[doc. web n. 10147841]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n. 275 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema Statistico nazionale adottate dal Garante ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n.514 del 19 dicembre 2018, allegato A4 al Codice (doc. web n. 9069677, di seguito “Regole deontologiche”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it , doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività ispettiva

L’Ufficio del Garante nei giorni del XX e XX ha effettuato accertamenti ispettivi presso la Regione Emilia Romagna (di “Regione”) al fine di “verificare, l’osservanza da parte dell’Ufficio di statistica delle disposizioni in materia di protezione dei dati personali nei trattamenti svolti per scopi di statistica ufficiale con particolare riferimento alla corretta applicazione dei principi di protezione dei dati personali e alle misure di cui all’art. 89 del Regolamento” (ordine di servizio XX del XX; art. 58, par. 1, lett. a), e) ed f) del Regolamento e degli artt. 157 e 158 del Codice, nonché ai sensi degli artt. 21 e 22 del Regolamento n. 1/2019 del Garante).

Nell’ambito di tale attività ispettiva, l’Ufficio del Garante si è soffermato sulla verifica dell’effettiva applicazione dei principi di responsabilizzazione, di liceità del trattamento, nonché dell’obbligo di individuare correttamente i ruoli di protezione dei dati personali dei soggetti a vario titolo coinvolti nelle operazioni di trattamento relative al lavoro statistico PBO 00004 - Sistema informativo provinciale sulla popolazione, con particolare riferimento all’obbligo di adottare un accordo di contitolarità e, conseguentemente, di quello di metterne il contenuto a disposizione degli interessati (artt. 5, par. 1, lett. a), par. 2, 26, par. 1 e 2 del Regolamento e 2-ter del Codice).

Nella giornata del XX, l’attività ispettiva si è concentrata sui trattamenti di dati personali e sui correlati adempienti richiesti dalla normativa in materia di protezione dei dati personali di cui al Regolamento, al Codice, alle Regole deontologiche oltre che dalla specifica disciplina di settore di cui al d.lgs. del 6 settembre 1989, n. 322.

In tale ambito, l’Ufficio si è soffermato, in particolare, sul citato lavoro statistico sulla popolazione della Città Metropolitana di Bologna (PBO 00004 - Sistema informativo provinciale sulla popolazione) presente nel Programma Statistico Nazionale (PSN) dal 2000, volto alla descrizione demografica delle persone e delle famiglie, a “supportare la governance e la programmazione locale” e a ”Formare basi di dati per alimentare gli osservatori statistici settoriali e costruirne metadati” (cfr. allegato 2 al verbale del XX).

Al riguardo, è stato rappresentato che il richiamato lavoro prevede il trattamento di dati anagrafici riferiti all’intera popolazione regionale, -circa 10 attributi (ad es. sesso, luogo di nascita, cittadinanza, codice identificativo individuale e familiare, indirizzo di residenza), per un totale di circa 4.500.000 record-, raccolti direttamente presso i Comuni e presso le Provincie, quali organi intermedi, per la raccolta dei dati dei piccoli Comuni.  

I dati sono trasmessi all’Ufficio di statistica previamente codificati dai Comuni attraverso l’attribuzione di uno pseudonimo per residente e uno diverso per nucleo familiare, con l’unico scopo di garantire la consistenza numerica interna della rilevazione demografica (ad es. la corretta numerosità di un gruppo familiare). I dati relativi a tale lavoro, raccolti dall’Ufficio di statistica della Regione, non sono utilizzati nell’ambito di altre rilevazioni regionali. Essi non sono pertanto collegati con quelli di altri lavori né utilizzati per altre finalità.

La Regione ha dichiarato di diffondere i dati solo attraverso il proprio sito internet secondo le seguenti modalità. In particolare, viene prodotto un dataset che, sulla base delle elaborazioni svolte in ambiente “SAS”, restituisce sul portale le tabelle di interesse. Gli utenti possono definire le variabili di interesse: anno, zona ecc. e, se l’output è inferiore a tre unità, il report non viene pubblicato. L’unità territoriale minima è rappresentata dal Comune, con ciò potendosi escludere in radice ipotesi di singolarità, considerate le altre variabili di interesse e la richiamata regola del 3.

Al riguardo, dall’accesso effettuato al portale, si è potuto tuttavia verificare che nella diffusione non è rispettata la cd. regola del 3. Risultano, infatti, diffuse informazioni su base comunale per classi quinquennali anche pari ad una sola unità statistica. La pubblicazione al di sotto di tre unità statistiche riguarda allo stato tre comuni. La società IConsulting Spa, all’uopo designata responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, elabora le procedure di Business Intelligence (BI) per l’analisi dei dati secondo i criteri impartiti dall’Area Statistica della Regione. Tali criteri ad oggi non includono la cd. regola del 3.

Sul punto, è stato fatto presente di aver orientato la scelta di non applicare la cd. regola del 3 nella rilevazione in esame, in quanto essa non risulta applicata in fase di pubblicazione dei risultati delle analoghe rilevazioni sulla popolazione svolte da Istat.

La scheda compilata dall’Ufficio di statistica della Regione e destinata all’Istat per l’inserimento del lavoro nel PSN indica la Regione quale contitolare dei dati con la Città Metropolitana di Bologna, tuttavia, è stato precisato che non vi è un accordo specifico redatto ai sensi dell’art. 26 del Regolamento.

Con successiva nota del XX (prot. n. XX), la Regione sul punto ha rappresentato, di avere avviato “un’approfondita riflessione in sinergia con i rappresentanti degli uffici di statistica della Città Metropolitana di Bologna e delle Province di Piacenza, Parma, Reggio Emilia, Modena, Ferrara, Ravenna, Forlì- Cesena, Rimini in ordine ai ruoli e alle responsabilità degli Enti in ordine alla rilevazione statistica della popolazione residente (“PSN SDA-PBO 00004 Sistema informativo provinciale sulla popolazione residente”)”.

Da tale analisi è emerso che, nel corso del tempo, l’assetto delle attività di trattamento è profondamente mutato, con una spinta verso una centralizzazione Regionale sia in ordine alla regia “scientifica” che agli strumenti utilizzati per l’effettivo trattamento dei dati personali. Preso atto di ciò, gli Enti hanno concordato nel definire un modello di responsabilità differente rispetto a quello rappresentato in sede di ispezione, individuando nella Regione Emilia-Romagna la titolarità del trattamento, e nella Città Metropolitana e nelle Province, nella loro qualità di organi intermedi della rilevazione, il ruolo di responsabili del trattamento, con specifico riferimento alle operazioni di raccolta dei dati personali.

La Regione ha quindi proposto, “per il prossimo aggiornamento 2025 del PSN 2023-2025, la rilevazione “EMR-00029 - Rilevazione della popolazione anagrafica comunale” (doc. 1- Scheda rilevazione compilata) in sostituzione della scheda “PSN SDA-PBO 00004 Sistema informativo provinciale sulla popolazione residente”.

Gli Enti hanno, pertanto, rivisto “le istruzioni [...] relative alle Modalità di realizzazione della rilevazione della popolazione residente di cui all’allegato n. 7 del Verbale del XX [...] e proceduto alla definizione della nomina a Responsabile del trattamento”.

Durante il secondo giorno di accertamenti, la Regione ha rappresentato di aver operato un primo intervento, temporaneo, sul portale dove sono pubblicati i dati relativi al lavoro statistico sulla popolazione al fine di rimuovere i dati diffusi sotto la soglia del 3. Tale intervento è consistito nel disaccoppiare l’ambito territoriale di dimensione comunale dalla fascia d’età. Contestualmente, la parte ha richiesto al fornitore (IConsulting) di predisporre le tabelle per la diffusione dei risultati statistici relativi al lavoro in esame, nel rispetto della regola del 3.

Al riguardo, con nota del XX, è stato ribadito che “tale modalità di diffusione è stata adottata -in buona fede- dalla Regione constatando come Istat pubblicasse i medesimi dati da fonte anagrafica per comune, singolo anno di età, sesso e stato civile, nonché sull’errata assunzione che il dato anagrafico fosse un dato pubblico e in quanto tale non si applicassero specifiche cautele (come quella della regola del 3)”.

È stato inoltre precisato che “Nella definizione di modalità di diffusione coerenti con la “regola del 3” l’Ufficio Scrivente si è posto l’obiettivo di applicare logiche di riservatezza che, tuttavia, consentano di limitare, al minimo possibile, la perdita di potere informativo delle analisi.

Rilevato che le criticità emergevano quando si creavano tabelle sul numero di residenti, incrociando il dettaglio comunale e le fasce di età quinquennali e scolari, si è scelto di aggregare le classi di età più anziane -oltre i 95 anni- in ragione delle basse frequenze di residenti in età avanzata in alcuni territori. Parallelamente si è proceduto a preaggregare i comuni per i quali l’aggregazione delle età di cui sopra non sarebbe stata sufficiente. I gruppi di comuni individuati ex ante sono partizioni di aggregazioni territoriali già note e utilizzate per la programmazione (Unioni di Comuni, Distretti sanitari, Ambiti Territoriali Omogenei…), e quindi riguardano comuni contigui e omogenei.

In visualizzazione le preaggregazioni sui comuni avvengono solo quando la scelta dell’utente risulta essere l’incrocio di comune e classe di età quinquennale o scolare.

Per gli altri incroci (grandi classi di età o aggregazioni sovracomunali) il funzionamento non è stato modificato rispetto al passato. Rimangono episodiche caselle con frequenze sotto il 3, ma su fasce di età ampie o aggregati territoriali ampi: queste sono “oscurate”, assumendo valore “-1”.

2. La normativa in materia di protezione dei dati personali

Il trattamento di dati personali deve avvenire nel rispetto del Regolamento e del Codice, nonché, con specifico riferimento al settore di cui ci si occupa, delle Regole deontologiche, allegato A4 al Codice e alla specifica normativa di settore di cui al d.lgs. n. 322 del 1989.

In via preliminare, si osserva che in base al Regolamento “[...] Per finalità statistiche si intende qualsiasi operazione di raccolta e trattamento di dati personali necessari alle indagini statistiche o alla produzione di risultati statistici. Tali risultati statistici possono essere ulteriormente usati per finalità diverse, anche per finalità di ricerca scientifica. La finalità statistica implica che il risultato del trattamento per finalità statistiche non siano dati personali, ma dati aggregati, e che tale risultato o i dati personali non siano utilizzati a sostegno di misure o decisioni riguardanti persone fisiche specifiche” (cfr. art. 2 comma 1, lett. b delle Regole).

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, [...]” (art. 4, paragrafo 1, n. 1 del Regolamento).

I dati personali devono essere trattati in modo lecito corretto e trasparente e nel rispetto del principio di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (art. 5, par. 2 del Regolamento). Si richiede pertanto ai titolari del trattamento che gli obblighi giuridici derivanti dal Regolamento siano tradotti in misure concrete di protezione dei dati volte a dare effettiva applicazione ai principi di volta in volta applicabili al trattamento e che questi ultimi siano in grado di comprovarne l’idoneità, anche tenuto conto del rischio connesso, nel caso specifico, al trattamento dei dati.

I titolari devono, quindi, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela attraverso una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico sulla base di specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

Con specifico riferimento alla condotta in esame, si osserva che la diffusione di dati personali da parte di soggetti che trattano dati personali in esecuzione di un compito di interesse pubblico o nell’esercizio di un pubblico potere può essere effettuata solo se prevista da norma di legge o di regolamento o da atti amministrativi generali (art. 4, par. n.1 e art. 6, par. 1 lett. e) e par. 2 del Regolamento, art. 2-ter, commi 1 e 3 lett. b del Codice).

In tale quadro, l’art. 9 del d.lgs. 322 del 1989 dispone che:

“1. I dati raccolti nell'àmbito di rilevazioni statistiche comprese nel programma statistico nazionale da parte degli uffici di statistica non possono essere esternati se non in forma aggregata, in modo che non se ne possa trarre alcun riferimento relativamente a persone identificabili, e possono essere utilizzati solo per scopi statistici.

2. I dati di cui al comma 1 non possono essere comunicati o diffusi se non in forma aggregata e secondo modalità che rendano non identificabili gli interessati ad alcun soggetto esterno, pubblico o privato, né ad alcun ufficio della pubblica amministrazione. In ogni caso, i dati non possono essere utilizzati al fine di identificare nuovamente gli interessati.

3. In casi eccezionali, l'organo responsabile dell'amministrazione nella quale è inserito lo ufficio di statistica può, sentito il comitato di cui all'art. 17, chiedere al Presidente del Consiglio dei Ministri l'autorizzazione ad estendere il segreto statistico anche a dati aggregati”.

L’art. 13-bis, comma 3-bis del medesimo d.lgs. 322 del 1989, ammette che “Nel programma statistico nazionale sono individuate le varianti che possono essere diffuse in forma disaggregata, ove ciò risulti necessario per soddisfare particolari esigenze conoscitive anche di carattere internazionale o europeo” (cfr. art. 14, comma 2 delle Regole deontologiche).

Questa facoltà va coordinata con le disposizioni concernenti il segreto statistico, di cui al richiamato art. 9 del medesimo decreto legislativo, oltre che con la disciplina in materia di protezione de dati personali, in particolare, con i principi di limitazione della finalità, minimizzazione e accountability. Essa, invero, va interpretata nel senso che le richiamate esigenze conoscitive possono condurre ad accettare un rischio di re-identificazione degli interessati maggiore di quello tollerato e solo nella misura in cui ciò risulti proporzionato alle esigenze conoscitive richiamate dalla norma (cons. 26 e art. 5, par. 1 lett. b) e c) e par. 2 del Regolamento; cfr. inter alia provv. del 9 maggio 2018, doc. web n. 9001732; provv. del 20 giugno 2022, doc. web n. 9794929; provv. n. 523 del 16 novembre 2023, doc. web. n. 9966570;).

Le richiamate regole deontologiche inoltre all’art. 3 forniscono chiarimenti sul concetto di “Identificabilità dell’interessato” (cfr. con. 26 del Regolamento) e all’art. 4 individuano i “Criteri per la valutazione del rischio di identificazione”, indicando, tra l’altro che “si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un’intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre” (cfr. lett. a).

Esse, inoltre, ribadiscono che nell’ambito dei trattamenti svolti per la realizzazione della statistica ufficiale, la diffusione di variabili in forma disaggregata è ammessa solo se espressamente prevista nel programma statistico nazionale e, ove ciò risulti necessario per soddisfare particolari esigenze conoscitive anche di carattere internazionale o comunitario (art. 3, comma 2).

Al riguardo, si segnala, come il Gruppo art. 29 nella Parere 05/2014 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014, abbia indicato come, in coerenza con il richiamato principio di accountability (art. 5, par. 2 del Regolamento), il livello di aggregazione minimo necessario ad escludere il rischio di re-identificazione degli interessati, in fase di diffusione, vada definito in ragione del caso specifico alla luce di differenti elementi quali gli attributi e le proprietà considerate, dell’ampiezza del campione (cfr. punto 3.2.1.2; cfr. provv. del 2 marzo 2023, doc. web n. 9875254 e del 18 luglio 2023, doc. web n. 9920977).

Altro profilo di estremo rilievo in materia di protezione dei dati personali è l’individuazione dei ruoli di titolare/contitolare (artt. 4, n. 7 e 24) e responsabile (art. 4, n. 8 e 28). Al riguardo, è necessario che i ruoli di protezione dei dati personali di tutti soggetti a vario titolo coinvolti nelle operazioni di trattamento, prima che il trattamento abbia inizio, siano correttamente definiti, al fine, in particolare, di individuare compiti e responsabilità di ciascuno oltre che per informare al riguardo i soggetti interessati anche allo scopo di agevolare l’esercizio dei diritti loro spettanti (artt. 24, 26 e 28 del Regolamento).

Più nello specifico, in base all’art. 26 del Regolamento “Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. 1. L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati” (par. 1 e 2).

Il criterio generale per la sussistenza della contitolarità di trattamento è la partecipazione congiunta di due o più soggetti nella definizione delle finalità e dei mezzi di un’operazione di trattamento, sotto forma di una decisione comune e convergente. In altri termini, il trattamento non dovrebbe essere possibile senza la partecipazione di entrambi i soggetti, nel senso che i trattamenti svolti da ciascuno sono tra loro indissociabili, ovverosia indissolubilmente legati tra loro.

Ciò premesso, i contitolari del trattamento devono stabilire e concordare in modo trasparente le rispettive responsabilità per quanto concerne l’adempimento degli obblighi derivanti dal Regolamento, con particolare riferimento all’esercizio dei diritti degli interessati e agli obblighi di informazione.

Il Regolamento non specifica la forma giuridica dell’accordo tra contitolari del trattamento. Ai fini della certezza del diritto e per garantire il rispetto dei principi di trasparenza e responsabilizzazione, ma è opportuno che l’accordo sia stipulato sotto forma di documento vincolante, ossia di contratto o di atto giuridico vincolante di altra natura, ai sensi del diritto dell’UE o dello Stato membro cui sono soggetti i titolari del trattamento.

L’accordo deve riflettere debitamente i ruoli, i rapporti e le rispettive responsabilità dei contitolari di trattamento nei confronti degli interessati e in relazione agli obblighi derivanti dal Regolamento; gli elementi essenziali di tale accordo sono messi a disposizione degli interessati (cfr. Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR Versione 2.0 Adottate il 7 luglio 2021, sintesi, parte I, punto 3 e parte II punto 2 e l’”Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), adottata il 7 ottobre 2024).

3. Violazioni contestate

Alla luce del richiamato quadro normativo di riferimento, sulla base degli elementi acquisiti nell'ambito della richiamata attività ispettiva nonché delle successive valutazioni svolte, l’Ufficio -con atto del XX, prot. n. XX, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto- ha avviato, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Regione, invitandola a produrre scritti difensivi o documenti e a chiedere di essere sentita dall’Autorità (art. 166, commi 5 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con il predetto atto, l’Ufficio ha rilevato che i trattamenti di dati personali svolti dalla Regione per il perseguimento delle funzioni istituzionali attinenti alla realizzazione della statistica ufficiale sono stati effettuati in violazione:

- dell’obbligo di adottare un accordo di contitolarità e, conseguentemente, di quello di metterne il contenuto a disposizione degli interessati ai sensi dell’art. 26, par. 1 e 2 del Regolamento (artt. 5, par. 2 e 26, par. 1 e 2 del Regolamento);

- del principio di responsabilizzazione, nella misura in cui la Regione ha omesso di implementare misure volte a prevenire il rischio di reidentificazione degli interessati in fase di diffusione laddove le variabili rilevate risultavano coincidenti con una sola unità statistica (art. 5, par. 2 del Regolamento);

- del principio di liceità del trattamento avendo effettuato una diffusione di dati personali in assenza di idonea base giuridica (artt. 5, par. 1, lett. a) del Regolamento e 2-ter del Codice).

4. Le memorie difensive della Regione

La Regione, con nota del XX (prot. n. XX), ha fatto pervenire le proprie memorie difensive, fornendo dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice -senza richiedere di essere sentita nell’ambito di una specifica audizione, come previsto dall’art. 166, comma 5 del Codice-, nelle quali, ad integrazione di quanto emerso nel corso degli accertamenti ispettivi e della documentazione in seguito prodotta, sono stati rappresentati gli elementi di cui all’art. 83, par. 2 del Regolamento, altresì richiesti nell’atto di avvio del procedimento ai sensi dell’art. 166 del Codice, al fine di consentire a questa Autorità la più completa valutazione in ordine all’eventuale applicazione della sanzione e alla determinazione del suo ammontare .
In relazione alla natura, gravità e durata della violazione e al grado di responsabilità del titolare del trattamento tenendo conto delle misure tecniche e organizzative messe in atto ai sensi degli articoli 25 e 32 del Regolamento (art. 83, par. 2 lett. a) e d) del Regolamento) la Regione ha dichiarato che:

"Il trattamento di dati personali per il quale è contestata la violazione […] riguarda il lavoro statistico sulla popolazione della Città Metropolitana di Bologna (PBO 00004 – Sistema informativo provinciale sulla popolazione) presente nel Programma Statistico Nazionale (PSN) dal 2000”;

sono presenti nel PSN 2020-2022, Aggiornamento 2022 due lavori statistici di Istat (IST-02493 e IST-02494), riportati nell’Allegato “Diffusioni di variabili in forma disaggregata” per i quali, il perimetro di tali variabili è ampio e la diffusione delle risultanze del censimento permanente ottenute da tali lavori riguardano, tra gli altri, specifici gruppi di attributi riferiti ai cittadini a livello comunale e sub-comunale.

È stato inoltre evidenziato che “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR”, dispongono che “la valutazione della gravità della violazione non è un calcolo matematico in cui i fattori sopra elencati sono considerati singolarmente, bensì una valutazione approfondita delle circostanze concrete del caso, in cui tutti i fattori sopra citati sono interconnessi. Pertanto, nel valutare la gravità della violazione occorre considerare la violazione nel suo complesso” (punto 4.2.4).

A riguardo, la Regione ha pertanto rappresentato che:

la diffusione di dati personali contestata all’Ente ha ad oggetto un perimetro di variabili relative all’individuo certamente meno ampio del censimento permanente di Istat;

i dati diffusi dalla Regione, a livello di individuo, si limitano al livello comunale e alla struttura per sesso ed età escludendo, ad esempio, la condizione di stato civile deducibile dalle tabelle diffuse da Istat;

tale diffusione non ha causato effetti negativi significativi sugli individui, in termini di “danni fisici, materiali o immateriali, quali ad esempio la perdita di controllo sui propri dati personali, la limitazione dei propri diritti, la discriminazione, il furto o la frode di identità, la perdita finanziaria, l'inversione non autorizzata della pseudonimzzazione”.

in sintesi, “la diffusione di dati personali effettuata dall’Ufficio Statistica della Regione Emilia-Romagna relativamente a variabili relative agli individui con frequenze anche inferiori al tre è priva di effettiva portata offensiva dei diritti e delle libertà degli interessati sia con riferimento al fatto che è pubblico un censimento ISTAT con ben più ampie variabili sia perché la pubblicazione al di sotto di tre unità statistiche rilevata dal Garante riguardava solo tre comuni”.

In odine al carattere doloso o colposo della violazione (art. 83, p. 2 lett. b) del Regolamento) e alle misure adottare per attenuare il danno subito dagli interessati (art. 83, p. 2 lett. c) del Regolamento), la Regione ha ampiamente argomentato in ordine alla natura colposa della violazione posta in essere in buona fede in quanto “nel processo di compilazione della scheda di rilevazione PSN veniva selezionata l’item di “natura pubblica del dato” e in ragione del fatto che “il processo di compilazione della scheda di rilevazione statistica, […] non fa un espresso riferimento normativo alla definizione di “dati pubblici”” e ciò  ha generato “il legittimo affidamento in merito alla liceità della diffusione delle variabili disaggregate”.

Inoltre, la Regione già in sede ispettiva, appena emersa la circostanza della diffusione non legittima, vi ha posto rimedio con le azioni descritte nel paragrafo 1. Le predette misure sono state implementate dalla Regione nell’arco di poche ore.

In relazione alla contestazione relativa alla mancata sottoscrizione di un accordo di contitolarità con i compartecipanti alla rilevazione statistica dalle analisi prontamente avviate dall’Ufficio di statistica regionale è emerso che, “nel corso del tempo, l’assetto delle attività di trattamento è profondamente mutato, con una spinta alla centralizzazione verso la Regione sia in ordine alla regia “scientifica” che agli strumenti utilizzati per l’effettivo trattamento dei dati personali […]” ciò ha portato quest’ultima a ridefinire i ruoli di protezione dei dati personali “individuando nella Regione Emilia-Romagna la titolarità del trattamento, e la Città Metropolitana e le Province, nella loro qualità di organi intermedi della rilevazione, quali Responsabili del trattamento con specifico riferimento alle operazioni di raccolta dei dati personali”.

Ciò ha determinato la Regione a proporre, già per il prossimo aggiornamento 2025 del PSN 2023-2025, la modifica in tal senso della scheda informativa della rilevazione “EMR-00029 - Rilevazione della popolazione anagrafica comunale” (doc. 1- Scheda rilevazione compilata in sostituzione della scheda “PSN SDA-PBO 00004 Sistema informativo provinciale sulla popolazione residente”).

Al riguardo, la Regione ha inoltre segnalato che “sono state avviate con ISTAT le interlocuzioni necessarie affinché il modello di responsabilità sopra descritto sia registrato anche nella (ex) scheda PBO aggiornamento 2024 PSN 2023-2025 (compilato nel 2023) che riporta ancora contitolarità tra CMBO, Regione e tutte le province; ciò in ragione del fatto che il modello di responsabilità, come emarginato nella suddetta comunicazione, è già operante”.

La Regione ha inoltre evidenziato che

- “la cooperazione instaurata dalla Regione con l’Autorità Garante è stata esemplare, nella misura in cui, rilevata la criticità relativa alla diffusione in corso di ispezione, è stato ivi condotto un confronto sui possibili rimedi, determinandosi l’Ente a definire modalità di diffusione coerenti con la “regola del 3”, applicando logiche di riservatezza che, tuttavia, hanno consentito di limitare, al minimo possibile, la perdita di potere informativo delle analisi”;

- “violazione ha riguardato la diffusione di dati personali consistenti in output con frequenza anche inferiore a tre derivante dall’incrocio di alcune delle variabili di interesse (anno, zona ecc.)”;

- “L’autorità di controllo ha preso conoscenza della violazione nel corso dell’ispezione del XX e del XX”;

- “Non sono stati precedentemente disposti nei confronti della Regione provvedimenti dell’Autorità sulla fattispecie per cui si procede”;

- “La Regione Emilia-Romagna ha tradizionalmente posto al centro della sua azione amministrativa la coerenza e la conformità alla normativa in materia di protezione dei dati personali. L’obiettivo che l’Ente ha perseguito -e continua a perseguire- è quello di creare una cultura della protezione dei dati personali delle informazioni che sia omogenea tra i propri dipendenti e collaboratori” partecipando anche a specifici workshop in tema di privacy e trattamento di dati personali per scopi statistici;

Alla luce di quanto sopra la Regione ha chiesto di adottare un “provvedimento di archiviazione o, in subordine, l’elevazione di una sanzione pare al minimo edittale”.

5. Le valutazioni dell’Autorità

Per tutto quanto sopra evidenziato si ritiene che le memorie difensive presentate dalla Regione non siano idonee a superare le contestazioni sollevate con la richiamata notifica di violazione ai sensi dell’art. 166 del Codice.

In via preliminare, si evidenzia che è la Regione stessa a non contestare le predette violazioni, infatti nella memoria difensiva quest’ultima si limita a fornire gli elementi di cui all’art. 83 del Regolamento in base al quale l’Autorità provvede affinché le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del Regolamento siano in ogni singolo caso effettive, proporzionate e dissuasive e a tal proposito è chiamata ad acquisire dai titolari del trattamento tutti gli elementi che si ritengono utili, tra quelli individuati dal citato art. 83, paragrafo 2 del Regolamento, al fine di consentire la più completa valutazione in ordine all’eventuale applicazione della sanzione e alla determinazione del suo ammontare.

5.1 Sull’obbligo di adottare un accordo di contitolarità da metter a disposizione degli interessati

Attesa la scelta originaria della Regione e della citta Metropolitana di Bologna di assumere, rispetto al trattamento dei dati necessari alla realizzazione del lavoro statistico, PBO 00004 – Sistema informativo provinciale sulla popolazione, il ruolo di contitolari del trattamento, ai sensi dell’art. 26 del Regolamento, (cfr. doc. 1- Scheda rilevazione compilata, allegata alla nota del XX), si ritiene tuttavia accertata la violazione dell’obbligo di adottare un accordo di contitolarità secondo quanto indicato nel paragrafo 3 del presente provvedimento, e di quello volto a metterlo a disposizione (almeno nei suoi elementi essenziali) degli interessati, ai sensi degli artt. 26, par. 1 e 2 del Regolamento.

Si prende in ogni caso favorevolmente atto delle misure già adottate dalla Regione, volte alla ridefinizione dei ruoli di protezione dei dati personali per le quali la predetta Regione in relazione ai trattamenti in esame ha assunto il ruolo di titolare del trattamento, vista la centralizzazione da parte di quest’ultima delle decisioni in ordine alla definizione delle finalità e dei mezzi del trattamento e della Città Metropolitana e delle Province, nella loro qualità di organi intermedi della rilevazione, quali Responsabili del trattamento. Si prendi altresì atto della circostanza che la Regione ha dichiarato di aver già proposto per il prossimo aggiornamento del PSN 2023 – 2025 la rilevazione “EMR-00029 - Rilevazione della popolazione anagrafica comunale” in sostituzione della scheda “PSN SDA-PBO 00004 Sistema informativo provinciale sulla popolazione residente”.

5.2. Sul principio di accountability e di liceità in fase di diffusione delle variabili disaggregate.

In relazione al lavoro statistico PBO 00004 – Sistema informativo provinciale sulla popolazione, oggetto di esame nel corso delle verifiche ispettive, risulta accertato che, alla luce del quadro normativo sopra illustrato, la Regione non ha valutato il rischio di re-identificazione degli interessati, non definendo il parametro in concreto necessario a prevenirlo, né valutando di applicare quello minimo della soglia del 3 indicato nelle Regole deontologiche, omettendo, nello specifico di fornire puntuali indicazioni al riguardo alla società IConsulting Spa, all’uopo designata responsabile del trattamento, ai sensi dell’art. 28 del Regolamento.

In altri termini, la Regione non ha posto in essere alcuna misura di aggregazione dei dati idonea a scongiurare il rischio di re-identificazione degli interessati in fase di diffusione, quando le variabili rilevate risultavano coincidenti con una sola unità statistica, in particolare non rispettando la cd regola del 3.

Al riguardo, le argomentazioni difensive della Regione, volte ad evidenziare che vi sono due lavori statistici di Istat inseriti nel Programma statistico nazionale 2020-2022 Aggiornamento 2022 (IST-02493 e IST-02494), per i quali il perimetro di variabili oggetto di diffusione in forma disaggregata è più ampio rispetto al lavoro in esame e che la diffusione delle risultanze del censimento permanente ottenute dai predetti lavori statistici riguardano, tra gli altri, specifici gruppi di attributi riferiti ai cittadini a livello comunale e sub-comunale, non consentono tuttavia di superare le contestazioni sollevate.

Come noto, infatti, l'art. 4, comma 2, del Codice di deontologia e l'art. 13 comma 3-bis del d. lgs. n. 322 del 1989 consentono che, in deroga alla disciplina in materia di protezione dei dati personali e ai limiti posti dal segreto statistico, i risultati di lavori statistici possano, per esigenze conoscitive correlate alla produzione della statistica ufficiale, essere diffusi in forma disaggregata.

Tuttavia, i lavori statistici di titolarità della Regione a differenza di quelli di Istat, come dichiarato dalla stessa Regione, non sono allo stato indicati nell’Allegato al PSN denominato “Diffusioni di variabili in forma disaggregata” del PSN aggiornamento 2022 sul quale il Garante ha reso il proprio parere (provv. 16 settembre 2021, doc. web n. 9717477), pertanto, nel prendersi favorevolmente atto delle misure prontamente assunte dalla Regione, risulta comunque accertata la violazione del principio di responsabilizzazione nella misura in cui la Regione ha omesso di implementare misure per prevenire il rischio di re-identificazione degli interessati in fase di diffusione quando le variabili rilevate risultavano coincidenti con una sola unità statistica, effettuando, per l’effetto, una diffusione di dati personali in assenza di idonea base giuridica, in violazione altresì del principio di liceità di agli artt. 5, par. 1 lett. a), par. 2 del Regolamento e 2-ter del Codice.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla Regione ai sensi dell’art. 168 del Codice nel corso dell’istruttoria e degli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono tuttavia, come sopra illustrato e motivato, di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione in quanto in violazione degli artt. 5, par. 1, lett. a), par. 2 e 26 del Regolamento e dell’art. 2-ter del Codice. 
In tale quadro, avendo la Regione posto in essere le misure correttive necessarie a conformare il trattamento dei dati personali al quadro normativo vigente, sopra richiamato, la condotta contestata ha cessato di produrre i suoi effetti e pertanto non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), par. 2 e 26 del Regolamento e dell’art. 2-ter del Codice causata dalla condotta della Regione è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, dei dati statistici trattati, riguardanti tutta la popolazione della Regione in ordine a casi particolarmente delicati degli interessati e dunque dell’ elevato numero dei soggetti interessati i cui dati sono stati trattati in violazione delle disposizioni sopra richiamate, si ritiene che il livello di gravità della violazione commessa dall’Azienda sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

- il trattamento effettuato ha riguardato, in particolare, lo svolgimento delle funzioni istituzionali della Regione correlate all’attività di produzione della statistica ufficiale;

- il fatto è imputabile a un comportamento colposo della Regione ampiamente motivato in atti, il quale non ha causato effetti negativi significativi sugli individui;

- non risultano, precedenti violazioni pertinenti, aventi ad oggetto i trattamenti svolti per scopi statistici, commesse dal titolare del trattamento, né sono stati precedentemente disposti, in relazione ai predetti trattamenti, provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- la Regione si è dimostrata collaborativa nel corso dell’accertamento ispettivo e del presente procedimento mettendo in atto misure correttive in relazione al trattamento dei dati personali effettuato, volte a sanare le violazioni contestate.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Regione la sanzione amministrativa del pagamento di una somma pari ad euro 15.000,00 (quindicimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della circostanza che la condotta contestata coinvolge la disciplina sulla protezione dei dati personali di un numero elevato di interessati e della circostanza e riguarda l’attività istituzionale della Regione volta alla produzione della statistica ufficiale.

TUTTO CIO’ PREMESSO IL GARANTE

a) dichiara l'illiceità del trattamento dei dati personali effettuato dalla Regione Emilia Romagna con sede in Viale Aldo Moro, 52- 40127 Bologna, C.F. 800.625.903.79, per la violazione dei principi di liceità, responsabilizzazione e dell’obbligo di adottare un accordo di contitolarità e conseguentemente di quello di metterne il contenuto a disposizione degli interessati (art. 5, par. 1, lett. a), par. 2 e art. 26 del Regolamento e art. 2-ter del Codice), nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Regione Emilia Romagna, con sede in Viale Aldo Moro, 52- 40127 Bologna, C.F. 800.625.903.79, di pagare la somma di euro 15.000,00 (quindicimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

alla predetta Regione, di pagare la predetta somma di euro 15.000,00 (quindicimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento;

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi