Anche con il consenso prestato dalla parte, va rispettato il principio di minimizzazione dei dati.
Di Michele Mavino
Con il provvedimento n. 381 del 28 maggio 2026, il Garante per la protezione dei dati personali affronta la questione delle istanze di accesso civico generalizzato e di quali dati personali possano essere legittimamente comunicati al controinteressato durante il procedimento previsto dall’art. 5 del d.lgs. n. 33/2013.
La vicenda trae origine dal reclamo presentato da un cittadino nei confronti da un istituto universitario che, nel notificare ad un controinteressato l’esistenza di un’istanza di accesso civico generalizzato, aveva trasmesso integralmente la richiesta ricevuta, comprensiva non soltanto dell’identità del richiedente, ma anche del suo indirizzo di residenza e del numero di telefono cellulare.
L’Ateneo ha tentato di giustificare il proprio operato sostenendo che il richiedente aveva espressamente autorizzato il trattamento dei propri dati personali per le finalità connesse all’istanza e che, pertanto, tale autorizzazione comprendesse anche la comunicazione integrale della domanda al controinteressato. Il Garante respinge però questa impostazione con motivazioni che meritano attenzione, perché ribadiscono principi ormai consolidati ma troppo spesso sottovalutati nella pratica amministrativa.
Il punto centrale del provvedimento è che la comunicazione al controinteressato costituisce certamente un obbligo previsto dalla normativa sull’accesso civico, ma ciò non autorizza automaticamente la trasmissione indiscriminata di tutti i dati personali contenuti nell’istanza. La comunicazione deve infatti essere limitata esclusivamente alle informazioni strettamente necessarie affinché il controinteressato possa comprendere l’oggetto della richiesta ed esercitare il proprio diritto di opposizione. In altre parole, il fatto che il controinteressato debba conoscere chi ha presentato l’istanza non significa che debba conoscere anche dati ulteriori, quali recapiti telefonici, indirizzi di residenza o altri elementi identificativi privi di qualsiasi utilità rispetto alle finalità del procedimento.
Il provvedimento richiama, sotto questo profilo, due principi cardine del Regolamento (UE) 2016/679 e cioè quello di liceità, correttezza e trasparenza e soprattutto, il principio di minimizzazione dei dati previsto dall’art. 5, paragrafo 1, lettere a) e c), del GDPR. Quest’ultimo impone che ogni trattamento riguardi esclusivamente dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite. S
Interessante è anche il passaggio con cui il Garante esclude qualsiasi efficacia “esimente” alla formula con cui il richiedente aveva autorizzato il trattamento dei propri dati personali. L’Autorità chiarisce infatti che la responsabilità della corretta individuazione dei dati da comunicare rimane integralmente in capo all’amministrazione, la quale è comunque tenuta a svolgere un’autonoma valutazione di necessità e proporzionalità. Il consenso dell’interessato non può sostituire gli obblighi derivanti dal GDPR né eliminare il dovere del titolare del trattamento di rispettare il principio di minimizzazione.
Nella gestione quotidiana delle istanze di accesso, molte amministrazioni tendono ancora a trasmettere copia integrale della domanda ai controinteressati, senza alcuna preventiva attività di oscuramento dei dati eccedenti. Il provvedimento evidenzia come tale prassi non possa essere considerata conforme alla disciplina europea sulla protezione dei dati personali.










