Comunicazione di dati personali tra soggettipubblici

AUTORIZZAZIONE DEL 2 OTTOBRE 2014

Registrodei provvedimenti
 n. 435 del 2 ottobre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ild.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali, di seguito "Codice");

VISTA larichiesta dell'Università degli Studi di Firenze (nota del 6 agosto 2014, inatti);

VISTOl'art. 17 del regolamento n. 1/2007 del 14 dicembre 2007, concernente leprocedure interne all'Autorità aventi rilevanza esterna, pubblicato in G.U. n.7 del 9 gennaio 2008;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

PREMESSO

1.1. Connota del 6 agosto 2014 e successiva comunicazione integrativa del 12 settembre2014, l'Università degli studi di Firenze ha formalizzato la richiesta ai sensidegli artt. 19, comma 2 e 39, comma 1, lett. a), del Codice al fine di ottenerel'autorizzazione a comunicare all'Azienda ospedaliero-universitaria Careggi(A.O.U.C.) informazioni di natura personale, in particolare le"anagrafiche complete del personale universitario che opera a qualsiasititolo nelle strutture ricomprese nella azienda" ed altre informazioni delcui trattamento l'ateneo è titolare.

Leoperazioni di trattamento sarebbero finalizzate ad "implementare un flussoinformativo" tra il medesimo ateneo e l'Azienda dettato dalla necessità diquest'ultima − che svolge funzioni di assistenza, didattica e ricercanell'ambito del servizio sanitario nazionale e del sistema universitario −di realizzare un Sistema di gestione della sicurezza e salute sul lavoro siacon riguardo al proprio personale che con riguardo a quello di dipendenzauniversitaria che opera presso le strutture dell'azienda.

1.2. Lanecessità dell'azienda di "monitorare le performance dei processi relativialla formazione e alla ricerca", attraverso il DipartimentoInteristituzionale Integrato (DIPINT), sarebbe altresì alla base dellarichiesta di comunicazione di altri dati detenuti dall'Università, inparticolare: "i dati relativi alle attività didattiche", alle"pubblicazioni di coloro che lavorano in ambito aziendale" e quelliinfine "connessi ai prodotti ed esiti dell'attività di ricerca(pubblicazioni, brevetti ecc.)"(cfr. nota 6 agosto 2014, cit.).

Conriguardo alla tipologia dei dati richiesti, oltre ai dati anagrafici −dicui l'ateneo ha fornito apposito elenco in allegato allo schema di convenzioneche in futuro regolerà i rapporti tra i due enti (cfr. all. n. 1 convenzionetrasmessa con nota del 12 settembre 2014, cit.)− oggetto di comunicazionesaranno anche "i dati di assegnazione presso le strutture dell'azienda perqualsiasi attività svolta" e quelli relativi alle attività didattiche,alle pubblicazioni e ai prodotti della ricerca (come meglio precisato all'art.2 dello schema di convenzione, cit.).

1.3. Leoperazioni di trattamento avranno ad oggetto dati personali di alcunespecifiche categorie di lavoratori, studenti e altro personale che "operaa qualsiasi titolo nelle strutture e con i materiali dell'azienda", quali"personale strutturato" e appartenenti ai dipartimenti universitarioggetto di apposita convenzione; "assegnisti, dottorandi e borsistiafferenti ai dipartimenti dell'area medica"; docenti a contratto titolaridi insegnamento presso i corsi di studio erogati dalla Scuola di scienze dellasalute umana, gestiti tramite gli strumenti della programmazione didattica,studenti regolarmente iscritti alla Scuola di scienze della salute umana e allescuole di specializzazione dell'area medica, ai master e corsi diperfezionamento della Scuola di scienze della salute umana" (cfr. nota 6agosto 2014, cit.).

1.4. Idati sopra indicati−presenti negli archivi dell'Università− verrannoresi disponibili nell'ambito del Sistema pubblico di connettività e la intranetaziendale attraverso "servizi di web service o altro collegamentoconcordato" sulla base di appositi accordi di servizio (art. 17, comma 1,lett. h)  del d.lg. 7 marzo 2005, n. 82, Codice dell'amministrazionedigitale; cfr. art. 3 schema di convenzione, cit.).

OSSERVA

2. Comenoto, la comunicazione tra soggetti pubblici di dati personali, diversi daquelli sensibili e giudiziari, è ammessa se espressamente prevista da norma dilegge o di regolamento oppure, in mancanza di tale norma, qualora risulticomunque necessaria per lo svolgimento di funzioni istituzionali; inquest'ultimo caso, il titolare deve effettuare una preventiva comunicazione alGarante (artt. 19, comma 2, e 39 del Codice).

3.1. Ladisciplina in materia di tutela della salute e della sicurezza nei luoghi dilavoro prevede la possibilità per il datore di lavoro di adottare modelli diorganizzazione e di gestione aziendale che consentano di dare effettivoadempimento agli obblighi a tutela dei lavoratori in tale settore (cfr. d.lg. 9aprile 2008, n. 81, artt. 2 e 30, sul punto si vedano, ad esempio, Linee guidaUni-Inail per un sistema di gestione della salute e sicurezza sul lavoro (SGSL)del 28/09/2001 e British Standard OHSAS 18001:2007). Inoltre, il personaleuniversitario, indicato nella richiesta di autorizzazione e nello schema diconvenzione fornito dall'ateneo, è da considerarsi, ai fini dell'applicazionedella disciplina di settore, ricompreso nella definizione di"lavoratore" di cui all'art. 2, comma 1, lett. a) del d.lg. n. 81/2008.

3.2..Con riguardo, altresì, al quadro normativo applicabile in ordine allaprogressiva integrazione fra Sistema Sanitario Nazionale ed Università (art. 6,l. 30 novembre 1998, n. 419 e dlg. 21 dicembre 1999, n. 517, nonché leggeRegione Toscana 24 febbraio 2005, n. 40) si rileva che in tale specificocontesto l'Azienda Careggi opera in qualità e con le funzioni proprie delle"aziende ospedaliere-universitarie", ai sensi dell'art. 2, d.lg. n.517/1999.

Condelibera della Giunta regionale della Toscana n. 1274 del 28 dicembre 2009 èstato inoltre costituito, presso l'Azienda Careggi, il Dipartimentointeristituzionale integrato  (DIPINT), quale centro tecnico eamministrativo a supporto delle funzioni della didattica e della ricerca svoltedai dipartimenti dell'università e da quelli delle aziende ospedaliere, al finedi favorire lo svolgimento coordinato degli obiettivi strategici stabilitidalla Regione Toscana in materia di ricerca scientifica e formazione dieccellenza (cfr. anche Accordo tra Regione Toscana, le università di Firenze,Pisa e Siena e le aziende ospedaliere-universitarie Careggi e Meyer per laimplementazione dell'attività di formazione e di ricerca all'interno delle AOUdel 29 dicembre 2011, la Convenzione relativa all'implementazione del Dipintdel 6 aprile 2012, nonché il regolamento di funzionamento dello stesso,definito d'intesa tra il Rettore dell'università e il Direttore Generale delleaziende, in atti).

3.3. All'interno di tale cornice normativa, pertanto, ai sensi degli artt. 19, comma2 e 39 comma 2 del Codice, considerata la mancanza di un'espressa previsione dilegge o di regolamento che in via diretta ammetta la comunicazione di datidall'Università all'Azienda, quest'ultima potrà lecitamente porre in essere lenecessarie operazioni di trattamento, acquisendo le informazioni di caratterepersonale che risultino comunque pertinenti e non eccedenti in vista delledichiarate finalità (art. 11, comma 1, lett. d) del Codice).

4.1. Conriguardo invece all'indicazione tra i dati suscettibili di comunicazione delleinformazioni relative allo stato di "maternità" delle lavoratrici(cfr. all. n. 1, in atti, cit.), occorre precisare che, ai finidell'applicazione della disciplina di protezione dei dati personali, vaconsiderato dato relativo allo stato di salute (art. 4, comma 1, lett. d) delCodice) l'informazione relativa all'interdizione dal lavoro delle lavoratriciin stato di gravidanza ai sensi dell'art. 17 comma 2, lett. a), d.lg. n.151/2001 (ossia in ragione delle "gravi complicanze della gravidanza o [a]persistenti forme morbose che si presume possano essere aggravate dallo statodi gravidanza", fattispecie in relazione alla quale i competenti ufficidella Direzione Provinciale del Lavoro e della Asl dispongono l'interdizionedal lavoro delle lavoratrici in stato di gravidanza fino al periodo diastensione c.d. obbligatoria; sul punto, Provv. del  27 giugno 2013).

4.2.Tanto premesso, posto che la procedura "semplificata" che il Codiceprevede agli artt. 19, comma 2 e 39, commi 1, lett. a) e 2, trova applicazioneper la comunicazione da parte dei soggetti pubblici dei soli dati personalidiversi da quelli sensibili, il trattamento (tra cui la"comunicazione", art. 4, comma 1, lett. a) ed l) del Codice) dellemenzionate informazioni e di eventuali altri dati sensibili – che devecomunque avvenire "secondo modalità volte a prevenire violazioni deidiritti, delle libertà fondamentali e della dignità dell'interessato"(art. 22, comma 1, del Codice) – potrà  essere effettuatoesclusivamente in presenza di espressa disposizione di legge nella quale sianospecificati, non solo i tipi di dati che possono essere trattati e la naturadelle operazioni eseguibili, ma anche le finalità di rilevante interessepubblico perseguite (art. 20, comma 1, del Codice). Ove la legge non specifichila tipologia di dati e di operazioni eseguibili le stesse, in base alrichiamato quadro normativo, dovranno necessariamente essere specificate neiregolamenti per il trattamento dei dati sensibili e giudiziari di cui all'art.20, comma 2, del Codice.

Pertantoove nell'adempimento di specifici obblighi in capo alle amministrazioniinteressate si renda necessario provvedere alla comunicazioni anche di siffatteinformazioni ovvero di altri dati sensibili (art. 4, comma 1, lett. d), delCodice)– come di recente chiarito con Provv. 31 luglio 2014, attualmentein corso di pubblicazione – si potrà provvedere, se del caso, adeventuali aggiornamenti dei rispettivi regolamenti per il trattamento dei datisensibili e giudiziari previo parere del Garante.

TUTTO CIO' PREMESSO IL GARANTE

ai sensidell'art. 39, comma 2, del Codice, determina che l'Università degli studi diFirenze possa comunicare all'Azienda ospedaliero-universitaria Careggi, allecondizioni richiamate, i soli dati, diversi da quelli di natura sensibile,ritenuti pertinenti e non eccedenti rispetto alle dichiarate finalità, deisoggetti di cui al paragrafo 1.3., ritenendo che tale flusso di dati sianecessario al fine di consentire la realizzazione del Sistema di gestione dellasicurezza e salute sul lavoro (ai sensi dell'art. 30 d.lg. n. 81/2008, n. 81) eper lo svolgimento delle funzioni istituzionali del DIPINT, incardinato pressol'azienda ospedaliera.

Roma, 2 ottobre 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia