di Maurizio Ferri e Caterina Ferri
🇮🇹 Il contributo analizza il parere del Garante per la protezione dei dati personali del 29 gennaio 2026 in materia di accesso civico generalizzato, con specifico riferimento all’ostensione dei curricula di professionisti coinvolti in procedure di appalto. L’analisi evidenzia le criticità derivanti dal bilanciamento tra trasparenza amministrativa e protezione dei dati personali, soffermandosi in particolare sul requisito del “pregiudizio concreto” di cui al d.lgs. n. 33/2013 e sui principi del Regolamento (UE) 2016/679 (GDPR). Il lavoro mette inoltre in luce una asimmetria sistemica tra obblighi di pubblicazione e accesso civico, evidenziando come dati omogenei possano essere assoggettati a regimi differenziati, con ricadute in termini di certezza del diritto e uniformità applicativa. Sono infine esaminate le principali implicazioni operative per le stazioni appaltanti.
_
🇬🇧This article examines the opinion issued by the Italian Data Protection Authority on 29 January 2026 concerning freedom of information requests (FOIA), with specific regard to the disclosure of curricula vitae of professionals involved in public procurement procedures. The analysis highlights the critical issues arising from the balance between administrative transparency and personal data protection, focusing in particular on the requirement of a “concrete prejudice” under Legislative Decree No. 33/2013 and the principles set out in Regulation (EU) 2016/679 (GDPR). The paper also identifies a systemic asymmetry between mandatory disclosure obligations and general access requests, showing how similar data may be subject to different legal regimes, with implications for legal certainty and consistency in administrative practice. Finally, it outlines the main practical consequences for contracting authorities.
1. Premessa
Il parere reso dal Garante per la protezione dei dati personali in data 29 gennaio 2026 si inserisce nel dibattito, ormai consolidato, relativo al rapporto tra trasparenza amministrativa e tutela dei dati personali, offrendo spunti di particolare interesse con specifico riguardo al settore degli appalti pubblici.
La pronuncia consente, infatti, di mettere a fuoco alcune tensioni applicative del modello delineato dal d.lgs. n. 33/2013, evidenziando possibili incoerenze sistemiche alla luce dei principi sanciti dal Regolamento (UE) 2016/679.
2. Il caso: accesso ai curricula in ambito di appalti
La vicenda trae origine da un’istanza di accesso civico generalizzato avente a oggetto, tra gli altri documenti, il curriculum vitae di un professionista incaricato nell’ambito di una procedura di appalto. A fronte del diniego parziale opposto dall’amministrazione – motivato in modo generico con esigenze di riservatezza – è stato richiesto il parere del Garante ai sensi dell’art. 5, comma 7, del d.lgs. n. 33/2013.
La questione assume rilievo pratico per le stazioni appaltanti, frequentemente chiamate a gestire richieste di accesso aventi ad oggetto informazioni professionali relative a soggetti coinvolti nell’esecuzione o nella gestione del contratto.
3. Il quadro normativo e il criterio del “pregiudizio concreto”
Il sistema delineato dal d.lgs. n. 33/2013 si fonda sulla coesistenza di strumenti differenziati di trasparenza, tra cui l’accesso civico generalizzato e gli obblighi di pubblicazione proattiva. In tale contesto, l’art. 5-bis subordina l’accesso alla verifica dell’assenza di un pregiudizio concreto alla protezione dei dati personali, in coerenza con i principi di limitazione della finalità e minimizzazione dei dati propri del GDPR.
Nel caso dell’accesso civico generalizzato, occorre inoltre considerare che i dati ostensibili divengono pubblici e riutilizzabili, con un effetto espansivo che incide significativamente sulla posizione giuridica degli interessati. Tale circostanza impone alle amministrazioni un vaglio particolarmente rigoroso.
4. Le indicazioni operative del Garante
Il Garante censura il comportamento dell’amministrazione, rilevando l’insufficienza della motivazione del diniego, non supportata dalla dimostrazione di un pregiudizio concreto. Dal parere emergono alcune indicazioni operative di immediata rilevanza per le stazioni appaltanti:
-
necessità di una motivazione analitica e non stereotipata;
-
preferenza per forme di accesso parziale, mediante oscuramento selettivo;
-
obbligo di coinvolgimento del controinteressato;
-
centralità dei principi di proporzionalità e minimizzazione.
Si tratta di indicazioni che rafforzano l’onere istruttorio gravante sull’amministrazione e che incidono direttamente sulle prassi operative.
5. La criticità sistemica: curricula pubblicabili vs curricula ostensibili
Il profilo di maggiore interesse riguarda la possibile asimmetria tra obblighi di pubblicazione e accesso civico.
Ne deriva una frizione applicativa evidente: dati sostanzialmente omogenei risultano soggetti a regimi diversi, con conseguenti incertezze per le amministrazioni e potenziali disomogeneità nelle risposte alle istanze di accesso.
6. Il diverso livello di effettività: il ruolo del sistema sanzionatorio
L’asimmetria si riflette anche sul piano dell’effettività. Nel caso degli obblighi di pubblicazione, l’art. 15-bis prevede un meccanismo particolarmente incisivo: la pubblicazione costituisce condizione di efficacia per il pagamento del compenso, accompagnata da sanzioni pecuniarie.
Al contrario, nell’accesso civico generalizzato, l’eventuale diniego illegittimo non è assistito da un analogo sistema sanzionatorio diretto, ma è rimesso a strumenti di tutela successivi. Ne deriva una duplice divergenza:
-
nella facilità di accesso ai dati;
-
nella forza cogente degli obblighi di trasparenza.
7. Implicazioni per le stazioni appaltanti
Dal quadro ricostruito emergono alcune implicazioni operative:
-
necessità di rafforzare la fase istruttoria nelle richieste di accesso civico;
-
opportunità di adottare modelli standard di oscuramento dei curricula;
-
esigenza di garantire coerenza interna tra obblighi di pubblicazione e gestione delle istanze FOIA;
-
rischio di contenzioso in caso di dinieghi non adeguatamente motivati.
In particolare, nel settore degli appalti pubblici, caratterizzato da elevata esposizione al controllo diffuso, tali criticità assumono rilievo strategico.
8. Possibile utilizzo dell’intelligenza artificiale a supporto della compliance
Alla luce delle criticità operative emerse, si segnala come l’adozione di sistemi di intelligenza artificiale possa costituire un ulteriore presidio di compliance a supporto delle stazioni appaltanti. Tali strumenti, opportunamente progettati, possono agevolare il bilanciamento tra obblighi di trasparenza, gestione delle istanze di accesso civico e tutela dei dati personali, nel rispetto dei principi di accountability e di privacy by design sanciti dal Regolamento Generale sulla Protezione dei Dati e dalle disposizioni emergenti in materia di intelligenza artificiale contenute nel AI Act. In tale prospettiva, occorre considerare che, ai sensi dell’AI Act, i sistemi di intelligenza artificiale utilizzati in ambito pubblico per supportare processi decisionali possono qualificarsi come sistemi ad alto rischio, risultando quindi soggetti a stringenti obblighi di risk management, trasparenza e controllo umano significativo.
In particolare, l’AI può supportare le amministrazioni in più ambiti:
-
Verifica automatizzata della trasparenza: monitoraggio dei contenuti pubblicati e segnalazione di eventuali incompletezze o ritardi, rafforzando il bilancio della trasparenza.
-
Gestione intelligente dell’accesso civico: classificazione delle richieste, indicizzazione dei documenti e suggerimenti per l’ostensione parziale, riducendo tempi procedimentali e discrezionalità.
-
Protezione dei dati personali: individuazione automatica di informazioni sensibili o giudiziarie, applicazione di tecniche di anonimizzazione o pseudonimizzazione, con verifica della conformità ai principi di minimizzazione e proporzionalità.
-
Resta fermo che la valutazione del ‘pregiudizio concreto’ non è automatizzabile e richiede un apprezzamento umano caso per caso, potendo i sistemi di AI fornire unicamente supporto istruttorio.
L’adozione di tali strumenti richiede comunque l’implementazione di misure di governance adeguate, quali il controllo umano significativo (human-in-the-loop), la tracciabilità delle operazioni e la possibilità di audit degli esiti algoritmici, al fine di assicurare il rispetto dei principi di legalità, imparzialità e buon andamento dell’azione amministrativa. Tali presidi si inseriscono nel più ampio quadro di principi promossi a livello dell’Unione Europea, che orientano la disciplina dell’intelligenza artificiale verso un modello human-centric, fondato sulla tutela dei diritti fondamentali, sulla trasparenza e sulla responsabilità.
9. Considerazioni conclusive
Il parere del 29 gennaio 2026 conferma che l’accesso civico generalizzato richiede un bilanciamento concreto e rigoroso con la tutela dei dati personali, escludendo approcci automatici o meramente difensivi da parte delle amministrazioni.
L’integrazione di strumenti tecnologici avanzati, quali l’intelligenza artificiale, rappresenta un’opportunità per migliorare l’efficacia e l’efficienza del presidio compliance, a condizione che il loro impiego sia sempre accompagnato da adeguati controlli e supervisione umana.
🔗 Parere su istanza di accesso civico – 29 gennaio 2026 [10218913]
Maurizio Ferri – Componente del Comitato Scientifico della Scuola di Alta Formazione dei Dottori Commercialisti Lazio, Umbria e Sardegna
Caterina Ferri – Specializzanda in AI, Ethics and Compliance
