| Garante per la protezione dei dati personali Incompatibilità nelrapporto di pubblico impiego: comunicazione di dati personali tra l'INPS eun'azienda ospedaliera PROVVEDIMENTO DEL 24NOVEMBRE 2011 Registro dei provvedimenti n. 450 del 24novembre 2011 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lg. 30giugno 2003, n. 196); VISTA la comunicazione dell'Istituto Nazionale Previdenza Sociale -Direzione provinciale di Ancona (nota prot. n. 85984, del 24 giugno 2011); VISTO l'art. 17 del regolamento n. 1/2007 del 14 dicembre 2007,concernente le procedure interne all'Autorità aventi rilevanza esterna,pubblicato in G.U. n. 7 del 9 gennaio 2008 e disponibile sul sito webistituzionale all'indirizzo www.garanteprivacy.it, doc. web n. VISTA la documentazione in atti; VISTE le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan; PREMESSO 1. L'Istituto Nazionale Previdenza Sociale - Direzione provinciale diAncona (di seguito INPS) ha rappresentato di aver ricevuto, dall'aziendaospedaliera universitaria "Ospedali Riuniti" di Ancona, una richiestavolta ad ottenere le "informazioni concernenti l'eventuale sussistenzadi posizioni previdenziali nel Casellario dei lavoratori attivi nel periodocompreso dal 1.12009 al 5.11.2010 in riferimento a 38 dipendenti"dell'azienda medesima. A detta di quest'ultima, le finalità istituzionali chegiustificherebbero la menzionata comunicazione, risiederebbero nell'esigenzache il proprio servizio ispettivo, istituito ai sensi dell'art. 1, comma 62, l.n. 23 dicembre 1996, n. 662, "possa procedere a verifiche a campione suipropri dipendenti al fine di accertare l'osservanza del divieto di svolgereattività incompatibili con rapporto di pubblico impiego, così come previstodagli artt. 60-64 del d.P.R. n. 3/1957, dall'art. 53 del d.lgs. n. 165/2001 e[dall']art. 1, commi da 56 a 65, della stessa l. n. 662/1996". 2. Con successiva comunicazione del 1° settembre 2011 l'INPS –che con propria nota del 19 maggio 2011 aveva comunicato all'azienda diritenere ammissibile l'esercizio del diritto d'accesso alle informazionirichieste ai sensi dell'art. 22, l. n. 241/1990 (nei limiti e con le garanziepreviste da tale disciplina) – ha precisato che: a. "i dati di cui l'Istituto è in possesso riguardano siala sussistenza della posizione previdenziale nel Casellario dei lavoratori attivisia informazioni ulteriori relative alla singola gestione previdenzialeinteressata comprensiva dell'indicazione dell'azienda (datore o committente),dell'imponibile contributivo, dei contributi versati nonché del periodo cui siriferisce il versamento"; b. l'eventuale comunicazione all'azienda richiedente verrebbe"effettuata in busta chiusa"; c. "il rischio di fornire informazioni su omonimi èradicalmente escluso dal fatto che l'individuazione della persona interessataavviene non solo [grazie ai] meri dati anagrafici ma anche attraverso ilcodice fiscale, così come validato dall'Anagrafe tributaria". 3. Nel confermare le informazioni fornite dall'INPS (cfr. nota dell'8settembre 2011), l'azienda sanitaria ha altresì puntualizzato che: a. l'elenco dei dipendenti (composto da nome, cognome e data dinascita) per i quali è stata richiesta all'INPS la comunicazione delleeventuali posizioni previdenziali attive "si riferisce a dirigentimedici e non medici ospedalieri e universitari convenzionati, per questi ultimiin ottemperanza con quanto previsto dal decreto del Ministro della Sanità 28febbraio 1997" (art. 2, comma 3); b. la comunicazione sarebbe necessaria per l'espletamento deicompiti istituzionali attribuiti al servizio ispettivo dell'azienda ospedaliera(istituito con determina del direttore generale n. 272 del 6 luglio 2010 esuccessivamente disciplinato con determina n. 315 DG del 30 luglio 2010); c. rispetto a ciascuno dei soggetti interessati dagliaccertamenti "è stata predisposta una scheda di accertamentodocumentale, cui ha fatto seguito un'attività istruttoria di caratteredocumentale consistente nell'esame del fascicolo personale, nell'esame deitabulati di presenza nella richiesta di informazioni ad istituzioni pubbliche eprivate, nella richiesta di informazioni di responsabili delle varie struttureaziendali in particolare, per quanto attiene l'attività libero-professionaleintra moenia autorizzata, le giornate e gli orari nei quali la stessa vienesvolta"; d. "ai sensi dell'art. 7 della legge n. 241/1990 è statainviata una formale comunicazione al soggetto sottoposto a verifica, contenentele informazioni riguardanti la natura e la finalità dell'ispezione, le modalitàdi raccolta dei dati personali ed i responsabili del procedimento". OSSERVA 4. L'Istituto Nazionale Previdenza Sociale - Direzione provinciale diAncona ha effettuato una comunicazione al Garante, ai sensi degli artt. 19,comma 2, e 39, comma 2, del Codice, al fine di poter comunicare all'aziendaospedaliera universitaria "Ospedali Riuniti" di Ancona, su richiestadella stessa, i dati personali concernenti la sussistenza di eventualiposizioni previdenziali nel Casellario dei lavoratori attivi relativi a ungruppo di propri dipendenti identificato in un arco temporale predeterminato. La comunicazione tra soggetti pubblici di dati personali, diversi daquelli sensibili e giudiziari, è ammessa se espressamente prevista da norma dilegge o di regolamento oppure, in mancanza di tale norma, qualora risulticomunque necessaria per lo svolgimento di funzioni istituzionali; inquest'ultimo caso, il titolare deve effettuare una preventiva comunicazione alGarante (artt. 19, comma 2, e 39 del Codice). 5. Dall'esame della normativa di settore applicabile (menzionata inparte dall'azienda ospedaliera, anche nei documenti istruttori predisposti invista dell'istituzione del servizio ispettivo) risulta che: a. l'art. 1, comma 62, l. 23 dicembre 1996, n. 662 (Misure dirazionalizzazione della finanza pubblica) prevede l'istituzione di serviziispettivi presso le singole amministrazioni e l'effettuazione, tramite glistessi ovvero mediante il Dipartimento della funzione pubblica che puòavvalersi, (d'intesa con il Ministero delle finanze) della Guardia di finanza,di "verifiche a campione sui dipendenti [Š], finalizzateall'accertamento dell'osservanza delle disposizioni di cui ai commi da 56 a65" della legge medesima (disposizioni relative al rapporto di lavoroa tempo parziale e alle incompatibilità); b. l'art. 1, comma 14, l. n. 662/1996 ha rimesso ad un decretodel Ministro della sanità il compito di stabilire, tra l'altro, "lemodalità per il controllo del rispetto delle disposizioni sulla incompatibilità"; c. con decreto del Ministero della sanità del 31 luglio 1997(Attività libero-professionale e incompatibilità del personale della dirigenzasanitaria del Servizio sanitario nazionale) – con il quale si èsostituito il decreto del 28 febbraio 1997 avente identico oggetto (cfr. Cortecost., 5 febbraio 1998, n. 13) –, l'art. 6, comma 1, ha previsto che "aisensi del comma 62 dell'art. 1 della legge 23 dicembre 1996, n. 662, la U.S.L.provvede all'accertamento dell'osservanza delle disposizionisull'incompatibilità attraverso periodiche verifiche a campione nonchéspecifici accertamenti nelle istituzioni sanitarie private, accreditate o nonaccreditate"; d. con la disciplina regolamentare appena richiamata si è altresìdisposto che, "le istituzioni sanitarie private sono tenute afornire, su richiesta della U.S.L., tutte le informazioni utiliall'accertamento di eventuali situazioni di incompatibilità" (comma 3;sul punto, v. anche i chiarimenti forniti dall'Autorità il 30 novembre 1999,doc. web n. e. quanto alle modalità per effettuare detti controlli in materiadi incompatibilità, l'art. 2, decreto Ministero della sanità, 11 giugno 1997 haprevisto che le stesse dovessero essere stabilite "con separatoprovvedimento" (comma 1) e che "fino all'entrata in vigoredella predetta disciplina [Š] i controlli del rispetto delle disposizioni sullaincompatibilità sono effettuati dai servizi ispettivi delle aziende secondo ipropri ordinamenti, fermo restando l'applicazione delle disposizioni di cuiall'art. 1, commi 60 e 61, della legge 23 dicembre 1996, n. 662"(comma 2). 6. All'interno di tale cornice normativa, stratificatasi nel tempo,devono essere considerati, al fine di una compiuta valutazione della liceitàdella richiesta comunicazione di dati personali da parte dell'INPS, ancheulteriori elementi. Da un lato, la regolamentazione di settore che (al di là delle regoledi protezione dei dati personali) individua i soggetti autorizzati ad accedereal Casellario (vale a dire, gli enti previdenziali e gli iscritti, in base all'art.4, decreto Ministero del lavoro e delle politiche sociali, 4 febbraio 2005,Istituzione del Casellario centrale delle posizioni previdenziali attive pressol'Istituto nazionale della previdenza sociale). Dall'altro, la disposizioneregolamentare che, con puntuale riferimento alla materia in esame, consentealla Guardia di finanza di acquisire la pertinente documentazione: per l'art.39, comma 28, l. 27 dicembre 1997, n. 449 (Misure per la stabilizzazione dellafinanza pubblica), infatti, "nell'esercizio dei compiti attribuitidall'art. 1, comma 62, della legge 23 dicembre 1996, n. 662, il Corpo dellaguardia di finanza agisce avvalendosi dei poteri di polizia tributaria previstidal d.P.R. 26 ottobre 1972, n. 633, e dal d.P.R. 29 settembre 1973, n. 600. Nelcorso delle verifiche previste dall'art. 1, comma 62, della legge 23 dicembre1996, n. 662, non è opponibile il segreto d'ufficio". 7. Nel caso in esame, pertanto, ai sensi degli artt. 19, comma 2 e 39comma 2 del Codice, considerata la mancanza di un'espressa previsione di leggeo di regolamento che in via diretta ammetta la comunicazione di dati richiestadall'azienda ed in presenza, al contrario, di una puntuale disciplina che,proprio in relazione alle verifiche previste dall'art. 1, comma 62, l. n.662/1996, consente alla Guardia di finanza di acquisire i dati necessariall'accertamento di eventuali situazioni di incompatibilità, deve ritenersi chenon possa essere effettuata da parte dell'INPS la richiesta comunicazione didati personali nelle forme prefigurate dal servizio ispettivo dell'aziendaospedaliera universitaria "Ospedali Riuniti" di Ancona. Resta impregiudicato l'esercizio, da parte dell'azienda, del dirittod'accesso ai sensi dell'art. 22, l. n. 241/1990 alle informazioni pertinenti rispettoal perseguimento delle finalità istituzionali, conformemente, peraltro, aquanto già prefigurato dall'INPS. Roma, 24 novembre 2011
|