[doc. web n. 9928773]

Parere su una proposta di legge regionale volta a disciplinare le modalità del trattamento dei dati personali per lo svolgimento delle attività di spettanza nell’ambito dei compiti attribuiti al Punto unico Regionale (P.U.R) - 31 agosto 2023

Registro dei provvedimenti
n. 361 del 31 agosto 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Regione Autonoma Friuli Venezia Giulia;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 57, paragrafo 1, lettera c);

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

La Regione Autonoma Friuli Venezia Giulia ha richiesto il parere del Garante su di una proposta di legge regionale volta a disciplinare le modalità del trattamento dei dati personali per lo svolgimento delle attività di spettanza nell’ambito dei compiti attribuiti al Punto unico Regionale (di seguito P.U.R), istituito con Delibera di Giunta regionale n. 101 del 26 gennaio 2023, in attuazione dell’articolo 3 dell'Accordo tra lo Stato, le Regioni e le Province Autonome di Trento e Bolzano del 30 novembre 2022.

Il parere del Garante è stato altresì richiesto su di uno schema di regolamento che, in attuazione della suddetta norma regionale da approvare, disciplinerà il trattamento dei dati personali, anche appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento e relativi a condanne penali, reati e misure di sicurezza, ai sensi degli articoli 2-sexies e 2-octies del Codice, da parte della Direzione centrale competente in materia di salute e politiche sociali, per lo svolgimento delle attività demandate, riconducibili al P.U.R..

L’articolo 3 dell’Accordo Stato-Regioni del 30 novembre 2022 sulla proposta del Tavolo di consultazione permanente sulla sanità penitenziaria di collaborazione interistituzionale inerente la gestione dei pazienti con misura di sicurezza prevede infatti, in particolare, che il P.U.R., costituito presso la Direzione centrale salute, operi d’intesa e in costante raccordo con i Dipartimenti di Salute Mentale e con le Aziende sanitarie, cui compete l’erogazione delle prestazioni sanitarie, assicurando specifiche attività in relazione alle attività dell’autorità giudiziaria e dell’amministrazione penitenziaria. Spetta, infatti, alla Regione la presa in carico delle persone con infermità psichiche autrici di reato, riconosciute dall’autorità giudiziaria incapaci o parzialmente capaci di intendere e di volere e socialmente pericolose, con consequenziale applicazione di una misura di sicurezza detentiva o non detentiva, in conformità al disposto di cui al d.l. 51 del 2014, convertito, con modificazioni, dalla legge n. 81 del 2014.

Tra queste attività rileva, peraltro, anche l’indicazione della residenza per l’esecuzione delle misure di sicurezza (R.E.M.S.), cui assegnare le persone destinatarie di misure di sicurezza detentive e la gestione della lista di attesa regionale delle R.E.M.S., nell’ambito della generale e prioritaria ricerca e facilitazione di soluzioni assistenziali in contesti non detentivi.

Lo svolgimento delle attività, demandate alla Regione, funzionali alla gestione dei pazienti in misura di sicurezza comporta, inevitabilmente, un trattamento di dati appartenenti alle categorie di cui agli articoli 9 e 10 del Regolamento, che appunto si intende disciplinare con il combinato disposto della previsione legislativa e di quella regolamentare oggetto di parere.

RILEVATO

La proposta di norma regionale demanda, in particolare, a un regolamento la definizione – nel rispetto del Regolamento, del Codice “nonché dei provvedimenti del Garante per la protezione dei dati personali” – della disciplina, ai sensi degli articoli 2-sexies e 2-octies del Codice, del trattamento dei dati personali, ivi inclusi quelli appartenenti alle categorie di cui agli articoli 9 e 10 del Regolamento, da parte della Direzione centrale competente in materia di salute nell’ambito delle attività svolte dal Punto Unico Regionale (P.U.R.).

Lo schema di regolamento attuativo della norma definisce, dunque, il suddetto trattamento, nell’ambito delle attività funzionali alla gestione dei pazienti ai quali sia stata applicata una misura di sicurezza.

All’articolo 2 il regolamento individua, in particolare, il presupposto di liceità del trattamento nell'esecuzione dei compiti di interesse pubblico o comunque connessi all'esercizio dei pubblici poteri della Regione, prevedendo che essa, per il tramite della Direzione centrale salute, politiche sociali e disabilità, sia legittimata al trattamento, non solo ai sensi dell’articolo 3 dell’Accordo citato, istitutivo dei P.U.R., ma anche ai sensi dell’articolo 2, comma 2, del decreto legislativo 23 dicembre 2010, n. 274 (Norme di attuazione dello statuto speciale della Regione Friuli-Venezia Giulia in materia di sanità penitenziaria), ai sensi del quale “la Regione assicura l'espletamento delle funzioni trasferite tramite le Aziende per i servizi sanitari della Regione nel cui ambito territoriale di competenza sono ubicati gli istituti ed i servizi penitenziari nonché i servizi minorili” e infine, ai sensi dell’articolo 1, comma 1, lettera b) del decreto legislativo 23 maggio 2016, n. 102 (Norme di attuazione dello Statuto speciale della Regione autonoma Friuli- Venezia Giulia, recante integrazioni al decreto legislativo 23 dicembre 2010, n. 274) ai sensi del quale “sono trasferite al Servizio sanitario della Regione le funzioni sanitarie per il superamento degli ospedali psichiatrici giudiziari”.

L’articolo 3 individua quale titolare del trattamento l’Amministrazione regionale nel suo complesso, mentre la Società Insiel S.p.a., quale responsabile ai sensi dell’articolo 28, par. 3, del Regolamento. L’ultimo comma dell’articolo stabilisce, inoltre, che l’Amministrazione regionale sia autonomo titolare dei dati personali trattati per lo svolgimento delle attività attribuite alla Direzione centrale competente in materia di salute e politiche sociali nell’ambito dei compiti ascritti al P.U.R, ferma restando la titolarità di ciascun ente (articolo 5, comma 2), limitatamente alle funzioni di competenza nell’ambito delle attività e dei compiti assegnati al P.U.R..

L’articolo 4 individua i soggetti interessati al trattamento negli indagati, imputati, internati e soggetti a una misura di sicurezza (evidentemente non detentiva) e le categorie di dati oggetto del trattamento. In questa categoria sono compresi, tra gli altri (e con indicazione non tassativa), anche i dati idonei a rivelare lo stato di salute, nonché i dati relativi alle condanne penali e ai reati (oltre che alle misure di sicurezza).

L’articolo 5 individua le modalità di acquisizione dei dati nella trasmissione a mezzo posta elettronica certificata (PEC) tramite l’applicativo informatico Gifra Visura/Iteratti; mentre l’articolo 6 individua il contenuto dell’informativa da rendere agli interessati.

L’articolo 7 limita l’accesso ai dati personali trattati nell’ambito delle attività svolte dal P.U.R. ai dipendenti e i collaboratori del titolare, inclusi i lavoratori in somministrazione lavoro presso la Direzione centrale salute, politiche sociali e disabilità, autorizzati e istruiti ai sensi dell’articolo 29 del Regolamento.

La norma dispone altresì che i dati personali raccolti, ancorché appartenenti a categorie particolari, possano essere comunicati alle amministrazioni pubbliche e agli altri soggetti indicati all’articolo 5, comma 2, per le sole finalità ivi previste (comma 4), con divieto di diffusione, salva diversa disposizione legislativa o regolamentare dispongano diversamente (comma 5).

L’articolo 8 prevede, poi, l’adozione di specifiche misure per la sicurezza del trattamento, mentre l’articolo 9 stabilisce i tempi di conservazione dei dati, individuati nel  massimo di trent’anni dalla raccolta (in coerenza con i tempi della durata massima della misura di sicurezza detentiva applicata ai soggetti socialmente pericolosi autori di reati).

Il secondo comma dell’articolo 9 autorizza, infine, il trattamento dei dati raccolti a fini di archiviazione (protocollo e conservazione documentale) nonché, in forma aggregata, a fini statistici.

RITENUTO

Prendendosi atto del contenuto della proposta di legge, la disciplina proposta dallo schema di regolamento regionale (la cui approvazione deve, comunque, necessariamente seguire quella dell’atto legislativo) necessita di talune integrazioni, volte a garantire il rispetto di alcuni specifici requisiti del trattamento, previsti dalla normativa in materia di protezione dei dati personali.

In particolare, con riferimento ai ruoli esercitati dai diversi soggetti coinvolti nel trattamento, l‘articolo 2 va integrato indicando, non solo per relationem, rispetto a quali trattamenti la Società Insiel S.p.a. sia responsabile.

All’articolo 4, c. 2, l'elenco di cui alle lettere a) e b), relativo ai dati oggetto di trattamento, deve essere reso tassativo e non meramente esemplificativo, al fine di garantire la dovuta certezza normativa e, dunque, anche la necessaria trasparenza del trattamento.

Per quanto concerne l’ambito circolatorio dei dati, l’articolo 7 va integrato in più punti al fine di circoscrivere con maggiore precisione le possibilità di accesso alle informazioni raccolte.

In ordine alla disciplina dell’accesso ai dati trattati nell’ambito delle attività demandate al PUR, il primo comma va integrato indicando i diversi livelli di accesso dei vari soggetti legittimati alla consultazione dei dati in quanto dipendenti dell’amministrazione regionale, conformemente alle loro specifiche attribuzioni.

Analoga distinzione va effettuata rispetto ai vari destinatari (potenziali) dei dati ai sensi dell’articolo 7, comma 4, al fine di assicurare che ciascuno possa accedere alle sole informazioni necessarie all’espletamento dei propri compiti istituzionali.

Il medesimo comma 4 – nella parte in cui legittima la comunicazione dei dati alle amministrazioni pubbliche e agli altri soggetti indicati all’articolo 5, comma 2- andrebbe, peraltro, integrato con un vincolo alla previsione legislativa della trasmissione dei dati, comprensivi in ipotesi anche di dati appartenenti alle categorie di cui agli articoli 9 e 10 del Regolamento, in modo da consentire un opportuno raccordo tra legge (sia pur regionale), regolamento e Accordo Stato-Regioni. In tal senso, dopo le parole: “essere comunicati”, dovrebbero essere inserite le seguenti: ", ove previsto dalla legge, ".

Il comma 5, invece, nella parte in cui vieta (salva diversa previsione legislativa) la diffusione dei dati, comprensivi anche di quelli appartenenti alle categorie di cui agli articoli 9 e 10 del Regolamento, andrebbe integrato con una specifica clausola di salvaguardia riferita all’articolo 2-septies, c. 8, del Codice, al fine di fugare ogni possibile dubbio interpretativo.

Per quanto concerne la disciplina della sicurezza del trattamento, l’articolo 8 va integrato con la previsione di elementi tali da garantire il pieno rispetto dei principi di integrità e riservatezza per la trasmissione dei dati attraverso l’applicativo informatico denominato “Gifra-Visura/Iteratti”. Analoga integrazione va apportata rispetto all’applicativo informatico denominato “sharepoint” che, secondo quanto indicato nell’articolo 7, comma 3, lettera b), dello schema di regolamento, sarà utilizzato per creare una banca dati delle informazioni fornite dagli enti coinvolti nel trattamento e che, tuttavia, non deve comportare la duplicazione delle informazioni presenti nel sistema di protocollo e conservazione documentale.

In linea generale, sarebbe auspicabile introdurre una disciplina maggiormente dettagliata e articolata dei profili di sicurezza, con la previsione anche di garanzie circa la limitazione del trattamento, per impostazione predefinita, ai soli dati personali necessari per ogni specifica finalità perseguita (cfr. artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento) e l’adozione di misure quali, ad esempio, la pseudonimizzazione e la cifratura dei dati, procedure di autenticazione informatica a più fattori, nonché registrazione degli accessi e delle operazioni svolte da parte del personale addetto. In tale contesto va anche considerato che il previsto uso della posta elettronica certificata (art. 7, c.3, lett.a) non garantisce la riservatezza della trasmissione dei dati end to end. Pertanto, il provvedimento attuativo dovrà chiarire che i dati devono essere inviati in forma di allegato protetto, con modalità idonee a impedire l'illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati (es. password per l'apertura del file resa nota tramite canale di comunicazione differente) e che  l’oggetto della PEC, inoltre, non deve rivelare dati personali, dovendo peraltro il contenuto del messaggio essere il più possibile generico.

Anche l’articolo 9 necessita di specifiche integrazioni, anzitutto differenziando i termini di conservazione dei dati in relazione alla diversa tipologia cui appartengano e alle specifiche finalità perseguite, conformemente al principio di limitazione della conservazione di cui all’articolo 5, par.1, lett. e) del Regolamento.

Circa la possibilità del trattamento a fini statistici (oltre che archivistici) dei dati raccolti, il comma 2 dell’articolo 9 deve essere integrato prevedendo che l’aggregazione dei dati che ne consente la conservazione, a tali fini, deve essere tale da renderli non più identificativi.

In ordine a tale particolare tipologia di trattamento, è inoltre opportuno precisare che esso deve avvenire, se svolto per finalità statistiche da parte di soggetti che partecipano al SISTAN, nel rispetto, non solo delle pertinenti disposizioni del Regolamento (artt. 5, par. 1, lett. c) ed e) e 89) e del Codice (artt. 104 e ss), ma anche delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, Allegato A4 al Codice, nonché della specifica disciplina di settore di cui al d.lgs. n. 322 del 1989 e s.m.i..

Analoghe considerazioni possono estendersi ai trattamenti svolti per finalità di archiviazione nel pubblico interesse, che devono avvenire nel rispetto delle pertinenti disposizioni del Regolamento (artt. 6, par. 1, lett. e), par. 3, 9, par. 2, lett. g) e 89), del Codice (art. 2 sexies, comma 2, lett. cc)) e delle Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 del 19 dicembre 2018 (doc. web n. 9069661).

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole:

a) sulla proposta di legge regionale volta a disciplinare le modalità del trattamento dei dati personali per lo svolgimento delle attività di spettanza nell’ambito dei compiti attribuiti al P.U.R.;

b) sul proposto schema di regolamento, con le seguenti condizioni, esposte nel “Ritenuto”, volte a rappresentare l’esigenza di:

1) integrare l‘articolo 2 indicando rispetto a quali trattamenti la Società Insiel S.p.a. sia responsabile;

2) rendere tassativo, all’articolo 4, c. 2, l'elenco di cui alle lettere a) e b);

3) integrare l’articolo 7:

- prevedendo, ai commi 1 e 4, i diversi livelli di accesso dei vari soggetti legittimati alla consultazione dei dati;

- inserendo al comma 4, dopo le parole: “essere comunicati”, le seguenti: ", ove previsto dalla legge, "

- inserendo, al comma 5, una specifica clausola di salvaguardia riferita all’articolo 2-septies, c. 8, del Codice;

4) integrare gli articoli 7 e 8 con la previsione di elementi tali da garantire il pieno rispetto dei principi di integrità e riservatezza dei dati trattati mediante gli applicativi considerati e, in linea generale, introducendo una disciplina maggiormente articolata dei profili di sicurezza nei termini indicati in motivazione;

5) integrare l’articolo 9:

- differenziando i termini di conservazione dei dati in relazione alla diversa tipologia cui appartengono e alle specifiche finalità perseguite, conformemente al principio di limitazione della conservazione di cui all’articolo 5, par.1, lett. e) del Regolamento;

- precisando, al comma 2, che l’aggregazione dei dati che ne consente la conservazione a fini statistici deve essere tale da renderli non più identificativi;

- specificando che il trattamento a fini statistici e di archiviazione nel pubblico interesse deve avvenire nel rispetto delle disposizioni richiamate in motivazione.

Roma, 31 agosto 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei