[doc. web n. 3593920]

Comunicazione di dati personali tra soggetti pubblici - 2 ottobre 2014

Registro dei provvedimenti
n. 435 del 2 ottobre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

VISTA la richiesta dell´Università degli Studi di Firenze (nota del 6 agosto 2014, in atti);

VISTO l´art. 17 del regolamento n. 1/2007 del 14 dicembre 2007, concernente le procedure interne all´Autorità aventi rilevanza esterna, pubblicato in G.U. n. 7 del 9 gennaio 2008 e disponibile sul sito web istituzionale all´indirizzo www.garanteprivacy.it, doc. web n. 1477480;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1.1. Con nota del 6 agosto 2014 e successiva comunicazione integrativa del 12 settembre 2014, l´Università degli studi di Firenze ha formalizzato la richiesta ai sensi degli artt. 19, comma 2 e 39, comma 1, lett. a), del Codice al fine di ottenere l´autorizzazione a comunicare all´Azienda ospedaliero-universitaria Careggi (A.O.U.C.) informazioni di natura personale, in particolare le "anagrafiche complete del personale universitario che opera a qualsiasi titolo nelle strutture ricomprese nella azienda" ed altre informazioni del cui trattamento l´ateneo è titolare.

Le operazioni di trattamento sarebbero finalizzate ad "implementare un flusso informativo" tra il medesimo ateneo e l´Azienda dettato dalla necessità di quest´ultima − che svolge funzioni di assistenza, didattica e ricerca nell´ambito del servizio sanitario nazionale e del sistema universitario − di realizzare un Sistema di gestione della sicurezza e salute sul lavoro sia con riguardo al proprio personale che con riguardo a quello di dipendenza universitaria che opera presso le strutture dell´azienda.

1.2. La necessità dell´azienda di "monitorare le performance dei processi relativi alla formazione e alla ricerca", attraverso il Dipartimento Interistituzionale Integrato (DIPINT), sarebbe altresì alla base della richiesta di comunicazione di altri dati detenuti dall´Università, in particolare: "i dati relativi alle attività didattiche", alle "pubblicazioni di coloro che lavorano in ambito aziendale" e quelli infine "connessi ai prodotti ed esiti dell´attività di ricerca (pubblicazioni, brevetti ecc.)"(cfr. nota 6 agosto 2014, cit.).

Con riguardo alla tipologia dei dati richiesti, oltre ai dati anagrafici −di cui l´ateneo ha fornito apposito elenco in allegato allo schema di convenzione che in futuro regolerà i rapporti tra i due enti (cfr. all. n. 1 convenzione trasmessa con nota del 12 settembre 2014, cit.)− oggetto di comunicazione saranno anche "i dati di assegnazione presso le strutture dell´azienda per qualsiasi attività svolta" e quelli relativi alle attività didattiche, alle pubblicazioni e ai prodotti della ricerca (come meglio precisato all´art. 2 dello schema di convenzione, cit.).

1.3. Le operazioni di trattamento avranno ad oggetto dati personali di alcune specifiche categorie di lavoratori, studenti e altro personale che "opera a qualsiasi titolo nelle strutture e con i materiali dell´azienda", quali "personale strutturato" e appartenenti ai dipartimenti universitari oggetto di apposita convenzione; "assegnisti, dottorandi e borsisti afferenti ai dipartimenti dell´area medica"; docenti a contratto titolari di insegnamento presso i corsi di studio erogati dalla Scuola di scienze della salute umana, gestiti tramite gli strumenti della programmazione didattica, studenti regolarmente iscritti alla Scuola di scienze della salute umana e alle scuole di specializzazione dell´area medica, ai master e corsi di perfezionamento della Scuola di scienze della salute umana" (cfr. nota 6 agosto 2014, cit.).

1.4. I dati sopra indicati−presenti negli archivi dell´Università− verranno resi disponibili nell´ambito del Sistema pubblico di connettività e la intranet aziendale attraverso "servizi di web service o altro collegamento concordato" sulla base di appositi accordi di servizio (art. 17, comma 1, lett. h)  del d.lg. 7 marzo 2005, n. 82, Codice dell´amministrazione digitale; cfr. art. 3 schema di convenzione, cit.).

OSSERVA

2. Come noto, la comunicazione tra soggetti pubblici di dati personali, diversi da quelli sensibili e giudiziari, è ammessa se espressamente prevista da norma di legge o di regolamento oppure, in mancanza di tale norma, qualora risulti comunque necessaria per lo svolgimento di funzioni istituzionali; in quest´ultimo caso, il titolare deve effettuare una preventiva comunicazione al Garante (artt. 19, comma 2, e 39 del Codice).

3.1. La disciplina in materia di tutela della salute e della sicurezza nei luoghi di lavoro prevede la possibilità per il datore di lavoro di adottare modelli di organizzazione e di gestione aziendale che consentano di dare effettivo adempimento agli obblighi a tutela dei lavoratori in tale settore (cfr. d.lg. 9 aprile 2008, n. 81, artt. 2 e 30, sul punto si vedano, ad esempio, Linee guida Uni-Inail per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28/09/2001 e British Standard OHSAS 18001:2007). Inoltre, il personale universitario, indicato nella richiesta di autorizzazione e nello schema di convenzione fornito dall´ateneo, è da considerarsi, ai fini dell´applicazione della disciplina di settore, ricompreso nella definizione di "lavoratore" di cui all´art. 2, comma 1, lett. a) del d.lg. n. 81/2008.

3.2.. Con riguardo, altresì, al quadro normativo applicabile in ordine alla progressiva integrazione fra Sistema Sanitario Nazionale ed Università (art. 6, l. 30 novembre 1998, n. 419 e dlg. 21 dicembre 1999, n. 517, nonché legge Regione Toscana 24 febbraio 2005, n. 40) si rileva che in tale specifico contesto l´Azienda Careggi opera in qualità e con le funzioni proprie delle "aziende ospedaliere-universitarie", ai sensi dell´art. 2, d.lg. n. 517/1999.

Con delibera della Giunta regionale della Toscana n. 1274 del 28 dicembre 2009 è stato inoltre costituito, presso l´Azienda Careggi, il Dipartimento interistituzionale integrato  (DIPINT), quale centro tecnico e amministrativo a supporto delle funzioni della didattica e della ricerca svolte dai dipartimenti dell´università e da quelli delle aziende ospedaliere, al fine di favorire lo svolgimento coordinato degli obiettivi strategici stabiliti dalla Regione Toscana in materia di ricerca scientifica e formazione di eccellenza (cfr. anche Accordo tra Regione Toscana, le università di Firenze, Pisa e Siena e le aziende ospedaliere-universitarie Careggi e Meyer per la implementazione dell´attività di formazione e di ricerca all´interno delle AOU del 29 dicembre 2011, la Convenzione relativa all´implementazione del Dipint del 6 aprile 2012, nonché il regolamento di funzionamento dello stesso, definito d´intesa tra il Rettore dell´università e il Direttore Generale delle aziende, in atti).

3.3.  All´interno di tale cornice normativa, pertanto, ai sensi degli artt. 19, comma 2 e 39 comma 2 del Codice, considerata la mancanza di un´espressa previsione di legge o di regolamento che in via diretta ammetta la comunicazione di dati dall´Università all´Azienda, quest´ultima potrà lecitamente porre in essere le necessarie operazioni di trattamento, acquisendo le informazioni di carattere personale che risultino comunque pertinenti e non eccedenti in vista delle dichiarate finalità (art. 11, comma 1, lett. d) del Codice).

4.1. Con riguardo invece all´indicazione tra i dati suscettibili di comunicazione delle informazioni relative allo stato di "maternità" delle lavoratrici (cfr. all. n. 1, in atti, cit.), occorre precisare che, ai fini dell´applicazione della disciplina di protezione dei dati personali, va considerato dato relativo allo stato di salute (art. 4, comma 1, lett. d) del Codice) l´informazione relativa all´interdizione dal lavoro delle lavoratrici in stato di gravidanza ai sensi dell´art. 17 comma 2, lett. a), d.lg. n. 151/2001 (ossia in ragione delle "gravi complicanze della gravidanza o [a] persistenti forme morbose che si presume possano essere aggravate dallo stato di gravidanza", fattispecie in relazione alla quale i competenti uffici della Direzione Provinciale del Lavoro e della Asl dispongono l´interdizione dal lavoro delle lavoratrici in stato di gravidanza fino al periodo di astensione c.d. obbligatoria; sul punto, Provv. del  27 giugno 2013, doc. web n. 2576686).

4.2. Tanto premesso, posto che la procedura "semplificata" che il Codice prevede agli artt. 19, comma 2 e 39, commi 1, lett. a) e 2, trova applicazione per la comunicazione da parte dei soggetti pubblici dei soli dati personali diversi da quelli sensibili, il trattamento (tra cui la "comunicazione", art. 4, comma 1, lett. a) ed l) del Codice) delle menzionate informazioni e di eventuali altri dati sensibili – che deve comunque avvenire "secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell´interessato" (art. 22, comma 1, del Codice) – potrà  essere effettuato esclusivamente in presenza di espressa disposizione di legge nella quale siano specificati, non solo i tipi di dati che possono essere trattati e la natura delle operazioni eseguibili, ma anche le finalità di rilevante interesse pubblico perseguite (art. 20, comma 1, del Codice). Ove la legge non specifichi la tipologia di dati e di operazioni eseguibili le stesse, in base al richiamato quadro normativo, dovranno necessariamente essere specificate nei regolamenti per il trattamento dei dati sensibili e giudiziari di cui all´art. 20, comma 2, del Codice.

Pertanto ove nell´adempimento di specifici obblighi in capo alle amministrazioni interessate si renda necessario provvedere alla comunicazioni anche di siffatte informazioni ovvero di altri dati sensibili (art. 4, comma 1, lett. d), del Codice)– come di recente chiarito con Provv. 31 luglio 2014, attualmente in corso di pubblicazione – si potrà provvedere, se del caso, ad eventuali aggiornamenti dei rispettivi regolamenti per il trattamento dei dati sensibili e giudiziari previo parere del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell´art. 39, comma 2, del Codice, determina che l´Università degli studi di Firenze possa comunicare all´Azienda ospedaliero-universitaria Careggi, alle condizioni richiamate, i soli dati, diversi da quelli di natura sensibile, ritenuti pertinenti e non eccedenti rispetto alle dichiarate finalità, dei soggetti di cui al paragrafo 1.3., ritenendo che tale flusso di dati sia necessario al fine di consentire la realizzazione del Sistema di gestione della sicurezza e salute sul lavoro (ai sensi dell´art. 30 d.lg. n. 81/2008, n. 81) e per lo svolgimento delle funzioni istituzionali del DIPINT, incardinato presso l´azienda ospedaliera.

Roma, 2 ottobre 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia