[doc. web n. 9997275]

Parere su uno schema di “regolamento sulla protezione dei personali in attuazione dell’articolo 29 della legge provinciale sugli interventi a favore dell’economia” - 12 ottobre 2023

Registro dei provvedimenti
n. 470 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Provincia Autonoma di Trento;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 57, paragrafo 1, lettera c);

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

La Provincia Autonoma di Trento ha richiesto il parere del Garante su di uno schema di “regolamento sulla protezione dei personali in attuazione dell’articolo 29 della legge provinciale sugli interventi a favore dell’economia”, sul cui schema il Garante ha reso parere il 23 febbraio 2023 (doc. web 9868127).

In particolare, l’articolo 29 della legge provinciale n. 6 del 2023 n. 6, recante “disposizioni in materia di  protezione dei dati personali” prevede espressamente che, per la realizzazione delle finalità di rilevante interesse pubblico, riconducibili alle materie di cui all'articolo 2-sexies, comma 2, lettere l) ed m), del Codice, la Provincia sia autorizzata - anche per mezzo dei propri enti strumentali e avvalendosi, se del caso, di piattaforme o applicazioni informatiche- al trattamento dei dati dei soggetti coinvolti dagli interventi, compresi quelli relativi a condanne penali e reati, di cui all’articolo 10 del Regolamento.

La norma, dunque - nel testo che recepisce i rilievi del Garante - rinvia a un “regolamento di attuazione” l’individuazione di criteri, modalità e misure di sicurezza connessi al trattamento dei dati personali, nel rispetto di quanto previsto all’articolo 2-sexies del Codice.

E’, altresì, demandato al medesimo regolamento -come richiesto dal Garante- il compito di individuare distintamente, per ogni procedimento amministrativo, gli specifici dati trattati, le operazioni eseguibili e le misure di sicurezza da adottarsi ai sensi dell’articolo 32 del Regolamento, anche in relazione all’esito della preventiva valutazione di impatto.

RILEVATO

Il proposto schema di regolamento individua, all’articolo 2, per linee di intervento, le misure correlate alla concessione e all’erogazione degli aiuti previsti dalla legge provinciale di sostegno alle imprese trentine.

In particolare si prevedono, tra gli altri, interventi a favore della localizzazione produttiva delle imprese; a sostegno della ricerca, dello sviluppo e dell'innovazione, nonché della qualificazione e internazionalizzazione delle imprese.

Nel medesimo articolo sono previsti, inoltre, aiuti per investimenti nelle tecnologie digitali (c. 2, n. 17); aiuti per la collaborazione tra scuole e imprese per la realizzazione di modalità di apprendimento in alternanza fra scuola e lavoro o in apprendistato (c. 2, n. 32); aiuti per il conseguimento, la convalida e la difesa di brevetti europei e internazionali; aiuti per la costituzione di imprese a partecipazione femminile o giovanile o di soggetti svantaggiati (c. 2, n. 36).

Il terzo comma dell’articolo 2 prevede, poi, che ciascun procedimento amministrativo teso all’erogazione degli aiuti -relativamente ai quali si prevede espressamente il trattamento di dati personali- si realizzi attraverso varie fasi. E’ previsto che esse comportino la raccolta delle domande e la loro istruttoria fino all’adozione del provvedimento finale: concessione, nulla osta o autorizzazione. In tale contesto è prevista inoltre, oltre all’eventuale monitoraggio dello stato di attuazione dell’iniziativa agevolata, anche la verifica della sussistenza dei requisiti soggettivi in capo al richiedente il beneficio.

Il quarto comma dispone, inoltre, che tutti gli interventi e le misure organizzate in linee di intervento, indicati nell’articolo 2, siano riconducibili alle finalità di rilevante interesse pubblico di cui all’articolo 2- sexies, comma 2, lett. l) ed m) del Codice.

All’articolo 3 vengono indicate le tipologie di dati personali trattate nell’ambito dei procedimenti funzionali agli interventi volti al sostegno delle imprese.

In particolare vengono richiamati, oltre ai dati “comuni” (lett. a), anche i dati personali relativi a condanne penali o a connesse misure di sicurezza (lett. b), da integrare con riferimento alla nozione di “reati”e i dati personali relativi alla salute (lett. c).

Tra i dati di cui all’articolo 10 del Regolamento vengono indicati, in particolare, quelli relativi alla qualità di imputato o di indagato, a provvedimenti di condanna definitivi, a misure di sicurezza e prevenzione. Con riferimento ai dati sanitari sono, invece, richiamati quelli relativi alla prestazione di assistenza sanitaria e l'accesso ad essa.

Il quinto comma dell’articolo 3 individua poi le categorie di interessati, tra i quali i legali rappresentanti, amministratori e direttore tecnico della società beneficiaria degli interventi; i componenti l’organo di amministrazione; i familiari e conviventi maggiorenni dei soggetti richiamati e, infine, tutori, curatori, amministratori di sostegno.

L’articolo 4 prevede che i dati possano essere raccolti, per le finalità indicate, presso enti pubblici provinciali, nazionali o europei, enti previdenziali ed assistenziali (INPS, INAIL), Agenzia delle Entrate, Ministero dell'interno (Banca dati nazionale antimafia - BDNA) e che potranno, inoltre, provenire anche da fonti accessibili al pubblico, tra i quali Registri delle imprese presso le Camere di Commercio (Telemaco, Parix), Pubblico registro automobilistico (PRA) e Sistema informativo del Libro fondiario (OpenKat). Ancora, si prevede che i dati possano essere raccolti direttamente presso l’interessato, anche mediante il ricorso a piattaforme informatiche.

L’articolo 5 disciplina le modalità di trattamento dei dati personali idonee a garantirne la riservatezza, l’integrità e la disponibilità.

In particolare, il comma 5 legittima la diffusione dei dati personali connessi ai procedimenti funzionali agli interventi della Provincia solo per finalità di trasparenza amministrativa, nel rispetto del d.lgs. 33 del 2013 e della legge provinciale n. 4 del 2014. La norma dispone, inoltre, che la comunicazione mediante trasmissione, raffronto e interconnessione dei dati possa avvenire esclusivamente per assolvere a obblighi di legge o su ordine dell'autorità giudiziaria. Il comma 6 esclude, peraltro, il ricorso a processi decisionali automatizzati, compresa la profilazione, nello svolgimento delle attività procedimentale.

L’articolo 6 individua nella Provincia autonoma di Trento il titolare del trattamento e negli enti strumentali, nell’esercizio delle loro funzioni amministrative, i Responsabili del trattamento ai sensi dell’articolo 28 del Regolamento.

L’articolo 7 disciplina la conservazione dei dati rinviando, per i termini, al massimario di conservazione e scarto e/o ad eventuali atti organizzativi che li stabiliscano.

L’articolo 8 sancisce espressamente che i dati personali disciplinati dallo schema di regolamento non possano essere oggetto di trasferimento nei paesi non dell’Unione Europea,

L’articolo 9 disciplina l’accesso, limitandone la legittimazione ai soli soggetti preventivamente identificati e autorizzati e alle sole attività finalizzate alla concessione ed erogazione (e connesse attività ausiliarie) degli aiuti, di controllo ed ispettive, nonché a interventi tecnici di backup, conservazione, download ovvero upload di dati.

Il comma 5 dell’articolo 9, per garantire l'accesso selettivo, esige l’associazione esplicita del dipendente a una struttura organizzativa e a un procedimento, in modo da modulare la visibilità delle informazioni secondo il profilo assegnato al soggetto.

L’articolo 10, infine, demanda l’individuazione delle misure di sicurezza, di natura organizzativa, logistica, tecnica e informatica a una deliberazione giuntale, secondo un sistema di gestione di tipo “dinamico”, suscettibile di aggiornamento e miglioramento, sulla base sia delle innovazioni normative che dei pareri o provvedimenti dell’Autorità.

RITENUTO

Lo schema di regolamento si conforma all’ambito di intervento demandatogli dalla norma attributiva del potere, individuando (sia pur, come si dirà, con profili suscettibili di perfezionamento) le caratteristiche essenziali dei trattamenti correlati agli interventi a sostegno dell’economia trentina.

Residua, tuttavia, l’esigenza di un perfezionamento del testo nelle parti di seguito indicate.

In primo luogo, in conformità ai rilievi espressi dal Garante con il citato parere e con le coerenti previsioni della legge provinciale, è necessario riformulare il testo – in particolare agli articoli 3, 5 e 10 – riferendo la tipologia di dati oggetto del trattamento, le operazioni suscettibili di svolgimento e le misure di sicurezza da adottare allo specifico procedimento amministrativo cui siano funzionali, così da conferire alla previsione normativa la necessaria determinatezza.

Per quanto, in particolare, concerne le misure di sicurezza, la relativa previsione è, infatti, dall’articolo 29, comma 3, della legge demandata al regolamento in esame, il quale potrà eventualmente rinviare ad atti amministrativi generali soltanto alcune disposizioni di dettaglio.

In ordine alle modalità di trattamento - in particolare dei dati di cui all’articolo 10 del Regolamento - l’articolo 5, comma 4 deve essere integrato con riferimento al ricorso al certificato selettivo di cui all'articolo 28 del d.P.R. 313 del 2002 e s.m.i., richiamato dall’articolo 29, comma 3, della legge provinciale in conformità ai rilievi espressi dal Garante sul relativo disegno di legge.

Per quanto, infine, concerne le possibilità di divulgazione dei dati personali per ragioni di trasparenza amministrativa, la disposizione di cui all’articolo 5, comma 5, primo periodo, va integrata con una clausola di salvaguardia relativa ai limiti e ai divieti di diffusione previsti in materia quali, ad esempio, gli articoli 7-bis e 26, comma 4, d.lgs. 33 del 2013 e s.m.i., nonché al più generale articolo 2-septies, comma 8, del Codice.

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sul proposto schema di regolamento, con le seguenti condizioni, relative all’esigenza di:

a) riformulare gli articoli 3, 5 e 10 riferendo la tipologia di dati oggetto del trattamento, le operazioni suscettibili di svolgimento e le misure di sicurezza da adottare allo specifico procedimento amministrativo cui siano funzionali;

b) integrare l’articolo 5, comma 4 con riferimento al ricorso al certificato selettivo di cui all'articolo 28 del d.P.R. 313 del 2002, per i dati di cui all’articolo 10 del Regolamento;

c) integrare l’articolo 5, comma 5, primo periodo, con una clausola di salvaguardia relativa ai limiti e ai divieti di diffusione previsti in materia quali, ad esempio, gli articoli 7-bis e 26, comma 4, d.lgs. 33 del 2013 e s.m.i., nonché al più generale articolo 2-septies, comma 8, del Codice. 

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei