POS. V Prot._______________/132.04.11

OGGETTO: Codice in materia di protezione dei dati personali (D.Lgs. n.196/2003). Titolare del trattamento nelle amministrazioni pubbliche. Individuazione.




ASSESSORATO REGIONALE DELLA SANITA' -
Dipartimento Osservatorio Epidemiologico della Prevenzione e Formazione
PALERMO




1. Con la nota prot. n.2369 del 21 giugno 2004 codesto Dipartimento ha chiesto l'avviso dello Scrivente sulla questione che qui di seguito si rappresenta.
Il D.Lgs. 30.6.2006, n.196, e succ. mod., recante il "Codice per la protezione dei dati personali", dispone che i soggetti pubblici titolari di trattamenti di dati sensibili e giudiziari devono procedere entro il 31 dicembre 2004 all'identificazione, con atto di natura regolamentare, dei tipi di dati trattati e di operazioni di trattamento effettuate, previo conforme parere del Garante, anche su schemi tipo (art.20, comma 2°, art. 21, comma 2° e art.181, comma 1°, lett.a, come di recente modificato dall'art.3, D.L. 24.6.2004, n.158).
A tal fine, come riferisce codesto Dipartimento, è in corso di predisposizione da parte di un gruppo di lavoro interregionale, costituito presso la Conferenza dei presidenti delle Regioni e Province autonome, uno schema tipo di regolamento per il trattamento di dati sensibili e giudiziari da parte delle Regioni e da parte delle Aziende sanitarie, che comprende il testo del regolamento e le schede dei singoli trattamenti e che, una volta ottenuto il parere del Garante, potrà essere utilizzato dalle singole Regioni.
Nel predetto schema di regolamento generale devono essere inserite anche le schede relative ai trattamenti di dati sensibili e giudiziari in ambito sanitario di competenza delle Regioni, della cui redazione codesto Dipartimento si sta occupando.
In tale sede, sono emerse le perplessità che hanno dato corso alla richiesta consultazione e che concernono l'individuazione della figura del "titolare" dei trattamenti dei dati negli enti pubblici.
Difatti, sulla scorta di quanto previsto all'art.1, secondo comma, lett. d), l. 31.12.1996, n.675 (ora, con modifiche, art.4, D.Lgs. n.196/2003), e successivamente chiarito dal Garante con comunicato dell'11 dicembre 1997 -per il quale titolare è l'ente nel suo complesso ma, nel caso di grande ente o amministrazione, articolati in direzioni generali dotate di poteri decisionali autonomi, può essere l'articolazione stessa- codesto Assessorato, in precedenti provvedimenti adottati in adempimento di specifiche norme di legge, aveva individuato il titolare dei trattamenti effettuati in ambito sanitario nell'Assessore pro-tempore "ritenendo l'Assessorato dotato di poteri decisionali del tutto autonomi sui trattamenti effettuati nel proprio ambito".
Successivamente però il Garante, come riferisce codesto Dipartimento, nell'esprimersi in ordine alle schede tipo di trattamenti di dati effettuati in ambito sanitario, di recente esitate dal predetto gruppo tecnico interregionale, ha sottolineato che "il titolare deve essere identificato nell'ente regione complessivamente considerato e non anche nei suoi specifici uffici od organi".
Ciò posto, codesto Dipartimento ha chiesto allo Scrivente "se l'interpretazione delle leggi, sull'aspetto relativo alla figura del titolare del trattamento dei dati sensibili in ambito sanitario, adottata dallo Scrivente Dipartimento, è corretta", facendo specificamente rilevare che lo schema tipo di regolamento, in corso di predisposizione, da fare adottare dalla giunta regionale, "tiene conto della struttura delle Regioni a statuto ordinario".


2. Sulla questione suesposta si osserva quanto segue.

Con il D.Lgs. 30 giugno 2003, n.196, entrato in vigore il 1° gennaio 2004, è stato emanato il "Codice in materia di protezione dei dati personali" che riunisce in un unico testo la legge 31 dicembre 1996, n.675 e gli altri atti, legislativi e regolamentari, che si sono succeduti, tenendo anche conto delle pronunce del Garante.
Il Codice, diviso in tre parti, nella prima parte contiene i principi generali e le regole valide per tutti i trattamenti dei dati personali e prescrive, distintamente per i soggetti privati (compresi gli enti pubblici economici) e per quelli pubblici, gli ulteriori adempimenti da porre in essere per il trattamento dei dati.
In particolare, per quel che in questa sede interessa, rientra tra gli adempimenti ulteriori a carico dei soggetti pubblici titolari di trattamenti di dati sensibili e giudiziari autorizzati espressamente dalla legge per finalità di rilevante interesse pubblico, quello di identificare, ove non specificati dalla legge, i tipi di dati e di operazioni eseguibili e di renderli pubblici "con atto di natura regolamentare" adottato in conformità al parere espresso dal Garante, anche su schemi tipo (art.20, secondo comma, e art.21, secondo comma) entro il 31 dicembre 2004 (v. art.181, comma 1, lettera a, come modificato dall'art.3, D.L. 24.6.2004, n.158: la norma prevedeva originariamente la data del 30 settembre 2004).

I soggetti che effettuano il trattamento, sia in ambito pubblico che privato, vengono individuati all'art.4 del Codice e identificati, secondo caratteristiche distintive, con le definizioni di titolare, di responsabile e di incaricato.
Su ciascuna delle tre figure incombono doveri, compiti e responsabilità diverse.
E' comunque il titolare il necessario punto di riferimento delle principali disposizioni di legge e la figura fondamentale intorno alla quale è stato costruito il sistema di obblighi e responsabilità diretto ad assicurare il raggiungimento degli scopi normativi (il responsabile del trattamento può anche non essere designato, identificandosi in tal caso con il titolare, e dunque è una figura non indispensabile: v.art.29, D.Lgs. cit.).

Ora, secondo la definizione legislativa, titolare del trattamento dei dati personali è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" (così, art.4, primo comma, lett. f, cit.).
Titolare è dunque il soggetto che si propone di raccogliere e utilizzare informazioni riferibili ad altra persona fisica, giuridica, ente o associazione identificata o identificabile.
Egli può essere coadiuvato, come detto, nello svolgimento delle attività di trattamento, da altri due soggetti, responsabile e incaricato, con responsabilità inferiori e decrescenti, ma l'elemento che, in base alla normativa, qualifica il titolare e lo distingue dagli altri due soggetti, risiede nella competenza che gli risulta attribuita di potere prendere autonome "decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e agli strumenti utilizzati".
Il responsabile e l'incaricato non possiedono tale autonomia decisionale e si caratterizzano per il fatto di agire in nome e per conto del titolare, operando nell'ambito di compiti che risultano loro assegnati.

La problematica sorta immediatamente dopo l'entrata in vigore della precedente legge 31.12.1996, n.675 (confluita nel Codice), relativa all'individuazione del titolare in caso di trattamento effettuato nell'ambito di una persona giuridica, di una pubblica amministrazione o un altro organismo a struttura complessa, è stata risolta dal legislatore con l'approvazione del Codice.
All'art.28 del D.Lgs. n.196/2003, infatti, si è espressamente disposto che:
"Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità deltrattamento, ivi compreso il profilo della sicurezza"".
La norma si occupa in particolare degli enti, pubbliche amministrazioni o persone giuridiche che risultano composti di strutture articolate e operano attraverso direzioni generali distinte e separate, sedi centrali e sedi periferiche e quant'altro.
Si è preso atto che in tali realtà di particolare complessità, le direzioni generali, i dipartimenti o le aree periferiche possono risultare dotati di propri organi a cui sono attribuiti poteri decisionali autonomi in riguardo alle finalità e alle modalità dei trattamenti effettuati nel proprio ambito, poteri cioè che non risultano condizionati da scelte effettuate a livello centrale.
In siffatte situazioni, la singola unità può essere considerata come titolare autonomo o, nel caso in cui ad esempio condivida con il vertice le stesse banche dati, può assumere il ruolo di contitolare del trattamento (figura cui la rinnovata definizione del titolare adottata dal Codice, ha dato riconoscimento giuridico: v.art.4 cit.).


3. Delineate le nozioni generali di riferimento, la problematica sottoposta allo Scrivente -se il titolare dei trattamenti in ambito sanitario possa essere individuato nell'Assessore per la sanità pro-tempore-, impone in definitiva di verificare se gli Assessorati, in cui è articolato l'ente Regione siciliana, sono dotati di "un potere decisionale del tutto autonomo" ai sensi dell'art.28, D.Lgs. cit.

Va previamente rilevato che nelle Regioni ordinarie gli Assessori sono chiamati a svolgere attività comunque funzionalmente connesse alla loro qualità di membri della Giunta, preparando ovvero portando ad esecuzione le deliberazioni del collegio, anche se, comunque, essi recuperano poi una loro proiezione esterna nel momento in cui, dietro delega del Presidente della Giunta, esercitano determinate attribuzioni relative ai servizi amministrativi cui sono preposti.

Diverso è il modello di ripartizione e di svolgimento delle funzioni amministrative nella Regione siciliana, ove l'Assessore rileva, oltre che come membro dell'organo collegiale (giunta), altresì come titolare di un ufficio monocratico; in tale veste è pertanto abilitato, nell'esercizio di competenze proprie, ad adottare provvedimenti (relativi al ramo di servizi assegnatogli) dotati di efficacia esterna.
Come la giurisprudenza ha avuto modo di rilevare, "ciò discende dall'art.20, 1° comma, dello statuto e dal D.P.reg. 28 febbraio 1979, n.70 (t.u. sull'ordinamento del governo e dell'amministrazione della regione siciliana) che intesta agli assessori regionali una competenza omologa a quella che le leggi nazionali attribuiscono ai singoli ministri della repubblica (art.95, 3° comma, Cost.)" (così, T.A.R. Sicilia, Sez. I, 2 novembre 1991, n.587).
Pertanto, si è costantemente affermato che "la Regione Sicilia, per quanto concerne l'attività amministrativa, non ha una propria soggettività unitaria, facendo essa capo ai singoli assessori, cui nell'ambito delle rispettive funzioni, è attribuita una propria competenza con rilevanza esterna" (così, Cass. civ. Sez.un. 23 febbraio 1995, n.2080; vedi, pure, tra le altre, T.A.R. Sicilia, Sez.II, 11 luglio 1989, n.473: "nell'ambito della Regione siciliana anche gli assessori regionali sono organi a rilevanza esterna ai sensi dell'art.20, 1° comma dello statuto" eT.A.R. Sicilia, Palermo, Sez.I, 2 maggio 2002, n.1097), avendo proprie attribuzioni, la rappresentanza di un ramo dell'amministrazione e, conseguentemente, un'autonoma (rispetto al presidente della regione) legittimazione processuale e sostanziale (v. Cons. Giust. Amm. Sic. Sez. Giurisdiz. 28 gennaio 1993, n.20).

Ciò posto, lo Scrivente non può che condividere l'orientamento espresso da codesto Dipartimento, ritenendo che gli Assessorati della Regione siciliana, operanti come autonomi centri di imputazione, sono da identificarsi come titolari per i trattamenti di dati personali di loro competenza.
L'Assessore pro-tempore, poi, ben potrà nominare, per lo svolgimento dei compiti che la legge pone a loro carico, uno o più responsabili del trattamento, che operino secondo le sue direttive; nomina che, benché facoltativa, diviene nei fatti per così dire obbligata quando il trattamento dei dati venga effettuato nell'ambito di una organizzazione complessa e articolata in più direzioni.

Vale la pena, infine, sottolineare che, richiedendo il Codice espressamente la forma regolamentare per l'atto con il quale i soggetti pubblici titolari di trattamenti di dati sensibili e giudiziari devono identificare i tipi di dati trattati e di operazioni eseguibili, il predetto regolamento non potrà che essere adottato con decreto del Presidente della Regione, previa delibera di giunta.
In atto, infatti, nella Regione siciliana la potestà regolamentare è intestata unicamente in capo alla giunta, non essendo mai stata introdotta (similmente a quanto previsto a livello statale per i Ministri dalla legge 23.8.1988, n.400) in favore dei singoli Assessori regionali.

Nelle superiori considerazioni è il parere dello Scrivente.

A termini dell'art. 15 del regolamento approvato con D.P.Reg. 16 giugno 1998, n. 12, lo Scrivente acconsente alla diffusione del presente parere in relazione ad eventuali domande di accesso inerenti il medesimo.
Codesta Amministrazione vorrà comunicare, entro novanta giorni dalla ricezione, l'eventuale possibilità che il parere stesso inerisca una lite, ovvero se intende differirne la pubblicazione sino all'adozione di eventuali provvedimenti amministrativi. Decorso tale termine senza alcuna comunicazione in tal senso si consentirà la diffusione sulla banca dati "FoNS", giusta delibera di Giunta regionale n. 229 dell'8 luglio 1998.




Regione Siciliana - Ufficio legislativo e legale
Ogni diritto riservato. Qualunque riproduzione, memorizzazione, archiviazione in sistemi di
ricerca ,anche parziale, con qualunque mezzo, è vietata se non autorizzata.
All rights reserved. Part of these acts may be reproduced, stored in a retrieval system or
transmitted in any form or by any means, only with the prior permission.

Ideazione grafica e programmi di trasposizione © 1998-2002 Avv. Michele Arcadipane
Revisione e classificazione curata da Avv. Francesca Spedale