Sentenza n. 271 del 2005

SENTENZA N. 271

ANNO 2005

 

Commento alla decisione di

Sergio Foà

Tutela della privacy e sistemi informativi regionali: il potere normativo regionale è riconosciuto solo se richiama e rispetta il codice sul trattamento dei dati personali (per gentile concessione della Rivista telematica Federalismi.it)

 

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE COSTITUZIONALE

composta dai signori:

- Piero Alberto  CAPOTOSTI             Presidente

- Fernanda         CONTRI                      Giudice

- Guido             NEPPI MODONA           “

- Annibale         MARINI                           “

- Franco             BILE                                 “

- Giovanni Maria FLICK                            “

- Francesco        AMIRANTE                     “

- Ugo                 DE SIERVO                     “

- Romano          VACCARELLA               “

- Paolo               MADDALENA                “

- Alfio               FINOCCHIARO              “

- Alfonso           QUARANTA                   “

- Franco             GALLO                            “

ha pronunciato la seguente

SENTENZA

nel giudizio di legittimità costituzionale degli articoli 12, 13 e 14 della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11 (Sviluppo regionale della società dell’informazione), promosso con ricorso del Presidente del Consiglio dei ministri, notificato il 23 luglio 2004, depositato in cancelleria il 30 successivo ed iscritto al n. 76 del registro ricorsi 2004.

  Visto l’atto di costituzione della Regione Emilia-Romagna;

  udito nell’udienza pubblica del 3 maggio 2005 il Giudice relatore Ugo De Siervo;

  uditi l’avvocato dello Stato Massimo Mari per il Presidente del Consiglio dei ministri e l’avvocato Franco Mastragostino per la Regione Emilia-Romagna.

 

Ritenuto in fatto

 

1. – Con ricorso, notificato il 23 luglio 2004 e depositato in cancelleria il 30 luglio 2004, il Presidente del Consiglio dei ministri, rappresentato e difeso dall’Avvocatura generale dello Stato, ha impugnato gli articoli 12, 13 e 14 della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11 (Sviluppo regionale della società dell’informazione), pubblicata nel Bollettino Ufficiale della Regione Emilia-Romagna n. 65 del 25 maggio 2004, in relazione all’art. 117, secondo comma, lettere l), m) e r), e sesto comma della Costituzione, nonché ai principi della legislazione statale in materia di protezione dei dati personali.

In particolare, il citato art. 12 prevede che, ferma restando l’applicazione delle norme a tutela della privacy, «l’insieme delle informazioni acquisite o prodotte nell’esercizio di pubbliche funzioni» costituisce patrimonio comune per le attività istituzionali delle pubbliche amministrazioni e degli enti, o associazioni o soggetti privati che operano in ambito regionale per finalità di interesse pubblico, disponendo inoltre che questo patrimonio sia aperto al libero utilizzo di soggetti terzi, con forme e modalità di carattere tecnico disciplinate dalla Giunta regionale. La disposizione in esame prevede, inoltre, che con regolamento regionale sia disciplinata la cessione a privati ed enti pubblici economici dei dati costitutivi del patrimonio informativo pubblico, stabilendo altresì un obbligo sia delle pubbliche amministrazioni e degli enti pubblici, sia delle associazioni e dei soggetti privati che operano in ambito regionale per finalità di interesse pubblico, di «fornire la disponibilità dei dati contenuti nei propri sistemi informativi nei limiti previsti dal decreto legislativo n. 196 del 2003».

 

L’Avvocatura dello Stato ritiene del tutto generico il richiamo, contenuto nel medesimo art. 12, al rispetto dei limiti di cui al d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), e dei principî fondamentali posti dalla legislazione statale in materia, nonché dei livelli di tutela previsti nel citato decreto.

 

La disciplina della protezione dei dati personali, secondo la difesa erariale, sarebbe riconducibile alla conformazione dei diritti fondamentali della persona il cui livello di tutela «non può che essere uniforme sul territorio nazionale», anche in coerenza con atti internazionali quali la Convenzione di Strasburgo del 28 gennaio 1981, n. 108 ratificata con la legge 21 febbraio 1989, n. 98 (Ratifica ed esecuzione della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981), e con la direttiva n. 95/46/CE del 24 ottobre 1995 (Direttiva del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).

Sarebbe quindi esclusa la configurabilità, in materia di protezione dei dati personali, di una qualsiasi competenza regionale, sussistendo, invece, la potestà legislativa esclusiva dello Stato, in base all’art. 117, secondo comma, lettere l), m) e r) della Costituzione.

 

La previsione, contenuta nella disposizione censurata, di una generale condivisione delle informazioni ai fini della formazione di un patrimonio informativo comune di supporto alle varie attività di soggetti pubblici e privati che operano in ambito regionale per ogni diversa finalità di interesse pubblico, e l’apertura di tale patrimonio alla disponibilità ed al libero utilizzo di soggetti terzi, estranei ad attività di interesse pubblico, secondo il ricorrente, contrasterebbero con l’art. 11 del predetto decreto legislativo 30 giugno 2003, n. 196, il quale dispone che la raccolta e la registrazione dei dati sia fatta «per scopi determinati ed espliciti», e che «siano pertinenti e non eccedenti rispetto alle specifiche finalità per le quali sono raccolti e siano conservati per un periodo di tempo non superiore a quello necessario per gli scopi per i quali sono stati raccolti».

La previsione della emanazione di un regolamento regionale per la disciplina della cessione dei dati a privati e a soggetti pubblici economici contrasterebbe con l’art. 117, sesto comma, della Costituzione, trattandosi di materia rientrante nella potestà legislativa esclusiva dello Stato. L’art. 12 della legge regionale n. 11 del 2004 violerebbe, altresì, l’art. 19, terzo comma, del d.lgs. n. 196 del 2003, secondo il quale la comunicazione di dati personali da parte di un soggetto pubblico a privati o ad enti pubblici economici, e la diffusione da parte di un soggetto pubblico, sono ammesse  solo se previste da una norma di legge o di regolamento, “da intendere”, secondo l’Avvocatura dello Stato, come fonti di livello statale.

2. – Oggetto di censura governativa sono anche le disposizioni contenute negli artt. 13 e 14 della legge della Regione Emilia-Romagna n. 11 del 2004, che disciplinano rispettivamente il Sistema informativo regionale (SIR) e la realizzazione da parte della Regione di progetti integrati volti «all’accrescimento e alla valorizzazione del patrimonio pubblico di conoscenze».

Il ricorrente ritiene evidente il contrasto di tali previsioni con l’art. 117, secondo comma, lettera r), della Costituzione, che riserva allo Stato la competenza sul coordinamento informativo dei dati dell’amministrazione statale, regionale e locale.

Ad avviso dell’Avvocatura, ciascun sistema informativo, strumentale all’esercizio di competenze distinte, si caratterizzerebbe per funzioni e procedure diverse e per il trattamento dei dati con forme e modalità differenti che non sarebbero suscettibili di interscambio al di fuori delle condizioni e delle cautele previste dalla normativa statale volta al fine di evitare la messa in pericolo dei diritti inviolabili garantiti dall’art. 2 Cost.

 

L’interscambio di diversi sistemi informativi previsto dalla legge della Regione Emilia-Romagna avverrebbe invece al di fuori delle regole fissate dal Codice nei diversi settori. In particolare, la prevista collaborazione anche delle aziende sanitarie per l’immissione ed il trattamento dei dati a scala regionale e locale, nonché per l’alimentazione e l’aggiornamento dei flussi informativi (art. 13), e la realizzazione con il sistema delle aziende sanitarie di supporti e procedure informatiche per l’estrazione automatica da archivi ed il trattamento dei dati necessari ad integrare le basi informative del SIR (art. 14), sarebbero previste in modo generico ed indiscriminato. Non vi sarebbe, infatti, «alcuna particolare considerazione dei dati sensibili (di cui all’art. 4, comma 1, lettera d) del d.lgs. 196 del 2003)» e ciò sarebbe in contrasto con gli artt. 20, 21 e 22 del d.lgs n. 196 del 2003, «che ne consentono il trattamento solo se autorizzato da espressa disposizione di legge statale nella quale siano precisati i tipi di dati trattabili, le operazioni eseguibili e le specifiche finalità di rilevante interesse pubblico perseguite (…) e, per i soggetti pubblici, lo limitano ai dati indispensabili per svolgere attività istituzionali».

Relativamente all’art. 14, il quale per la realizzazione di supporti e procedure informatiche richiama l’accordo quadro stipulato tra Ministero della sanità, Regioni e Province autonome per lo sviluppo del nuovo sistema informativo sanitario nazionale (Accordo del 22 febbraio 2001, avente durata triennale), la difesa erariale osserva che i «requisiti funzionali di massima indicati nell’art. 3 dell’accordo non potrebbero essere che quelli definiti nel dettaglio dallo Stato, in base alle sopravvenute previsioni della legge costituzionale n. 3 del 2001, così come è rimessa allo Stato la definizione del quadro normativo cui fa riferimento l’art. 4 dello stesso accordo».

 

3. – In data 28 luglio 2004 si è costituita la Regione Emilia-Romagna, chiedendo che sia dichiarata l’inammissibilità e l’infondatezza della questione, e riservandosi di presentare successiva memoria, nella quale esplicitare le proprie ragioni.

4. – In prossimità dell’udienza pubblica la Regione Emilia-Romagna ha presentato una memoria nella quale premette che le censure governative appaiono muovere da una impostazione non corretta circa le prerogative regionali esercitabili ai fini del “coordinamento informativo statistico e informatico” dei dati dell’amministrazione regionale e locale e paiono essere caratterizzate inoltre da «un eccessivo formalismo che porta ad intravedere lesioni dei principî fondamentali fissati dalla normativa statale anche dove il legislatore regionale si è invece ad essa espressamente richiamato».

In particolare, la difesa della Regione ritiene che il coordinamento informatico sia materia “trasversale”; si tratterebbe di una competenza di scopo, nel senso che la lettera r) dell’art. 117, secondo comma, della Costituzione collega a quella materia una finalità del cui raggiungimento lo Stato si fa carico. Le Regioni, partendo dalle proprie materie, potrebbero dettare norme interferenti con i predetti ambiti trasversali e, sia pure nel rispetto delle norme di principio e di uniformità fissate dalla normativa statale, potrebbero adottare misure ulteriori in materie di propria competenza intrecciate con la competenza esclusiva statale. Le norme regionali oggetto di censura, prevedendo forme di coordinamento, di organizzazione e sviluppo dei sistemi informativi statistici e informatici, sempre secondo la difesa della Regione, in quanto «strumentali rispetto a materie tipicamente regionali quali “l’organizzazione degli uffici e degli enti amministrativi dipendenti dalla Regione” ovvero il “sostegno all’innovazione per i settori produttivi”» sarebbero da ritenere «pienamente giustificate quanto al titolo di competenza e legittimazione, più in generale perché strumentali a tutte le funzioni di programmazione, di coordinamento finanziario e di costruzione del sistema amministrativo regionale e locale».

 

Con l’art. 12 la Regione vorrebbe semplicemente «agevolare la costituzione di un patrimonio informativo pubblico, rimuovendo gli ostacoli tecnici e giuridici alla condivisione delle informazioni fra pubbliche amministrazioni e fra i soggetti che ne abbiano diritto. Ciò ovviamente, nel rispetto dei limiti dettati dalla disciplina in materia di trattamento dei dati personali». Quindi la interconnessione fra le banche dati non implicherebbe «che automaticamente tutte le informazioni siano allora condivise e che esse siano, pertanto, visibili da chiunque».

Circa la presunta violazione della normativa sulla protezione dei dati personali ed in particolare dei principî di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati sono raccolti e trattati, fissati nel d.lgs. n. 196 del 2003, la difesa regionale afferma che l’art. 12 impugnato prevede esplicitamente il rispetto delle norme statali in materia di riservatezza e che da tale normativa quindi non potrebbero discostarsi «il regolamento regionale e le direttive tecniche che dovranno essere emanate con deliberazione di Giunta, ai sensi dell’art. 26 della medesima legge».

Per quanto concerne poi le censure mosse agli artt. 13 e 14 della legge regionale n. 11 del 2004, la difesa regionale precisa che il mancato riferimento alla categoria dei dati sensibili deriverebbe dal fatto che le norme in esame si occupano solo di definire cosa sia il Sistema informativo regionale, senza che la condivisione ipotizzata dei flussi informativi implichi l’automatica condivisione anche delle informazioni detenute.

Pertanto, la partecipazione all’interno del predetto sistema informativo regionale delle aziende sanitarie locali avverrebbe nel più assoluto rispetto delle regole a tutela dei diversi tipi di dati personali, mentre la Regione svolgerebbe solo un ruolo di “gestore tecnico del sistema”.

Considerato in diritto

 

1. – Il Presidente del Consiglio dei ministri ha sollevato questione di legittimità costituzionale degli articoli 12, 13 e 14 della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11 (Sviluppo regionale della società dell’informazione), per violazione dell’art. 117, secondo comma, lettere l), m) e r), e sesto comma, della Costituzione, nonché dei principî della legislazione statale in materia di protezione dei dati personali.

 

Secondo il ricorrente le norme impugnate violerebbero i citati parametri costituzionali poiché in materia di tutela dei dati personali sarebbe riservata solo allo Stato la potestà legislativa e regolamentare, dal momento che la legislazione a tutela dei dati personali, derivata dal recepimento nell’ordinamento nazionale di atti internazionali e comunitari, sarebbe riconducibile alla esclusiva competenza statale in tema di “ordinamento civile” e di “determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale”, nonché a quella in tema di “coordinamento informativo statistico e informatico dei dati dell’amministrazione statale, regionale e locale”.

 

L’art. 12 della legge regionale contrasterebbe sotto molteplici profili con quanto previsto negli artt. 11 e 19 del d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), e inoltre sarebbe illegittima la previsione di un regolamento regionale in una materia di esclusiva competenza legislativa dello Stato.

Gli artt. 13 e 14 della legge regionale n. 11 del 2004, nel disciplinare il sistema informativo regionale, contrasterebbero con l’art. 117, secondo comma, lettera r), della Costituzione che riconosce allo Stato la competenza esclusiva in tema di “coordinamento informativo statistico e informatico dei dati dell’amministrazione statale, regionale e locale” e con gli artt. 20, 21 e 22 del d.lgs. n. 196 del 2003 che consentono il trattamento solo se autorizzato da espressa disposizione di legge statale nella quale siano previsti i tipi di dati trattabili, le operazioni eseguibili e le specifiche finalità di rilevante interesse pubblico perseguite, e per i soggetti pubblici lo limitano ai dati indispensabili per svolgere attività istituzionali.

2. – Occorre in via preliminare prendere in considerazione il problema della collocazione, rispetto al riparto di competenze fra Stato e Regioni di cui al Titolo V della Costituzione, di una legislazione, quale quella censurata, incidente sulla tutela dei dati personali.

 

Il d.lgs. n. 196 del 2003 attualmente vigente coordina in un testo unico la normativa originata dal recepimento – mediante la legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) – della direttiva n. 95/46/CE del 24 ottobre 1995 (Direttiva del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), nonché dalle successive numerose integrazioni e modificazioni del richiamato testo legislativo sulla base della legge 31 dicembre 1996, n. 676 (Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), e recepisce la direttiva 2002/58/CE del 12 luglio 2002 (Direttiva del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche), secondo quanto previsto dalla legge 24 marzo 2001, n. 127 (Differimento del termine per l’esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676, in materia di trattamento dei dati personali), modificata dall’art. 26 della legge 3 febbraio 2003, n. 14 (Disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee).

 

Questa complessa legislazione tende a tutelare per la prima volta in modo organico il trattamento dei dati personali (esplicitamente definiti dall’art. 4, comma 1, lettera b, del d.lgs. n. 196 del 2003, come «qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione»), riferendosi all’intera serie dei fenomeni sociali nei quali questi possono venire in rilievo: da ciò una disciplina che, pur riconoscendo tutele differenziate in relazione ai diversi tipi di dati personali ed alla grande diversità delle situazioni e dei contesti normativi nei quali tali dati vengono utilizzati, si caratterizza essenzialmente per il riconoscimento di una serie di diritti alle persone fisiche e giuridiche relativamente ai propri dati, diritti di cui sono regolate analiticamente caratteristiche, limiti, modalità di esercizio, garanzie, forme di tutela in sede amministrativa e giurisdizionale. Anche nel trattamento dei dati personali da parte dei soggetti pubblici rileva essenzialmente la necessaria tutela dei diversi tipi di dati personali, così come dispone espressamente il terzo comma dell’art. 18 del d.lgs. n. 196 del 2003, secondo il quale «nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti».

 

Ciò rende evidente che ci si trova dinanzi ad un corpo normativo essenzialmente riferibile, all’interno delle materie legislative di cui all’art. 117 Cost., alla categoria dell’“ordinamento civile”, di cui alla lettera l) del secondo comma (alla medesima disposizione ci si deve riferire per quanto attiene alle tutele giurisdizionali delle situazioni soggettive del settore, mentre le disposizioni relative al “garante per la protezione dei dati personali” ed ai suoi poteri sono riconducibili alla lettera g del medesimo comma).

 

Improprio appare, invece, il riferimento alla competenza esclusiva dello Stato in tema di “determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale”, di cui alla lettera m) del secondo comma dell’art. 117 Cost., dal momento che la legislazione sui dati personali non concerne prestazioni, bensì la stessa disciplina di una serie di diritti personali attribuiti ad ogni singolo interessato, consistenti nel potere di controllare le informazioni che lo riguardano e le modalità con cui viene effettuato il loro trattamento.

 

Deve peraltro notarsi che, pur nell’ambito di questa esclusiva competenza statale, la legislazione vigente prevede anche un ruolo normativo, per quanto di tipo meramente integrativo, per i soggetti pubblici chiamati a trattare i dati personali, evidentemente per la necessità, almeno in parte ineludibile, che i princìpi posti dalla legge a tutela dei dati personali siano garantiti nei diversi contesti legislativi ed istituzionali: ad esempio, il Codice prevede, all’art. 19, che norme di legge o di regolamento possano modulare nelle diverse materie il trattamento dei dati comuni, per ciò che riguarda la loro comunicazione ai soggetti pubblici o privati o la loro diffusione, e all’art. 20, comma 2, che l’integrazione delle prescrizioni legislative statali che siano incomplete in relazione al trattamento di dati sensibili da parte di pubbliche amministrazioni (poiché non determinano «i tipi di dati sensibili e di operazioni eseguibili») sia operata tramite appositi regolamenti «a cura dei soggetti che ne effettuano il trattamento», seppure «in conformità al parere espresso dal Garante ai sensi dell’art. 154, comma 1, lettera g), anche su schemi tipo».

 

In questi ambiti possono quindi essere adottati anche leggi o regolamenti regionali, ma solo in quanto e nella misura in cui ciò sia appunto previsto dalla legislazione statale.

 

3. – Quanto appena espresso non equivale peraltro ad affermare la incompetenza del legislatore regionale a disciplinare procedure o strutture organizzative che prevedono il trattamento di dati personali, pur ovviamente nell’integrale rispetto della legislazione statale sulla loro protezione (ivi comprese le disposizioni relative alle “misure minime di sicurezza” prescritte per i trattamenti dei dati personali con o senza l’utilizzazione degli strumenti elettronici): infatti le Regioni, nelle materie di propria competenza legislativa, non solo devono necessariamente prevedere l’utilizzazione di molteplici categorie di dati personali da parte di soggetti pubblici e privati, ma possono anche organizzare e disciplinare a livello regionale una rete informativa sulle realtà regionali, entro cui far confluire i diversi dati conoscitivi (personali e non personali) che sono nella disponibilità delle istituzioni regionali e locali o di altri soggetti interessati. Ciò, tuttavia, deve avvenire ovviamente nel rispetto degli eventuali livelli di riservatezza o di segreto, assoluti o relativi, che siano prescritti dalla legge statale in relazione ad alcune delle informazioni, nonché con i consensi necessari da parte delle diverse realtà istituzionali o sociali coinvolte.

 

Né in quest’ambito è preclusiva la titolarità esclusiva del legislatore statale in tema di “coordinamento informativo statistico e informatico dei dati dell’amministrazione statale, regionale e locale”, di cui alla lettera r) del secondo comma dell’art. 117 Cost., come sostenuto dalla Avvocatura generale dello Stato.

Ciò anzitutto perché si tratta di un potere legislativo di coordinamento, il cui mancato esercizio non preclude autonome iniziative delle Regioni aventi ad oggetto  la razionale ed efficace organizzazione delle basi di dati che sono nella loro disponibilità ed anche il loro coordinamento paritario con le analoghe strutture degli altri enti pubblici o privati operanti sul territorio. Il problema sorgerebbe solo nel momento in cui il legislatore statale dettasse normative nei medesimi ambiti a fine di coordinamento.

D’altra parte questo esclusivo potere legislativo statale concerne solo un  coordinamento di tipo tecnico che venga ritenuto opportuno dal legislatore statale (si vedano le sentenze di questa Corte n. 31 del 2005 e n. 17 del 2004) e il cui esercizio, comunque, non può escludere una competenza regionale nella disciplina e gestione di una propria rete informativa (cfr. sentenza n. 50 del 2005).

 

4. – Sulla base di quanto affermato nei paragrafi precedenti, va peraltro dichiarata la illegittimità costituzionale dell’art. 12 della legge della Regione Emilia-Romagna n. 11 del 2004.

 

Ciò in quanto questo articolo, che pure si apre affermando il rispetto «delle norme a tutela della privacy e delle forme di segreto», in concreto contraddice sotto molteplici profili la legislazione statale vigente in materia di protezione dei dati personali (nonché le stesse direttive europee che ne sono all’origine).

Innanzitutto, il primo comma dispone che, mediante apposito regolamento regionale, sia disciplinata la «cessione dei dati costitutivi del patrimonio informativo pubblico a privati ed enti pubblici economici», con un’espressione tanto generica da poter essere riferita ad ogni tipo di dato personale. L’istituto della “cessione” dei dati personali, tuttavia, è del tutto estraneo alla legislazione statale in materia di protezione di tali dati. Anche ove si volesse interpretare questa espressione come riferita alla “comunicazione” dei dati personali da parte di un soggetto pubblico a privati o ad enti pubblici economici, la disposizione contrasterebbe comunque con la normativa statale, poiché l’art. 19, comma 3, del d.lgs. n. 196 del 2003 disciplina la sola comunicazione dei dati personali diversi da quelli sensibili e giudiziari, mentre gli artt. 20, 21 e 22 del medesimo testo normativo disciplinano in termini molto restrittivi il trattamento dei dati sensibili e di quelli giudiziari.

In secondo luogo, il comma 2 dell’art. 12 ripete la volontà di rispettare la legislazione «in materia di protezione dei dati personali», ma poi prevede che la Regione e gli enti regionali incontrino il solo limite dell’art. 18 del d.lgs. n. 196 del 2003 nel rendere disponibili i «dati contenuti nei propri sistemi informativi», laddove, invece, il “Codice” prevede molteplici altri limiti per i trattamenti effettuati da soggetti pubblici, individuati nelle disposizioni dell’intero Capo II del Titolo III.

In terzo luogo, nel medesimo comma 2, si prevede un obbligo per «le associazioni e i soggetti privati che operano in ambito regionale per finalità di interesse pubblico» di fornire «la disponibilità dei dati contenuti nei propri sistemi informativi», sia pure «nei limiti previsti dal decreto legislativo n. 196 del 2003». E tuttavia un obbligo del genere non è previsto dal Codice, caratterizzato, piuttosto, dalla normale preminenza della volontà dell’interessato in ordine al trattamento dei propri dati personali e dal fatto che questi sono raccolti ed utilizzati per scopi determinati. Né, certo, appare sufficiente prevedere, come fa il secondo comma dell’art. 12, che, ai fini della comunicazione dei dati, sia fornita «un’adeguata informativa all’interessato e, ove previsto dalla legge, la richiesta dello specifico consenso», perché questi istituti sono configurati dalla legislazione statale come preliminari, e comunque sempre obbligatori al trattamento da parte dei privati o di enti pubblici economici (cfr. artt. 13 e 23 del d.lgs. n. 196 del 2003).

Il contrasto delle disposizioni contenute nei primi due commi dell’art. 12 con la disciplina dettata dal d.lgs. n. 196 del 2003 determina la illegittimità costituzionale dell’intero art. 12 della legge regionale n. 11 del 2004.

 

5. – Le censure mosse contro gli artt. 13 e 14 della legge regionale n. 11 del 2004 sono solo in parte fondate.

Mentre non rileva, per quanto esposto al paragrafo 3, la competenza esclusiva del legislatore statale in tema di “coordinamento informativo statistico e informatico dei dati dell’amministrazione statale, regionale e locale”, assume, invece, rilevanza l’assenza, nell’art. 13, di ogni riferimento espresso al doveroso rispetto della normativa a tutela dei dati personali: ciò tanto più in quanto l’art. 13 configura un vero e proprio sistema informativo regionale, nel quale confluiscono molteplici dati anche personali, sia ordinari che sensibili, provenienti da diverse pubbliche amministrazioni. Tali dati, secondo la normativa statale, possono essere utilizzati solo nei limiti e con tutte le garanzie da essa poste in relazione alla protezione dei dati personali. Il mancato richiamo, da parte della disposizione censurata, di tali garanzie e limiti, e dunque l’utilizzabilità dei dati personali nell’ambito del SIR, determina l’illegittimità costituzionale del comma 1 dell’art. 13 della legge regionale n. 11 del 2004, nella parte in cui non richiama espressamente il pieno rispetto della legislazione statale sulla protezione dei dati personali.

6. – La dichiarazione d’incostituzionalità del primo comma dell’art. 13 nel senso del doveroso rispetto da parte del Sistema informativo regionale (SIR) della legislazione statale in materia, consente di ritenere infondate le censure formulate nei confronti dell’art. 14 della medesima legge regionale essendo quest’ultima disposizione meramente attuativa dell’art. 13, dal momento che definisce solo alcune modalità di funzionamento del sistema informativo regionale.

 

PER QUESTI MOTIVI

LA CORTE COSTITUZIONALE

dichiara l’illegittimità costituzionale dell’art. 12 della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11 (Sviluppo regionale della società dell’informazione);

dichiara l’illegittimità costituzionale dell’art. 13, comma 1, della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11, nella parte in cui non richiama il rispetto della legislazione statale in materia di protezione dei dati personali;

dichiara non fondate le questioni di legittimità costituzionale degli artt. 13, commi 2 e 3, e 14 della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11, sollevate dal Presidente del Consiglio dei ministri in riferimento all’art. 117 della Costituzione, con il ricorso indicato in epigrafe.

Così deciso in Roma, nella sede della Corte costituzionale, Palazzo della Consulta, il 23 giugno 2005.

 

F.to:

 

Piero Alberto CAPOTOSTI, Presidente

 

Ugo DE SIERVO, Redattore

 

Maria Rosaria FRUSCELLA, Cancelliere

 

Depositata in Cancelleria il 7 luglio 2005.