[doc. web n. 3255963]

Parere su uno schema di decreto interministeriale recante le regole tecniche per la realizzazione e il funzionamento del sistema informativo nazionale per la prevenzione nei luoghi di lavoro (SINP) - 12 giugno 2014

Registro dei provvedimenti
n. 295 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero del lavoro e delle politiche sociali;

Visti gli articoli 20, commi 2 e 4 e 154, commi 1, lett. g), e 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero del lavoro e delle politiche sociali ha richiesto il parere del Garante in ordine a uno schema di decreto interministeriale recante le regole tecniche per la realizzazione e il funzionamento del sistema informativo nazionale per la prevenzione nei luoghi di lavoro (di seguito SINP), nonché le regole per il trattamento dei relativi dati.

Il decreto in esame, avente natura regolamentare, è adottato ai sensi dell´articolo 8, comma 4, del decreto legislativo 9 aprile 2008, n. 81, e successive modificazioni (c.d. Testo unico in materia di sicurezza del lavoro, infra: Testo unico), che demanda ad un decreto interministeriale la definizione delle regole tecniche per la realizzazione e il funzionamento del SINP, delle regole per il trattamento dei dati, nonché la disciplina delle "speciali modalità con le quali le forze armate e le forze di polizia partecipano al sistema informativo relativamente alle attività operative e addestrative".

A mente del comma 1 del citato articolo 8, il SINP è istituito "al fine di fornire dati utili per orientare, programmare, pianificare e valutare l´efficacia della attività di prevenzione degli infortuni e delle malattie professionali, relativamente ai lavoratori iscritti e non iscritti agli enti assicurativi pubblici, e per indirizzare le attività di vigilanza, attraverso l´utilizzo integrato delle informazioni disponibili negli attuali sistemi informativi, anche tramite l´integrazione di specifici archivi e la creazione di banche dati unificate".

Nella nota di trasmissione, l´Ufficio legislativo del Ministero del lavoro e delle politiche sociali ha precisato che lo schema è stato elaborato "in riscontro a quanto richiesto nel parere n. 283 del 7 luglio 2011", reso dall´Autorità sulla versione precedente dello schema di decreto, e tenuto conto delle condizioni ivi formulate.

In particolare, in detto parere il Garante ha invitato l´Amministrazione ad individuare i tipi di dati sensibili e di operazioni eseguibili, in relazione a ciascun soggetto fruitore e ciascuna specifica finalità, sottoponendo nuovamente lo schema di decreto, una volta integrato, ai fini dell´acquisizione del parere di conformità ai sensi dell´articolo  20, comma 2, del Codice (condizione di cui alla lett. e) del dispositivo del parere citato).

L´Amministrazione chiede al Garante di esprimere il prescritto parere con esclusivo riferimento a tale condizione. Ciononostante, il Garante ritiene di doversi esprimere con riferimento anche ad altri profili dello schema che non risultano pienamente in linea con le indicazioni formulate nel citato parere del 7 luglio 2011. Infatti, sebbene parte delle osservazioni del Garante siano state recepite dal testo in esame, permangono alcuni aspetti suscettibili di ulteriore miglioramento, al fine di garantire un adeguato standard di tutela del diritto alla protezione dei dati personali nell´ambito dei trattamenti disciplinati dal medesimo provvedimento.

RILEVATO

1. Individuazione dei tipi di dati e di operazioni eseguibili nell´ambito del SINP.

1.1. Come già evidenziato nel parere del 7 luglio 2011, il SINP rappresenta un sistema informativo complesso e di particolare delicatezza, in quanto coinvolge più archivi informativi riferibili a diversi soggetti istituzionali e contiene, tra l´altro, dati sensibili concernenti i lavoratori. La presenza, nell´ambito del SINP, di tali tipologie di dati impone di conformare lo stesso sistema informativo non solo ai principi di finalità, proporzionalità, pertinenza e non eccedenza (artt. 3 e 11 del Codice), ma anche al principio di indispensabilità dei dati sensibili e giudiziari trattati e delle operazioni eseguite sugli stessi (art. 22, commi 3, 5, 9, 10 e 11 del Codice). Il rispetto di tali principi deve essere garantito non solo in relazione al conferimento dei dati al SINP, da parte di tutti gli enti fornitori, ma anche in relazione all´accesso e all´utilizzo degli stessi da parte dei singoli enti fruitori nell´ambito del sistema informativo. Fra l´altro, si fa notare l´individuazione nell´Allegato A di attività che fanno ritenere oggetto di trattamento "dati giudiziari" (cfr. Allegato A, foglio "Dati MdL", categoria "attività ispettiva-illeciti penali").

Ciò premesso, l´individuazione dei tipi di dati e di operazioni eseguibili deve essere completata alla stregua dei predetti principi e lo schema di decreto e i relativi allegati devono essere perfezionati ai sensi dell´articolo 20, comma 2, del Codice, tenendo conto delle indicazioni che si riportano di seguito.

In tale quadro è necessario:

a) ove il trattamento dei dati giudiziari non debba avvenire in forma anonima e sia indispensabile per il perseguimento delle finalità per le quali il trattamento stesso è consentito, integrare gli articoli 3, comma 4, lett. e) e f) (e i relativi Allegati E e F), e 6, comma 6, dello schema con un riferimento esplicito anche ai "dati giudiziari" (ad esempio, inserendo, rispettivamente, dopo le parole "le operazioni eseguibili sui dati sensibili" e dopo le parole "dati personali, comuni e sensibili" le seguenti: "e giudiziari"); espungere dal medesimo articolo 6, comma 6, dello schema -che indica i dati conferiti nel SINP- il riferimento ai dati "relativi prevalentemente allo stato di salute";

b) valutare nuovamente, in concreto, alla luce dei richiamati principi di finalità e proporzionalità, la pertinenza, non eccedenza e (in relazione ai dati sensibili e giudiziari, anche) l´indispensabilità dei dati indicati nell´Allegato A, con riferimento alle finalità cui il SINP è preordinato, espungendo quelli non conformi a tali criteri. A titolo meramente esemplificativo, si segnala l´indicazione nell´Allegato A, per quanto concerne i dati sensibili, dei dati relativi alla "sede anatomica della lesione" dell´infortunato (foglio "DatiRegioni-INAIL", categoria "infortuni"); con riferimento alla malattia del lavoratore, il "numero referto" (foglio "DatiRegioni-INAIL", categoria "malattie professionali"); in relazione ai dati comuni, si fa riferimento al "telefono" del lavoratore (foglio "DatiRegioni-INAIL", categorie "malattie professionali" e "scheda dimissione ospedaliera"), la "data di nascita" completa, l´"indirizzo", il "tipo del documento " e il "numero del documento" (foglio "DatiMdL", categoria "rapporti di lavoro");

c) assicurare, in generale, corrispondenza tra gli enti di cui all´articolo 1, comma 1, lett. b), dello schema di decreto, i soggetti fornitori di cui all´Allegato F, i soggetti fruitori di cui all´Allegato E e i dati individuati nell´Allegato A, assicurando una perfetta corrispondenza tra il dettaglio dei dati indicati nell´Allegato A e i tipi di dati riportati negli allegati E e F. L´articolo 3, comma 1, dello schema prevede infatti che "il SINP contiene unicamente i dati individuati nell´Allegato A) e periodicamente conferiti dagli enti di cui all´articolo 1, comma 1, lett. b)"; l´Allegato F individua nel dettaglio i singoli enti fornitori e l´Allegato A fornisce una specificazione delle categorie e delle tipologie dei dati che ciascun ente fornitore conferisce al SINP. Ciononostante, non risulta chiaro nell´Allegato A il dettaglio dei dati che vengono conferiti al SINP dalle "Regioni-Ministero della salute" e dalle "Regioni-ASL", menzionati invece nell´Allegato F tra gli enti fornitori. E´ pertanto necessario assicurare perfetta corrispondenza tra i predetti allegati;

d) assicurare una piena corrispondenza tra le "categorie dati" riportate nell´Allegato A e quelle menzionate nell´Allegato F (a titolo esemplificativo, si fa riferimento, nell´Allegato F, in corrispondenza dell´Inail, alle "Neoplasie di sospetta origine professionale", all´interno della macrocategoria "Salute e sicurezza dei lavoratori", nonché, in corrispondenza delle Regioni-Ministero della salute, alle "Diagnosi principali, secondarie e concomitanti, procedure diagnostiche, dimissioni", all´interno della macrocategoria "Salute e sicurezza dei lavoratori");

e) assicurare una piena corrispondenza tra il dettaglio dei dati riguardanti le schede di dimissione ospedaliera (SDO) menzionati nell´Allegato A e le categorie di dati riportate nell´Allegato F in corrispondenza della medesima "fonte informativa". Peraltro, si segnala che la descrizione dettagliata dei dati relativi alle SDO nell´Allegato A non risulta coerente con quanto riportato nella "Lista delle variabili della banca dati SDO" disponibile sul sito istituzionale del Ministero della salute;

f) specificare nell´Allegato F (nell´ultima colonna di destra) i soggetti destinatari delle operazioni di comunicazione di dati, ove tale operazione sia prevista tra quelle "eseguibili" e risponda alle finalità per le quali il SINP è istituito, tenendo in considerazione che gli enti riportati nel predetto allegato come enti fornitori conferiscono dati al SINP e, quindi, all´INAIL quale titolare del trattamento, in quanto l´Istituto cura la gestione tecnica e informatica del sistema informativo (cfr. art. 6, comma 1, dello schema);

g) verificare, in relazione agli allegati E e F, che le operazioni di trattamento ivi indicate siano effettivamente tutte quelle poste in essere nell´ambito del SINP; in particolare, con riguardo all´INAIL-DCSIT, si segnala che l´INAIL, in quanto titolare del trattamento dei dati ai sensi dell´articolo 6, comma 1, dello schema, non occorre che sia incluso tra i soggetti fruitori con riferimento, in particolare, all´espletamento delle attività di gestione del SINP; in tale ottica, va riconsiderata anche l´indicazione dell´operazione di comunicazione tra le "operazioni eseguibili" (cfr. Allegato E, in corrispondenza della menzione tra gli "Enti fruitori" dell´INAIL-DCSIT);

h) integrare l´Allegato E precisando quali enti fruitori sono legittimati ad accedere al SINP limitatamente ai dati relativi "alla rispettiva competenza territoriale", come previsto dall´articolo 3, comma 4, dello schema (si fa riferimento ad esempio, all´"INAIL Sedi"). Occorre, inoltre, indicare, nella sezione "Funzioni attività", le attività e funzioni effettivamente svolte dagli enti fruitori, in sostituzione delle rispettive unità organizzative e aree preposte che risultano invece menzionate nel medesimo allegato (es. banche dati, aree aziende, osservatori, etc.);

i) individuare i flussi di dati da e verso le ASL, ai fini dell´alimentazione del SINP per il tramite delle Regioni e della fruizione dei relativi dati da parte delle medesime ASL, precisando negli Allegati E ed F le rispettive operazioni di trattamento e i tipi di dati trattati (artt. 67, 85, co. 1, lett. e), 112, comma 1, lett. e), del Codice). Si evidenzia, al riguardo, che mentre l´articolo 1, comma 1, lettera b), dello schema, in linea con il dettato dell´articolo 8, comma 2, del Testo unico, non comprende le ASL fra gli enti che costituiscono il SINP, queste però figurano, in associazione alle Regioni, nell´Allegato F dello schema che individua gli "Enti fornitori" di dati al SINP ("Regioni-Asl"), nonchè nell´allegato E come "Enti fruitori" ("Servizi di prevenzione delle Asl"). In relazione a quest´ultimo profilo (Allegato E), si consideri che, a mente dell´articolo 56 del D.P.R. 30 giugno 1965, n. 1124 (richiamato nel preambolo dello schema), "l´INAIL trasmette telematicamente, mediante il SINP […] alle aziende sanitarie locali […] i dati relativi alle denunce di infortuni sul lavoro […]". In ogni caso, si segnala che l´articolo 8, comma 8, del Testo unico prevede che "le attività di cui al presente articolo sono realizzate dalle amministrazioni di cui al comma 2 utilizzando le ordinarie risorse personali, economiche e strumentali in dotazione".

2. Profili già rilevati dal Garante nel parere del 7 luglio 2011.

2.1. In relazione alle osservazioni formulate dal Garante sul precedente schema di decreto (condizione l) del dispositivo; punto 3b), all´articolo 2 dello schema di regolamento in esame è stato aggiunto il comma 6, il quale prevede che "Il SINP rende disponibile agli enti fruitori, di cui all´Allegato E), strumenti di accesso e di analisi dei dati ritenuti adeguati dal Tavolo Tecnico di cui all´articolo 5, riservati ai soggetti legittimati ad accedere ai dati di cui all´Allegato A, in base alle specifiche funzioni in concreto svolte, anche in relazione alla competenza territoriale".

Nel prendere positivamente atto di tale integrazione, si rileva che l´adeguatezza degli strumenti di accesso e di analisi dei dati, la cui valutazione è rimessa dallo schema al menzionato Tavolo Tecnico, debba in ogni caso essere conforme alla disciplina recata in materia di protezione dei dati personali e segnatamente ai principi di necessità nel trattamento, nonché di pertinenza, non eccedenza e indispensabilità dei dati trattati. Atteso che la formulazione della previsione è suscettibile di ingenerare dubbi al riguardo, si ritiene opportuno integrare il disposto dell´articolo 2, comma 6, inserendo, dopo la locuzione "dati ritenuti adeguati dal Tavolo Tecnico di cui all´articolo 5", le seguenti parole: ", nel rispetto degli articoli 3, 11 e 22 del decreto legislativo 30 giugno 2003, n. 196".

2.2. Anche l´Allegato E, in cui sono individuati gli "Enti fruitori" del sistema informativo, è stato integrato con l´indicazione dei tipi di dati ai quali ciascun soggetto fruitore può accedere in relazione alle specifiche finalità perseguite, in linea con quanto indicato dal Garante nel precedente parere (condizione m) del dispositivo; punto 3c). Nel prendere atto positivamente della modifica apportata al riguardo, si rappresenta tuttavia l´opportunità di specificare almeno la "categoria dei dati" oggetto di accesso da parte dei singoli enti fruitori, in linea con quanto previsto nell´allegato F, che specifica, appunto, le categorie di dati.

2.3. In relazione invece all´Allegato F, come già rilevato dall´Autorità nel predetto parere del 2011 (condizione j) del dispositivo; punto 2.3-e), alcuni dei dati acquisiti al SINP risultano duplicati in quanto si prevede il conferimento al SINP degli stessi dati presenti in più "fonti informative". Nel prendere atto positivamente dei miglioramenti apportati all´allegato, volti a chiarire la sorgente informativa da cui i dati sono effettivamente estrapolati, permane tuttavia la necessità di individuare l´effettiva fonte di riferimento e le relative regole per garantirne l´esattezza e l´aggiornamento in caso di discordanza tra le medesime informazioni.

2.4. L´articolo 3, comma 2, dello schema è stato formulato per recepire quanto osservato dal Garante nel parere del 7 luglio 2011 (condizione b) del dispositivo; punto 1.2).

In particolare in tale parere l´Autorità segnalava come lo schema non disciplinasse "le speciali modalità" di partecipazione al sistema informativo delle forze armate e delle forze di polizia, limitandosi a rinviare a norme e provvedimenti attuativi; suggeriva, quindi, di integrare tale disciplina, prevedendo anche le modalità di partecipazione dei predetti enti al SINP, specificando il loro ruolo (fornitori e/o fruitori di dati), le operazioni consentite (in particolare, comunicazione e/o utilizzazione), nonché i dati oggetto di trattamento. L´articolo 3, comma 2, dell´attuale schema di regolamento tiene conto delle menzionate osservazioni, ma non disciplina alcuni importanti aspetti. In particolare, va resa più chiara la circostanza che l´anonimizzazione dei dati personali avviene prima della trasmissione degli stessi all´INAIL, che la previsione individua come il soggetto per il tramite del quale tali dati sono conferiti al SINP. Inoltre, l´Allegato F va adeguato al fatto che la partecipazione al SINP delle forze armate, delle forze di polizia e del Corpo nazionale dei vigili del fuoco avvenga per il tramite dell´INAIL, specificando nella relativa voce "fornitore dati" dell´Allegato F detta circostanza.

Si segnala, altresì, che:

a) l´articolo 4, comma 2, dello schema- nel disciplinare le modalità tecniche di trasmissione dei dati anche in relazione alle forze armate e alle forze di polizia- non menziona il Corpo nazionale dei vigili del fuoco, il quale invece è previsto dalla legge tra i soggetti che partecipano al sistema informativo (cfr. art. 8, comma 4, del Testo unico e art. 3, comma 2, dello schema di decreto);

b) l´Allegato A non contiene le specifiche dei dati che vengono conferiti al SINP dalle forze armate e dalle forze di polizia, nonché dal Corpo nazionale dei vigili del fuoco per il tramite dell´INAIL.

2.5. L´articolo 7, comma 4, dello schema disciplina l´assegnazione di un codice univoco, diverso dal codice fiscale, a ciascun individuo i cui dati confluiscono nel SINP "al fine di non consentire l´identificabilità diretta delle persone fisiche interessate". Come già evidenziato da questa Autorità nel parere del 7 luglio 2011 (condizione p) del dispositivo; punto 4), tale cautela è vanificata dalla presenza, tra le informazioni dettagliate nell´Allegato A, di dati che renderebbero, in ogni caso, facilmente identificabile il lavoratore (es. il numero di "telefono" nel foglio "DatiRegioni-INAIL" categoria "malattie professionali" e categoria "scheda dimissione ospedaliera", nonchè la "data di nascita" completa, l´"indirizzo", il "tipo del documento " e il "numero del documento" nel foglio "DatiMdL" categoria "rapporti di lavoro"). Tali dati devono essere pertanto espunti dall´allegato A (v. anche punto 1.1. b)) e, più in generale, ogni dato che renderebbe chiaramente identificabile l´interessato, in contrasto con l´articolo 22, comma 6, del Codice.

Inoltre, è auspicabile che il processo di codifica dei dati identificativi degli interessati (pseudo-anonimizzazione) sia effettuato prima dell´acquisizione dei dati al SINP, esplicitando, anche negli allegati tecnici allo schema di decreto, le modalità e le procedure utilizzate per tale codifica (cfr. art. 4, comma 1, lett. c) del Codice).

Il medesimo comma 4 dell´articolo 7, precisa, inoltre, che "i dati inviati dagli enti, privi di elementi identificativi diretti, sono archiviati previa separazione dei dati sanitari dagli altri dati. I dati sanitari sono trattati mediante l´utilizzazione del codice univoco".

In proposito, si ritiene che, in linea con quanto previsto dall´articolo 22, comma 6, del Codice, il ricorso al codice univoco debba riguardare non solo i dati sanitari ma anche le altre tipologie di dati sensibili presenti nel SINP, nonché i dati giudiziari, sempre che gli stessi non debbano essere trattati in forma "anonima" (cfr. art. 4, comma 1, lett. n) del Codice e art. 7 comma 5 dello schema di decreto).

Inoltre, la disposizione va perfezionata richiamando nel comma 4 in esame -e non nel comma 5 del medesimo articolo 7, come invece fa lo schema- i "commi 6 e 7 dell´art. 22 del decreto legislativo n. 196 del 2003", in quanto la previsione in discorso non riguarda dati personali resi anonimi, bensì quelli temporaneamente inintelligibili.

2.6. L´articolo 7, comma 5, dello schema prevede infine l´attivazione di un "sistema informatico che garantisce l´anonimizzazione dei dati personali" presenti nel SINP, in modo da renderli consultabili soltanto in tale forma da parte degli enti fruitori legittimati ad accedere unicamente a questa tipologia di informazioni.

Anche con riferimento a tale profilo, occorre esplicitare negli allegati tecnici allo schema di decreto le modalità e le procedure utilizzate per assicurare la prevista anonimizzazione dei dati (cfr. art. 4, comma 1, lett. n) del Codice).

3. Misure di sicurezza.

Unitamente alla versione precedente dello schema di decreto, l´Amministrazione ha trasmesso al Garante un documento, predisposto dall´INAIL, che illustra le principali misure di sicurezza adottate dall´Istituto relativamente al SINP. Nel parere del 7 luglio 2011 (punto 5.2) il Garante invitava l´Amministrazione a valutare la possibilità di inserire detto documento quale allegato allo schema di decreto e parte integrante dello stesso, prevedendone l´aggiornamento con decreto direttoriale sentito il Garante, ai sensi dell´articolo 3, comma 4, della versione precedente dello schema (vedi ora, l´articolo 3, comma 5, dello schema). In virtù dell´importanza di tale documento e della complessità del sistema informativo in esame, cui le misure di sicurezza si riferiscono, si ritiene di dover rinnovare il predetto invito.

IL GARANTE

esprime parere sullo schema di decreto del Ministro del lavoro e delle politiche sociali e del Ministro della salute recante le regole tecniche per la realizzazione e il funzionamento del SINP, nonché le regole per il trattamento dei dati, ai sensi dell´articolo 8, comma 4, del decreto legislativo 9 aprile 2008, n. 81:

1) ai sensi dell´articolo 20, commi 2 e 4 e 154, comma 1, lett. g) del Codice con la seguente condizione: l´individuazione dei tipi di dati e di operazioni eseguibili sia completata e perfezionata nei termini di cui in motivazione, per quanto riguarda lo schema di decreto, integrando gli articoli 3, comma 4 (e i relativi Allegati E e F) e 6, comma 6, con un riferimento espresso anche ai dati giudiziari, ove detti dati non vadano trattati in forma anonima e siano indispensabili per il perseguimento delle finalità del trattamento (punto 1.1. lett. a)) e tenendo conto delle indicazioni rese al punto 1.1. lett. da b) a i);

2) ai sensi dell´articolo 154, comma 4, richiamando l´attenzione dell´Amministrazione sull´opportunità di perfezionare il recepimento delle condizioni poste dal Garante nel parere del 7 luglio 2011, nei termini di cui in motivazione e in particolare:

a) inserendo, all´articolo 2, comma 6, dopo le parole "dati ritenuti adeguati dal Tavolo Tecnico di cui all´articolo 5", le seguenti: ", nel rispetto degli articoli 3, 11 e 22 del decreto legislativo 30 giugno 2003, n. 196" (punto 2.1);

b) specificando nell´Allegato E la "categoria dei dati" oggetto di accesso da parte dei singoli enti fruitori del SINP (punto 2.2.);

c) individuando nell´Allegato F l´effettiva fonte di riferimento da cui sono estrapolati i dati trasmessi al SINP e le relative regole per garantirne l´esattezza e l´aggiornamento in caso di discordanza tra gli stessi (punto 2.3);

d) esplicitando meglio, all´articolo 3, comma 2, dello schema che l´anonimizzazione dei dati personali conferiti al SINP dalle forze armate e dalle forze di polizia avviene prima della trasmissione degli stessi all´INAIL; disciplinando all´articolo 4, comma 2, dello schema le modalità tecniche di trasmissione dei dati anche in relazione al Corpo nazionale dei vigili del fuoco; inserendo nell´Allegato A le specifiche dei dati che vengono conferiti al SINP dalle forze armate, dalle forze di polizia, nonché dal Corpo nazionale dei vigili del fuoco per il tramite dell´INAIL (punto 2.4);

e) modificando l´articolo 7, comma 4, e l´allegato A) nei termini di cui in motivazione; esplicitando le modalità e le procedure utilizzate per la codifica dei dati identificativi degli interessati, avendo cura di prevedere che il processo di codifica sia effettuato prima dell´acquisizione dei dati al SINP (punto 2.5);

f) esplicitando le modalità e le procedure utilizzate per assicurare la prevista anonimizzazione dei dati (punto 2.6).

Roma, 12 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia