Con l'entrata in vigore della legge 675/96 si è posto all'interprete il non facile compito di verificare, in sede di concreta applicazione della legge, la compatibilità della nuova normativa con quella previgente in materia di accesso ai documenti amministrativi.
In via preliminare si ricordi che già il legislatore del '90 ha cercato di comporre il contrasto di interessi tra accesso e riservatezza ma, per la verità, in modo non del tutto soddisfacente.
La legge 241/90, infatti, con un totale rovesciamento di prospettiva rispetto al passato, ha dettato per l'accesso una disciplina generale, escludendolo solo in alcune materie tassativamente stabilite, tra le quali anche la riservatezza di terzi. Tuttavia v'è da notare che a differenza di altre ipotesi in cui vengono in rilievo interessi preminenti dello Stato e nelle quali il diritto di accesso è escluso senza mediazioni, nel caso in cui si ponga l'esigenza di garantire la riservatezza di terzi, così non è.

La riservatezza dei terzi costituisce bensì un limite all'accesso, tuttavia non si tratterebbe di un limite assoluto ma, più modestamente, di un limite modale: prevale in ogni caso l'accesso quando viene in rilievo l'interesse alla cura o alla difesa di un interesse giuridico, ma l'esercizio del diritto di accesso è consentito soltanto nella forma della visione del documento (art. 24, co. 2, lett. d), l. 241/90).
È lecito dubitare che in tal modo si tuteli la riservatezza di terzi, salvo ritenere che il diritto alla riservatezza sia garantito semplicemente con una limitazione dell'esercizio del diritto di accesso alla sola visione del documento. Il diritto di accesso, che a norma dell'articolo 25 della legge 241/90 si esercita mediante l'esame e l'estrazione di copia dei documenti amministrativi, è invero ridotto ad una forma meno invasiva e più morbida, ciò nondimeno prevale.
Non sembra, in altre parole, che la visione degli atti possa valere a contemperare opposte esigenze, atteso che anche la sola visione può in modo irreversibile comprimere la sfera privata senza che si realizzi alcun bilanciamento di valori. Quale bilanciamento è mai quello che ammette comunque l'accesso, sia pure con modalità limitate alla mera visione?

La regola dell'accesso si atteggia, dunque, a clausola di chiusura: il diritto all'accesso prevale in ogni caso quando è strumentale alla cura e alla difesa di un interesse giuridico, anche se comporta il sacrificio della riservatezza di terzi. L'accesso irrompe violentemente nel panorama giuridico ed è tale da ridurre nello spazio angusto di ciò che resta dalla visione dei documenti amministrativi un diritto, quello alla riservatezza, che, si ricordi, è riconosciuto e tutelato a livello costituzionale.
Il legislatore ha operato, in altri termini, un bilanciamento ex lege nel conflitto tra accesso e riservatezza, accordando da un lato prevalenza al diritto di accesso anche nei casi in cui questo diritto incide su quello alla riservatezza, dall'altro richiedendo, a tutela della riservatezza, che l'accesso ai documenti sia necessario per curare o per difendere un interesse giuridico e che si realizzi con una modalità diversa e meno invasiva dell'estrazione di copia, ovvero che si eserciti con la sola visione del documento.

Più che un criterio generale di soccombenza ineluttabile del diritto alla riservatezza posto ab alto, appare più opportuno individuare i criteri che dovrebbero presiedere ad un bilanciamento tra due diritti ugualmente tutelati per valutare, sulla base del caso concreto, se il diritto alla riservatezza debba recedere ogni volta di fronte della necessità di cura e di difesa degli interessi giuridici di colui il quale promuove istanza d'accesso.
Sulla delicata questione del bilanciamento tra diritto alla riservatezza e diritto di accesso è intervenuto il Consiglio di Stato in adunanza plenaria con la sentenza 4 febbraio 1997, n. 5, con la quale ha ritenuto, che il diritto alla riservatezza receda ogni qualvolta il diritto di accesso venga esercitato per la cura di un interesse giuridico, sottolineando che ciò deve avvenire "nei limiti ovviamente in cui esso è necessario alla difesa di quell'interesse". Segnatamente il Consiglio di Stato ha stabilito che "la cura e la difesa dei propri interessi costituiscono sia il presupposto per il diritto di prendere visione degli atti, altrimenti non accessibili, che il limite della loro utilizzabilità, che non può andare oltre le finalità previste dalla normativa per la deroga alla sottrazione dall'accesso".
La finalità esclusiva di cura e di difesa di un interesse giuridico costituisce, pertanto, la cartina tornasole con la quale misurare non solo la legittimità del diritto di accedere, ma la sua stessa prevalenza sul diritto alla riservatezza di terzi. A ben vedere, perché il diritto alla riservatezza receda occorre che la visione dei documenti sia assolutamente necessaria per la cura e la difesa dell'interesse giuridico fatto valere. È necessario cioè che il richiedente non possa in altro modo curare e difendere i suoi interessi se non attraverso una conoscenza diretta dei documenti dei quali richiede l'accesso, ovvero non avendo strumenti alternativi, egli provi che quei documenti sono assolutamente indispensabili.

Con la citata sentenza il Consiglio di Stato si è limitato, sulla base dell'interpretazione letterale dell'articolo 24, capoverso, lettera d, l. 241/90, ad avallare la scelta del legislatore in ordine alla prevalenza del diritto di difesa su quello, ugualmente tutelato dalla costituzione, della riservatezza. La pronuncia lascia insoddisfatti, trattandosi di due interessi ugualmente tutelati dalla costituzione rispetto ai quali il legislatore ha scelto, non un equo contemperamento degli interessi in gioco, ma si è spinto fino al punto di dettare un criterio di prevalenza per una composizione "meccanicistica" degli stessi. Resta aperta la questione di legittimità costituzionale della norma.
Né vale sostenere che il diritto di difesa sia un diritto di rango superiore nella gerarchia dei valori della costituzione, giacché si deve guardare in ogni caso "all'interesse sostanziale fatto valere da colui che richiede l'accesso", nel senso che qualora l'interesse giuridico sotteso all'accesso, che il richiedente invochi a propria difesa, sia da ritenere di minor rilevanza rispetto al diritto alla riservatezza, esso non debba prevalere. In ogni caso, si è detto, il diritto alla difesa può essere esercitato senza che ciò comporti un inutile sacrificio nella sfera privata dell'individuo.

Occorre chiarire, a questo punto, se la norma dell'articolo 24, capoverso, l. 241/90, quale è da intendere alla luce della sentenza n. 5/1997 del Consiglio di Stato, sia stata o meno abrogata a seguito dell'entrata in vigore della legge n. 675/96.
L'articolo 43, capoverso, della legge del '96 contiene una clausola con la quale il legislatore ha fatto salve le norme in materia di accesso ai documenti amministrativi. "Restano ferme le disposizioni della legge 20 marzo 1970, n. 300, e successive modificazioni, nonché, in quanto compatibili, le disposizioni della legge 5 giugno 1990, n. 135, e successive modificazioni, del decreto legislativo 6 settembre 1989, n. 322, nonché le vigenti norme in materia di accesso ai documenti amministrativi e agli archivi di Stato. Restano altresì ferme le disposizioni di legge che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali".
La norma non stabilisce alcun criterio di prevalenza tra accesso e riservatezza, ma rimette alla sensibilità dell'interprete il compito di verificare se l'esercizio del diritto di accesso ai documenti amministrativi sia ancora compatibile con il nuovo assetto delineato dalla legge n. 675/96.

Prima di affrontare la questione in dettaglio, sia consentito fare una breve premessa per dare un quadro della legge che sia il più lontano possibile da facili pregiudizi, onde sostenere che la legge n. 675/96 non rappresenta affatto un passo indietro rispetto a conquiste di grande valore come quella della trasparenza dell'attività amministrativa e del diritto d'accesso consacrate nella legge n. 241/90, viceversa arricchisce di significato la portata di questi principi.
Innanzitutto si dica che la legge n. 675/96 è stata impropriamente definita legge sulla privacy. Non sarà superfluo sottolineare, se è vero che le parole incidono i diversi passaggi, che l'equivoco sulla denominazione abbia contribuito a dare della legge un senso riduttivo e distorto e ciò, purtroppo, anche tra gli addetti ai lavori. Al contrario il significato da dare alla legge è da ricavarsi proprio dal tenore letterale delle parole, secondo il normale criterio di interpretazione delle leggi. La legge n. 675/96 tutela, infatti, le persone e gli altri soggetti rispetto al trattamento dei dati personali. Con ciò il legislatore non ha sancito un divieto di trattare dati personali, ma ha stabilito regole di circolazione dei dati diversificate in ragione degli interessi ivi sottesi. Ridefinire le regole che presiedono alla circolazione delle informazioni personali non equivale ad impedire la circolazione di quelle informazioni, ma significa consentire la circolazione ad altre condizioni, o meglio consentirla nel rispetto di regole certe.

Ancor meno si può dire che abbia impedito la raccolta delle informazioni da parte della pubblica amministrazione, non essendo richiesto alcun consenso agli interessati, né che abbia impedito la circolazione dei dati tra le amministrazioni la quale è consentita anche in assenza di una norma di legge o di regolamento che espressamente la preveda quando è comunque necessaria per lo svolgimento delle funzioni pubbliche (art. 27, co.1 e co. 2).
Fin qui dunque nulla di nuovo, se non la riaffermazione del principio di legalità.
Non sembra d'altra parte che il sistema di norme previsto dalla legge possa dirsi incompatibile con la direzione verso la quale si volgeva il legislatore nel '90. La legge n. 675/96 ha inteso garantire, a ben vedere, un regime di maggiore trasparenza nel trattamento dei dati personali, che nei termini di legge, significa potere di controllo sui propri dati in ciascuna delle fasi in cui si articola il trattamento. Notificazione, informativa, diritto di accesso, registro dei trattamenti, principio di finalità, qualità dei dati: come intendere altrimenti tali norme se non a garanzia della trasparenza del trattamento?

E si è anche detto che il diritto alla privacy, in una visione aperta e dinamica, è il diritto al controllo delle proprie informazioni, giacché si è passati da una sequenza di "persona-informazione-segretezza" ad una di "persona-informazione-circolazione-controllo" intorno alla quale si verrebbe a costruire il nuovo concetto di riservatezza.
In altri termini la legge garantisce la trasparenza dell'attività di trattamento, tutelando in tal modo la persona i cui dati sono oggetto del trattamento. Si comprende la ragione per la quale essa venga qualificata, si è detto impropriamente, legge sulla privacy, con ciò ritenendosi che la tutela dei diritti della persona si realizzi attraverso la definizione di regole di circolazione delle informazioni. Solo in questo senso, consapevolmente, potrebbe accettarsi una denominazione diversa da quella sua propria.
Del resto ove si ritenga che il trattamento sia un insieme di atti funzionalmente collegati in vista di un determinato scopo, cioè un'attività unitaria che trascende i propri elementi costitutivi in un tutto che è maggiore della somma delle sue parti, la tutela dei dati potrà garantirsi solo attraverso il controllo del rispetto delle norme sul procedimento.

Si tratta, con tutta evidenza, di principi pienamente condivisi nel nostro ordinamento e, dunque, non sembra azzardato sostenere che la legge n. 675/96 s'informi anch'essa al più generale principio di trasparenza già sancito dal legislatore nel '90. Non v'è in questa prospettiva alcuna inversione di tendenza, potrà invece dubitarsi del fatto che le due normative in alcuni casi si sovrappongano, salvo il fatto che diversi restano i presupposti per l'esercizio del diritto di accesso.
Sul rapporto tra la legge n. 241/90 e la legge n. 675/96 è intervenuto anche il Garante che ha osservato innanzi tutto che non v'è incompatibilità tra le disposizioni in materia di tutela dei dati personali e quelle previgenti in materia di trasparenza dell'attività amministrativa. In particolare l'Autorità ha affermato che l'accesso ai documenti amministrativi non sia stato pregiudicato dall'entrata in vigore della legge n. 675/96 la quale ha sì abrogato le disposizioni incompatibili con la nuova normativa o con i suoi principi fondamentali, ma " tra le disposizioni non abrogate rientrano, certamente, quelle concernenti la pubblicità [..] dei documenti amministrativi".

Il Garante della privacy, che in questo quadro è finito per essere il Garante della trasparenza, ha osservato che "tale legge non ha introdotto un regime di assoluta riservatezza dei dati, e che si deve verificare caso per caso l'esistenza di altri diritti o di interessi meritevoli di pari o superiore tutela. Tra tali diritti vi rientra, certamente, l'accesso ai documenti amministrativi".
La legge tutela la persona attraverso nuove modalità di circolazione dei dati, riconoscendo il diritto dell'interessato a che i propri dati personali non vengano resi noti quando non vi sia una ragione legittima in virtù della quale la comunicazione si renda necessaria, ovvero non vi sia una norma di legge o di regolamento che espressamente preveda la comunicazione e la diffusione dei dati personali da parte di soggetti pubblici a privati o a enti pubblici economici (art. 27, co. 3, l. n. 675/96).
Nulla questio, dunque, in ordine ai dati personali comuni giacché, rispetto a questi, la normativa in materia di accesso ai documenti amministrativi sembra integrare i requisiti richiesti.

Diverso è il discorso per quanto attiene ai dati sensibili.
L'impianto normativo della legge n. 675/96 si fonda, infatti, sulla distinzione sostanziale tra dati personali comuni e dati sensibili. Sul presupposto che l'ampiezza e le modalità di tutela della sfera privata debbano risultare da un'attenta valutazione degli interessi in gioco, il legislatore ha stabilito, sulla base dei valori costituzionalmente riconosciuti, livelli differenti di tutela dei dati.
Si passa da un regime di libera circolazione dei dati personali comuni, alla previsione di un regime di tutela della riservatezza rafforzato per i dati cosiddetti sensibili, quei dati, cioè, che hanno una potenziale attitudine ad essere usati a scopi discriminatori.
Per questi ultimi, che costituiscono quello che usa definirsi il nocciolo duro della riservatezza, il legislatore ha dettato una disciplina più rigida, fissando una soglia massima di riservatezza. Inutile ripetere che anche la pubblica amministrazione che assuma le vesti di titolare, deve osservare norme più rigorose nel trattamento dei dati sensibili, trattandosi di un principio fondamentale della legge valido per i privati come per i soggetti pubblici.

Si tratta di capire se le norme dell'articolo 24, della legge n. 241/90, nonché della corrispondente norma regolamentare (art. 8, co. 5, lett. d), d.p.r. 352/92) resistano, nella parte relativa al conflitto tra accesso e riservatezza, al quadro di garanzie che la legge 675/96 richiede in materia di dati sensibili, o, viceversa, rispetto a questi dati debbano ritenersi tacitamente abrogate.
Si veda sul punto la sentenza (Cons. St., sez. VI, 26 gennaio 1999, n. 59) con la quale di recente il Consiglio di Stato si è pronunciato in merito ad un caso di richiesta di accesso da parte del datore di lavoro ai dati sensibili di suoi ex dipendenti.
Il Consiglio di Stato ha riformato la sentenza 5 dicembre 1997, n. 681, con la quale il Tar Abruzzo Sez. Pescara aveva ritenuto illegittimo il diniego opposto dall'INAIL alla richiesta di accesso avanzata da un datore di lavoro relativamente ai documenti contenenti le analisi cliniche relative a due ex dipendenti che avevano avviato, presso l'amministrazione, un procedimento diretto a valutare l'indennizzabilità delle malattie denunciate dagli stessi come professionali.
Il Consiglio di Stato, accogliendo l'appello dell'Amministrazione che si era opposta alla richiesta di accesso, ha chiarito che le norme poste dalla legge n. 675/96 debbano considerarsi integrative della disciplina dettata in generale dalla legge n. 241/90 in tema di rapporto tra accesso e riservatezza.

Innanzitutto ha ritenuto il Consiglio di Stato che, alla stregua dell'articolo 43 citato, la legge 675/96 non possa modificare quelle parti della disciplina del diritto di accesso che sono state compiutamente regolate dalla legge 241/90, ma intervenga viceversa a specificare il contenuto della riservatezza quale limite al diritto di accesso. Invero, alla previsione di detto limite non segue, nella legge 241/90, alcuna descrizione normativa di cosa debba intendersi per "riservatezza di terzi, persone, gruppi e imprese" e di quale portata essa abbia quale limite all'esercizio del diritto di accesso, per cui, è apparso coerente che alla legge 675/96 dovesse rinviarsi per una specifica indicazione del suo contenuto.
Posto che la legge 675/96 individua i dati personali riguardanti la riservatezza e detta le regole per il loro trattamento (in cui rientra anche la comunicazione), la comunicazione dei dati contenuti nei documenti di cui si chiede l'accesso, dovrà avvenire, quindi, nel rispetto di dette norme. Le condizioni che legittimano i soggetti pubblici a comunicare i dati a terzi privati sono contenute nell'articolo 27, comma 3 per quanto riguarda i dati personali, e nell'articolo 22, comma 3, per quanto attiene ai dati sensibili.

Nel caso di specie, trattandosi di dati sensibili, la comunicazione dei dati è ammessa solo ove autorizzata, come si ricorderà, da espressa disposizione di legge "nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite". Da ciò il Consiglio di Stato ha derivato la conseguenza che, nel caso di richiesta di accesso a documenti contenenti dati sensibili di terzi, "il diritto alla difesa prevale su quello alla riservatezza solo se una disposizione di legge espressamente consente al soggetto pubblico di comunicare a privati i dati oggetto della richiesta".
In altri termini, nel caso di richiesta d'accesso a documenti contenenti dati sensibili di terzi che la pubblica amministrazione detiene per altre finalità, l'articolo 24, comma 2, lettera d) non rappresenta più l'unico referente normativo, ma dovrà rinviarsi all'articolo 22, comma 3, della legge n. 675/96, in quanto siffatta norma concorrerebbe a regolamentare materia non compiutamente disciplinata dalla legge n. 241/90. Di tal ché, dovrebbe concludersi che non è sufficiente che l'accesso ai documenti contenenti dati sensibili di terzi sia finalizzato alla cura e alla difesa dell'interesse giuridico del soggetto richiedente, ma è anche necessario che l'amministrazione sia autorizzata - a comunicare dati per la cura o la difesa di propri interessi giuridici - da una espressa disposizione di legge.

Del resto, ha sottolineato il Consiglio di Stato, il diritto alla difesa non deve essere assolutizzato rispetto a quello alla riservatezza, dovendo l'amministrazione limitare al minimo le lesioni che possono derivare ai terzi dall'esercizio del diritto di accesso per esigenze di difesa. Venendo a quel che si era già detto in precedenza, l'amministrazione non può comunicare dati sensibili a terzi al di fuori di esplicite e tassative previsioni di legge, potendo le esigenze conoscitive essere sempre soddisfatte in sede giurisdizionale, senza con ciò compromettere irrimediabilmente il diritto alla riservatezza.
Occorre ora verificare se con l'emanazione del dlgv 135/99 in materia di trattamento di dati sensibili la normativa in materia di accesso ai documenti amministrativi offra ancora un adeguato quadro di garanzie.
Con il decreto in parola il legislatore ha aggiunto una seconda parte a tenore della quale "In mancanza di espressa disposizione [..] i soggetti pubblici possono richiedere al Garante, nelle more della specificazione legislativa, l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalità di interesse pubblico" per le quali è autorizzato il trattamento dei dati.
Al comma 3 bis è stata introdotta un ulteriore norma di salvaguardia: "Nei casi in cui è specificata a norma del comma 3, la finalità di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici [.] identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente".

Con questa norma il legislatore delegato, rendendo più morbida ed elastica la disciplina dettata nel '96, ma anche in coerenza con l'impianto di fondo della legge, ha ritenuto che l'individuazione della finalità di rilevante interesse pubblico fosse di per sé valido presupposto di legittimità del trattamento. Si osservi, infatti, che anche in mancanza di espressa disposizione di legge, il trattamento di dati è ugualmente consentito ove i soggetti pubblici richiedano al Garante l'individuazione delle attività, tra quelle agli stessi demandate per legge, che perseguono rilevanti finalità di interesse pubblico (articolo 22, comma 3, seconda parte), e che anche se non sono specificati i tipi di dati e le operazioni eseguibili i soggetti pubblici possono continuare a trattare dati sensibili, salvo completare, in un momento necessariamente successivo, la normativa primaria (art. 22, comma 3 bis e comma 4).

L'individuazione della finalità deve considerarsi, quindi, rispetto alle altre garanzie previste, condizione necessaria e sufficiente. Detto in altri termini, l'individuazione della finalità del trattamento, la quale rientri tra quelle di rilevante interesse pubblico che il dlgv 135/99 elenca, ovvero sia altrimenti individuata, soddisfa ex se i requisiti di legittimità del trattamento richiesti dalla legge.
A tal riguardo si veda il capo II del decreto che individua alcune rilevanti finalità di interesse pubblico. Ai sensi dell'articolo 16, comma 1, si considerano, infatti, di rilevante interesse pubblico i trattamenti di dati sensibili "necessari per far valere il diritto di difesa in sede amministrativa o giudiziaria, anche da parte di un terzo" (lett. b), nonché quelli "effettuati in conformità alle leggi e ai regolamenti per l'applicazione della disciplina sull'accesso ai documenti amministrativi" (lett. c).
Dunque, il trattamento di dati effettuato in conformità alla legge che disciplina il diritto di accesso risponde, in virtù del dlgv 135/99, ad una finalità di rilevante interesse pubblico, cioè essa risulta perciò solo sufficiente a legittimare il trattamento e sempre che sia fatta salva l'esigenza che i dati acquisiti in sede di accesso ai documenti amministrativi vengano utilizzati esclusivamente per la tutela di quelle situazioni giuridicamente rilevanti che hanno giustificato l'accesso.

Orbene, se basta la finalità di rilevante interesse pubblico per ritenere il trattamento legittimo, salvo poi lasciare che le pubbliche amministrazioni rendano pubblici i tipi di dati e di operazioni strettamente pertinenti e necessarie in relazione alle finalità perseguite nei singoli casi, si apre uno spiraglio di luce per la legge del '90 che, viceversa, fino al decreto n. 135/99 non poteva soddisfare questi requisiti, essendo richiesta, a tutela della riservatezza dei terzi, una espressa e qualificata disposizione di legge.
Ciò confermerebbe che il legislatore, ben lontano dall'aver introdotto un regime di totale e assoluta riservatezza dei dati, si muove lungo un percorso che valorizza in modo ancora più forte un valore di grande civiltà quale è quello della trasparenza dell'attività amministrativa.
V'è da rilevare comunque che l'accesso è sì finalità di rilevante interesse pubblico, ai sensi del decreto 135/99, ciò nondimeno deve ritenersi ulteriore ed eventuale rispetto a quella propria istituzionale perseguita dall'amministrazione, nel senso che l'amministrazione non procede al trattamento dei dati personali per una finalità tipica d'accesso, ma l'accesso è riconosciuto al fine di assicurare la trasparenza e di favorire lo svolgimento imparziale dell'attività amministrativa, cioè assolve ad una funzione, per così dire, strumentale o trasversale rispetto a tutta l'attività della pubblica amministrazione.