Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere al MIUR sullo schema di accordo per l'integrazione delle Anagrafi regionali degli studenti con l'Anagrafe nazionale degli studenti - 24 gennaio 2013 [2304850]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2304850
Data:
24/01/13
Argomenti:
Banche dati , Scuola , Università
Tipologia:
Parere del Garante

[doc. web n. 2304850]

Parere al MIUR sullo schema di accordo per l´integrazione delle Anagrafi regionali degli studenti con l´Anagrafe nazionale degli studenti - 24 gennaio 2013

Registro dei provvedimenti
n. 24 del 24 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;

Visto il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali";

Visto il d.lgs. 15 aprile 2005, n. 76, recante la "definizione delle norme generali sul diritto-dovere all´istruzione e alla formazione, a norma dell´articolo 2, comma 1, lett. c), della l. 28 marzo 2003, n. 53";

Visto il d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, in legge 17 dicembre 2012, n. 221, recante "Ulteriori misure urgenti per la crescita del Paese" (art. 10, comma 8);

Vista la richiesta di parere formulata dal Ministero dell´Istruzione, dell´Università e della Ricerca in relazione allo schema di accordo per l´integrazione delle Anagrafi regionali degli studenti con l´Anagrafe nazionale degli studenti, approvato in sede di Conferenza Unificata il 16 dicembre 2010 (nota prot. n. 0001738, del 12 aprile 2012);

Vista la nota con la quale il Ministero dell´Istruzione, dell´Università e della Ricerca ha rappresentato che il Consiglio dei Ministri, in data 4 ottobre 2012, ha approvato uno schema di decreto legge in materia di sviluppo, che prevede "la creazione di una banca dati a livello nazionale ad opera" del Ministero dell´Istruzione, dell´Università e della Ricerca "in cui confluiscono l´anagrafe degli alunni e l´anagrafe degli studenti e dei laureati dell´Università", specificando che "alla predetta banca dati accedono le Regioni e gli enti locali ciascuno in relazione alle proprie competenze istituzionali" (nota prot. n. 0004629 dell´11 ottobre 2012);

Visto che con la medesima nota dell´11 ottobre 2012, il Ministero ha comunicato la cessata esigenza della formulazione del parere da parte dell´Autorità sul predetto accordo;

Vista la successiva richiesta con la quale lo stesso Ministero ha sottoposto all´esame del Garante lo schema di "Accordo tra il Ministero dell´istruzione, dell´università e della ricerca il Ministero del lavoro e delle politiche sociali, le Regioni, le Province autonome di Trento e Bolzano, ANCI, UPI riguardante l´integrazione delle anagrafi degli studenti ai sensi dell´art. 3, comma 4, del d.lgs. 76/2005" (nota prot. n. AOODPPR/2141/U del 28 novembre 2012, trasmessa via mail in data 12 dicembre 2012);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Ai fini della realizzazione del diritto-dovere all´istruzione e alla formazione e della vigilanza sull´adempimento dell´obbligo scolastico, è stato istituito il Sistema nazionale delle anagrafi degli studenti (art. 3, d.lgs. 15 aprile 2005, n. 76) composto da:

  • Anagrafe nazionale degli studenti (di seguito ANS);
  • Anagrafi regionali degli studenti (di seguito ARS);
  • Anagrafi comunali della popolazione.

La predetta disposizione legislativa dispone che l´ANS "opera il trattamento dei dati sui percorsi scolastici, formativi e in apprendistato dei singoli studenti e dei dati relativi alla valutazione degli studenti, a partire dal primo anno della scuola primaria, avvalendosi delle dotazioni umane e strumentali del medesimo Ministero. Il Ministero dell´Istruzione, dell´Università e della Ricerca acquisisce dalle istituzioni scolastiche statali e paritarie i dati personali, sensibili e giudiziari, degli studenti e altri dati utili alla prevenzione e al contrasto della dispersione scolastica" (cfr. art. 3, comma 1).

In attuazione di tale disposizione legislativa, con decreto del Ministero dell´Istruzione, dell´Università e della Ricerca (di seguito MIUR) sono stati individuati i dati personali che devono confluire nell´ANS ed i soggetti legittimati ad accedervi (d.m. 5 agosto 2010, n. 74, sul quale il Garante ha espresso il parere in data 16 giugno 2010, consultabile sul sito Internet dell´Autorità www.garanteprivacy.it, doc. web 1734404).

Con riferimento alle ARS, il citato d.lgs. n. 76 del 2005 dispone che esse nascono dalla trasformazione dalle Anagrafi regionali per l´obbligo formativo e contengono i dati sui percorsi scolastici, formativi e in apprendistato dei singoli studenti a partire dal primo anno della scuola primaria (art. 3, comma 2, d.lgs. n. 76/2005; art. 68, l. 17 maggio 1999, n. 144).

Nel Sistema nazionale delle anagrafi è prevista l´integrazione, attraverso la loro interoperabilità, dell´ANS, delle ARS e delle Anagrafi comunali della popolazione, da assicurarsi con accordo tra il MIUR, il Ministero del lavoro e delle politiche sociali (di seguito MLPS), in sede di Conferenza Unificata (art. 3, comma 4, d.lgs. n. 76/2005; d.lgs. 28 agosto 1997, n. 281).

Il MIUR, il MLPS, le Regioni, le Province Autonome di Trento e Bolzano, le Province, i Comuni e le Comunità montane hanno, pertanto, adottato il 16 dicembre 2010, in sede di Conferenza Unificata, un accordo "per l´integrazione delle anagrafi degli studenti nel Sistema nazionale delle anagrafi degli studenti".

Tale accordo, sul quale non è stato richiesto il parere del Garante, dispone l´istituzione di un "sistema unico denominato Unified Register", che "costituisce la base informativa per l´alimentazione dell´anagrafe nazionale e di quelle regionali".

Nell´accordo è previsto, in particolare, che "l´Unified Register verrà alimentato dalle scuole, su indicazione del MIUR, con i dati relativi all´istruzione e dalle Regioni con i dati relativi all´istruzione e alla formazione professionale e all´apprendistato (…)". Il MIUR e le Regioni si avvalgono dell´Unified Register per "raccogliere e mantenere" i dati degli studenti (art. 4).

L´accordo del 16 dicembre 2010, inoltre:

  • individua l´infrastruttura che si intende utilizzare per l´interscambio dei dati nell´ambito del Sistema nazionale delle anagrafi degli studenti, prevedendo, in particolare, che i dati "sono resi disponibili, nell´ambito del SPC all´interno della rete infranet, dal Ministero e dalle Regioni" (art. 2). Con riferimento alle procedure di autentificazione, l´allegato tecnico all´accordo specifica che "le Regioni e gli Enti Locali si impegnano a dotarsi, a proprie spese, di dispositivi di strong authentication, necessari per l´accesso";
  • prevede che con successivo atto verranno definiti: "i tracciati record, le relative tabelle e classificazioni, l´accessibilità al dato (…)" (art.1).

Con riferimento a tale ultimo punto, riguardante l´accordo del 16 dicembre 2010, il MIUR, il MLPS, le Regioni, le Province Autonome di Trento e Bolzano, l´UPI, l´ANCI e l´UNCEM avevano predisposto, in sede di Conferenza Unificata, e sottoposto al Garante per l´acquisizione del relativo parere, uno schema di accordo che individuava "i tracciati record, le relative tabelle e classificazioni, l´accessibilità al dato". Tale schema di accordo non riguardava, invece, "l´integrazione delle Anagrafi regionali degli studenti con le Anagrafi comunali della popolazione", da realizzarsi attraverso successivi accordi in sede di Conferenza Unificata (cfr. nota Miur del 12 aprile 2012).

Con nota dell´11 ottobre 2012, il MIUR ha rappresentato che il Consiglio dei Ministri, in data 4 ottobre 2012, ha approvato uno schema di decreto legge in materia di sviluppo, che prevede "la creazione di una banca dati a livello nazionale ad opera" del Ministero dell´Istruzione, dell´Università e della Ricerca "in cui confluiscono l´anagrafe degli alunni e l´anagrafe degli studenti e dei laureati dell´Università", specificando che "alla predetta banca dati accedono le Regioni e gli enti locali ciascuno in relazione alle proprie competenze istituzionali".

In considerazione di tale novità legislativa, nella medesima nota, il MIUR ha comunicato la cessata esigenza della formulazione del parere da parte dell´Autorità sul predetto schema di accordo presentato il 12 aprile 2012.

Con il decreto legge 18 ottobre 2012, n. 179, convertito, in legge 17 dicembre 2012, n. 221, è stato previsto, in particolare, che "al fine di evitare la duplicazione di banche dati contenenti informazioni similari, nell´ottica di limitare l´impiego di risorse umane, strumentali e finanziarie, l´anagrafe nazionale degli alunni, di cui al decreto legislativo 15 aprile 2005, n. 76, nonché quella degli studenti e dei laureati delle università di cui all´articolo 1 -bis   del decreto-legge 9 maggio 2003, n. 105, convertito, con modificazioni, dalla legge 11 luglio 2003, n. 170, rappresentano banche dati a livello nazionale realizzate dal Ministero dell´istruzione, dell´università e della ricerca e alle quali accedono le Regioni e gli enti locali ciascuno in relazione alle proprie competenze istituzionali" (art. 10, comma 8).

In tale quadro -con nota del 20 novembre 2012, trasmessa il 12 dicembre 2012- il MIUR ha sottoposto all´Autorità, per l´acquisizione del relativo parere, un nuovo schema di "Accordo tra il Ministero dell´istruzione, dell´università e della ricerca il Ministero del lavoro e delle politiche sociali, le Regioni, le Province autonome di Trento e Bolzano, ANCI, UPI riguardante l´integrazione delle anagrafi degli studenti ai sensi dell´art. 3, comma 4, del d.lgs. 76/2005".

OSSERVA

1. Lo schema di accordo sottoposto all´esame del Garante

Lo schema di accordo in esame, adottato in sede di Conferenza Unificata, costituisce l´atto attraverso il quale il MIUR, il MLPS, le Regioni, le Province Autonome di Trento e Bolzano, l´UPI, l´ANCI e l´UNCEM, hanno inteso completare l´integrazione dell´ANS con le ARS, ai sensi dell´art. 3, comma 4, del d.lgs. n. 76 del 2005, "specificando gli standard tecnici da adottare per lo scambio dei flussi informativi, definendo l´insieme delle informazioni che permettono la tracciabilità dei percorsi scolastici e formativi dei singoli studenti, assicurando l´interoperabilità dell´ Anagrafe Nazionale degli Studenti e delle Anagrafi regionali degli studenti frequentanti il sistema di istruzione pubblica, il sistema regionale dell´istruzione e formazione professionale e dell´apprendistato in quanto valido al fine dell´assolvimento del diritto-dovere di istruzione e formazione (cosiddetto DDIF)" (cfr. art. 1, secondo comma 2, dello schema di accordo; n.b. all´art. 1 dello schema di accordo sono, infatti, presenti due commi 2).

Tale schema di accordo, tenuto anche conto del novellato quadro normativo di riferimento (art. 10, comma 8, d.l. n. 179/2012, convertito in l. n. 221/2012), presenta specifici profili di criticità concernenti il trattamento dei dati personali degli studenti destinati a confluire nel Sistema nazionale delle anagrafi degli studenti –definito in premessa-, nonché le misure e gli accorgimenti adottati per garantirne la sicurezza. Tali criticità, molte delle quali erano già state puntualmente evidenziate nel corso dei numerosi incontri tecnici tra gli Uffici dell´Autorità e i rappresentanti delle amministrazioni firmatarie dello schema di accordo in esame, sono di seguito illustrate.

1.a. Considerazioni di carattere generale in ordine all´interoperabilità delle banche dati e al divieto di duplicazione delle stesse

1.a.1. Interoperabilità

La specifica normativa di settore prevede che debba essere assicurata l´integrazione delle anagrafi che costituiscono il Sistema nazionale delle anagrafi degli studenti, attraverso l´interoperabilità delle stesse, evitando la duplicazione di banche dati contenenti informazioni similari (cfr. art. 3, comma 4, del d.lgs. n. 76/2005; art. 10, comma 8, d.l. n. 179/2012).

Preliminarmente, occorre evidenziare che assicurare l´"interoperabilità delle anagrafi" significa favorire la circolazione e lo scambio di dati e informazioni tra le stesse (cfr. art. 72, del d.lgs. 7 marzo 2005, n. 82, recante il Codice dell´amministrazione digitale).

In via generale, si possono considerare, quindi, interoperabili quei sistemi capaci di leggere e scrivere stessi formati di dati e/o di interagire secondo protocolli stabiliti. L´interoperabilità garantisce, pertanto, l´intellegibilità dei dati da parte di soggetti diversi offrendo ad essi, ove consentito, la capacità di formulare, attraverso l´adozione di un protocollo predefinito, la medesima interpretazione di un fenomeno e di utilizzare il dato anche al di fuori del suo contesto iniziale.

1.a.2. Divieto di duplicazione di banche dati

Il divieto di duplicazione di banche dati -richiamato nella citata norma del 2012 al fine di limitare l´impiego di risorse umane, strumentali e finanziare- in base al quale non devono costituirsi più basi dati contenenti le medesime informazioni (art. 10, comma 8, d.l. n. 179/2012), rappresenta un criterio che affonda le radici sui principi costitutivi della normativa in materia di protezione dei dati personali.

L´esigenza di garantire che i dati personali oggetto di trattamento siano esatti e, se necessario, aggiornati, si realizza, infatti, in primo luogo, prevedendo in tutti i casi in cui ciò sia realizzabile, l´alimentazione di un´unica banca dati, consultabile dai soggetti legittimati (cfr. art. 11 del Codice). Il titolare del trattamento è tenuto, pertanto, a predisporre i sistemi informativi in maniera tale da consentire una costante verifica sulla qualità ed esattezza dei dati raccolti nonché sulla adeguatezza delle misure impiegate per garantire la sicurezza dei dati stessi. La riproduzione in più di una banca di dati delle medesime informazioni rende, invece, oggettivamente non agevole garantire l´esattezza e il costante aggiornamento di tali informazioni, con l´effetto di determinare concreti rischi di disallineamento dei dati personali ivi raccolti.

In tale quadro, il Sistema nazionale delle anagrafi degli studenti, basato sull´interoperabilità delle basi dati che lo compongono, deve fondarsi sull´interazione delle stesse, in maniera tale che, nel garantire l´agevole accessibilità, l´intellegibilità e l´utilizzo dei dati – in base alla specifica normativa di settore-, non si determini una duplicazione di banche di dati, e sia così assicurata la qualità, l´esattezza, il costante aggiornamento e la sicurezza dei dati medesimi. Ciò tenuto anche conto che i numerosi dati personali destinati a confluire nel predetto Sistema si riferiscono, per lo più, a soggetti minori di età, per i quali le regole relative alla protezione dei dati personali devono essere applicate con estremo rigore (Parere n. 2/2009 del Gruppo articolo 29, sulla protezione dei dati personali dei minori -Principi generali e caso specifico scuole) (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_it.pdf).

2. Il Sistema nazionale delle anagrafi degli studenti nello schema di accordo in esame: criticità correlate ai presupposti di legittimità del trattamento dei dati

2.a. Duplicazione di banche di dati

In via principale, si rileva che con lo schema di accordo in esame, nell´intento di assicurare l´integrazione delle ARS con l´ANS, si prospetta l´integrale acquisizione e, quindi, duplicazione nell´ANS delle informazioni contenute nelle ARS. Inoltre, i dati presenti nell´ANS dovrebbero confluire anche in ciascuna ARS, limitatamente agli studenti frequentanti e o residenti nella relativa Regione (si vedano, in particolare, l´art. 2, rubrica "Amministratore regionale" e punti 1 e 4 dell´allegato tecnico).

In base allo schema prospettato, il set di informazioni riferite a ciascuno studente censito nelle predette basi dati risulterebbe duplicato in almeno due anagrafi, ovvero, in alcuni casi, addirittura in tre (è l´ipotesi dello studente iscritto ad un percorso di formazione professionale, residente in una Regione e frequentante in un´altra; cfr. punto 1.3. dell´allegato tecnico).

Alla luce di quanto evidenziato nel precedente punto 1, lo schema in esame, comportando una duplicazione di banche dati, configura un sistema di integrazione delle anagrafi non conforme alla specifica normativa di settore, né ai principi sopra richiamati concernenti il trattamento dei dati personali, volti ad impedire tale duplicazione (art. 10, comma 8, d.l. n. 179/2012, convertito in l. n. 221/2012; artt. 3 e 11 del Codice).

Diversamente da quanto prospettato, il Sistema nazionale delle anagrafi (che allo stato non considera le Anagrafi comunali della popolazione) per risultare conforme alle specifiche disposizioni legislative che impongono, in particolare, il divieto di duplicazione delle banche dati, potrebbe, quindi, essere realizzato sulla base di un assetto organizzativo che tenga conto, a titolo esemplificativo, dei seguenti modelli:

1. le anagrafi regionali e quella nazionale vengono fisicamente collocate in un unico spazio di conservazione e tutela dei dati, di modo che le ARS costituiscano delle partizioni logiche dell´ANS dotate delle necessarie regole di accesso per la realizzazione delle finalità per le quali è stato istituito il Sistema. Tale modalità risulterebbe, inoltre, idonea a soddisfare le esigenze, richiamate nella recente normativa, di ridurre l´impiego di risorse umane, strumentali e finanziarie del Paese nonché di circoscrivere gli accessi, per lo svolgimento delle proprie competenze istituzionali da parte degli enti competenti, ad un´unica base dati;

2. ciascuna anagrafe è collocata in un autonomo spazio di conservazione e tutela dei dati, integrato attraverso un sistema di scambio delle sole informazioni necessarie per la realizzazione delle finalità per le quali è stato istituito il Sistema.
Con riferimento a ciascuna delle predette modalità di interoperabilità delle basi dati, i titolari dei trattamenti sono, in ogni caso, tenuti ad individuare le misure e gli accorgimenti utili a garantire il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento ai principi di liceità, pertinenza e non eccedenza rispetto alle finalità del trattamento dei dati che, sulla base della specifica normativa di settore applicabile, si intendono perseguire (cfr. art. 11, comma 1, del Codice).

2.b. Accessi al sistema nazionale delle anagrafi da parte delle Regioni e degli enti locali

2.b.1. Quadro normativo di riferimento

La normativa di recente introdotta nel 2012 prevede che le Regioni e gli enti locali possano accedere all´Anagrafe nazionale degli studenti in relazione alle proprie competenze istituzionali (d.l. n. 179/2012, convertito in l. n. 221/2012).

Tali soggetti, quindi, possono accedere all´ANS per il trattamento, a seconda dei casi, di informazioni anonime ovvero di dati personali che siano pertinenti e non eccedenti rispetto ad una specifica funzione inerente le proprie competenze istituzionali. I dati personali e le specifiche funzioni istituzionali per le quali tali dati sono ritenuti necessari dovranno, pertanto, essere preventivamente individuati in uno o più atti amministrativi attuativi della predetta norma da sottoporre al parere del Garante (cfr. artt. 11, 18, comma 2, 19, comma 1, 154, comma 1, lett. g), e comma 4 del Codice).

Infine, per consentire l´accesso da parte delle Regioni e degli enti locali ai dati sensibili o giudiziari riferiti agli studenti raccolti presso l´ANS, dovranno essere rispettate le più stringenti regole previste dal Codice per il trattamento di tale categoria di dati personali. In particolare, il predetto trattamento potrà essere effettuato solo se autorizzato da espressa disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. Nei casi in cui la legge, pur specificando la finalità di rilevante interesse pubblico, non evidenzi, altresì, i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito, nel rispetto dei principi di cui all´articolo 22 del Codice, solo per lo svolgimento di specifiche finalità, in riferimento ai tipi di dati e di operazioni identificati e resi pubblici dal titolare in un atto di natura regolamentare adottato in conformità al parere espresso dal Garante (cfr. artt. 20 - 22 del Codice).

2.b.2.  Sistema di accessi prospettato

Alla luce del quadro normativo sopra delineato, si rileva che lo schema di accordo in esame prevede un sistema di accessi (da parte delle Regioni e degli enti locali) alle anagrafi che compongono il Sistema nazionale delle anagrafi degli studenti non conforme alla normativa applicabile (art. 10, comma 8, d.l. n. 179/2012, convertito in l. n. 221/2012).

Lo schema, infatti, prevede che le Regioni accedano all´ANS per l´acquisizione (in forma "codificata") dei dati personali degli studenti ivi censiti (limitatamente al territorio di competenza) per il monitoraggio dei fenomeni che richiedono la conoscenza dei percorsi scolastici e formativi dei singoli studenti nell´ambito dell´attività di programmazione delle singole Regioni (cfr. art. 2, rubrica "amministrazione regionale-profilo utente regionale con funzioni di programmazione", rubrica "comuni e province-profilo utente con funzioni di programmazione e punto 4.1.2. dell´allegato tecnico).

Con riferimento agli enti locali è previsto che questi possano accedere ai dati "codificati", contenuti nelle ARS per "l´analisi e il monitoraggio di fenomeni funzionali alla programmazione dell´offerta formativa e dei servizi scolastici" (cfr. punto 4.4.2 dell´allegato tecnico).

Rimandando ai successivi paragrafi per l´analisi delle criticità concernenti la tracciabilità dei percorsi scolastici e formativi dei singoli studenti ed i criteri tecnici di anonimizzazione del dato (v. infra punti 3.b. e 4.c.), con riferimento al sistema degli accessi per funzioni di programmazione sopra descritte, si evidenzia che tali funzioni, essendo per loro stessa natura finalizzate ad interventi sistematici e non rivolti a singoli studenti, ben possono essere realizzate tramite informazioni aggregate che non consentano di identificare l´interessato. In nessun caso, peraltro, lo schema di accordo evidenzia la necessità e la proporzionalità di tali informazioni rispetto al perseguimento delle predette finalità di programmazione.

A conferma del principio sopra enunciato, si evidenzia, infatti, che, il MIUR, per le finalità amministrative di monitoraggio dell´evasione dell´obbligo di istruzione, degli abbandoni scolastici, delle irregolarità di frequenza e di ogni altro fenomeno riconducibile alla cosiddetta dispersione scolastica e, per la conseguente predisposizione di opportune azioni di prevenzione, può consultare solo alcune informazioni opportunamente aggregate al fine di per garantire l´anonimato degli interessati (cfr.  art. 3, comma 1, del d.m. n. 74/2010; punto 3, profilo B, del relativo allegato tecnico).

Pertanto, come per il MIUR, anche in relazione agli accessi da parte delle Regioni e degli enti locali alle basi dati o alle partizioni del sistema delle anagrafi per funzioni di programmazione, deve essere individuato lo stato di aggregazione di alcune specifiche informazioni consultabili, valutando i rischi di identificazione degli interessati in base ai criteri di cui agli articoli 3 e 4 dell´Allegato A3 al Codice, al fine di garantire che tali dati non possano essere, in nessun modo, associati ad un soggetto identificato o identificabile (cfr. art. 4, comma 1, lett. n) del Codice).

2.c. Trattamento dei dati personali raccolti nell´ANS e nelle ARS per finalità statistiche

Lo schema di accordo in esame prevede che l´Ufficio di Statistica del MLPS, con funzioni di analisi statistica e di monitoraggio, possa accedere a tutti i dati personali "che si riferiscono agli studenti del secondo ciclo" contenuti nell´ANS e nelle ARS ai sensi dell´art. 17, comma 6, del d.lgs. 10 settembre 2003, n. 276 e dell´art. 7 del d.lgs. n. 76 del 2005 (art. 2, rubrica "MLPS"; punto 4.3 dell´allegato tecnico).

Sul punto, deve preliminarmente rilevarsi che mentre nello schema di accordo è previsto che il MLPS possa accedere a dati "in forma identificativa", il relativo allegato tecnico prevede l´accesso "a dati codificati".

In ogni caso, le fonti normative individuate nello schema di accordo non risultano idonee a consentire l´accesso da parte dell´Ufficio di statistica del MLPS ai dati contenuti nelle predette anagrafi nei modi descritti nello schema di accordo in esame. Il citato art. 17, comma 6, del d.lgs. n. 276 del 2003 attribuisce, infatti, al MLPS il compito di predisporre annualmente, sulla base di specifici strumenti di informazione tra cui, in particolare, la borsa continua nazionale del lavoro (ovvero "Cliclavoro", cfr. d.m. del MLPS del 13 ottobre 2011), un rapporto al Parlamento e alla Conferenza Unificata in relazione alle politiche del lavoro esistenti, mentre l´art. 7 del d.lgs. n. 76 del 2005 attribuisce al MLPS e al MIUR il compito di monitorare lo stato di attuazione dello stesso decreto.

Diversamente da quanto prospettato nello schema di accordo in esame, l´Ufficio di Statistica del MLPS  può legittimamente acquisire i  dati personali, anche sensibili e giudiziari, riferiti agli studenti censiti nell´ANS solo attraverso l´Ufficio di statistica del MIUR nel rispetto della specifica normativa di settore (d.lgs. 6 settembre 1989, n. 322; artt. 98 e ss. del Codice; Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale Allegato A3 al Codice). In particolare, pertanto, tale flusso di dati -nei limiti dell´art. 8 del predetto codice di deontologia- può avvenire per la realizzazione di progetti inseriti nel Programma statistico nazionale (Psn). Resta fermo, in ogni caso che, per i trattamenti non compresi nel Psn, la comunicazione dei predetti dati sensibili può avere luogo tra i predetti Uffici di statistica, qualora i tipi di dati oggetto di richiesta e le operazioni di trattamento che con essi si intendono eseguire siano specificati da espressa disposizione legislativa o, in mancanza di tale disposizione, siano stati identificati e resi pubblici dall´amministrazione richiedente con atto di natura regolamentare adottato in conformità al parere espresso dal Garante per la protezione dei dati personali, in attuazione dell´art. 20 del Codice.

2.d. Integrazione dei dati

L´art. 4, comma 4 dello schema di accordo in esame prevede che "al fine di assicurare una piena operatività del presente accordo, le Province possono stipulare con la Regione di riferimento accordi e protocolli a livello territoriale anche al fine di integrare i dati dell´istruzione con quelli concernenti l´istruzione e formazione professionale e l´apprendistato validi ai fini del DDIF".

Sul punto, si ritiene opportuno precisare che, in ogni caso, tali atti, qualora siano idonei a modificare l‘accordo in esame, disciplinando un trattamento di dati personali, in quanto prevedono l´integrazione dei dati, dovrebbero essere preventivamente sottoposti al parere del Garante (cfr. art. 154, comma 1, lett.g) del Codice).

3. Ulteriori criticità

3.a. Legge quadro per l´assistenza, l´integrazione sociale e i diritti delle persone handicappate

Nel preambolo dello schema di accordo è richiamata la legge 5 febbraio 1992, n. 104, "legge quadro per l´assistenza, l´integrazione sociale e i diritti delle persone handicappate" ed, in particolare, gli articoli da 12 a 17, riguardanti il diritto all´educazione, all´istruzione e all´integrazione nella scuola della persona handicappata.

Al riguardo, considerate anche le specifiche finalità per le quali è stato istituito il Sistema nazionale delle anagrafi (cfr. artt. 1 e 2 del d.lgs. n. 76/2005), si ritiene necessario precisare che la predetta legge non costituisce un presupposto legittimante il trattamento di dati idonei a rivelare lo stato di salute degli interessati nell´ambito dell´ANS e delle ARS, ulteriori rispetto a quelli indispensabili ad individuare il soggetto presso il quale lo studente assolve l´obbligo scolastico, per il trattamento dei quali è comunque necessario rispettare le specifiche regole poste dal Codice per tale categoria di informazioni (cfr art. 20-22 del Codice, cit.).

3.b. La tracciabilità dei percorsi scolastici e formativi dei singoli studenti

Con riferimento alla realizzazione della tracciabilità dei percorsi scolastici e formativi dei singoli studenti, la normativa di settore stabilisce che, nell´ambito del Sistema nazionale delle anagrafi, deve essere definito l´insieme delle informazioni a tal fine necessarie (cfr. art. 3, comma 4, lett. c), del d.lgs. n. 76/2005).

Tale definizione, tuttavia, non risulta essere stata effettuata nello schema di accordo in esame. Si rileva, inoltre, che la conoscenza dei percorsi scolastici e formativi spetterebbe agli "utenti regionali con funzioni di programmazione", ipotesi rispetto alla quale si richiamano integralmente le specifiche osservazioni formulate al precedente punto 2.b.2. (cfr. art. 2, rubrica "amministrazione regionale-profilo utente regionale con funzioni di programmazione" e punto 4.1.2. dell´allegato tecnico).

3.c. Funzionalità correlate agli accessi

Lo schema di accordo prevede altresì che "le funzionalità abilitate sui singoli sistemi di Anagrafe Regionale degli studenti (ARS) sono ovviamente dipendenti dalle scelte tecnologiche e di servizio poste in essere dalle singole Regioni" (cfr. art. 2, rubrica "amministrazione regionale-profilo utente regionale con funzioni di programmazione" dello schema di accordo).

Al riguardo, deve precisarsi che le funzionalità abilitate sui singoli sistemi ed attribuite agli incaricati del trattamento (ad esempio di mera consultazione ovvero di download dei dati) devono essere preventivamente decise dal titolare in relazione alle specifiche finalità perseguite attraverso ciascun diverso tipo di accesso, e non possono essere una mera conseguenza di scelte tecnologiche e di servizio. E´, al contrario, da tali preventive valutazioni del titolare correlate alle finalità perseguite che devono dipendere le scelte tecnologiche e di servizio.

In ogni caso, tali decisioni devono essere rappresentate chiaramente nello schema di accordo in esame in quanto anche le modalità del trattamento dei dati personali contenuti nel Sistema delle anagrafi sono oggetto del parere di competenza di questa Autorità. 

4. Criticità correlate alle modalità del trattamento ed alla sicurezza dei dati

4.a. Profilo Gestore del Sistema Informativo Regionale

Lo schema di accordo in esame attribuisce uno specifico accesso al "Gestore del Sistema Informativo Regionale", senza, tuttavia, specificare a quale banca dati (se in ambito nazionale o regionale) (art. 2, rubrica "amministrazione regionale-profilo gestore del sistema informativo regionale" dello schema di accordo; punto 4.1.1 dell´allegato tecnico).

Ciò premesso, al gestore dovrebbe essere attribuito, sulla base di quanto descritto, il ruolo di "amministratore di sistema secondo quanto previsto dal provvedimento del Garante in data 27 novembre 2008 e successive modifiche e integrazioni", inteso come soggetto "responsabile regionale della sicurezza e della protezione dati del sistema".

Al riguardo, deve precisarsi che il Garante, nel citato provvedimento del 2008, individua nell´amministratore di sistema la figura professionale le cui mansioni sono "finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti", senza che vi sia "una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni)". Tra le mansioni tipiche degli amministratori di sistema si possono menzionare il salvataggio dei dati (backup/recovery), l´esercizio della rete, la gestione dei supporti di memorizzazione e la manutenzione hardware.

In tale quadro, deve rilevarsi che alcune criticità emergono con riferimento alle mansioni tecniche abilitate per il profilo gestore del sistema informativo regionale, individuate nello schema di accordo in esame, relative a:

  • interscambio in cooperazione applicativa secondo gli standard SPCoop dei flussi dati relativi all´IFP e Apprendistato verso ANS;
  • interscambio in cooperazione applicativa secondo gli standard SPCoop dei flussi dati relativi a Istruzione, IFP e Apprendistato da ANS limitatamente agli studenti residenti nel territorio regionale ovvero ai non residenti frequentanti istituzioni scolastiche e formative del proprio territorio;
  • interscambio in cooperazione applicativa secondo gli standard SPCoop dei dati di aggiornamento delle variazioni dei frequentanti Istruzione, IFP ed Apprendistato frequentanti istituzioni formative del proprio territorio;

Tali funzionalità, infatti, poiché connesse allo scambio dei dati da e verso l´ANS, nonché alla comunicazione delle variazioni intercorse presso gli istituti di formazione e apprendistato, consentirebbero alla figura di gestore del sistema informativo regionale una conoscenza piena dei dati; ciò, in evidente contrasto con l´obiettivo del citato provvedimento del 2008 di garantire il disaccoppiamento tra le mansioni tecniche di manutenzione svolte da un amministratore di sistema e le mansioni operative previste per gli incaricati del trattamento, che si avvalgano di strumenti informatici per il trattamento di dati personali.

Parimenti, appaiono, in contrasto con il predetto provvedimento dell´Autorità anche le seguenti due funzioni di:

  • assicurare l´interoperabilità delle anagrafi secondo quanto previsto all´ art. 3 comma 4 lettera b del d.lgs. n. 76/2005;
  • codificare attraverso il mascheramento delle informazioni anagrafiche con contestuale restituzione di un identificativo univoco per ogni studente, al fine di consentire la tracciabilità dei percorsi scolastici/formativi (punto 4.1.1. dell´allegato tecnico).

In particolare, si precisa che, al fine di pervenire ad una compiuta separazione tra il ruolo dell´amministratore di sistema e quello degli incaricati del trattamento, l´accesso alla tabella di transcodifica (ovvero la tabella che consente l´associazione tra i dati identificativi degli studenti e i dati codificati), non deve essere, come invece il mansionario descritto nell´allegato tecnico lascia intendere, consentito al  gestore del sistema informativo regionale.

4.b. Scambio di dati personali in cooperazione applicativa

Con riferimento alla citata modalità di interscambio di dati in cooperazione applicativa secondo gli standard SPCoop (si veda, in particolare: art. 2, rubrica "amministrazione regionale-profilo gestore del sistema informativo regionale" dello schema di accordo" e art. 4, comma 1, dello schema di accordo; punti 2, 4, 5 dell´allegato tecnico) occorre precisare che tale modalità è stata prevista dal Codice dell´Amministrazione Digitale (cfr. artt. 73 e ss. del d.lgs. n. 82/2005) come strumento di interoperabilità tra i dati prodotti dalle Pubbliche Amministrazioni, al fine di ampliare la diffusione dei servizi informatici e incrementare l´efficienza dei processi. Per l´interscambio tra i dati è stato previsto un insieme di specifiche tecniche (protocolli) che disciplinano le modalità di comunicazione, al fine di pervenire all´obiettivo di una cooperazione tra le applicazioni in uso presso i diversi enti della Pubblica Amministrazione.

L´esistenza di protocolli comuni di comunicazione, se da un lato offre strumenti evoluti per elaborare specifiche misure di sicurezza a protezione di dati in transito o memorizzati all´interno di server connessi al sistema pubblico di connettività (SPC), dall´altro non è di per sé garanzia di un pieno rispetto delle misure di sicurezza eventualmente elaborate, né è rivelatore di un comportamento virtuoso di un ente con riferimento ai principi della protezione dei dati personali, con particolare riferimento all´attribuzione di ruoli e alla definizione di specifiche autorizzazioni per i profili di accesso individuati.

Pertanto, l´adozione del meccanismo di cooperazione applicativa secondo gli standard SPCoop appare un utile strumento di efficienza tecnico-operativa, ma di per sé non idoneo, se considerato individualmente, a consentire a questa Autorità di formulare una valutazione dello schema di accordo in esame, sotto il profilo del rispetto della disciplina in materia di protezione dei dati personali, con specifico riferimento alla sicurezza.

4.c. Codifica dei dati personali

Lo schema di accordo individua una modalità di codifica delle informazioni riferite agli interessati che dovrebbe garantirne l´anonimato, prevedendo che "l´utente non abbia accesso ad alcuni campi relativi all´identificazione del singolo studente, ma possa trattare gli altri campi attraverso una chiave codificata ad esso associata. I dati sono quindi conservati in forma anonimizzata ovvero non sono presenti dati anagrafici ma solo un identificatore univoco attraverso il codice meccanografico dello studente che maschera i dati personali che può consentire successivamente di ricomporli, se necessario, ricollegandoli al dato completo residente in altra tabella" (cfr. punti 3 e 6.5 dell´allegato tecnico).

Sul punto, si evidenzia preliminarmente che per "dato anonimo" si intende il dato che in origine, o a seguito di trattamento, non può essere in alcun modo associato ad un interessato identificato o identificabile (cfr. art. 4, comma 1, lett. n) del Codice). Una procedura di codifica, se opportunamente progettata, può rivelarsi, idonea a garantire l´inintellegibilità di un dato, ossia ad escludere che gli interessati possano essere immediatamente identificabili con ragionevoli sforzi, ma non è in grado di garantire che il dato sia divenuto anonimo.

Sul punto esistono diverse linee guida di natura tecnico-organizzativa, emanate da organismi  internazionali volte ad assicurare, con le tecnologie disponibili allo stato dell´arte, una bassa probabilità di re-identificazione di un dato codificato (cfr. ENISA Recommendations on technical implementation guidelines of Article 4 of the ePrivacy Directive, aprile 2012). Tali linee guida si concentrano prevalentemente su tre criteri: applicazione di un algoritmo di cifratura standardizzato, adeguata lunghezza della chiave di cifratura, idoneo meccanismo di custodia della chiave di cifratura.

La procedura di codifica descritta nello schema di accordo in esame, prevedendo unicamente l´attribuzione di un codice meccanografico ad ogni singolo studente, che successivamente può essere ricollegato ai dati personali dello stesso, ancorché presenti in un´altra tabella, senza specificare le modalità realizzative dei citati criteri di inintellegibilità (in particolare il criterio di accesso alla tabella di decodifica), non appare idonea a garantire l´anonimizzazione dei dati codificati e non consente di escludere che gli interessati possano essere identificabili con ragionevoli sforzi.

4.d. Unified Register

Lo schema di accordo in esame descrive l´Unified Register, istituito attraverso il precedente accordo del 16 dicembre 2010, come "l´insieme degli accordi di servizio, dei protocolli operativi ed informatici atti a garantire standard di interoperabilità e cooperazione applicativa tra le anagrafi delle Regioni e l´Anagrafe Nazionale degli Studenti nonché delle specifiche e delle regole tecniche e organizzative necessarie al funzionamento del Sistema Nazionale delle Anagrafi degli Studenti" (punto 2.1. dell´allegato tecnico).

Attraverso l´Unified Register è garantita l´interoperabilità dei sistemi, prevedendo, in particolare, che con esso si realizzi l´interscambio periodico di specifici dati e vengano attuate le regole per la creazione delle credenziali di accesso delle utenze.

Al riguardo, come già evidenziato nel corso degli incontri tecnici, si ritiene opportuno ribadire che, anche alla luce dei principi in materia di protezione dei dati personali sopra richiamati (v. supra punto 1.a), l´Unified Register dovrebbe essere configurato in maniera tale da garantire che non possano essere registrate le informazioni riferite agli studenti censiti nel Sistema nazionale delle anagrafi e, quindi, da non poter costituire anch´esso una banca dati; tale garanzia dovrebbe essere opportunamente evidenziata nello schema di accordo.

TUTTO CIO´ PREMESSO

- in considerazione dell´evidente contrasto dello schema di "accordo Stato-Regioni che disciplina l´accesso da parte delle Regioni all´anagrafe degli studenti e l´integrazione con i dati degli studenti iscritti ai percorsi di formazione professionale e regionale", in particolare, con l´art. 10, comma 8, del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, in legge 17 dicembre 2012, n. 221, con particolare riferimento ai profili riguardanti la non duplicabilità delle banche dati;

- viste le ulteriori criticità rilevate nei termini di cui in premessa, rilevata pertanto l´impossibilità di rendere un parere favorevole ancorché condizionato a talune modifiche;

ai sensi dell´art. 154, comma 1, lett. g) del Codice

ESPRIME

parere contrario sul predetto schema di accordo.

Roma, 24 gennaio 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia