Garante per la protezione
    dei dati personali


Parere su uno schema di decretointerministeriale recante le regole tecniche per la realizzazione e ilfunzionamento del sistema informativo nazionale per la prevenzione nei luoghidi lavoro (SINP)

PROVVEDIMENTO DEL 12 GIUGNO 2014

Registro dei provvedimenti
 n. 295 del 12 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssaGiovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretariogenerale;

Vistala richiesta di parere del Ministero del lavoro e delle politiche sociali;

Vistigli articoli 20, commi 2 e 4 e 154, commi 1, lett. g), e 4 del Codice inmateria di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

IlMinistero del lavoro e delle politiche sociali ha richiesto il parere delGarante in ordine a uno schema di decreto interministeriale recante le regoletecniche per la realizzazione e il funzionamento del sistema informativonazionale per la prevenzione nei luoghi di lavoro (di seguito SINP), nonché leregole per il trattamento dei relativi dati.

Ildecreto in esame, avente natura regolamentare, è adottato ai sensidell'articolo 8, comma 4, del decreto legislativo 9 aprile 2008, n. 81, esuccessive modificazioni (c.d. Testo unico in materia di sicurezza del lavoro,infra: Testo unico), che demanda ad un decreto interministeriale la definizionedelle regole tecniche per la realizzazione e il funzionamento del SINP, delleregole per il trattamento dei dati, nonché la disciplina delle "specialimodalità con le quali le forze armate e le forze di polizia partecipano alsistema informativo relativamente alle attività operative e addestrative".

Amente del comma 1 del citato articolo 8, il SINP è istituito "al fine difornire dati utili per orientare, programmare, pianificare e valutarel'efficacia della attività di prevenzione degli infortuni e delle malattie professionali,relativamente ai lavoratori iscritti e non iscritti agli enti assicurativipubblici, e per indirizzare le attività di vigilanza, attraverso l'utilizzointegrato delle informazioni disponibili negli attuali sistemi informativi,anche tramite l'integrazione di specifici archivi e la creazione di banche datiunificate".

Nellanota di trasmissione, l'Ufficio legislativo del Ministero del lavoro e dellepolitiche sociali ha precisato che lo schema è stato elaborato "inriscontro a quanto richiesto nel parere n. 283 del 7 luglio 2011", resodall'Autorità sulla versione precedente dello schema di decreto, e tenuto contodelle condizioni ivi formulate.

Inparticolare, in detto parere il Garante ha invitato l'Amministrazione adindividuare i tipi di dati sensibili e di operazioni eseguibili, in relazione aciascun soggetto fruitore e ciascuna specifica finalità, sottoponendonuovamente lo schema di decreto, una volta integrato, ai fini dell'acquisizionedel parere di conformità ai sensi dell'articolo  20, comma 2, del Codice(condizione di cui alla lett. e) del dispositivo del parere citato).

L'Amministrazionechiede al Garante di esprimere il prescritto parere con esclusivo riferimento atale condizione. Ciononostante, il Garante ritiene di doversi esprimere conriferimento anche ad altri profili dello schema che non risultano pienamente inlinea con le indicazioni formulate nel citato parere del 7 luglio 2011.Infatti, sebbene parte delle osservazioni del Garante siano state recepite daltesto in esame, permangono alcuni aspetti suscettibili di ulterioremiglioramento, al fine di garantire un adeguato standard di tutela del dirittoalla protezione dei dati personali nell'ambito dei trattamenti disciplinati dalmedesimo provvedimento.

RILEVATO

1. Individuazione dei tipi di dati e di operazionieseguibili nell'ambito del SINP.

1.1.Come già evidenziato nel parere del 7 luglio 2011, il SINP rappresenta unsistema informativo complesso e di particolare delicatezza, in quanto coinvolgepiù archivi informativi riferibili a diversi soggetti istituzionali e contiene,tra l'altro, dati sensibili concernenti i lavoratori. La presenza, nell'ambitodel SINP, di tali tipologie di dati impone di conformare lo stesso sistemainformativo non solo ai principi di finalità, proporzionalità, pertinenza e noneccedenza (artt. 3 e 11 del Codice), ma anche al principio di indispensabilitàdei dati sensibili e giudiziari trattati e delle operazioni eseguite suglistessi (art. 22, commi 3, 5, 9, 10 e 11 del Codice). Il rispetto di taliprincipi deve essere garantito non solo in relazione al conferimento dei datial SINP, da parte di tutti gli enti fornitori, ma anche in relazioneall'accesso e all'utilizzo degli stessi da parte dei singoli enti fruitorinell'ambito del sistema informativo. Fra l'altro, si fa notare l'individuazionenell'Allegato A di attività che fanno ritenere oggetto di trattamento"dati giudiziari" (cfr. Allegato A, foglio "Dati MdL",categoria "attività ispettiva-illeciti penali").

Ciòpremesso, l'individuazione dei tipi di dati e di operazioni eseguibili deveessere completata alla stregua dei predetti principi e lo schema di decreto e irelativi allegati devono essere perfezionati ai sensi dell'articolo 20, comma2, del Codice, tenendo conto delle indicazioni che si riportano di seguito.

Intale quadro è necessario:

a) oveil trattamento dei dati giudiziari non debba avvenire in forma anonima e siaindispensabile per il perseguimento delle finalità per le quali il trattamentostesso è consentito, integrare gli articoli 3, comma 4, lett. e) e f) (e irelativi Allegati E e F), e 6, comma 6, dello schema con un riferimentoesplicito anche ai "dati giudiziari" (ad esempio, inserendo,rispettivamente, dopo le parole "le operazioni eseguibili sui datisensibili" e dopo le parole "dati personali, comuni e sensibili"le seguenti: "e giudiziari"); espungere dal medesimo articolo 6,comma 6, dello schema -che indica i dati conferiti nel SINP- il riferimento aidati "relativi prevalentemente allo stato di salute";

b)valutare nuovamente, in concreto, alla luce dei richiamati principi di finalitàe proporzionalità, la pertinenza, non eccedenza e (in relazione ai datisensibili e giudiziari, anche) l'indispensabilità dei dati indicatinell'Allegato A, con riferimento alle finalità cui il SINP è preordinato,espungendo quelli non conformi a tali criteri. A titolo meramenteesemplificativo, si segnala l'indicazione nell'Allegato A, per quanto concernei dati sensibili, dei dati relativi alla "sede anatomica dellalesione" dell'infortunato (foglio "DatiRegioni-INAIL", categoria"infortuni"); con riferimento alla malattia del lavoratore, il"numero referto" (foglio "DatiRegioni-INAIL", categoria"malattie professionali"); in relazione ai dati comuni, si fariferimento al "telefono" del lavoratore (foglio"DatiRegioni-INAIL", categorie "malattie professionali" e"scheda dimissione ospedaliera"), la "data di nascita"completa, l'"indirizzo", il "tipo del documento " e il"numero del documento" (foglio "DatiMdL", categoria"rapporti di lavoro");

c)assicurare, in generale, corrispondenza tra gli enti di cui all'articolo 1,comma 1, lett. b), dello schema di decreto, i soggetti fornitori di cuiall'Allegato F, i soggetti fruitori di cui all'Allegato E e i dati individuatinell'Allegato A, assicurando una perfetta corrispondenza tra il dettaglio deidati indicati nell'Allegato A e i tipi di dati riportati negli allegati E e F.L'articolo 3, comma 1, dello schema prevede infatti che "il SINP contieneunicamente i dati individuati nell'Allegato A) e periodicamente conferiti daglienti di cui all'articolo 1, comma 1, lett. b)"; l'Allegato F individua neldettaglio i singoli enti fornitori e l'Allegato A fornisce una specificazionedelle categorie e delle tipologie dei dati che ciascun ente fornitoreconferisce al SINP. Ciononostante, non risulta chiaro nell'Allegato A ildettaglio dei dati che vengono conferiti al SINP dalle "Regioni-Ministerodella salute" e dalle "Regioni-ASL", menzionati invecenell'Allegato F tra gli enti fornitori. E' pertanto necessario assicurareperfetta corrispondenza tra i predetti allegati;

d)assicurare una piena corrispondenza tra le "categorie dati" riportatenell'Allegato A e quelle menzionate nell'Allegato F (a titolo esemplificativo,si fa riferimento, nell'Allegato F, in corrispondenza dell'Inail, alle"Neoplasie di sospetta origine professionale", all'interno dellamacrocategoria "Salute e sicurezza dei lavoratori", nonché, incorrispondenza delle Regioni-Ministero della salute, alle "Diagnosiprincipali, secondarie e concomitanti, procedure diagnostiche,dimissioni", all'interno della macrocategoria "Salute e sicurezza deilavoratori");

e)assicurare una piena corrispondenza tra il dettaglio dei dati riguardanti leschede di dimissione ospedaliera (SDO) menzionati nell'Allegato A e lecategorie di dati riportate nell'Allegato F in corrispondenza della medesima"fonte informativa". Peraltro, si segnala che la descrizionedettagliata dei dati relativi alle SDO nell'Allegato A non risulta coerente conquanto riportato nella "Lista delle variabili della banca dati SDO"disponibile sul sito istituzionale del Ministero della salute;

f)specificare nell'Allegato F (nell'ultima colonna di destra) i soggettidestinatari delle operazioni di comunicazione di dati, ove tale operazione siaprevista tra quelle "eseguibili" e risponda alle finalità per lequali il SINP è istituito, tenendo in considerazione che gli enti riportati nelpredetto allegato come enti fornitori conferiscono dati al SINP e, quindi,all'INAIL quale titolare del trattamento, in quanto l'Istituto cura la gestionetecnica e informatica del sistema informativo (cfr. art. 6, comma 1, delloschema);

g)verificare, in relazione agli allegati E e F, che le operazioni di trattamentoivi indicate siano effettivamente tutte quelle poste in essere nell'ambito delSINP; in particolare, con riguardo all'INAIL-DCSIT, si segnala che l'INAIL, inquanto titolare del trattamento dei dati ai sensi dell'articolo 6, comma 1,dello schema, non occorre che sia incluso tra i soggetti fruitori conriferimento, in particolare, all'espletamento delle attività di gestione delSINP; in tale ottica, va riconsiderata anche l'indicazione dell'operazione dicomunicazione tra le "operazioni eseguibili" (cfr. Allegato E, incorrispondenza della menzione tra gli "Enti fruitori"dell'INAIL-DCSIT);

h)integrare l'Allegato E precisando quali enti fruitori sono legittimati adaccedere al SINP limitatamente ai dati relativi "alla rispettivacompetenza territoriale", come previsto dall'articolo 3, comma 4, delloschema (si fa riferimento ad esempio, all'"INAIL Sedi"). Occorre, inoltre,indicare, nella sezione "Funzioni attività", le attività e funzionieffettivamente svolte dagli enti fruitori, in sostituzione delle rispettiveunità organizzative e aree preposte che risultano invece menzionate nelmedesimo allegato (es. banche dati, aree aziende, osservatori, etc.);

i)individuare i flussi di dati da e verso le ASL, ai fini dell'alimentazione delSINP per il tramite delle Regioni e della fruizione dei relativi dati da partedelle medesime ASL, precisando negli Allegati E ed F le rispettive operazionidi trattamento e i tipi di dati trattati (artt. 67, 85, co. 1, lett. e), 112,comma 1, lett. e), del Codice). Si evidenzia, al riguardo, che mentrel'articolo 1, comma 1, lettera b), dello schema, in linea con il dettatodell'articolo 8, comma 2, del Testo unico, non comprende le ASL fra gli entiche costituiscono il SINP, queste però figurano, in associazione alle Regioni,nell'Allegato F dello schema che individua gli "Enti fornitori" didati al SINP ("Regioni-Asl"), nonchè nell'allegato E come "Entifruitori" ("Servizi di prevenzione delle Asl"). In relazione aquest'ultimo profilo (Allegato E), si consideri che, a mente dell'articolo 56del D.P.R. 30 giugno 1965, n. 1124 (richiamato nel preambolo dello schema), "l'INAILtrasmette telematicamente, mediante il SINP [] alle aziende sanitarie locali []i dati relativi alle denunce di infortuni sul lavoro []". In ogni caso,si segnala che l'articolo 8, comma 8, del Testo unico prevede che "leattività di cui al presente articolo sono realizzate dalle amministrazioni dicui al comma 2 utilizzando le ordinarie risorse personali, economiche estrumentali in dotazione".

2. Profili già rilevati dal Garante nel parere del 7luglio 2011.

2.1.In relazione alle osservazioni formulate dal Garante sul precedente schema didecreto (condizione l) del dispositivo; punto 3b), all'articolo 2 dello schemadi regolamento in esame è stato aggiunto il comma 6, il quale prevede che"Il SINP rende disponibile agli enti fruitori, di cui all'Allegato E),strumenti di accesso e di analisi dei dati ritenuti adeguati dal Tavolo Tecnicodi cui all'articolo 5, riservati ai soggetti legittimati ad accedere ai dati dicui all'Allegato A, in base alle specifiche funzioni in concreto svolte, anchein relazione alla competenza territoriale".

Nelprendere positivamente atto di tale integrazione, si rileva che l'adeguatezzadegli strumenti di accesso e di analisi dei dati, la cui valutazione è rimessadallo schema al menzionato Tavolo Tecnico, debba in ogni caso essere conformealla disciplina recata in materia di protezione dei dati personali esegnatamente ai principi di necessità nel trattamento, nonché di pertinenza,non eccedenza e indispensabilità dei dati trattati. Atteso che la formulazionedella previsione è suscettibile di ingenerare dubbi al riguardo, si ritieneopportuno integrare il disposto dell'articolo 2, comma 6, inserendo, dopo lalocuzione "dati ritenuti adeguati dal Tavolo Tecnico di cui all'articolo5", le seguenti parole: ", nel rispetto degli articoli 3, 11 e 22 deldecreto legislativo 30 giugno 2003, n. 196".

2.2.Anche l'Allegato E, in cui sono individuati gli "Enti fruitori" delsistema informativo, è stato integrato con l'indicazione dei tipi di dati aiquali ciascun soggetto fruitore può accedere in relazione alle specifichefinalità perseguite, in linea con quanto indicato dal Garante nel precedenteparere (condizione m) del dispositivo; punto 3c). Nel prendere attopositivamente della modifica apportata al riguardo, si rappresenta tuttavial'opportunità di specificare almeno la "categoria dei dati" oggettodi accesso da parte dei singoli enti fruitori, in linea con quanto previstonell'allegato F, che specifica, appunto, le categorie di dati.

2.3.In relazione invece all'Allegato F, come già rilevato dall'Autorità nelpredetto parere del 2011 (condizione j) del dispositivo; punto 2.3-e), alcunidei dati acquisiti al SINP risultano duplicati in quanto si prevede ilconferimento al SINP degli stessi dati presenti in più "fontiinformative". Nel prendere atto positivamente dei miglioramenti apportatiall'allegato, volti a chiarire la sorgente informativa da cui i dati sonoeffettivamente estrapolati, permane tuttavia la necessità di individuarel'effettiva fonte di riferimento e le relative regole per garantirnel'esattezza e l'aggiornamento in caso di discordanza tra le medesimeinformazioni.

2.4.L'articolo 3, comma 2, dello schema è stato formulato per recepire quantoosservato dal Garante nel parere del 7 luglio 2011 (condizione b) deldispositivo; punto 1.2).

Inparticolare in tale parere l'Autorità segnalava come lo schema nondisciplinasse "le speciali modalità" di partecipazione al sistemainformativo delle forze armate e delle forze di polizia, limitandosi a rinviarea norme e provvedimenti attuativi; suggeriva, quindi, di integrare taledisciplina, prevedendo anche le modalità di partecipazione dei predetti enti alSINP, specificando il loro ruolo (fornitori e/o fruitori di dati), leoperazioni consentite (in particolare, comunicazione e/o utilizzazione), nonchéi dati oggetto di trattamento. L'articolo 3, comma 2, dell'attuale schema diregolamento tiene conto delle menzionate osservazioni, ma non disciplina alcuniimportanti aspetti. In particolare, va resa più chiara la circostanza chel'anonimizzazione dei dati personali avviene prima della trasmissione deglistessi all'INAIL, che la previsione individua come il soggetto per il tramitedel quale tali dati sono conferiti al SINP. Inoltre, l'Allegato F va adeguatoal fatto che la partecipazione al SINP delle forze armate, delle forze dipolizia e del Corpo nazionale dei vigili del fuoco avvenga per il tramitedell'INAIL, specificando nella relativa voce "fornitore dati"dell'Allegato F detta circostanza.

Sisegnala, altresì, che:

a)l'articolo 4, comma 2, dello schema- nel disciplinare le modalità tecniche ditrasmissione dei dati anche in relazione alle forze armate e alle forze dipolizia- non menziona il Corpo nazionale dei vigili del fuoco, il quale invece èprevisto dalla legge tra i soggetti che partecipano al sistema informativo(cfr. art. 8, comma 4, del Testo unico e art. 3, comma 2, dello schema didecreto);

b)l'Allegato A non contiene le specifiche dei dati che vengono conferiti al SINPdalle forze armate e dalle forze di polizia, nonché dal Corpo nazionale deivigili del fuoco per il tramite dell'INAIL.

2.5.L'articolo 7, comma 4, dello schema disciplina l'assegnazione di un codiceunivoco, diverso dal codice fiscale, a ciascun individuo i cui daticonfluiscono nel SINP "al fine di non consentire l'identificabilitàdiretta delle persone fisiche interessate". Come già evidenziato da questaAutorità nel parere del 7 luglio 2011 (condizione p) del dispositivo; punto 4),tale cautela è vanificata dalla presenza, tra le informazioni dettagliate nell'AllegatoA, di dati che renderebbero, in ogni caso, facilmente identificabile illavoratore (es. il numero di "telefono" nel foglio"DatiRegioni-INAIL" categoria "malattie professionali" ecategoria "scheda dimissione ospedaliera", nonchè la "data di nascita"completa, l'"indirizzo", il "tipo del documento " e il"numero del documento" nel foglio "DatiMdL" categoria"rapporti di lavoro"). Tali dati devono essere pertanto espuntidall'allegato A (v. anche punto 1.1. b)) e, più in generale, ogni dato che renderebbechiaramente identificabile l'interessato, in contrasto con l'articolo 22, comma6, del Codice.

Inoltre,è auspicabile che il processo di codifica dei dati identificativi degliinteressati (pseudo-anonimizzazione) sia effettuato prima dell'acquisizione deidati al SINP, esplicitando, anche negli allegati tecnici allo schema didecreto, le modalità e le procedure utilizzate per tale codifica (cfr. art. 4,comma 1, lett. c) del Codice).

Ilmedesimo comma 4 dell'articolo 7, precisa, inoltre, che "i dati inviatidagli enti, privi di elementi identificativi diretti, sono archiviati previaseparazione dei dati sanitari dagli altri dati. I dati sanitari sono trattatimediante l'utilizzazione del codice univoco".

Inproposito, si ritiene che, in linea con quanto previsto dall'articolo 22, comma6, del Codice, il ricorso al codice univoco debba riguardare non solo i datisanitari ma anche le altre tipologie di dati sensibili presenti nel SINP, nonchéi dati giudiziari, sempre che gli stessi non debbano essere trattati in forma"anonima" (cfr. art. 4, comma 1, lett. n) del Codice e art. 7 comma 5dello schema di decreto).

Inoltre,la disposizione va perfezionata richiamando nel comma 4 in esame -e non nelcomma 5 del medesimo articolo 7, come invece fa lo schema- i "commi 6 e 7dell'art. 22 del decreto legislativo n. 196 del 2003", in quanto laprevisione in discorso non riguarda dati personali resi anonimi, bensì quellitemporaneamente inintelligibili.

2.6.L'articolo 7, comma 5, dello schema prevede infine l'attivazione di un"sistema informatico che garantisce l'anonimizzazione dei datipersonali" presenti nel SINP, in modo da renderli consultabili soltanto intale forma da parte degli enti fruitori legittimati ad accedere unicamente aquesta tipologia di informazioni.

Anchecon riferimento a tale profilo, occorre esplicitare negli allegati tecnici alloschema di decreto le modalità e le procedure utilizzate per assicurare laprevista anonimizzazione dei dati (cfr. art. 4, comma 1, lett. n) del Codice).

3. Misure di sicurezza.

Unitamentealla versione precedente dello schema di decreto, l'Amministrazione hatrasmesso al Garante un documento, predisposto dall'INAIL, che illustra leprincipali misure di sicurezza adottate dall'Istituto relativamente al SINP.Nel parere del 7 luglio 2011 (punto 5.2) il Garante invitava l'Amministrazionea valutare la possibilità di inserire detto documento quale allegato alloschema di decreto e parte integrante dello stesso, prevedendone l'aggiornamentocon decreto direttoriale sentito il Garante, ai sensi dell'articolo 3, comma 4,della versione precedente dello schema (vedi ora, l'articolo 3, comma 5, delloschema). In virtù dell'importanza di tale documento e della complessità delsistema informativo in esame, cui le misure di sicurezza si riferiscono, siritiene di dover rinnovare il predetto invito.

IL GARANTE

esprimeparere sullo schema di decreto del Ministro del lavoro e delle politichesociali e del Ministro della salute recante le regole tecniche per larealizzazione e il funzionamento del SINP, nonché le regole per il trattamentodei dati, ai sensi dell'articolo 8, comma 4, del decreto legislativo 9 aprile2008, n. 81:

1) aisensi dell'articolo 20, commi 2 e 4 e 154, comma 1, lett. g) del Codice con laseguente condizione: l'individuazione dei tipi di dati e di operazionieseguibili sia completata e perfezionata nei termini di cui in motivazione, perquanto riguarda lo schema di decreto, integrando gli articoli 3, comma 4 (e irelativi Allegati E e F) e 6, comma 6, con un riferimento espresso anche aidati giudiziari, ove detti dati non vadano trattati in forma anonima e sianoindispensabili per il perseguimento delle finalità del trattamento (punto 1.1.lett. a)) e tenendo conto delle indicazioni rese al punto 1.1. lett. da b) ai);

2) aisensi dell'articolo 154, comma 4, richiamando l'attenzione dell'Amministrazionesull'opportunità di perfezionare il recepimento delle condizioni poste dalGarante nel parere del 7 luglio 2011, nei termini di cui in motivazione e inparticolare:

a)inserendo, all'articolo 2, comma 6, dopo le parole "dati ritenuti adeguatidal Tavolo Tecnico di cui all'articolo 5", le seguenti: ", nelrispetto degli articoli 3, 11 e 22 del decreto legislativo 30 giugno 2003, n.196" (punto 2.1);

b)specificando nell'Allegato E la "categoria dei dati" oggetto diaccesso da parte dei singoli enti fruitori del SINP (punto 2.2.);

c)individuando nell'Allegato F l'effettiva fonte di riferimento da cui sonoestrapolati i dati trasmessi al SINP e le relative regole per garantirnel'esattezza e l'aggiornamento in caso di discordanza tra gli stessi (punto2.3);

d)esplicitando meglio, all'articolo 3, comma 2, dello schema chel'anonimizzazione dei dati personali conferiti al SINP dalle forze armate edalle forze di polizia avviene prima della trasmissione degli stessi all'INAIL;disciplinando all'articolo 4, comma 2, dello schema le modalità tecniche ditrasmissione dei dati anche in relazione al Corpo nazionale dei vigili delfuoco; inserendo nell'Allegato A le specifiche dei dati che vengono conferitial SINP dalle forze armate, dalle forze di polizia, nonché dal Corpo nazionaledei vigili del fuoco per il tramite dell'INAIL (punto 2.4);

e)modificando l'articolo 7, comma 4, e l'allegato A) nei termini di cui inmotivazione; esplicitando le modalità e le procedure utilizzate per la codificadei dati identificativi degli interessati, avendo cura di prevedere che ilprocesso di codifica sia effettuato prima dell'acquisizione dei dati al SINP(punto 2.5);

f)esplicitando le modalità e le procedure utilizzate per assicurare la previstaanonimizzazione dei dati (punto 2.6).

Roma, 12 giugno 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia