[doc. web n. 1880524]

Incompatibilità nel rapporto di pubblico impiego: comunicazione di dati personali tra l´INPS e un´azienda ospedaliera - 24 novembre 2011

Registro dei provvedimenti
n. 450 del 24 novembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTA la comunicazione dell´Istituto Nazionale Previdenza Sociale - Direzione provinciale di Ancona (nota prot. n. 85984, del 24 giugno 2011);

VISTO l´art. 17 del regolamento n. 1/2007 del 14 dicembre 2007, concernente le procedure interne all´Autorità aventi rilevanza esterna, pubblicato in G.U. n. 7 del 9 gennaio 2008 e disponibile sul sito web istituzionale all´indirizzo www.garanteprivacy.it, doc. web n. 1477480;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. L´Istituto Nazionale Previdenza Sociale - Direzione provinciale di Ancona (di seguito INPS) ha rappresentato di aver ricevuto, dall´azienda ospedaliera universitaria "Ospedali Riuniti" di Ancona, una richiesta volta ad ottenere le "informazioni concernenti l´eventuale sussistenza di posizioni previdenziali nel Casellario dei lavoratori attivi nel periodo compreso dal 1.12009 al 5.11.2010 in riferimento a 38 dipendenti" dell´azienda medesima.

A detta di quest´ultima, le finalità istituzionali che giustificherebbero la menzionata comunicazione, risiederebbero nell´esigenza che il proprio servizio ispettivo, istituito ai sensi dell´art. 1, comma 62, l. n. 23 dicembre 1996, n. 662, "possa procedere a verifiche a campione sui propri dipendenti al fine di accertare l´osservanza del divieto di svolgere attività incompatibili con rapporto di pubblico impiego, così come previsto dagli artt. 60-64 del d.P.R. n. 3/1957, dall´art. 53 del d.lgs. n. 165/2001 e [dall´]art. 1, commi da 56 a 65, della stessa l. n. 662/1996".

2. Con successiva comunicazione del 1° settembre 2011 l´INPS – che con propria nota del 19 maggio 2011 aveva comunicato all´azienda di ritenere ammissibile l´esercizio del diritto d´accesso alle informazioni richieste ai sensi dell´art. 22, l. n. 241/1990 (nei limiti e con le garanzie previste da tale disciplina) – ha precisato che:

a. "i dati di cui l´Istituto è in possesso riguardano sia la sussistenza della posizione previdenziale nel Casellario dei lavoratori attivi sia informazioni ulteriori relative alla singola gestione previdenziale interessata comprensiva dell´indicazione dell´azienda (datore o committente), dell´imponibile contributivo, dei contributi versati nonché del periodo cui si riferisce il versamento";

b. l´eventuale comunicazione all´azienda richiedente verrebbe "effettuata in busta chiusa";

c. "il rischio di fornire informazioni su omonimi è radicalmente escluso dal fatto che l´individuazione della persona interessata avviene non solo [grazie ai] meri dati anagrafici ma anche attraverso il codice fiscale, così come validato dall´Anagrafe tributaria".

3. Nel confermare le informazioni fornite dall´INPS (cfr. nota dell´8 settembre 2011), l´azienda sanitaria ha altresì puntualizzato che:

a. l´elenco dei dipendenti (composto da nome, cognome e data di nascita) per i quali è stata richiesta all´INPS la comunicazione delle eventuali posizioni previdenziali attive "si riferisce a dirigenti medici e non medici ospedalieri e universitari convenzionati, per questi ultimi in ottemperanza con quanto previsto dal decreto del Ministro della Sanità 28 febbraio 1997" (art. 2, comma 3);

b. la comunicazione sarebbe necessaria per l´espletamento dei compiti istituzionali attribuiti al servizio ispettivo dell´azienda ospedaliera (istituito con determina del direttore generale n. 272 del 6 luglio 2010 e successivamente disciplinato con determina n. 315 DG del 30 luglio 2010);

c. rispetto a ciascuno dei soggetti interessati dagli accertamenti "è stata predisposta una scheda di accertamento documentale, cui ha fatto seguito un´attività istruttoria di carattere documentale consistente nell´esame del fascicolo personale, nell´esame dei tabulati di presenza nella richiesta di informazioni ad istituzioni pubbliche e private, nella richiesta di informazioni di responsabili delle varie strutture aziendali in particolare, per quanto attiene l´attività libero-professionale intra moenia autorizzata, le giornate e gli orari nei quali la stessa viene svolta";

d. "ai sensi dell´art. 7 della legge n. 241/1990 è stata inviata una formale comunicazione al soggetto sottoposto a verifica, contenente le informazioni riguardanti la natura e la finalità dell´ispezione, le modalità di raccolta dei dati personali ed i responsabili del procedimento".

OSSERVA

4. L´Istituto Nazionale Previdenza Sociale - Direzione provinciale di Ancona ha effettuato una comunicazione al Garante, ai sensi degli artt. 19, comma 2, e 39, comma 2, del Codice, al fine di poter comunicare all´azienda ospedaliera universitaria "Ospedali Riuniti" di Ancona, su richiesta della stessa, i dati personali concernenti la sussistenza di eventuali posizioni previdenziali nel Casellario dei lavoratori attivi relativi a un gruppo di propri dipendenti identificato in un arco temporale predeterminato.

La comunicazione tra soggetti pubblici di dati personali, diversi da quelli sensibili e giudiziari, è ammessa se espressamente prevista da norma di legge o di regolamento oppure, in mancanza di tale norma, qualora risulti comunque necessaria per lo svolgimento di funzioni istituzionali; in quest´ultimo caso, il titolare deve effettuare una preventiva comunicazione al Garante (artt. 19, comma 2, e 39 del Codice).

5. Dall´esame della normativa di settore applicabile (menzionata in parte dall´azienda ospedaliera, anche nei documenti istruttori predisposti in vista dell´istituzione del servizio ispettivo) risulta che:

a. l´art. 1, comma 62, l. 23 dicembre 1996, n. 662 (Misure di razionalizzazione della finanza pubblica) prevede l´istituzione di servizi ispettivi presso le singole amministrazioni e l´effettuazione, tramite gli stessi ovvero mediante il Dipartimento della funzione pubblica che può avvalersi, (d´intesa con il Ministero delle finanze) della Guardia di finanza, di "verifiche a campione sui dipendenti […], finalizzate all´accertamento dell´osservanza delle disposizioni di cui ai commi da 56 a 65" della legge medesima (disposizioni relative al rapporto di lavoro a tempo parziale e alle incompatibilità);

b. l´art. 1, comma 14, l. n. 662/1996 ha rimesso ad un decreto del Ministro della sanità il compito di stabilire, tra l´altro, "le modalità per il controllo del rispetto delle disposizioni sulla incompatibilità";

c. con decreto del Ministero della sanità del 31 luglio 1997 (Attività libero-professionale e incompatibilità del personale della dirigenza sanitaria del Servizio sanitario nazionale) – con il quale si è sostituito il decreto del 28 febbraio 1997 avente identico oggetto (cfr. Corte cost., 5 febbraio 1998, n. 13) –, l´art. 6, comma 1, ha previsto che "ai sensi del comma 62 dell´art. 1 della legge 23 dicembre 1996, n. 662, la U.S.L. provvede all´accertamento dell´osservanza delle disposizioni sull´incompatibilità attraverso periodiche verifiche a campione nonché specifici accertamenti nelle istituzioni sanitarie private, accreditate o non accreditate";

d. con la disciplina regolamentare appena richiamata si è altresì disposto che, "le istituzioni sanitarie private sono tenute a fornire, su richiesta della U.S.L., tutte le informazioni utili all´accertamento di eventuali situazioni di incompatibilità" (comma 3; sul punto, v. anche i chiarimenti forniti dall´Autorità il 30 novembre 1999, doc. web n. 30931) e che, "per agevolare il controllo del rispetto delle disposizioni sull´incompatibilità, il Ministero della sanità pubblica annualmente l´elenco delle case di cura accreditate, anche parzialmente, e di quelle non accreditate" (comma 5);

e. quanto alle modalità per effettuare detti controlli in materia di incompatibilità, l´art. 2, decreto Ministero della sanità, 11 giugno 1997 ha previsto che le stesse dovessero essere stabilite "con separato provvedimento" (comma 1) e che "fino all´entrata in vigore della predetta disciplina […] i controlli del rispetto delle disposizioni sulla incompatibilità sono effettuati dai servizi ispettivi delle aziende secondo i propri ordinamenti, fermo restando l´applicazione delle disposizioni di cui all´art. 1, commi 60 e 61, della legge 23 dicembre 1996, n. 662" (comma 2).

6. All´interno di tale cornice normativa, stratificatasi nel tempo, devono essere considerati, al fine di una compiuta valutazione della liceità della richiesta comunicazione di dati personali da parte dell´INPS, anche ulteriori elementi.

Da un lato, la regolamentazione di settore che (al di là delle regole di protezione dei dati personali) individua i soggetti autorizzati ad accedere al Casellario (vale a dire, gli enti previdenziali e gli iscritti, in base all´art. 4, decreto Ministero del lavoro e delle politiche sociali, 4 febbraio 2005, Istituzione del Casellario centrale delle posizioni previdenziali attive presso l´Istituto nazionale della previdenza sociale). Dall´altro, la disposizione regolamentare che, con puntuale riferimento alla materia in esame, consente alla Guardia di finanza di acquisire la pertinente documentazione: per l´art. 39, comma 28, l. 27 dicembre 1997, n. 449 (Misure per la stabilizzazione della finanza pubblica), infatti, "nell´esercizio dei compiti attribuiti dall´art. 1, comma 62, della legge 23 dicembre 1996, n. 662, il Corpo della guardia di finanza agisce avvalendosi dei poteri di polizia tributaria previsti dal d.P.R. 26 ottobre 1972, n. 633, e dal d.P.R. 29 settembre 1973, n. 600. Nel corso delle verifiche previste dall´art. 1, comma 62, della legge 23 dicembre 1996, n. 662, non è opponibile il segreto d´ufficio".

7. Nel caso in esame, pertanto, ai sensi degli artt. 19, comma 2 e 39 comma 2 del Codice, considerata la mancanza di un´espressa previsione di legge o di regolamento che in via diretta ammetta la comunicazione di dati richiesta dall´azienda ed in presenza, al contrario, di una puntuale disciplina che, proprio in relazione alle verifiche previste dall´art. 1, comma 62, l. n. 662/1996, consente alla Guardia di finanza di acquisire i dati necessari all´accertamento di eventuali situazioni di incompatibilità, deve ritenersi che non possa essere effettuata da parte dell´INPS la richiesta comunicazione di dati personali nelle forme prefigurate dal servizio ispettivo dell´azienda ospedaliera universitaria "Ospedali Riuniti" di Ancona.

Resta impregiudicato l´esercizio, da parte dell´azienda, del diritto d´accesso ai sensi dell´art. 22, l. n. 241/1990 alle informazioni pertinenti rispetto al perseguimento delle finalità istituzionali, conformemente, peraltro, a quanto già prefigurato dall´INPS.

Roma, 24 novembre 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
De Paoli