Garante - Relazione 2016

Nell’anno di riferimento il Garante ha dato parere favorevole sullo schema di regolamento per i trattamenti dei dati sensibili e giudiziari effettuati dall’Agenzia nazionale per i giovani (di seguito Agenzia), che ha tenuto conto delle indicazioni formulate dal Garante in occasione dei numerosi contatti, anche informali. E' stata, in particolare, oggetto di attenzione la valutazione del rapporto tra i dati che l’Agenzia intende trattare e gli adempimenti ad essa spettanti nell’ottica del piu' rigoroso rispetto del principio di indispensabilita' (art. 22, commi 3 e 5, del Codice), “fermo restando che le operazioni di raffronto e interconnessione con base dati di diversi titolari sono ammesse solo se previste da espressa disposizione di legge” (cfr. art. 22, commi 10 e 11, del Codice) (provv. 4 febbraio 2016, n. 34, doc. web n. 4842686).

Il Garante ha, altresi' espresso parere favorevole sul nuovo regolamento per il trattamento dei dati sensibili e giudiziari effettuati dall’Autorita' garante della concorrenza e del mercato (Agcm), che abroga e sostituisce il precedente. L’esigenza di aggiornamento e' derivata dall’ampliamento delle competenze attribuite all’Agcm nell’ambito della tutela della concorrenza e del rating di legalita' delle imprese (art. 5-ter, d.l. 24 gennaio 2012, n. 1, convertito in legge, con modificazioni, dall’art. 1, comma 1, l. 24 marzo 2012, n. 27). La revisione del regolamento assicura una maggiore chiarezza anche dal punto di vista sistematico al trattamento di dati giudiziari per finalita' di attribuzione del rating di legalita' alle imprese da parte dell’Agcm. Nel corso dell’istruttoria, inoltre, l’Agcm ha individuato, su indicazione del Garante, specifiche garanzie per gli interessati, quali, in particolare, l’inserimento di un avviso in ordine all’informativa da fornire agli interessati nel formulario da compilarsi a cura delle societa' richiedenti l’attribuzione di rating, anche al fine di evitare criticita' in caso di diniego del rating a causa dell’esistenza di precedenti penali a loro carico (provv. 9 giugno 2016, n. 257, doc. web n. 5270614).

Sempre con riguardo ai trattamenti di dati sensibili e giudiziari presso le pp.aa., merita segnalare il quesito formulato dalla prefettura - UTG di Potenza con riferimento alla possibilita' di comunicare a una societa' di trasporto pubblico locale le motivazioni alla base di un provvedimento sanzionatorio di sospensione della patente di guida nei confronti di un dipendente della stessa, con mansioni di conducente di autobus di linea, per violazione dell’art. 75, d.P.R. n. 309/1990 (testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza). Il Garante si e' espresso stabilendo che, nel caso di sospensione della patente, non e' prevista la comunicazione da parte della prefettura “degli accertamenti e degli atti” al datore di lavoro del soggetto sanzionato. La sanzione, infatti, era stata comminata a seguito di un articolato procedimento avanti al Prefetto che ha previsto, tra l’altro, la contestazione immediata, l’esame tossicologico delle sostanze sequestrate, il ritiro e la trasmissione al Prefetto della patente da parte delle Forze dell’ordine che hanno provveduto all’accertamento, la convocazione dell’interessato avanti al Prefetto, l’invito a partecipare a specifici programmi (art. 75, commi 1-5, cit.). La medesima disposizione prevede altresi' che degli “accertamenti e degli atti di cui ai commi da 1 a 5 puo' essere fatto uso soltanto ai fini dell’applicazione delle misure e delle sanzioni previste nel presente articolo e nell’art. 75-bis” (art. 75, comma 6, cit.). Conformemente al predetto quadro normativo, il regolamento sul trattamento dei dati sensibili e giudiziari del Ministero dell’interno prevede la comunicazione di dati personali unicamente ai seguenti soggetti: “Servizi pubblici per le tossicodipendenze, Forze di polizia segnalanti per lo svolgimento degli adempimenti connessi alle procedure previste dagli artt. 75 e 121 del d.P.R. 309/90” (cfr. decreto 21 giugno 2006, n. 244, scheda n. 24, applicazione normativa antidroga). Cio', tenuto conto che, per le finalita' di salvaguardia della vita e dell’incolumita' del lavoratore e della collettivita', la societa' di trasporto, a conoscenza del provvedimento di sospensione della patente del dipendente, puo' senz’altro attivare, gli strumenti di sorveglianza sanitaria previsti dalla normativa sulla tutela della salute e della sicurezza sui luoghi di lavoro, la quale prevede che “le visite mediche (...) comprendono gli esami clinici e biologici e indagini diagnostiche mirati al rischio ritenuti necessari dal medico competente. Nei casi ed alle condizioni previste dall’ordinamento, le visite (...) sono altresi' finalizzate alla verifica di assenza di condizioni di alcol-dipendenza e di assunzione di sostanze psicotrope e stupefacenti” (art. 41, d.lgs. 9 aprile 2008, n. 81), oppure da altre disposizioni che prevedono accertamenti specifici per i lavoratori destinati a mansioni che comportano elevati rischi di infortunio ovvero rischi per la sicurezza, la incolumita' e la salute dei terzi (cfr. art. 125, d.P.R. n. 309/1990; art. 15, l. n. 125/2001) (nota 2 novembre 2016).

Il Garante si e' inoltre pronunciato sulle modifiche al regolamento per il trattamento dei dati sensibili e giudiziari predisposte dalla Regione Emilia Romagna in relazione alle attivita' di assistenza socio-sanitaria a favore di fasce deboli di popolazione effettuate dalle strutture sanitarie (provv. 5 maggio 2016, n. 203, doc. web n. 5185386). Le modifiche hanno riguardato, in particolare, la scheda del regolamento regionale (30 maggio 2014, n. 1) predisposto a suo tempo (cfr. scheda n. 6 dell’All. B) in conformita' allo schema tipo di regolamento elaborato dalla Conferenza delle regioni e delle province autonome, sul quale il Garante aveva reso parere favorevole (parere 26 luglio 2012, n. 220, doc. web n. 1915390). Le integrazioni, sottoposte alla valutazione dell’Autorita', hanno riguardato la possibilita', prevista dagli accordi di integrazione socio-sanitaria in attuazione dei piani di zona ed in conformita' alla legislazione regionale in materia, per le ausl e i comuni, afferenti allo stesso distretto sanitario, di costituire una banca dati integrata sull’assistenza socio-sanitaria. I dati sensibili e giudiziari indispensabili alla presa in carico delle persone che accedono ai servizi sociali territoriali e necessitano di seguire un percorso socio-sanitario integrato sarebbero cosi' raccolti in un archivio informatizzato unico, al fine di consentire la gestione integrata dei processi assistenziali in parola. Riguardo alla banca dati, di cui sono contitolari le AUSL e i comuni appartenenti allo stesso ambito distrettuale, l’Autorita', nel parere citato, ha chiesto di definire le responsabilita', in ordine all’osservanza degli obblighi in materia di protezione dei dati personali, di ciascuno degli enti coinvolti nel trattamento, specie quelli riguardanti l’informativa e l’esercizio dei diritti degli interessati. Tale accorgimento e' volto, in particolare, a evitare che la scelta della contitolarita' porti a una confusa e impraticabile ripartizione delle responsabilita' conseguenti al trattamento delle informazioni, minando cosi' l’efficacia della normativa sulla protezione dei dati personali. Inoltre, in ottemperanza al principio di semplificazione, l’Autorita' ha disposto che i comuni della Regione che, nell’ambito degli accordi di integrazione socio-sanitaria, intendano costituire una banca dati integrata, insieme alle ausl del distretto, dovranno aggiornare i propri atti regolamentari, al fine di effettuare lecitamente i trattamenti di dati sensibili ad essa correlati, per il perseguimento delle specifiche finalita' di assistenza socio-sanitaria. Cio', senza dover richiedere singolarmente all’Autorita' un nuovo parere ai sensi degli artt. 20, comma 2, e 21, comma 2, del Codice, sempreche' tali trattamenti siano effettuati in conformita' alle previsioni di integrazione regolamentare sottoposte al vaglio del Garante.

Tra i trattamenti di dati sensibili effettuati nell’ambito delle attivita' di assistenza socio-sanitaria, nel regolamento regionale, e' stato previsto anche un nuovo sistema informativo denominato “fragilita'”. Il sistema, oggetto di sperimentazione nell’ambito delle iniziative finanziate dal “fondo regionale non autosufficienza” (delibera della Giunta regionale 30 luglio 2007, n. 1206), e' finalizzato alla prevenzione e al monitoraggio delle situazioni di fragilita' in cui versano taluni soggetti identificati come non autosufficienti o a rischio di non autosufficienza. Esso mira a identificare precocemente la popolazione fragile, a stratificarla sulla base di profili di rischio e a monitorare gli interventi di assistenza socio-sanitaria attraverso la raccolta, in un’unica banca dati, di informazioni anagrafiche, sanitarie, reddituali, nonche' riguardanti il censimento dell’ISTAT e l’assegnazione di immobili di edilizia pubblica. Al riguardo, il Garante ha evidenziato che se la costituzione e la gestione di tale sistema informativo comporta, come sembra, trattamenti automatizzati di dati sensibili volti a definire il profilo o la personalita' degli interessati, utilizzando banche dati di diversi titolari, per legittimare l’utilizzo di tali delicate categorie di informazioni, e' necessario individuare un idoneo presupposto legislativo (art. 22, comma 11, del Codice). Anche se la profilazione e' finalizzata ad arrecare benefici agli interessati non puo', infatti, escludersi che, a causa di essa, singoli individui siano ingiustamente privati di questi servizi o vengano esposti a rischi di discriminazione. Cio', in considerazione del fatto che, nella definizione del profilo dell’interessato, sono utilizzate informazioni particolarmente delicate riguardanti non solo la salute, ma anche lo stato di indigenza o di disagio familiare e sociale. Per tali ragioni, la disciplina sulla protezione dei dati personali ammette la profilazione degli interessati con dati sensibili, soltanto nella misura in cui cio' sia previsto dalla legge e subordina questo tipo di trattamento all’adozione di idonee garanzie, con particolare riferimento al diritto di opposizione per motivi legittimi (art. 14, comma 2, del Codice e raccomandazione del Consiglio d’Europa Rec (2010)13 sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto di attivita' di profilazione). Non essendo stato possibile rinvenire i necessari presupposti di legge che consentirebbero di trattare lecitamente i predetti dati personali, si e' chiesto pertanto alla Regione di espungere le modifiche al regolamento regionale riguardanti il sistema informativo “fragilita'”.