POS. V Prot._______________/46.11.05
OGGETTO: Protezione dei dati personali - Regione siciliana - Titolare del trattamento.
PRESIDENZA -
SEGRETERIA GENERALE - AREA 3
PALERMO
1. Con nota prot. n.343 del 23 febbraio 2005 codesta Segreteria ha chiesto l'avviso dello Scrivente in ordine alla corretta individuazione del titolare dei trattamenti dei dati personali nell'ambito della Regione siciliana ex artt.4, comma 1, lett. f) e 28, D.Lgv. 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali.
Codesta Segreteria, premesso che tutte le Regioni, sia a statuto ordinario che a statuto speciale, hanno individuato nell'Ente regionale unitariamente inteso il titolare dei trattamenti effettuati dall'amministrazione regionale, talora diversificando tra "Titolare-Giunta" e "Titolare-Consiglio", ha chiarito che le perplessità sono sorte dalla considerazione che nella Regione siciliana, a differenza delle altre Regioni, gli Assessori sono organi dotati di competenza esterna e non soltanto componenti della Giunta.
Si è pertanto chiesto allo Scrivente se il titolare dei trattamenti de quibus debba essere unitariamente individuato nella Giunta regionale come nelle altre Regioni o se invero non possa essere individuato nei singoli Assessori "che potrebbero configurarsi Titolari per alcune attività, e contitolari (con Giunta e con altri Assessorati) per attività di Trattamenti di dati personali, così come avviene per i Ministeri".
2. Sulla questione suesposta si osserva quanto segue.
Con il D.Lgs. 30 giugno 2003, n.196, entrato in vigore il 1° gennaio 2004, è stato emanato il "Codice in materia di protezione dei dati personali" che ha riunito in un unico testo la legge 31 dicembre 1996, n.675 e gli altri atti, legislativi e regolamentari, che si sono succeduti, tenendo anche conto delle pronunce del Garante.
Il Codice, diviso in tre parti, nella prima parte contiene i principi generali e le regole valide per tutti i trattamenti dei dati personali e prescrive, distintamente per i soggetti privati (compresi gli enti pubblici economici) e per quelli pubblici, gli ulteriori adempimenti da porre in essere per il trattamento dei dati.
I soggetti che effettuano il trattamento, sia in ambito pubblico che privato, vengono individuati all'art.4 del Codice e identificati, secondo caratteristiche distintive, con le definizioni di titolare, di responsabile e di incaricato.
Su ciascuna delle tre figure incombono doveri, compiti e responsabilità diverse.
E' comunque il titolare il necessario punto di riferimento delle principali disposizioni di legge e la figura fondamentale intorno alla quale è stato costruito il sistema di obblighi e responsabilità diretto ad assicurare il raggiungimento degli scopi normativi (il responsabile del trattamento può anche non essere designato, identificandosi in tal caso con il titolare, e dunque è una figura non indispensabile: v.art.29, D.Lgs. cit.).
Ora, secondo la definizione legislativa, titolare del trattamento dei dati personali è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" (così, art.4, primo comma, lett. f, cit.).
Titolare è dunque il soggetto che si propone di raccogliere e utilizzare informazioni riferibili ad altra persona fisica, giuridica, ente o associazione identificata o identificabile.
Egli può essere coadiuvato, come detto, nello svolgimento delle attività di trattamento, da altri due soggetti, responsabile e incaricato, con responsabilità inferiori e decrescenti, ma l'elemento che, in base alla normativa, qualifica il titolare e lo distingue dagli altri due soggetti, risiede nella competenza che gli risulta attribuita di potere prendere autonome "decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e agli strumenti utilizzati".
Il responsabile e l'incaricato non possiedono tale autonomia decisionale e si caratterizzano per il fatto di agire in nome e per conto del titolare, operando nell'ambito di compiti che risultano loro assegnati.
La problematica sorta immediatamente dopo l'entrata in vigore della precedente legge 31.12.1996, n.675 (confluita nel Codice), relativa all'individuazione del titolare in caso di trattamento effettuato nell'ambito di una persona giuridica, di una pubblica amministrazione o un altro organismo a struttura complessa, è stata risolta dal legislatore con l'approvazione del Codice.
All'art.28 del D.Lgs. n.196/2003, infatti, si è espressamente disposto che:
"Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità deltrattamento, ivi compreso il profilo della sicurezza"".
La norma si occupa in particolare degli enti, pubbliche amministrazioni o persone giuridiche che risultano composti di strutture articolate e operano attraverso direzioni generali distinte e separate, sedi centrali e sedi periferiche e quant'altro.
Si è preso atto che in tali realtà di particolare complessità, le direzioni generali, i dipartimenti o le aree periferiche possono risultare dotati di propri organi a cui sono attribuiti poteri decisionali autonomi in riguardo alle finalità e alle modalità dei trattamenti effettuati nel proprio ambito, poteri cioè che non risultano condizionati da scelte effettuate a livello centrale.
In siffatte situazioni, la singola unità può essere considerata come titolare autonomo o, nel caso in cui ad esempio condivida con il vertice le stesse banche dati, può assumere il ruolo di contitolare del trattamento (figura cui la rinnovata definizione del titolare adottata dal Codice, ha dato riconoscimento giuridico: v.art.4 cit.).
3. Delineate le nozioni generali di riferimento, la problematica sottoposta allo Scrivente -se il titolare dei trattamenti in ambito regionale possa essere individuato nei singoli Assessori pro-tempore, -già affrontata dal medesimo con parere n.132.11.04 reso con nota prot. n.12124 del 19 luglio 2004 all'Assessorato regionale della Sanità, di cui qui di seguito si richiameranno le argomentazioni e conclusioni-, impone in definitiva di verificare se gli Assessorati, in cui è articolato l'ente Regione siciliana, sono dotati di "un potere decisionale del tutto autonomo" ai sensi dell'art.28, D.Lgs. cit.
Va previamente rilevato che nelle Regioni ordinarie gli Assessori sono chiamati a svolgere attività comunque funzionalmente connesse alla loro qualità di membri della Giunta, preparando ovvero portando ad esecuzione le deliberazioni del collegio, anche se, comunque, essi recuperano poi una loro proiezione esterna nel momento in cui, dietro delega del Presidente della Giunta, esercitano determinate attribuzioni relative ai servizi amministrativi cui sono preposti.
Diverso è il modello di ripartizione e di svolgimento delle funzioni amministrative nella Regione siciliana, ove l'Assessore rileva, oltre che come membro dell'organo collegiale (giunta), altresì come titolare di un ufficio monocratico; in tale veste è pertanto abilitato, nell'esercizio di competenze proprie, ad adottare provvedimenti (relativi al ramo di servizi assegnatogli) dotati di efficacia esterna.
Come la giurisprudenza ha avuto modo di rilevare, "ciò discende dall'art.20, 1° comma, dello statuto e dal D.P.reg. 28 febbraio 1979, n.70 (t.u. sull'ordinamento del governo e dell'amministrazione della regione siciliana) che intesta agli assessori regionali una competenza omologa a quella che le leggi nazionali attribuiscono ai singoli ministri della repubblica (art.95, 3° comma, Cost.)" (così, T.A.R. Sicilia, Sez. I, 2 novembre 1991, n.587).
Pertanto, si è costantemente affermato che "la Regione Sicilia, per quanto concerne l'attività amministrativa, non ha una propria soggettività unitaria, facendo essa capo ai singoli assessori, cui nell'ambito delle rispettive funzioni, è attribuita una propria competenza con rilevanza esterna" (così, Cass. civ. Sez.un. 23 febbraio 1995, n.2080; vedi, pure, tra le altre, T.A.R. Sicilia, Sez.II, 11 luglio 1989, n.473: "nell'ambito della Regione siciliana anche gli assessori regionali sono organi a rilevanza esterna ai sensi dell'art.20, 1° comma dello statuto" eT.A.R. Sicilia, Palermo, Sez.I, 2 maggio 2002, n.1097), avendo proprie attribuzioni, la rappresentanza di un ramo dell'amministrazione e, conseguentemente, un'autonoma (rispetto al presidente della regione) legittimazione processuale e sostanziale (v. Cons. Giust. Amm. Sic. Sez. Giurisdiz. 28 gennaio 1993, n.20).
Ciò posto, lo Scrivente non può che ribadire quanto già espresso nel precedente parere su citato e ritenere che "gli Assessorati della Regione siciliana, operanti come autonomi centri di imputazione, sono da identificarsi come titolari per i trattamenti di dati personali di loro competenza".
L'Assessore pro-tempore, poi, ben potrà nominare, per lo svolgimento dei compiti che la legge pone a suo carico, uno o più responsabili del trattamento, che operino secondo le sue direttive; nomina che, benché facoltativa, diviene nei fatti per così dire obbligata quando il trattamento dei dati venga effettuato nell'ambito di una organizzazione complessa e articolata in più dipartimenti.
Nelle superiori considerazioni è il parere dello Scrivente.
A termini dell'art. 15 del regolamento approvato con D.P.Reg. 16 giugno 1998, n. 12, lo Scrivente acconsente alla diffusione del presente parere in relazione ad eventuali domande di accesso inerenti il medesimo.
Codesta Amministrazione vorrà comunicare, entro novanta giorni dalla ricezione, l'eventuale possibilità che il parere stesso inerisca una lite, ovvero se intende differirne la pubblicazione sino all'adozione di eventuali provvedimenti amministrativi. Decorso tale termine senza alcuna comunicazione in tal senso si consentirà la diffusione sulla banca dati "FoNS", giusta delibera di Giunta regionale n. 229 dell'8 luglio 1998.