigente, al fine di agevolare l’esercizio del diritto di accesso, sono stati resi disponibili sul sito di Inail, in una sezione ad hoc di Amministrazione trasparente, specifici moduli per una corretta richiesta di dati, documenti e informazioni secondo i dettami della legge n. 241/1990, dell’accesso civico e del cd FOIA, a seconda della tipologia di accesso che si intenda attivare.
Il processo di informatizzazione che l’Istituto ha intrapreso, permetterà di prevedere la progressiva digitalizzazione delle richieste con l’obiettivo di minimizzare l’impatto organizzativo relativo alle risorse umane, economiche e di tempo necessarie, ora impiegate nella gestione delle istanze in argomento. Ottimizzando e coordinando i sistemi di gestione dati già in essere presso l’Istituto, sarà realizzato un sistema di Data management in grado di catalogare, classificare e rendere immediatamente rintracciabili dati, documenti e informazioni richieste.
Infine è stato istituito, presso il Servizio ispettorato e sicurezza un registro degli accessi, riferito alle tre tipologie esistenti che sarà costantemente aggiornato dal Centro unico di raccolta delle istanze di accesso e reso disponibile sul sito dell’Istituto nella sezione Amministrazione trasparente.
3.3.1 Report sull’andamento dei procedimenti di accesso Il registro unico degli accessi è suddiviso in tre sezioni:
1. Sezione dedicata all’accesso civico generalizzato;
2. Sezione dedicata all’accesso civico semplice;
17 Delibera Anac n. 1309/2016, par. 6.3.
32 3. Sezione dedicata all’accesso documentale.
Si riporta, di seguito, una sintesi sull’andamento dei tre procedimenti di accesso appena descritti, nel periodo compreso tra il 1 giugno 2017 e il 31 dicembre 2017.
Accesso civico generalizzato – Nel periodo indicato sono pervenute 14 richieste di accesso civico generalizzato in prima istanza e 2 istanze di riesame.
Circa i tempi di conclusione del procedimento in prima istanza:
9 risultano definiti nei termini di legge (con una media di 22 giorni);
2 risultano definiti oltre i termini di legge (con una media di 54 giorni);
2 risultano ancora in fase di definizione, oltre i termini di legge:
1 risulta in fase di definizione, entro i termini di legge.
Circa i tempi di conclusione del procedimento in seconda istanza (riesame):
la prima risulta definita oltre i termini di legge in considerazione dell’istruttoria complessa svolta;
la seconda risulta definita nei termini di legge.
Circa l’oggetto:
4 hanno avuto ad oggetto documenti relativi a infortunio/malattia professionale;
4 hanno avuto ad oggetto documenti relativi a procedure concorsuali;
1 ha avuto ad oggetto documenti relativi a convegni/seminari organizzati dall’Istituto;
2 hanno avuto ad oggetto atti a carattere generale;
3 hanno avuto ad oggetto dati relativi ad aziende (una in forma semplice e due in forma aggregata);
Circa gli esiti delle richieste in prima istanza:
4 si sono concluse con atto di accoglimento;
1 si è conclusa con atto di rigetto totale;
5 si sono concluse con atto di rigetto parziale;
1 si è conclusa per l’inutile spirare dei termini di legge.
Circa gli esiti delle richieste di riesame:
1 si è conclusa con atto di rigetto totale;
1 si è conclusa con atto di accoglimento.
Due richieste hanno visto l’apertura del sub procedimento di coinvolgimento dei controinteressati.
Non risultano ricorsi al Tar.
33 Accesso civico semplice - Le richieste di accesso civico semplice avanzate nel periodo indicato, sono quattro.
Circa i tempi di conclusione del procedimento risultano tutte definite nei termini di legge.
Circa l’oggetto:
due hanno avuto ad oggetto documenti relativi a procedure concorsuali;
due hanno avuto ad oggetto atti a carattere generale.
Circa gli esiti delle richieste:
due si sono concluse con atto di rigetto totale;
una si è conclusa con atto di rigetto parziale;
una si è conclusa con atto di accoglimento.
Non risultano ricorsi al Tar.
Accesso documentale - Le richieste di accesso documentale pervenute nel periodo indicato risultano pari a 8518.
Circa i tempi di conclusione del procedimento:
53 risultano definite con il seguente esito:
36 hanno avuto pieno accoglimento;
10 hanno avuto diniego totale;
7 hanno avuto diniego parziale.
43 istanze di accesso sono state definite nel termine di 30 giorni e 10 oltre tale termine; le restanti 32 sono ancora in fase di lavorazione.
Relativamente all’oggetto delle istanze di accesso:
65 sono relative a documentazione concernente infortuni o malattie professionali;
11 sono relative a verbali, atti di accertamento, verifica ispezione;
4 sono relative a dati riguardanti le aziende;
1 è relativa a sovvenzioni, finanziamenti alle imprese;
1 è relativa a documentazione concernente attività di ricerca;
1 è relativa a dati attinenti al personale, consulenti e collaboratori.
Non risultano ricorsi al Tar.
18 Il numero delle istanze di accesso ai sensi dell’art. 22 legge n. 241/1990 non è da considerare esaustivo, in quanto è ancora in corso di definizione, in Istituto, una procedura unificata per la gestione delle tre istanze di accesso.
34 3.4 Il bilanciamento fra trasparenza e privacy
Le recenti modifiche normative che hanno interessato l’ambito della privacy sia in relazione alla nuova regolamentazione europea, descritta di seguito, sia in ambito trasparenza (apertura totale delle Amministrazioni nei confronti del cittadino a seguito dell’introduzione dell’istituto dell’accesso civico generalizzato), richiedono la necessità di presidiare in maniera più intensiva i possibili rischi - di compliance, informatici, operativi e dunque a presidio di possibili episodi di malagestio - in materia di privacy, cui l’Istituto è potenzialmente esposto.
In particolare si ricorda brevemente l’emanazione dei due atti regolamentari europei19 cui gli Stati membri dovranno adeguarsi entro il 2018:
regolamento europeo in materia di protezione dei dati personali (Ue) 2016/679
direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini (Ue) 2016/680.
Il regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali, sempre più avvertite dai cittadini dei Paesi dell’Unione europea. Introduce, in tale direzione, nuove regole in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l'esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
L’allineamento tra le disposizioni contenute nel regolamento 2016/679 e la normativa italiana, comporta la necessità per l’Istituto di proseguire nella propria attività di risk management in ambito privacy e intensificare in tal senso il presidio dei rischi al fine di individuare le azioni necessarie al corretto adeguamento alla nuova normativa.
Del resto, come sintetizzato dal Garante per la protezione dei dati personali, il
“Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Il principio-chiave è «privacy by design», ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.
Ad esempio, è previsto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone […]. Viene inoltre introdotta la figura del «Responsabile della protezione dei dati» (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti”.
19 Pubblicati in Gazzetta ufficiale dell'Unione europea del 4 maggio 2016. Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in Gu.ue e sarà definitivamente applicabile in via diretta in tutti i Paesi Ue a partire dal 25 maggio 2018, quando dovrà essere garantito l’allineamento fra la normativa nazionale e le disposizioni del regolamento. La direttiva, invece, è vigente dal 5 maggio 2016, e da qual momento gli Stati membri avranno due anni di tempo per recepire le sue disposizioni nel diritto nazionale.