Garante per la protezione
    dei dati personali


Sistema informativonazionale per la prevenzione nei luoghi di lavoro (SINP) e regole per iltrattamento dei dati

PROVVEDIMENTO DEL 7LUGLIO 2011

Registro dei provvedimenti
 n. 283 del7 luglio 2011

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;


Vista la richiesta di parere del Ministero del lavoro e dellepolitiche sociali;

Visto l'art. 154, comma 1, lett. g), del Codice in materia diprotezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatori il prof. Francesco Pizzetti e il dott. Mauro Paissan;

PREMESSO

Il Ministero del lavoro e delle politiche sociali ha richiesto ilparere del Garante in ordine a uno schema di decreto interministeriale recantele "regole tecniche per la realizzazione e il funzionamento del SINP,nonché le regole per il trattamento dei dati, ai sensi dell'articolo 8, comma4, del decreto legislativo 9 aprile 2008, n. 81".

Il decreto in esame – avente natura regolamentare - è adottatoai sensi dell'articolo 8 del decreto legislativo 9 aprile 2008, n. 81, e successivemodificazioni, c.d. Testo unico in materia di sicurezza del lavoro (infra:Testo unico), che demanda appunto a un decreto del Ministro del lavoro, dellasalute e delle politiche sociali, di concerto con il Ministro per le riforme ele innovazioni nella pubblica amministrazione, la definizione delle regoletecniche per la realizzazione e il funzionamento del Sistema informativonazionale per la prevenzione nei luoghi di lavoro (SINP) e delle regole per iltrattamento dei dati, nonché la disciplina delle "speciali modalità conle quali le forze armate e le forze di polizia partecipano al sistemainformativo relativamente alle attività operative e addestrative".

Tale ultimo aspetto non è tuttavia disciplinato dall'odiernoprovvedimento, che si limita a definire le regole tecniche per la realizzazionee il funzionamento del SINP, nonché le regole per il trattamento dei dati (cfr.punto 1.2.).

Ai sensi del comma 1 del citato articolo 8, il SINP è istituito "alfine di fornire dati utili per orientare, programmare, pianificare e valutarel'efficacia della attività di prevenzione degli infortuni e delle malattieprofessionali, relativamente ai lavoratori iscritti e non iscritti agli entiassicurativi pubblici, e per indirizzare le attività di vigilanza, attraversol'utilizzo integrato delle informazioni disponibili negli attuali sistemiinformativi, anche tramite l'integrazione di specifici archivi e la creazionedi banche dati unificate".

L'articolo 8, comma 2, del Testo unico precisa peraltro che il SINP ècostituito dal Ministero del lavoro, della salute e delle politiche sociali,dal Ministero dell'interno, dalle regioni e dalle province autonome di Trento edi Bolzano, dall'INAIL, dall'IPSEMA e dall'ISPESL (questi ultimi soppressi eincorporati nell'INAIL ai sensi dell'articolo 7, comma 1, del decreto-legge 31maggio 2010, n. 78,  convertito, con modificazioni, dalla legge 30 luglio2010, n. 122), con il contributo del Consiglio nazionale dell'economia e dellavoro.

Nel disciplinare il funzionamento del SINP e le regole per iltrattamento dei dati in tale ambito, l'odierno provvedimento in primo luogoprecisa, all'articolo 2, comma 1, che il suddetto sistema informativo si basasulla cooperazione applicativa tra le Amministrazioni che lo costituiscono econtiene soltanto i dati individuati nell'Allegato A al decreto e conferitidagli enti costituenti il SINP, nonché – secondo modalità individuate daautonomi provvedimenti – dai Ministeri dell'interno e della difesa edalla Guardia di finanza.

L'articolo 3, comma 2, dello schema di decreto descrive – inconformità all'articolo 8, comma 6, del Testo unico, seppur con un elenco nonavente carattere tassativo – gli elementi alla conoscenza dei quali sonopreordinate le informazioni derivanti dall'elaborazione dei dati contenuti nelSINP.

I dati sono trasmessi telematicamente al SINP dagli enti fornitori,nell'ambito del Sistema pubblico di connettività (infra: SPC), mentre lemodalità di interscambio dei medesimi dati in cooperazione applicativa sonodefinite da appositi accordi di servizio.

Per quanto concerne, specificamente, le "regole per iltrattamento dei dati", ai sensi dell'articolo 6, comma 1 (che in parte quariprende testualmente l'articolo 8, comma 3 del Testo unico), l'INAILgarantisce la gestione tecnica ed informatica del SINP, assumendo la titolaritàdel trattamento in tale ambito, mentre ciascun ente riveste la qualità diautonomo titolare del trattamento in relazione ai dati comunicati e/outilizzati e designa l'incaricato del trattamento (art. 6, comma 2). I commisuccessivi dell'articolo 6 – oltre a vincolare il trattamento dei datieffettuato nell'ambito del SINP al rispetto dei principi di pertinenza, noneccedenza e indispensabilità, in relazione agli scopi sanciti dal Testo unico ecomunque alle finalità di rilevante interesse pubblico istituzionalmenteperseguite da ciascun ente – fissano il termine massimo di conservazionedei dati trasmessi dagli enti fornitori per generare le banche dati SINP evieta agli enti fruitori di replicare, in autonomi archivi, le informazioniricevute da tale sistema informativo.

L'articolo 7 disciplina peraltro le misure di sicurezza, imponendo tral'altro un vincolo di conformità alle regole tecniche e di sicurezzanell'ambito del SPC e sancendo, in capo a ciascun ente, l'obbligo diindividuare il responsabile preposto "alla definizione dei profili diautorizzazione, in relazione al ruolo istituzionale, alle funzioni svolte eall'ambito territoriale delle azioni di competenza, alla designazione deisoggetti () e dei rispettivi privilegi nonché alla gestione delle modalità diconferimento, sospensione e revoca dei profili di accesso".

Il comma 9 dell'articolo 7 impone peraltro all'INAIL di garantire –attraverso il proprio sistema di autorizzazione – la selettivitànell'accesso ai servizi del SINP, in relazione ai profili del soggettorichiedente.

RILEVATO

Il parere è reso su di una versione aggiornata dello schema di decretoche tiene conto di parte degli approfondimenti e delle indicazioni resedall'Ufficio del Garante ai competenti uffici dell'Amministrazione interessatanel corso di alcune riunioni, volte a rendere sotto ogni profilo effettivo ildiritto alla protezione dei dati personali degli interessati, nell'ambito deitrattamenti previsti dal decreto.

Le osservazioni dell'Ufficio hanno riguardato, in particolare, gliaspetti concernenti l'esatta indicazione – con formule caratterizzate dasufficiente tassatività - dei dati contenuti nel SINP; il rispetto dei principidi finalità, necessità, pertinenza e non eccedenza nel trattamento dei datipresenti nel sistema informativo in esame;  le misure idonee a garantireche gli enti fruitori non replichino, in autonome banche dati, le informazioniricevute dal SINP; le misure di sicurezza a tutela dei dati presenti nelsistema informativo.

Nonostante parte delle osservazioni dell'Ufficio siano state recepitedal testo in esame, residuano tuttavia taluni aspetti suscettibili di ulterioremiglioramento, al fine di garantire un più elevato standard di tutela deldiritto alla protezione dei dati personali nell'ambito dei trattamentidisciplinati dal provvedimento in esame.

1. Finalità e oggetto del decreto.

1.1. L'articolo 3, comma 2, dello schema di regolamento,nell'individuare le finalità del SINP, menziona taluni obiettivi non previstidalla norma di rango primario isitutiva del sistema informativo (art. 8, comma1, del Testo unico) e, in particolare, la "descrizione" e l'"elaborazione() di azioni di prevenzione degli infortuni e delle malattie correlate allavoro". quindi opportuno riformulare -in parte qua- la disposizionecitata rendendo pienamente conforme la norma regolamentare al dispostolegislativo.

1.2. L'articolo 3, comma 1, dello schema citato, come già rilevato,non disciplina "le speciali modalità"di partecipazione  al sistema informativo delle forze armate e delle forzedi polizia, limitandosi a rinviare a norme e provvedimenti attuativi, alcunidei quali, non ancora adottati. Si suggerisce pertanto di integrare taledisciplina, prevedendo anche le modalità di partecipazione dei predetti enti alSINP, specificando il loro ruolo (fornitori e/o fruitori di dati), leoperazioni consentite (in particolare, comunicazione e/o utilizzazione), nonchéi dati oggetto di trattamento.

1.3. L'articolo 6, comma 3, legittima il trattamento dei daticonferiti al SINP "esclusivamente per le finalità di cui all'articolo8, comma 1, del decreto legislativo n. 81 del 2008, nonché per le finalità dirilevante interesse pubblico ()", inducendo così a ritenere che lecitate finalità di rilevante interesse pubblico, per il cui perseguimento èconsentito anche il trattamento di dati sensibili, siano diverse e ulterioririspetto a quelle sancite dal Testo unico. pertanto necessario sostituire,nella disposizione citata, le parole: "nonché per le" con leseguenti: "riconducibili alle".

2. I dati trattati.

2.1. Come può evincersi dalla sia pur sintetica descrizione suesposta,il SINP rappresenta un sistema informativo complesso e di particolaredelicatezza, in quanto coinvolge più archivi informativi riferibili a diversisoggetti istituzionali e contiene, tra l'altro, dati sensibili (relativi,segnatamente, allo stato di salute) dei lavoratori (cfr., inparticolare, gli Allegati A e F).
La presenza, nell'ambito del SINP, ditale delicata categoria di dati impone di conformare lo stesso sistemainformativo non solo ai principi di finalità, proporzionalità, pertinenza e noneccedenza di cui agli articoli 3 e 11 del Codice, ma anche al principio diindispensabilità sancito dall'articolo 22, comma 3, del Codice. Il rispetto ditali principi dev'essere garantito non solo in relazione alla comunicazionenell'ambito del SINP e all'utilizzo dei dati da parte dei singoli enti fruitori(cfr., in tal senso, gli artt. 3, comma 2 e 6, comma 4, dello schema diregolamento), ma anche, e in primo luogo, in relazione al conferimento al SINPdelle informazioni, da parte degli enti fornitori.

Per tali ragioni, si invita l'Amministrazione a valutare nuovamente,in concreto, alla luce dei richiamati principi di finalità e proporzionalità,la pertinenza, non eccedenza e (in relazione ai dati sensibili, anche)l'indispensabilità dei dati indicati nell'Allegato A), in relazione allefinalità cui il SINP è preordinato, espungendo quelli non conformi a talicriteri.

2.2. In relazione ai dati sensibili conferiti nel SINP, il regolamentodeve essere integrato con l'individuazione - richiesta dal comma 2dell'articolo 20 del Codice - dei tipi di dati e di operazioni eseguibili, inrelazione a ciascun soggetto fruitore e ciascuna specifica finalità dirilevante interesse pubblico perseguita e sottoposto al parere di conformitàdel Garante ai sensi del citato articolo 20, comma 2.

Al riguardo, infatti, l'articolo 6, comma 5, dello schema non apparesufficiente per il suo contenuto, in quanto, in primo luogo, i tipi di datioggetto di trattamento nell'ambito del SINP non sono indicati in modoesaustivo. Infatti, dagli Allegati A) e B) si evince che nell'ambito del SINPpossono essere conferiti anche dati sensibili diversi da quelli sanitari (cfr.,ad es., in base ai sistemi di classificazione riportati nell'Allegato B), conriferimento alla tabella "motivo permesso" richiamata dalla sezionedell'Allegato A) relativa ai dati conferiti dal Ministero del lavoro e dellaprevidenza sociale, le informazioni riguardanti la titolarità, da parte dellavoratore, di un permesso di soggiorno per ragioni di asilo politico, chepotrebbero rivelare, a determinate condizioni e in relazione a particolaricontesti geopolitici, l'origine etnica o le convinzioni politiche o religiosedell'interessato, ovvero un permesso di soggiorno per motivi religiosi:indicazione idonea a rivelare lo status di religioso o di ministro di culto delsoggetto titolare del permesso). Di contro, l'articolo 6, comma 5, dello schemadi regolamento si riferisce ai soli dati sanitari.

In secondo luogo, diversamente da quanto sancito dall'articolo 6,comma 5, gli Allegati al regolamento non recano l'individuazione dei tipi dioperazioni eseguibili sui dati sensibili. Lo schema di regolamento va quindiintegrato in tal senso, riformulando anche l'articolo 3, comma 3, lett. f) chenon menziona le operazioni eseguibili tra gli elementi contenuti nell'Allegato F).Tale individuazione deve essere effettuata anche con riferimento ad eventualioperazioni di interconnessione e raffronto, specificando le informazioni, lebanche dati e i soggetti eventualmente coinvolti. Tali operazioni, infatti,rientrando tra quelle che possono spiegare effetti maggiormente pregiudizievoliper gli interessati, potrebbero essere lecitamente effettuate, anche inpresenza di espresse disposizioni di legge che le autorizzano, soltanto ovesiano normativamente individuate e delimitate rigorosamente, in conformità alprincipio di indispensabilità (artt. 8, comma 1 del Testo unico e 22, comma 11,del Codice).

2.3. L'importanza del sistema informativo in esame e la delicatezzadei dati trattati in tale ambito richiedono una particolare chiarezza nelladefinizione del suo contenuto, al fine di evitare ogni possibile dubbiointerpretativo. Posto, infatti, che i soli dati che il SINP può contenere sonoquelli indicati nell'Allegato A), la definizione e il contenuto dell'AllegatoF) (ove sono elencati gli "enti fornitori", cioè i soggetti prepostiall'alimentazione della banca dati) devono essere meglio chiariti e coordinaticon tale previsione. In tal senso:

a) non essendo pienamente chiaro a cosa si riferisca la sezionedell'Allegato F) relativa alla "fonte informativa", si precisi cheessa intende richiamare unicamente la sorgente informativa ove sono contenuti idati poi conferiti nel SINP, con estrazione dei soli dati riportatinell'Allegato A) effettivamente necessari, pertinenti e non eccedenti rispettoalle finalità perseguite, non potendo ovviamente tale indicazione legittimareil conferimento nel SINP dell'intero archivio indicato quale "fonteinformativa", in assenza di un idoneo presupposto normativo;

b) se con l'indicazione "categorie dati" dell'AllegatoF) si intende individuare le categorie di informazioni oggetto diestrapolazione e conferimento al SINP, va assicurata una piena corrispondenzatra tali indicazioni e quelle riguardanti i dati riportati nell'Allegato A);

c) sia garantita la correlazione tra le indicazioni riportatealla sezione "fonti informative" e quelle menzionate alla sezione"categorie dati", individuando con chiarezza quale sia ilsoggetto-tra quelli di cui all'articolo 8, comma 2, del Testo unico-legittimato a detenere gli elementi informativi previsti dal decreto e adeffettuare l'estrapolazione dei dati oggetto di conferimento al SINP,precisando se si tratti di dati anonimi o indirettamente identificativi;

d) al fine di chiarire ulteriormente che gli enti tenuti adalimentare il SINP forniscono al sistema i soli dati elencati nell'Allegato A),all'articolo 3, comma 3, lettera f), dello schema è opportuno sostituire leparole: "categorie di dati", con le seguenti: "categorie deidati di cui all'Allegato A)";

e) anche al fine di garantire il rispetto dei principi dinecessità, esattezza e aggiornamento dei dati (artt. 3, comma 1 e 11, comma 1,lettera c), del Codice), è opportuno meglio chiarire la sorgente informativa dacui effettivamente sono tratti i dati, con particolare riferimento all'ipotesiin cui la medesima informazione sia presente in più archivi alcuni dei qualipotrebbero non essere aggiornati.

3. La selettività degli accessi.
Laparticolare delicatezza dei dati personali contenuti nel SINP impone l'adozionedi particolari cautele anche in relazione agli aspetti concernenti i soggettilegittimati ad accedere al sistema e i dati suscettibili di consultazione daparte di ciascuno degli enti fruitori. E' infatti evidente che la garanziadella selettività degli accessi – a sua volta funzionale al rispetto deiprincipi di finalità, pertinenza, non eccedenza, (e, in relazione ai datisensibili, anche) indispensabilità dei dati trattati – presuppone,nell'ambito di un sistema informativo contenente diverse tipologie di datipersonali, l'adozione di modalità tecniche idonee a consentire a ciascuno deisoggetti fruitori di consultare le sole informazioni effettivamente necessarieall'adempimento delle proprie funzioni.

In tale quadro al fine di elevare lo standard di garanzia del dirittoalla protezione dei dati personali contenuti nel SINP, si ritengono opportuni iseguenti perfezionamenti del testo:

a) al fine di evitare ogni possibile dubbio in proposito, chiarire chei soggetti legittimati all'accesso ai dati contenuti nel SINP sono unicamentegli "enti fruitori" elencati nell'Allegato E), ad esempio integrandoil contenuto del comma 7 dell'articolo 6;

b) all'articolo 3, comma 3, lettera e), dello schema modificare lastessa "definizione" dell'Allegato E), in modo da precisare, conulteriore nettezza, la necessità di accessi selettivi. In tal senso, sisuggerisce la seguente definizione dell'Allegato E): "allegato contenentel'indicazione dei soggetti legittimati ad accedere ai dati di cui all'allegatoA), in base alle specifiche funzioni in concreto svolte, anche in relazionealla competenza territoriale";

c) integrare l'Allegato A) con l'indicazione dettagliata dei dati aiquali ciascun soggetto fruitore può accedere, in relazione alle specifichefinalità, ove necessario, di rilevante interesse pubblico, perseguite;

d) prevedere – ad esempio inserendo un comma 8-bis nell'articolo7 – che le richieste di accesso al SINP debbano indicare espressamente laspecifica attività al cui svolgimento è preordinata la consultazionenell'ambito delle competenze istituzionali del soggetto richiedente;

e) integrare l'articolo 7, comma 10, dello schema – chesubordina l'accesso ai servizi del SINP alla stipula di una convenzione –con la previsione che le suddette convenzioni devono rispettare le prescrizionicontenute nelle linee guida emanate ai sensi dell'articolo 58, comma 2, delCodice dell'amministrazione digitale.

4. La garanzia dell'anonimato.
Comegià osservato, il SINP contiene diverse tipologie di dati personali - ciascunameritevole di un differente grado di tutela – e, parallelamente, èsuscettibile di consultazione da parte di soggetti titolari di diversi profilidi autorizzazione in ragione delle funzioni in concreto svolte e delle finalitàperseguite mediante l'accesso. Ciò si evince in particolare dall'Allegato E),che legittima taluni soggetti "fruitori" all'accesso a soli datianonimi.

L'articolo 7, comma 4, dello schema, prevede l'assegnazione – aciascun soggetto i cui dati sono registrati nel SINP e subito dopol'acquisizione degli stessi – di un codice univoco (diverso dal codicefiscale) che ne dovrebbe impedire l'identificabilità in via diretta. Talecautela sembra contraddetta dall'esame dei dati contenuti nell'Allegato A),alcuni dei quali fanno invece esplicito riferimento al codice fiscale dellavoratore (v. ad es. la sezione dell'Allegato A) riguardante i dati conferitidal Ministero del lavoro e della previdenza sociale relativi all'attivitàispettiva).

Non si accenna peraltro (non solo a procedure di anonimizzazione deidati, ma neppure) all'utilizzo di dati anonimi, che pure sono compresi –come già rilevato - tra le tipologie di dati descritte dall'Allegato E) e cheovviamente rappresentano le sole informazioni suscettibili di consultazione daparte dei soggetti titolari di un profilo di autorizzazione così limitato. Comepuò evincersi dalla definizione di cui all'articolo 4, comma 1, lettera n) delCodice, infatti, il "dato anonimo" – diversamente da quellocontrassegnato da un codice univoco- è il dato che - in origine, o a seguito ditrattamento - non può essere associato ad un interessato identificato oidentificabile.

In ragione di tale carenza, è opportuno inserire nello schema didecreto (ad esempio, con un comma 4-bis nel corpo dell'articolo 7) una normache preveda l'attivazione, nel SINP, di un sistema tale da garantire –non solo procedure di codificazione dei dati, ma anche - l'anonimizzazione deidati personali archiviati, in modo da renderli consultabili solo in tale formada parte degli enti fruitori legittimati ad accedere unicamente a taletipologia di informazioni, segnatamente nel rispetto di quanto sancito daicommi 6 e 7 dell'articolo 22 del Codice.

5. Misure di sicurezza.

5.1. L'articolo 7, comma 5, dello schema prevede, tra le misure disicurezza, anche l'obbligo di conservazione, per un periodo non superiore a tremesi, dei dati di tracciatura degli accessi. Al fine di garantire la previsionedi un termine di conservazione effettivamente proporzionato alle finalità cui èpreordinata tale misura di sicurezza (e cioè la verifica della correttezza edella legittimità delle singole interrogazioni effettuate), valutil'Amministrazione la congruità del termine indicato, anche in relazione aquanto disposto da questa Autorità in relazione all'attribuzione delle funzionidi amministratore di sistema (sei mesi) (provvedimento del 27 novembre 2008,recante "Misure e accorgimenti prescritti ai titolari dei trattamentieffettuati con strumenti elettronici relativamente alle attribuzioni dellefunzioni di amministratore di sistema").

5.2 L'Amministrazione ha trasmesso al Garante, unitamente allo schemadi decreto, un documento predisposto dall'INAIL che illustra le principalimisure di sicurezza adottate dall'Istituto relativamente al SINP. Datal'importanza di tale documento, e la complessità del sistema informativo inesame, cui le misure di sicurezza si riferiscono, si ritiene necessario chel'Amministrazione valuti di allegare tale documento al decreto, quale sua parteintegrante, magari prevedendone l'aggiornamento con decreto direttorialesentito il Garante, ai sensi dell'articolo 3, comma 4, dello schema.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro delLavoro e delle politiche sociali e del Ministro della salute recante le"regole tecniche per la realizzazione e il funzionamento del SINP, nonchéle regole per il trattamento dei dati, ai sensi dell'articolo 8, comma 4, deldecreto legislativo 9 aprile 2008, n. 81", con le seguenti condizioni:

a) l'articolo 3, comma 2, sia riformulato in maniera pienamenteconforme al disposto legislativo (punto 1);

b) siano previste "le speciali modalità" di partecipazione alSINP delle forze armate e delle forze di polizia, specificando il loro ruolo(fornitori e/o fruitori di dati), le operazioni consentite (in particolare,comunicazione e/o utilizzazione), nonché i dati oggetto di trattamento (punto1.2.);

c) all'articolo 6, comma 3, le parole: "nonché per le"siano sostituite dalle seguenti: "riconducibili alle" (punto 1.3.);

d) valuti, in concreto, l'Amministrazione, alla luce dei principidi finalità e proporzionalità, la pertinenza, non eccedenza e (in relazione aidati sensibili, anche) l'indispensabilità dei dati indicati nell'Allegato A),in relazione alle finalità cui il SINP è preordinato (punto 2.1.);

e) in relazione ai dati sensibili, siano individuati i tipi didati e di operazioni eseguibili, in relazione a ciascun soggetto fruitore eciascuna specifica finalità e si sottoponga, quindi, al Garante, lo schema didecreto, così integrato, ai fini dell'acquisizione del parere di conformità aisensi dell'articolo 20, comma 2, del Codice (punti 2.2. e 1.2.);

f) qualora si ritenga opportuno mantenere, nell'Allegato F), lasezione relativa alla "fonte informativa" dei dati conferiti, sichiarisca che da tali fonti sono estratti i soli dati riportati nell'Allegato Aeffettivamente necessari, pertinenti e non eccedenti rispetto alle finalitàperseguite (punto 2.3-a.);

g) sia assicurata una piena corrispondenza tra le indicazionimenzionate alla sezione "categorie dati" dell'Allegato F) e quelleriguardanti i dati riportati nell'Allegato A) (punto 2.3-b);

h)  sia garantita la correlazione tra gli elementi richiamatialla sopra citata sezione "fonti informative" e quelle riportatenella sezione "categorie dati", individuando con chiarezza quale siail soggetto legittimato a detenere gli elementi informativi previsti daldecreto e ad effettuare l'estrapolazione dei dati oggetto di conferimento alSINP, precisando se si tratti di dati anonimi o di dati indirettamenteidentificativi (punto 2.3-c);

i) all'articolo 3, comma 3, lettera f), le parole:"categorie di dati", siano sostituite dalle seguenti: "categoriedei dati di cui all'Allegato A)" (punto 2.3-d.);

j) sia meglio chiarita la sorgente informativa da cuieffettivamente sono tratti i dati, con particolare riferimento all'ipotesi incui la medesima informazione sia presente in più archivi (punto 2.3-e);

k) si preveda espressamente che gli "enti fruitori"sono soltanto quelli indicati dall'Allegato E) (punto 3-a.);

l) all'articolo 3, comma 3, lettera e), si fornisca unadefinizione dell'Allegato E) di tenore analogo a quella che di seguito sisuggerisce: "allegato contenente l'indicazione dei soggetti legittimati adaccedere ai dati di cui all'allegato A), in base alle specifiche funzioni inconcreto rivestite, anche in relazione alla rispettiva competenza territoriale"(punto 3-b);

m) si integri l'Allegato A) con l'indicazione dettagliata deidati ai quali ciascun soggetto fruitore può accedere, in relazione allespecifiche finalità perseguite (punto 3-c);

n) si preveda espressamente che le richieste di accesso al SINP debbanoindicare la specifica attività al cui svolgimento è preordinata laconsultazione e la norma che  legittima il soggetto richiedente aeffettuare tale operazione (punto 3-d);

o) si preveda che le convenzioni di cui all'articolo 7, comma 10,debbano rispettare le prescrizioni contenute nelle linee guida emanate ai sensidell'articolo 58, comma 2, del CAD (punto 3-e);

p) sia inserita una norma che imponga l'attivazione, nel SINP, diun sistema tale da garantire l'anonimizzazione dei dati personali archiviati,in modo da renderli consultabili solo in tale forma da parte degli entifruitori legittimati ad accedere unicamente a tale tipologia di informazioni(punto 4);

q) valuti l'Amministrazione la congruità del termine indicato perla conservazione dei dati di tracciatura degli accessi, anche in relazione aquanto disposto da questa Autorità con il provvedimento del 27 novembre 2008,recante "Misure e accorgimenti prescritti ai titolari dei trattamentieffettuati con strumenti elettronici relativamente alle attribuzioni dellefunzioni di amministratore di sistema" (punto 5.1);

e con la seguente raccomandazione:

r) valuti l'Amministrazione di inserire quale allegato deldecreto il documento predisposto dall'INAIL che illustra le principali misuredi sicurezza adottate dall'Istituto relativamente al SINP, magari prevedendonel'aggiornamento con decreto direttoriale sentito il Garante, ai sensidell'articolo 3, comma 4, dello schema (punto 5.2).

Roma, 7 luglio 2011

Il presidente
Pizzetti

I relatori
Pizzetti, Paissan

Il segretario generale
De Paoli