| Garante per la protezione dei dati personali Affidamento di servizi in house daparte del Miur al Consorzio Cineca PROVVEDIMENTO DEL 5 DICEMBRE 2013 Registro dei provvedimenti n. 548 del 5 dicembre 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'istruzione, dell'Università e dellaRicerca, del 9 luglio 2013 (prot. n. 0013899); Vistala deliberazione del Consiglio di Stato del 12 marzo 2013, n. 1168/2013; Vistoil Codice in materia di protezione dei dati personali, d.lg. 30 giugno 2003, n.196 (di seguito Codice), con particolare riferimento all' art. 154, comma 1, lett.g); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatorela dott.ssa Giovanna Bianchi Clerici; PREMESSO IlMinistero dell'istruzione, dell'Università e della Ricerca (di seguitoMinistero) ha richiesto un parere alla Sezione consultiva del Consiglio diStato in merito all'affidamento in via diretta al Consorzio CINECA (di cui ilMinistero stesso fa parte e di cui ne ha promosso la costituzione - artt. 1 e 2dello Statuto del Consorzio), secondo il modello in house, di prestazioni diservizio nel campo dell'informatica concernenti i sistemi dell'istruzione,dell'università e della ricerca (nota del 28 dicembre 2012, prot. n.AOOUFGABU.27144/PF). IlConsiglio di Stato, nel sospendere l'emissione del parere, ha richiesto alMinistero l'acquisizione degli "avvisi", tra le altre, dell'AutoritàGarante per la protezione dei dati personali "per quanto concerne leinterferenze con la materia del trattamento dei dati personali"(deliberazione del Consiglio di Stato del 12 marzo 2013, n. 1168/2013). IlMinistero ha, pertanto, richiesto a questa Autorità le valutazioni dicompetenza, in relazione alla disciplina in materia di protezione dei dati personali,in ordine alla possibilità di "procedere all'affidamento in via diretta,secondo il modello in house, di servizi di natura informatica concernenti ilsistema universitario, della ricerca e scolastico al Consorzio CINECA,partecipato dal Ministero medesimo, da Università e da Enti pubblici diricerca" (nota prot. n. 0013899 del 9 luglio 2013). OSSERVA Neltrattamento di dati personali connesso allo svolgimento dei propri compitiistituzionali, ciascun titolare, anche pubblico, può avvalersi del contributodi soggetti esterni, affidando ad essi determinate attività che restano nellasfera della titolarità dell'amministrazione stessa e che non comportanodecisioni di fondo sulle finalità e sulle modalità di utilizzazione dei dati.In questo caso, è necessario che l'amministrazione – in qualità di titolaredel trattamento – designi il soggetto esterno, preposto allo svolgimentodi determinate attività che comportano il trattamento di dati personali, come"responsabile del trattamento", con un apposito atto scritto chespecifichi analiticamente i compiti ad esso affidati (artt. 4, comma 1, lett. fe g, 28 e 29 del Codice). Incaso contrario, in mancanza di tale designazione, la messa a disposizione didati personali a soggetti esterni si configura come una comunicazione; isoggetti pubblici che intendono effettuare tale operazione devono, quindi,rispettare le specifiche norme previste dal Codice per la comunicazione di datipersonali (art. 19, comma 3). Qualora, poi, i dati personali oggetto dicomunicazione siano sensibili e giudiziari (art. 4, comma 1, lett. d ed e, delCodice) dovrà essere rispettato lo specifico quadro normativo previsto dalCodice che, per il trattamento di tali categorie di dati personali, prevedeulteriori limitazioni e garanzie rafforzate (artt. 20-22 del Codice). Inogni caso, le persone fisiche che, anche presso il soggetto esterno,materialmente trattano i dati personali devono essere designate, dal titolare odal responsabile, "incaricati del trattamento" con un atto scrittoche individui puntualmente l'ambito del trattamento che essi possono effettuare(art. 30 del Codice). Intale quadro, in relazione alla questione in esame e ai fini del rispetto dellanormativa richiamata, il Ministero potrà avvalersi del contributo del ConsorzioCINECA per lo svolgimento di determinate attività che comportino il trattamentodi dati personali, avendo cura di designare il Consorzio medesimo"responsabile del trattamento dei dati personali". Tale designazioneimplica che il Consorzio CINECA sia individuato dal Ministero "trasoggetti che per esperienza, capacità ed affidabilità forniscano idoneagaranzia del pieno rispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo della sicurezza". Il Ministero,inoltre, dovrà specificare analiticamente, per iscritto, i compiti ad essoaffidati e vigilare, anche mediante verifiche periodiche, sulla puntualeosservanza delle proprie istruzioni (art. 29, commi 2 e 4, del Codice). E'necessario, infine, che i dipendenti del Consorzio stesso operino in qualità di"incaricati del trattamento" sotto la diretta sorveglianza e secondole istruzioni ad essi impartite per iscritto dal titolare (Ministero) ovverodirettamente dal Consorzio stesso quale responsabile del trattamento (art. 30del Codice). Alriguardo, si ritiene opportuno evidenziare che già in occasione della richiestadi parere a questa Autorità sullo schema di decreto del Ministerodell'Istruzione, dell'Università e della Ricerca, riguardante le modalità e icontenuti della prova di ammissione al corso di laurea magistrale in Medicina eChirurgia attivato in lingua inglese per l'anno accademico 2013/2014, ilMinistero aveva rappresentato l'intenzione di volersi avvalere dellacollaborazione esterna del CINECA, insieme con il Cambridge Assessment, per leprocedure di iscrizione on line alle prove. In tale circostanza, l'Autorità,nel fornire il parere di competenza, ha segnalato al Ministero la necessità diprecisare il ruolo svolto dal CINECA sotto il profilo della protezione dei datipersonali, quale responsabile del trattamento dei dati ai sensi dell'art. 29del Codice (cfr. provvedimento del 14 febbraio 2013, disponibile nel sitointernet www.garanteprivacy.it; doc. web n. 2304831). Roma, 5 dicembre 2013
|