Corso - Statistica Emilia-Romagna

CORSO
“APPLICAZIONI ALLA STATISTICA DEL DECRETO
LEGISLATIVO 196/2003 - CODICE IN MATERIA DI
PROTEZIONE DEI DATI PERSONALI – ALL'INTERNO
DELLA GIUNTA DELLA REGIONE EMILIA-ROMAGNA”
5° GIORNATA
Paola Baldi
Bologna, 25 novembre 2010
Obiettivi della giornata
2


Completare il corso con la trattazione degli argomenti non
affrontati nelle giornate precedenti, riprendere alcuni concetti
già presentati e approfondire il tutto con riferimento al
contesto statistico e al punto di vista regionale, per trarre
indicazioni utili per la programmazione e per la gestione
quotidiana delle attività statistiche.
Far emergere aspetti operativi e trattare casi concreti.
Paola Baldi
Bologna, 25 novembre 2010
Temi già trattati
3
Nelle giornate precedenti sono stati trattati:
 Gli aspetti generali relativi alla normativa sulla protezione dei
dati personali (d.lgs. 196/2003, codici di deontologia, provvedimenti del
Garante), con particolare riferimento al trattamento dei dati da
parte dei soggetti pubblici.
 Gli atti della Regione Emilia-Romagna in tema di protezione
dei dati personali.
 Inquadramento normativo del Sistema statistico nazionale e
del trattamento dei dati personali nell‟ambito del Sistan
(d.lgs.322/89, norme specifiche del d.lgs. 196/2003, codice di deontologia
Sistan, Direttiva Comstat n. 9/2004, schema intesa Conferenza Stato-Regioni
del 25/3/2003, Direttiva Comstat n. 10/2010 “Codice italiano delle
statistiche ufficiali”).
Paola Baldi
Bologna, 25 novembre 2010
Schema intervento
4


Adeguamento normativo e ruolo regionale: regolamenti, disciplinari
tecnici, leggi regionali
Il trattamento dei dati per fini statistici



Il trattamenti di dati personali in ambito SISTAN








Dato statistico: contorni definitori
Identificabilità del dato statistico e criterio di ragionevolezza
Impatto della normativa relativa alla protezione dei dati personali sulla normativa
statistica nazionale e regionale
Utilizzo statistico dei dati amministrativi
Presupposti di legittimità del trattamento dei dati per fini statistici
La comunicazione dei dati statistici
Il trattamento di dati personali per fini di ricerca non Sistan: cenni
Il Programma statistico nazionale e i programmi statistici regionali
Il programma statistico regionale : l‟esperienza della regione Toscana
(Il programma statistico regionale della regione Emilia-Romagna)
Paola Baldi
Bologna, 25 novembre 2010
Adeguamento normativo e ruolo regionale
5
Parlando, in senso lato, di adeguamento normativo conseguente
all‟entrata in vigore delle norme in materia di protezione dei
dati personali ci si riferisce alla adozione da parte della
Regione di:


Leggi o regolamenti che forniscono il presupposto normativo per il
trattamento di dati personali da parte della Regione stessa, degli enti
regionali o degli enti vigilati dalla Regione, o per alcune fasi del
trattamento (in particolare: comunicazione e diffusione),
Atti (direttive, disciplinari tecnici, linee guida, manuali operativi, etc.) con le
quali la Regione disciplina le modalità del trattamento dei dati personali
da parte delle strutture regionali (e, eventualmente, degli enti regionali).
Paola Baldi
Bologna, 25 novembre 2010
Disciplinari tecnici regionali
6



Si tratta di strumenti di organizzazione interna con i quali la Giunta
Regionale (in qualità di titolare del trattamento dei dati o ai fini del
coordinamento dell’attività degli enti regionali) fornisce direttive e linee
guida per assicurare l‟attuazione della normativa in materia di protezione
dei dati personali, l‟adozione di comportamenti corretti e l‟eventuale
adeguamento di processi e di prassi. La Regione Emilia-Romagna ha
adottato vari atti (delibere GR e determinazioni dirigenziali) su questi temi.
In alcuni casi l‟adozione del disciplinare costituisce essa stessa un requisito
di legittimità del trattamento dei dati (ad es.: il disciplinare per l’uso di
internet e della posta elettronica da parte dei dipendenti regionali definisce e
legittima il sistema dei controlli da parte dell’ente).
Il primo aspetto da considerare ai fini della adozione di comportamenti
corretti nel trattamento dei dati è la verifica dei presupposti normativi dei
trattamenti di dati personali e l‟analisi dei processi.
Paola Baldi
Bologna, 25 novembre 2010
Adeguamento normativo e ruolo regionale:
presupposti di legittimità
7



Il trattamento dei dati personali da parte dei soggetti pubblici
(esclusi gli enti pubblici economici) è disciplinato avendo come
riferimento il criterio delle funzioni istituzionali e, per alcuni
aspetti, il requisito della esistenza di specifiche norme di legge
o di regolamento che legittimano il trattamento o alcune sue
fasi (ad esempio, la comunicazione).
Di conseguenza la corretta applicazione della normativa in materia di
protezione dei dati personali richiede una adeguata conoscenza non
solo del D.Lgs. 196/03 (nel seguito “Codice” o “Codice Privacy”) e delle
altre norme collegate (provvedimenti del Garante, codici deontologici,
direttive comunitarie), ma anche delle normative “di settore”.
Il consenso dell‟interessato non costituisce un presupposto di legittimità
per il trattamento dei dati personali da parte dei soggetti pubblici, che
non devono richiederlo, salvo quanto previsto per gli esercenti le
professioni sanitarie e gli organismi sanitari pubblici in relazione ai dati
sanitari per le finalità di tutela della salute dell’interessato.
Paola Baldi
Bologna, 25 novembre 2010
Adeguamento normativo e ruolo regionale:
analisi dei processi e dei presupposti giuridici
8


Il Codice Privacy impone ai soggetti pubblici la verifica dei
presupposti normativi delle attività svolte, nonché della
pertinenza, non eccedenza, indispensabilità dei dati utilizzati
(in particolare dei dati identificativi) rispetto agli obblighi e ai
compiti loro attribuiti, e la valutazione del rapporto tra i dati e
gli adempimenti (artt. 18-22).
L‟esito di queste verifiche fornisce elementi utili per la
eventuale revisione dei processi e dei sistemi informativi, per
l‟informativa agli interessati (art. 22), per l‟adozione di
regolamenti (artt. 19 e 20).
Paola Baldi
Bologna, 25 novembre 2010
Approvazione di leggi regionali
9


Nel caso delle Regioni, soggetti dotati di potestà legislativa,
l‟adeguamento normativo può avvenire anche attraverso
l‟adozione di specifiche leggi regionali, o la modifica di leggi
preesistenti, per legittimare il trattamento di dati sensibili o
giudiziari o disciplinare con legge la comunicazione di dati
sensibili e giudiziari.
Si vedano, in particolare:
 le leggi di alcune Regioni (Emilia-Romagna LR 4/2008, Toscana LR
68/2008, Lombardia LR 32/2008, Sardegna LR 2009) per la istituzione
di registri di patologia.
 leggi regionali che istituiscono enti e agenzie regionali e disciplinano
anche la comunicazione di dati dalla Regione a tali enti, compresi i dati
sensibili e giudiziari (es: Toscana LR 28/2006, …Nuova disciplina
dell’Agenzia regionale di sanità)
Paola Baldi
Bologna, 25 novembre 2010
Leggi e regolamenti per il trattamento di dati
diversi da quelli sensibili o giudiziari (1)
10


Il trattamento da parte di un soggetto pubblico, per lo svolgimento
di funzioni istituzionali, di dati personali diversi da quelli sensibili e
giudiziari (art. 19) è consentito anche in mancanza di una norma di
legge o di regolamento.
La comunicazione dei dati ad altri soggetti pubblici è ammessa
quando è prevista da una norma di legge o di regolamento oppure,
in mancanza di tale norma, quando è comunque necessaria per lo
svolgimento delle funzioni istituzionali, previa comunicazione al
Garante e salvo diversa determinazione del Garante (art.39)
(N.B. Norma rilevante anche in relazione alla comunicazione di dati tra soggetti
Sistan per attività statistiche non comprese nel PSN)

La comunicazione dei dati a privati o soggetti pubblici economici e
la diffusione sono ammesse unicamente quando previste da una
norma di legge o di regolamento.
(segue)
Paola Baldi
Bologna, 25 novembre 2010
Leggi e regolamenti per il trattamento di dati
diversi da quelli sensibili o giudiziari (2)
11

Può trattarsi di regolamenti specifici relativi alle operazioni di
comunicazione e diffusione:


Regione Emilia-Romagna: Regolamento regionale 31 ottobre 2007,
n. 2” Regolamento per le operazioni di comunicazione e diffusione
di dati personali diversi da quelli sensibili e giudiziari di titolarità
della giunta regionale e dell„Agrea, dell'agenzia regionale di
protezione civile, dell'agenzia regionale Intercent-ER e dell„IBACN.
Bollettino Ufficiale n. 159 del 31 ottobre 2007.
oppure di disposizioni all‟interno di leggi o regolamenti di
settore:


leggi regionali che istituiscono enti e agenzie regionali e disciplinano anche la
comunicazione di dati dalla Regione a tali enti,
regolamenti regionali di settore (turismo, servizi per la prima infanzia, etc.) che
disciplinano la diffusione di dati personali (relativi alle strutture ricettive, agli asili
nido, etc.) per finalità di interesse pubblico.
Paola Baldi
Bologna, 25 novembre 2010
Regolamenti per il trattamento dei dati sensibili
e giudiziari
12


Per le attività dei soggetti pubblici che comportano il trattamento di dati
sensibili e giudiziari, la verifica dei presupposti giuridici riguarda in
particolare l‟esistenza di una espressa disposizione di legge nella quale
sono specificati i tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalità di rilevante interesse pubblico perseguite (art. 20).
In mancanza di tale disposizione espressa e dettagliata, ai fini della
adozione dell‟atto di natura regolamentare previsto al comma 2 dello
stesso art. 20, è necessario:
–
–
–
–
Individuare la normativa che prevede gli obblighi e i compiti (e quindi le
attività) per cui si effettua il trattamento dei dati.
Verificare che l'attività rientri tra quelle che il Codice (o altra legge) ha
riconosciuto essere “di rilevante interesse pubblico”.
Valutare quali dati è indispensabile trattare -e in che modo- per il
perseguimento delle proprie funzioni.
Verificare la possibilità di comunicare i dati ad altri soggetti.
Paola Baldi
Bologna, 25 novembre 2010
La individuazione dei presupposti giuridici del
trattamento dei dati
13


Si tratta di un aspetto particolarmente critico, preliminare ad ogni
analisi di processo.
L‟esempio più noto:

Non è stato possibile, nel 2006, inserire nei Regolamenti regionali per il
trattamento dei dati sensibili una o più schede relative ad alcuni Registri di
patologia regionali perché tali registri non erano stati istituiti con una norma
di legge, ma con atti amministrativi (delibere, determinazioni, etc.)
Vedi le successive leggi regionali di istituzione dei registri, con rinvio alla adozione
di regolamenti ai sensi art. 20 del Codice, e l’art. 15 del DDL “Sperimentazione
clinica e altre disposizioni in materia sanitaria” approvato dal CDM il 24/9/10.

Non è stato possibile inserire nei Regolamenti la scheda relativa ai Registri
di mortalità regionali (anche quando previsti da norma di legge regionale, come
nel caso dell’Emilia-Romagna) perché il Garante ha eccepito che la normativa
nazionale attribuisce alle aziende sanitarie, e non alla Regione, la
competenza per la tenuta del registro delle cause di morte: Vedi il DDL Fazio
e le leggi regionali successive al 2006 (Lombardia LR 33/2009, Liguria LR
57/2009) che istituiscono il RMR solo come raccolta dati a fini statistici.
Paola Baldi
Bologna, 25 novembre 2010
Trattamento di dati personali sensibili e giudiziari
14

Il trattamento di dati personali sensibili e giudiziari da parte di soggetti
pubblici è consentito solo se autorizzato da espressa disposizione di legge
(o provvedimento del Garante per dati giudiziari) nella quale sono
specificati i tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalità di rilevante interesse pubblico perseguite (artt. 20 e
21).


Nei casi in cui una disposizione di legge specifica la finalità di rilevante
interesse pubblico, ma non i tipi di dati trattati e di operazioni eseguibili,
il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni
identificati e resi pubblici a cura dei soggetti che ne effettuano il
trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e
nel rispetto dei principi di cui all'articolo 22, con atto di natura
regolamentare adottato in conformità al parere espresso dal Garante ai
sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
L'identificazione dei tipi di dati e di operazioni è aggiornata e integrata
periodicamente.
Paola Baldi
Bologna, 25 novembre 2010
Schemi tipo di regolamento per il trattamento
dei dati sensibili e giudiziari
15




Per alcune tipologie di soggetti (in particolare: Regioni, Province, Comuni,
Università) i relativi organismi di rappresentanza hanno provveduto a
redigere uno “schema tipo di regolamento”, sul quale è stato acquisito il
parere favorevole del Garante per la protezione dei dati personali.
I singoli enti adottano il proprio regolamento, richiamando espressamente
lo schema tipo e il parere del Garante e dichiarando la conformità del
proprio regolamento a tali atti.
Eventuali ulteriori trattamenti non compresi nello schema tipo non possono
essere effettuati, così come i trattamenti compresi nello schema tipo non
possono essere effettuati con modalità difformi da quanto previsto nello
schema tipo.
Nel caso si ritenga necessario inserire nel regolamento del singolo ente
ulteriori trattamenti non previsti dallo schema tipo, o trattamenti effettuati
con modalità difformi da quanto previsto nello schema tipo, deve essere
richiesto un nuovo parere del Garante, limitatamente a quanto non previsto
o difforme.
Paola Baldi
Bologna, 25 novembre 2010
Schema tipo di regolamento regionale
16



La Conferenza delle Regioni e P.A. ha approvato il 28 marzo
2006 lo schema tipo di regolamento per il trattamento dei
dati sensibili e giudiziari da parte delle Regioni e Province
autonome, delle aziende sanitarie, degli enti
regionali/provinciali, degli enti vigilati e controllati dalle
Regioni e Province autonome (che non hanno autonoma potestà
regolamentare verso i soggetti esterni).
Su tale schema tipo il Garante ha rilasciato parere favorevole
il 18 aprile 2006.
E‟ attualmente in corso l‟istruttoria tecnica da parte del Gruppo
Interregionale Privacy del Cisis (organo tecnico della Conferenza
delle Regioni) ai fini dell‟aggiornamento e integrazione dello
schema tipo, secondo la stessa procedura.
Paola Baldi
Bologna, 25 novembre 2010
Trattamenti di dati sensibili e giudiziari non
compresi nello schema tipo
17

Si deve tenere presente che i tipi di dati e di operazioni
individuati dallo schema tipo di regolamento non riguardano:




I trattamenti già adeguatamente regolati a livello legislativo o
regolamentare per quanto concerne i tipi di dati e di operazioni
sensibili (ad es., i trattamenti statistici già compresi nel PSN)
I trattamenti effettuati per finalità di ricerca medica, biomedica o
epidemiologica, secondo quanto disposto dall‟art. 110 del Codice
I trattamenti effettuati per finalità di tutela della salute o dell‟incolumità
fisica dell‟interessato, di un terzo o della collettività, per i quali si
osservano le disposizioni relative al consenso dell‟interessato o
all‟autorizzazione del Garante ai sensi dell‟art. 76 del Codice
(e, ovviamente, gli eventuali trattamenti di cui l‟ente non è titolare, ma
che svolge soltanto come responsabile di trattamento per conto di altri
soggetti titolari).
Paola Baldi
Bologna, 25 novembre 2010
Alcuni trattamenti previsti dallo schema tipo di
regolamento regionale
18

Tra i trattamenti di dati personali sensibili e giudiziari compresi
nello schema tipo regionale alcuni hanno particolare rilevanza
per gli obiettivi di questo corso:

scheda n. 32, relativa al trattamento dei dati per scopi statistici
effettuati dall‟Ufficio di statistica, nell‟ambito del Sistema
statistico nazionale, (una scheda analoga è presente negli schemi tipo
dei comuni e delle province)


scheda n. 31, relativa al trattamento dei dati per scopi scientifici
diversi da quelli medici, biomedici ed epidemiologici effettuati
dalla Regione, a supporto della propria attività istituzionale,
nonché dagli enti e istituti di ricerca.
scheda n. 12, relativa al trattamento dei dati per attività di
programmazione, gestione, controllo e valutazione dell‟assistenza
sanitaria.
Paola Baldi
Bologna, 25 novembre 2010
Il trattamento di dati personali per scopi
statistici e scientifici (Titolo VII del Codice)
19


La prima parte del Codice contiene disposizioni generali per il
trattamento dei dati personali, la seconda parte introduce
disposizioni relative a specifici settori, tra cui il Titolo VII –
Trattamenti per scopi storici, statistici o scientifici.
Alcune definizioni:



Scopi statistici: le finalità di indagine statistica o di produzione di
risultati statistici, anche a mezzo di sistemi informativi statistici (art. 4).
Trattamento per scopi statistici: trattamento per finalità di indagine
statistica o di produzione di risultati statistici, anche a mezzo di sistemi
informativi statistici (art. 4).
Risultato statistico: l‟informazione ottenuta con il trattamento di dati
personali per quantificare aspetti di un fenomeno collettivo. (Codici di
deontologia - Allegati A3 e A4)
Paola Baldi
Bologna, 25 novembre 2010
Dati personali e dati statistici
20
Dati personali


Dato personale: qualunque
informazione relativa a persona
fisica, persona giuridica, ente od
associazione, identificati o
identificabili, anche
indirettamente, mediante
riferimento a qualsiasi altra
informazione, ivi compreso un
numero di identificazione
personale;
Dati identificativi: i dati personali
che permettono l'identificazione
diretta dell'interessato;
Dati statistici




“Il dato statistico è il risultato
dell‟operazione di determinazione
della modalità con cui un carattere è
presente in ciascuna unità del
collettivo” (Glossario Istat)
Unità statistica: l‟entità a cui sono
riferiti o riferibili i dati trattati.
Dati elementari o Microdati: dati
riferibili alla singola unità statistica
I dati elementari sono dati personali
quando l‟unità statistica è
identificata o identificabile e si
tratta di una persona fisica, persona
giuridica, ente o associazione.
Paola Baldi
Bologna, 25 novembre 2010
Identificabilità del dato statistico e criterio di
ragionevolezza
21
Dato anonimo


Il dato che in origine, o a seguito
di trattamento, non può essere
associato ad un interessato
identificato o identificabile;
N.B.: Il dato anonimo non è un
dato personale semplicemente
privato degli elementi
identificativi diretti, ma un dato
che non contiene alcun elemento
che possa, neanche con un
trattamento mirato e specifico,
ricondurre all‟interessato.
Dato anonimo nel trattamento
statistico


Nell‟ambito del trattamento dei dati
personali per scopi statistici, un
interessato si ritiene identificabile
quando, con l‟impiego di mezzi
ragionevoli, è possibile stabilire una
associazione significativamente
probabile tra la combinazione delle
modalità delle variabili relative ad
una unità statistica e i dati
identificativi della medesima.
Interessato “non identificabile”:
quando il rischio di identificazione è
tale da far ritenere sproporzionato
l‟impiego di mezzi necessari per
l‟identificazione, tenendo conto dei
dati.
Paola Baldi
Bologna, 25 novembre 2010
Mezzi ragionevolmente utilizzabili per
l‟identificazione dell‟interessato
22
I “mezzi ragionevoli” che possono essere impiegati per
identificare l‟interessato afferiscono a:






risorse economiche
risorse di tempo
archivi nominativi o altre fonti di informazione contenenti dati identificativi
congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione
o diffusione;
archivi, anche non nominativi, che forniscano ulteriori informazioni oltre a
quelle oggetto di comunicazione o diffusione;
risorse hardware e software per effettuare le elaborazioni necessarie per
collegare informazioni non nominative ad un soggetto identificato,
conoscenza delle procedure di estrazione campionaria, imputazione,
correzione e protezione statistica adottate per la produzione dei dati.
Paola Baldi
Bologna, 25 novembre 2010
La valutazione del rischio di identificazione
23




Il rischio di identificazione deve essere valutato in relazione sia alla
comunicazione di dati individuali (anche per le collezioni campionarie di
microdati), sia alla diffusione dei dati aggregati.
Per quanto riguarda il rischio di violazione per dati aggregati (tabelle)
sono state sviluppate dall‟ Istat apposite metodologie e tecniche, riportate
in una specifica pubblicazione, e un software disponibile anche per utenti
esterni.
Nel PSN sono espressamente individuate le variabili che possono essere
diffuse in forma disaggregata, in quanto necessario per particolari
esigenze.
I criteri per la valutazione del rischio di identificazione sono indicati nei
codici di deontologia A3 e A4 (codice Sistan e codice ricerca non Sistan):
Criterio della “soglia”
 Valore minimo 3
 Tenere conto del livello di riservatezza delle informazioni
 Le variabili pubbliche non sono soggette alla soglia
 Sempre che vi sia rischio di identificazione.

Paola Baldi
Bologna, 25 novembre 2010
Tipologie di trattamenti per scopi statistici
24

Nel Codice si possono distinguere le seguenti tipologie di
trattamenti per scopi statistici:
 effettuati da soggetti pubblici che fanno parte del Sistema
statistico nazionale (art.98:finalità di rilevante interesse pubblico e
altri artt. Titolo VII; Codice deontologia per scopi statistici e di ricerca
scientifica Sistan – All. A3))

effettuati da soggetti privati che fanno parte del Sistema
statistico nazionale (Titolo VII; Codice deontologia per scopi statistici
e di ricerca scientifica Sistan – All. A3)

effettuati da altri soggetti, pubblici o privati, che hanno
sottoscritto il Codice deontologia per scopi statistici o
scientifici “non Sistan” (Titolo VII, Codice deontologia per scopi
statistici e scientifici – All. A4; finalità RIP, se effettuati da enti pubblici)
 effettuati da altri soggetti, pubblici o privati (Titolo VII).
Paola Baldi
Bologna, 25 novembre 2010
Il Sistema statistico nazionale e la statistica
ufficiale
25




Missione del Sistema statistico nazionale: fornire al Paese e agli organismi
internazionali l‟informazione statistica ufficiale.
Statistica ufficiale: è l‟informazione statistica dotata di un coefficiente di
attendibilità tale che l’ordinamento è in grado di collegarvi, a giusto titolo,
particolari effetti giuridici.
Statistica ufficiale: i dati prodotti dall‟organizzazione (Sistan) a cui la legge
affida tale servizio.
La produzione dei dati statistici ufficiali avviene attraverso:


•
attività incluse nel Programma statistico nazionale,
rilevazioni condotte dagli uffici del Sistema statistico nazionale al di fuori
del PSN, in risposta ad esigenze conoscitive dell'amministrazione o ente di
appartenenza,
purché sia garantito il rispetto dei criteri generali sull'attività statistica fissati
dal Comstat e i risultati prodotti siano validati dal responsabile dell'ufficio
che deve vagliarne l'attendibilità.
(cfr. Relazione Simeone - Bologna 18/11/2010)
Paola Baldi
Bologna, 25 novembre 2010
Uso statistico degli archivi amministrativi
26


Il Sistan promuove l‟utilizzo a fini statistici degli archivi amministrativi e
l‟integrazione delle fonti informative organizzate (pubbliche e private) per
lo sviluppo dei sistemi informativi statistici integrati, anche al fine di ridurre
l‟onere statistico per i rispondenti. (Linee guida Comstat per il PSN)
Tra i compiti degli uffici di statistica (art. 6, d.lgs. 322/89):




fornire al Sistan i dati informativi previsti dal PSN relativi all‟amministrazione di
appartenenza,
contribuire alla promozione e allo sviluppo informatico a fini statistici degli archivi
gestionali e delle raccolte di dati amministrativi.
attuare l‟interconnessione e il collegamento dei sistemi informativi
dell‟amministrazione di appartenenza con il Sistan.
Coerenza con altre disposizioni normative, che richiamano il ruolo degli
uffici di statistica e lo definiscono ulteriormente:



L.59/97 “Delega al Governo per il conferimento di funzioni …” – artt. 12 e 17
D.lgv. 112/98 “Conferimento di funzioni e compiti amministrativi dallo Stato alle
regioni e agli enti locali..” - art. 6
D.lgs. 286/99 “Riordino e potenziamento dei meccanismi e strumenti di monitoraggio
…. - art. 6
(segue)
Paola Baldi
Bologna, 25 novembre 2010
Alcuni compiti degli uffici di statistica
27
Gli uffici di statistica svolgono un ruolo importante
 di ricognizione dei dati di fonte amministrativa, analisi della loro
potenzialità informativa e loro valorizzazione a fini statistici,
 di progettazione di sistemi informativi statistici organizzati in ambito
regionale, ma integrabili nell‟ambito del sistema statistico nazionale,
 di orientamento dei sistemi informativi amministrativi e gestionali
verso un utilizzo a fini direzionali e di governo,
 di supporto informativo per i compiti e gli adempimenti istituzionali,
tradizionali e nuovi, dell‟ente in cui è inserito: programmazione,
monitoraggio, valutazione dei risultati e dell‟impatto degli interventi,
controllo di gestione e controllo strategico, misurazione e
valutazione delle performance amministrative, la qualità dei servizi
negli enti locali).
Paola Baldi
Bologna, 25 novembre 2010
Il trattamento di dati personali per scopi statistici
nell‟ambito del Sistema statistico nazionale
28

Qualsiasi trattamento effettuato per finalità di indagine
statistica o di produzione, conservazione e diffusione di risultati
statistici
 in attuazione del Programma statistico nazionale
 o per effettuare informazione statistica in conformità agli
ambiti istituzionali dei soggetti di cui all‟art. 1del Codice di
deontologia (soggetti Sistan oppure altre strutture appartenenti alla stessa
amministrazione purché i trattamenti siano compresi nel PSN e l’ufficio di
statistica attesti le metodologie adottate).
(art. 2 Codice deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici
e di ricerca scientifica effettuati nell’ambito del Sistan)
Paola Baldi
Bologna, 25 novembre 2010
Impatto della normativa relativa alla protezione dei
dati personali sulla normativa statistica nazionale e
regionale
29


Il d.lgs. 322/89 (e il precedente R.D.L. 1285/1929) già contenevano
disposizioni, in particolare sulla comunicazione e sulla diffusione dei dati
statistici, a tutela della riservatezza dei soggetti a cui i dati si riferiscono.
La normativa in materia di protezione dei dati personali (L.675/96 e d.lgs.
285/99, Codice di deontologia “Sistan” del 31/7/2002, poi confluiti nel
d.lgs. 196/03), oltre a stabilire specifiche garanzie legate alle modalità di
trattamento, conservazione, comunicazione e diffusione dei dati statistici, ha
avuto un effetto particolarmente rilevante sul Sistema statistico nazionale,
riconducibile a tre aspetti principali:



Modifica della definizione di “dato anonimo” precedentemente usata dalla
normativa statistica e conseguente necessità di adeguamento delle disposizioni
relative alla comunicazione dei dati all‟interno del Sistan.
Primo riconoscimento esplicito della natura di “dati statistici ufficiali” per i dati
statistici prodotti dai soggetti Sistan (enti di produzione statistica e uffici di statistica
delle amministrazioni pubbliche) in conformità ai rispettivi ambiti istituzionali, anche al
di fuori del PSN (Codice deontologia Sistan). Ora anche nel nuovo Codice italiano
delle statistiche ufficiali (Direttiva Comstat n. 10/2010).
Applicabilità del codice di deontologia (e della normativa) Sistan ai trattamenti
effettuati da altri uffici dello stesso ente, certificati dall‟ufficio di statistica, solo per
le attività comprese nel PSN (Codice deontologia Sistan): conseguente disapplicazione
anche di eventuali leggi regionali che disponessero diversamente.
Paola Baldi
Bologna, 25 novembre 2010
I presupposti di legittimità del trattamento dei
dati per fini statistici: alcuni richiami (1)
30
Il trattamento dei dati per fini statistici da parte dei soggetti che fanno parte del
Sistema statistico nazionale trova, in generale, i suoi presupposti di legittimità nelle
fonti normative già presentate nelle giornate precedenti (d.lgs. 322/89, Codice
Privacy, Codice di deontologia, Direttive Comstat).
Utile richiamare e approfondire alcuni aspetti rilevanti:

I soggetti che fanno parte del Sistan possono raccogliere e trattare i dati personali
necessari per perseguire gli scopi statistici previsti dal d.lgs. 322 o da altra legge,
qualora il trattamento di dati anonimi non permetta di raggiungere i medesimi
scopi. (art. 6bis, d.lgs. 322/89).

I soggetti pubblici che fanno parte del Sistan possono raccogliere e trattare dati
sensibili e giudiziari (finalità di rilevante interesse pubblico, art.98 lettera b del
Codice Privacy), purché i tipi di dati e le operazioni di trattamento siano
individuate dal PSN oppure da altro atto di programmazione statistica adottato in
conformità al parere del Garante, in attuazione del regolamento adottato ai sensi
dell‟art. 20 del Codice.

Soggetti a cui si applica il Codice deontologico (e la normativa) Sistan (art. 1
Codice deontologico Sistan).

Compiti e ruolo degli uffici di statistica (art. 6, d.lgs 322/89 e Codice deontologia).
Paola Baldi
Bologna, 25 novembre 2010
Presupposti di legittimità (1): implicazioni pratiche
31
Sulla base dei punti prima richiamati si può evidenziare che:
 I soggetti Sistan possono effettuare trattamenti di dati personali per fini
statistici con il solo vincolo del rispetto dei principi generali di necessità,
pertinenza e non eccedenza, ma il trattamento dei dati personali sensibili e
giudiziari deve comunque avvenire nel rispetto dell‟art. 20 del Codice
Privacy. Pertanto il trattamento dei dati deve essere previsto:




dal PSN (che ha valore di atto regolamentare), oppure
al di fuori del PSN, da un atto regolamentare + atto di programmazione statistica,
entrambi adottati in conformità al parere del Garante.
Il PSN può contenere lavori statistici la cui esecuzione sia affidata a ufficio
diverso dall‟US, che deve comunque certificare il processo. Per i lavori
statistici compresi nel PSR l‟ufficio incaricato può essere soltanto l‟US, che
però può svolgere l‟attività in collaborazione con altre strutture
dell‟amministrazione.
Eventuali attività statistiche dell‟ente, non comprese nel PSN, e affidate a
uffici diversi dall‟US non sono disciplinate dalla normativa Sistan, ma dal
Codice deontologico per fini statistici e scientifici (All. A4) o altra normativa
applicabile, nonché dal regolamento dell‟ente per i dati sensibili e
giudiziari.
Paola Baldi
Bologna, 25 novembre 2010
I presupposti di legittimità del trattamento dei
dati per fini statistici: alcuni richiami (2)
32



Il trattamento di dati personali per scopi statistici o scientifici è considerato compatibile
con i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati (art. 99,
d.lgs. 197/03).
Gli uffici di statistica hanno accesso a tutti i dati statistici in possesso dell‟amministrazione
di appartenenza e possono richiedere elaborazioni di dati necessarie alle esigenze
statistiche previste dal PSN (art. 6. d.lgs. 322/89).
L‟Istat ha accesso a tutti gli archivi di enti pubblici o soggetti a controllo pubblico
(L.681/96, art. 8)



La comunicazione di dati personali “comuni” tra soggetti pubblici è disciplinata dall‟art.
19 del Codice, oltre che dalle disposizioni relative alla comunicazione dei dati tra
soggetti Sistan.
Il d.lgs. 322/89 consente di imporre l‟obbligo di risposta ai soggetti privati (per le
rilevazioni PSN indicate con delibera del Consiglio dei Ministri), con esclusione dei quesiti
relativi a dati sensibili e giudiziari. L‟obbligo di risposta per i soggetti pubblici è imposto
direttamente dal d.lgs. 322.
Il titolare del trattamento statistico ha l‟obbligo di fornire adeguata informativa agli
interessati, esplicitando la facoltà di non rispondere a quesiti su dati sensibili e la
facoltà di opporsi all‟uso statistico di tali dati nel caso siano raccolti presso terzi (a meno
che la raccolta dei dati non sia prevista da norma di legge).
Paola Baldi
Bologna, 25 novembre 2010
Presupposti di legittimità (2): implicazioni pratiche per
la raccolta di dati sensibili e giudiziari presso terzi. (1)
33

Obbligo di risposta e raccolta dei dati presso terzi:




Poiché la normativa statistica non consente di imporre l‟obbligo di risposta per i
dati sensibili e giudiziari è necessario che il titolare del trattamento fornisca
adeguata informativa agli interessati, assicurando loro in concreto la possibilità
di non fornire i dati o di opporsi al loro uso statistico quando i dati vengono
comunque forniti a terzi per altri scopi.
L‟adempimento di questa prescrizione non ha comportato particolari problemi
per le rilevazioni che prevedono la raccolta dei dati presso l‟interessato
(direttamente o attraverso organi di rilevazione), mentre ha richiesto un lungo
periodo di tempo, anche da parte dell‟Istat, l‟adeguamento (di fatto ancora in
corso) dell‟informativa nel caso di dati raccolti presso terzi, in particolare
nell‟ambito del sistema sanitario.
Da sottolineare che l‟uso statistico dei dati è comunque consentito, ai sensi
dell‟art. 99, per il soggetto titolare dell‟archivio amministrativo, che ha però
l‟obbligo di dichiarare nell‟informativa l‟ulteriore trattamento per scopi statistici.
Esempi concreti: Informativa delle rilevazioni IVG e cause di morte (vedi slides
che seguono).
Paola Baldi
Bologna, 25 novembre 2010
Un esempio di informativa per raccolta di dati sensibili
presso terzi: la rilevazione IVG
34
(Da: SCHEDA ISTAT D.11 - edizione 2010
SEGRETO STATISTICO, OBBLIGO DI RISPOSTA, TUTELA DELLA RISERVATEZZA E DIRITTI DEGLI INTERESSATI



………………………
L‟obbligo di risposta per questa rilevazione è stabilito, per gli istituti di cura pubblici, dall‟art.
7, comma 1, del d.lgs. n. 322/1989, e successive modifiche e integrazioni, e, per gli istituti di
cura privati, dal DPR 11 novembre 2008.
II modello deve essere compilato, per ogni caso di AS, dal medico all‟atto della dimissione.
Al momento dell‟acquisizione dei dati, all‟assistita deve essere resa idonea informativa
sull‟utilizzo, anche a fini statistici, dei dati che la riguardano e dalla stessa forniti per finalità
di prevenzione, diagnosi e cura. Qualora l’assistita esprima una volontà contraria all’uso
statistico dei propri dati, l‟istituto di cura è tenuto a prenderne nota. In tale eventualità, i dati
possono essere trasmessi all‟Istat solo in forma anonima, senza che sia possibile risalire
all‟identità dell‟interessata nemmeno in modo indiretto. Pertanto, il modello dovrà comunque
essere compilato, ai fini della rilevazione dell‟evento, con l‟esclusione dei seguenti campi:
• Residenza (non indicare né comune né provincia né stato estero)
• Data AS (indicare solo l‟anno)
• Data di nascita dell‟assistita (indicare solo l‟anno)
• Luogo di nascita (non indicare il comune ma solo la provincia).

………………….
Paola Baldi
Bologna, 25 novembre 2010
Un esempio di informativa per raccolta dati sensibili
presso terzi: la rilevazione delle cause di morte
35
INFORMATIVA INDAGINE CAUSE DI MORTE
Da: SCHEDA ISTAT D.4 - edizione 2011
SEGRETO STATISTICO, OBBLIGO DI RISPOSTA, TUTELA DELLA RISERVATEZZA E DIRITTI DEGLI INTERESSATI



Il medico che accerta il decesso, ai sensi del R.D. 1265/1934 e del D.P.R. 285/1990, deve
denunciare al Sindaco la causa della morte utilizzando l‟apposita scheda di morte definita
dal Ministero della Salute d‟intesa con l‟Istituto nazionale di statistica. La scheda di morte ha
esclusivamente finalità sanitarie, epidemiologiche e statistiche e si compone di due copie: una
per l‟ISTAT ed una per la ASL.
………….
Ai sensi dell‟art. 7 del d.lgs. n. 322/1989, e successive modificazioni e integrazioni, è fatto
obbligo alle amministrazioni, enti ed organismi pubblici di fornire all‟Istat i dati e le notizie
richieste con la presente scheda. L’obbligo si estende anche ai dati sensibili relativi al
soggetto deceduto ai sensi del D.P.R. n. 285/1990.
Paola Baldi
Bologna, 25 novembre 2010
Presupposti di legittimità (2): implicazioni pratiche per
l‟uso dei dati amministrativi. (2)
36

Utilizzo di dati raccolti per altri scopi (archivi amministrativi)



Sulla base dell‟art. 99 è sempre legittimo l‟uso statistico di archivi amministrativi
che il titolare del trattamento statistico abbia prodotto o legittimamente
acquisito per lo svolgimento delle proprie funzioni istituzionali.
Quando il trattamento statistico prevede l‟utilizzazione di un archivio
amministrativo di cui è titolare un altro soggetto pubblico, l‟acquisizione dei dati
è possibile:
 per l‟attuazione del PSN (lavori previsti nel PSN, che ha valore di atto
regolamentare, anche in relazione ai dati sensibili e giudiziari)
 quando la comunicazione è prevista da norma di legge (o di regolamento, se
dati comuni)
 se si tratta di dati comuni, anche nei casi diversi dai precedenti, previa
comunicazione al Garante per la protezione dei dati personali ai sensi degli
artt. 19 e 39, comma 2, del Codice (decorsi 45 giorni dalla comunicazione
senza che siano stati formulati rilievi, si forma il silenzio - assenso).
Esempio concreto: Analisi delle procedure per l‟attuazione del progetto GUIDA (Studio
progettuale PSN IST 02140) “Utilizzo integrato di dati amministrativi per la produzione di
informazioni statistiche sui mercati del lavoro locali” .
Paola Baldi
Bologna, 25 novembre 2010
La comunicazione dei dati statistici
37

I soggetti SISTAN possono comunicare i dati personali di cui
siano venuti in possesso per scopi statistici a:
 altri enti e uffici di statistica del Sistan che ne facciano
richiesta per fini statistici
in attuazione del PSN
 per le finalità istituzionali del soggetto richiedente.


terzi estranei al Sistan per fini di ricerca (art. 7 codice
deontologia) a particolari condizioni.
Paola Baldi
Bologna, 25 novembre 2010
Comunicazione dati per attuazione PSN
38

Ciascun ente o ufficio di statistica facente parte del Sistan è
tenuto a fornire ad altro ente o ufficio di statistica del
Sistema, che ne faccia richiesta per l‟attuazione del PSN, i
dati personali, compresi i dati sensibili e giudiziari, privi di
dati identificativi o anche con i dati identificativi se
espressamente previsto dal PSN,
a) raccolti dallo stesso ente o ufficio di statistica per finalità
statistiche;
b) relativi all'amministrazione o ente di appartenenza ovvero da
questi detenuti in ragione della propria attività istituzionale.

La comunicazione di dati deve avvenire nei limiti stabiliti nel
PSN.
Paola Baldi
Bologna, 25 novembre 2010
Comunicazione dei dati per trattamenti non
compresi nel PSN
39




La comunicazione di dati personali, privi di dati identificativi, tra i soggetti del
sistema statistico nazionale è consentita per i trattamenti statistici, strumentali al
perseguimento delle finalità istituzionali del soggetto richiedente, espressamente
determinati all‟atto della richiesta, fermo restando il rispetto dei principi di
pertinenza e di non eccedenza.
Comunicazione anche dei dati identificativi previa motivata richiesta in cui siano
esplicitate le finalità perseguite ai sensi del d.lgs. 322 se il richiedente dichiara che
non è possibile conseguire altrimenti il medesimo risultato statistico e, comunque, nel
rispetto dei principi di pertinenza e di stretta necessità.
Se la richiesta riguarda dati sensibili e giudiziari, il richiedente (se la comunicazione
non è prevista per legge) deve aver adottato il regolamento ex-art. 20 del Codice
e aver approvato un atto di programmazione statistica, con il parere favorevole
del Garante.
Se la comunicazione riguarda dati comuni riferiti a terzi, e non è prevista da legge
o regolamento, se ne deve dare preventiva comunicazione al Garante ai sensi degli
artt. 19 e 39.
Paola Baldi
Bologna, 25 novembre 2010
Comunicazione a soggetti non facenti parte del
Sistema statistico nazionale
40


In generale, possono essere comunicati, sotto forma di collezioni
campionarie, solo dati individuali resi anonimi.
A soggetti a cui si applica il Codice di deontologia per trattamenti per
scopi statistici e di ricerca effettuati fuori dal Sistan, possono essere
comunicati dati personali,
 nell'ambito di specifici laboratori costituiti da soggetti Sistan oppure
 nell'ambito di progetti congiunti,
a condizione che
 i dati siano il risultato di trattamenti di cui è titolare il soggetto che li
comunica,
 i dati siano privi di elementi identificativi diretti,
 siano adottate adeguate garanzie nelle modalità di trattamento dei
dati.
Paola Baldi
Bologna, 25 novembre 2010
Il trattamento di dati personali per scopi statistici
e scientifici “non Sistan” (1)
41




Codice di deontologia e buona condotta per i trattamenti di dati
personali per scopi statistici e scientifici. (Provv. Garante n. 2/2004 –
Allegato A.4 al Codice Privacy)
Si applica all‟insieme dei trattamenti effettuati per scopi statistici e
scientifici di cui sono titolari università, altri enti o istituti di ricerca e
società scientifiche, nonché ricercatori che operano nell‟ambito delle
università, enti e istituti di ricerca e soci delle società scientifiche.
Il codice non si applica ai trattamenti per scopi statistici e scientifici
connessi con attività di tutela della salute svolte da esercenti professioni
sanitarie od organismi sanitari, ovvero con attività comparabili in termini
di significativa ricaduta personalizzata sull‟interessato, che restano
regolati dalle pertinenti disposizioni (art. 76 del Codice Privacy)
La ricerca scientifica in campo medico, biomedico ed epidemiologico è
disciplinata dall‟art. 110 del Codice, che impone di acquisire il consenso
dell‟interessato, salvo i casi previsti dallo stesso articolo.
Paola Baldi
Bologna, 25 novembre 2010
Il trattamento di dati personali per scopi statistici
e scientifici “non Sistan” (2)
42


Le finalità relative ai trattamenti effettuati da soggetti pubblici per scopi
scientifici sono considerate “di rilevante interesse pubblico,”ai sensi degli
artt. 20 e 21,
perciò il trattamento dei dati sensibili e giudiziari da parte dei soggetti
pubblici è effettuato senza il consenso dell‟interessato, se previsto nel
Regolamento ex art. 20 (scheda 31 dello schema tipo regionale). (N.B. il
trattamento non è lecito in mancanza del regolamento)



Il trattamento di dati personali per scopi statistici o scientifici è considerato
compatibile con i diversi scopi per i quali i dati sono stati in precedenza
raccolti o trattati (art. 99)
La ricerca è effettuata sulla base di un progetto redatto conformemente
agli standard metodologici del pertinente settore disciplinare e nel rispetto
delle regole specificate dallo stesso Codice di deontologia.
N.B.: il progetto di ricerca può prevedere la elaborazione di dati raccolti
originariamente da altri soggetti solo se esiste una norma di legge (o di
regolamento per i dati comuni) che consente la comunicazione dei dati da
parte del soggetto che li ha raccolti al soggetto che intende svolgere la
ricerca.
Paola Baldi
Bologna, 25 novembre 2010
Sintesi: Differenti presupposti di legittimità per la raccolta di dati
sensibili e possibile uso identificativi diretti, per differenti scopi
del trattamento dei dati (Regione)
43

Scopi statistici Sistan



Scopi scientifici non Sistan, escluso ricerca medica, biomedica, epidemiologica:


PSN: informativa, con esplicitazione facoltà di opposizione salvo obbligo di legge; NO
consenso, SI identificativi diretti in caso di necessità (principio non eccedenza).
PSR o altro atto regionale: (regolamento, sk 32)+ parere Garante + informativa, con
esplicitazione facoltà di opposizione salvo obbligo di legge, NO consenso, SI identificativi
diretti in caso di necessità.
Progetto di ricerca depositato + (regolamento, sk 31) + informativa, NO consenso,
Ricerca medica, biomedica, epidemiologica (art. 110): informativa e


consenso dell‟interessato,
NO consenso nei casi previsti da art. 110:




(norma di legge;
ricerca sanitaria art. 12bis d.lgs. 502 + comunicazione al Garante ex-art. 39;
impossibilità di informare + parere Comitato Etico + Autorizzazione Garante).
Attività di programmazione, gestione, controllo e valutazione dell‟assistenza
sanitaria: (regolamento, sk 12) + informativa, NO consenso, NO possibilità di opposizione,
NO Identificativi diretti = solo dati “codificati”= NO Registro nominativo.

Registro nominativo: possibile solo se previsto da norma di legge (+ eventuale
regolamento), NO consenso.
Paola Baldi
Bologna, 25 novembre 2010
Il Programma statistico nazionale e i programmi
statistici regionali
44

I compiti e le attività svolte per scopi statistici dall'Ufficio di
Statistica della Regione possono riguardare:






Attività di cui la Regione è titolare nel PSN
Attività di cui la Regione è titolare non comprese nel PSN
Attività PSN svolte per conto di altri soggetti Sistan
(Attività PSN per cui la Regione è il soggetto rispondente)
Gli adempimenti regionali relativi all'attuazione della normativa privacy
sono diversi nei vari casi, per quanto riguarda la legittimazione del
trattamento dei dati.
Restano invariate le regole e gli adempimenti relativi alle modalità di
trattamento dei dati (nomina degli incaricati e adozione delle misure di
sicurezza, norme per la raccolta e la conservazione, etc.).
Paola Baldi
Bologna, 25 novembre 2010
Attività statistiche di cui la Regione è titolare
comprese nel PSN (1)
45


Gli adempimenti dell'Ufficio di statistica della Regione
riguardano le attività connesse alla redazione del PSN:
predisposizione delle schede PSN descrittive dei progetti e di
schede ulteriori per i lavori che richiedono il trattamento,
rispettivamente, di dati personali “comuni” e di dati personali
sensibili e giudiziari
Le schede “privacy” del PSN sono state modificate e integrate a
partire dal PSN 2011-2013 per adeguarle alle nuove definizioni di
attività statistiche, per tenere conto delle osservazioni del Garante
e per garantire la completezza delle informazioni relative alla
protezione dei dati personali.
Paola Baldi
Bologna, 25 novembre 2010
Attività statistiche di cui la Regione è titolare
comprese nel PSN (2)
46



Per tutti i progetti del PSN sono raccolte le attestazioni, sottoscritte
dal responsabile dell‟ufficio di statistica, dalle quali risulta che il
trattamento statistico verrà effettuato nel rispetto delle disposizioni
contenute nel “codice di deontologia e di buona condotta per il
trattamento dei dati personali per scopi statistici e di ricerca scientifica
effettuati nell’ambito del Sistema statistico nazionale”, nonché delle
disposizioni previste dal d.lgs. 322/1989 e successive modificazioni.
Per i progetti PSN la cui realizzazione è affidata a uffici diversi
dall'US, la scheda è sottoscritta dai responsabili di entrambi gli
uffici.
Per ciascun lavoro che prevede il trattamento di dati personali sono
richieste ulteriori informazioni, su aspetti rilevanti ai fini della
normativa privacy .
Paola Baldi
Bologna, 25 novembre 2010
Attività statistiche del PSN svolte per altri
soggetti Sistan
47




Non ci sono a carico della Regione adempimenti per quanto riguarda la
legittimazione del trattamento, che sono curati dal titolare dell'indagine
(Istat o altro soggetto Sistan), che è anche il titolare del trattamento dei
dati.
Per alcune rilevazioni l'Ufficio di statistica svolge funzioni di organo di rilevazione
(ad es. rilevazione sul movimento turistico, rilevazione IVG ) ed è stato quindi
nominato dal titolare (nell'esempio, l'Istat) quale Responsabile del trattamento dei
dati. (Vedi esempio di nomina nella slide successiva)
L'Ufficio di statistica della Regione deve rispettare le indicazioni impartite dal
titolare e le disposizioni generali della normativa privacy e del codice
deontologico, per quanto riguarda le regole di condotta degli incaricati e dei
responsabili del trattamento dei dati.
Le eventuali elaborazioni proprie effettuate dall'US della Regione
presuppongono -almeno formalmente- una comunicazione dei dati da
parte del titolare all'US della Regione per la realizzazione delle attività di
cui la Regione è autonomo titolare. L‟attività (Statistica Derivata o
Rielaborazione - SDE) deve essere espressamente indicata nel PSR,
tenendola distinta da quella svolta come responsabile di trattamento.
Paola Baldi
Bologna, 25 novembre 2010
Esempio di nomina: da circolare IVG Istat n.39/2009
48





……
I dati raccolti nell‟ambito della presente indagine sono tutelati dal segreto statistico e sottoposti alla normativa in materia di
protezione dei dati personali e potranno essere utilizzati, anche per successivi trattamenti, esclusivamente per fini statistici dai
soggetti del Sistema statistico nazionale, nonché essere comunicati per finalità di ricerca scientifica alle condizioni e secondo le
modalità previste dall‟art 7 del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e
di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale. I medesimi dati saranno diffusi solo in forma
aggregata, secondo modalità che rendano non identificabili gli interessati.
Titolare del trattamento dei dati personali è l‟ISTAT – Istituto nazionale di statistica, Via Cesare Balbo 16 – 00184 Roma;
responsabili del trattamento dei dati personali sono, per le fasi di rispettiva competenza: il Direttore centrale per le
statistiche e le indagini sulle istituzioni sociali dell‟ISTAT e i preposti agli Uffici di Statistica delle Regioni e delle Province
Autonome ai quali è possibile rivolgersi anche per quanto riguarda l‟esercizio dei diritti degli interessati (art. 7 del d.lgs.
n.196/2003) e per conoscere il nominativo degli eventuali altri responsabili.
Laddove, per l’esecuzione di operazioni di trattamento di dati connesse alla realizzazione delle rilevazioni in oggetto, le
Regioni e Province Autonome si avvalgano di strutture diverse dagli uffici di statistica, ovvero di organismi esterni, l‟ISTAT
provvederà alla nomina dei responsabili del trattamento svolto da tali strutture ed organismi esterni per il tramite
dell’Ufficio di statistica della Regione o Provincia Autonoma competente.
Si ricorda che il responsabile del trattamento dei dati personali, in particolare:
- assicura il rispetto dei principi di cui all‟art. 11 del decreto legislativo n. 196/2003;
- designa quali incaricati del trattamento i soggetti che collaborano all‟indagine, impartendo loro le istruzioni dirette a
garantire il corretto svolgimento delle attività. La designazione è effettuata in conformità all‟art. 30 del d.lgs. n. 196/2003;
- adotta, ai sensi degli artt. 31 e seguenti del decreto legislativo n. 196/2003, misure di sicurezza idonee a prevenire rischi
di distruzione o perdita, anche accidentale, dei dati, accessi non autorizzati e trattamenti non conformi alle finalità della
raccolta;
- garantisce l‟esercizio dei diritti di cui all‟art. 7 del decreto legislativo n. 196/2003;
- assicura che sia resa agli interessati idonea informativa, in conformità all‟art. 13 del decreto legislativo n. 196/2003 e
all‟art. 6 del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica
effettuati nell’ambito del Sistema statistico nazionale, con particolare riguardo alla facoltatività del conferimento dei dati sensibili.
Paola Baldi
Bologna, 25 novembre 2010
Attività di cui la Regione è titolare non comprese
nel PSN
49



Per le attività statistiche di cui la Regione è titolare e che non
sono inserite nel PSN deve essere verificata l‟esistenza di tutti i
presupposti di legittimità descritti in precedenza.
Per le attività che trattano solo dati “comuni” non sono richieste
procedure particolari di approvazione, salvo quelle eventualmente
previste dalla normativa regionale e fatto salvo il rispetto delle
regole generali per il trattamento dei dati (informativa, nomina
incaricati, misure di sicurezza, etc.)
Per le attività che trattano dati sensibili e giudiziari, deve essere
richiesto il parere del Garante sul PSR o altro atto di
programmazione statistica della Regione (anche relativo ad una
singola attività), adottato successivamente al regolamento regionale
(con riferimento alla sk 32 dello schema tipo).
Paola Baldi
Bologna, 25 novembre 2010
Contenuto e natura del Programma statistico
regionale
50





Le procedure per la redazione e l‟adozione del Programma statistico
regionale sono definite dalla Regione (ad es.: approvazione da parte della
Giunta Regionale o del Consiglio, eventuale carattere vincolante per
l’autorizzazione della spesa, etc.).
Non esiste una struttura standard predefinita per il PSR, né per quanto
riguarda le attività da inserire nel PSR, né relativamente alle informazioni
sulle singole attività.
L‟unico vincolo è costituito dalle informazioni da rendere al Garante per le
attività che trattano dati sensibili e giudiziari, ai fini del rilascio del parere.
Il PSR deve necessariamente contenere le attività statistiche di cui la
Regione è titolare. E‟ opportuno che contenga anche le attività a titolarità
della Regione eventualmente già comprese nel PSN o per le quali è stato
richiesto l‟inserimento nel PSN (diversa cadenza temporale di PSN e PSR).
Per quanto riguarda le attività statistiche effettuate dalla Regione come
organo di rilevazione per conto di Istat o altri, nonché per quelle in cui la
Regione è il soggetto rispondente, il loro inserimento nel PSR ha carattere
di ricognizione e non di autorizzazione.
Paola Baldi
Bologna, 25 novembre 2010
Il programma statistico regionale : l‟esperienza
della regione Toscana (1)
51





L‟ultimo PSR predisposto dall‟Ufficio di statistica della Regione Toscana, in
attuazione della LR 43/92 riguardava il triennio 2006-2008.
Il PSR contiene sia le attività di cui la RT è titolare (solo nel PSR o anche
inserite nel PSN), sia quelle svolte come organo di rilevazione per conto di
altri (adempimenti PSN), sia quelle per le quali la RT è soggetto rispondente.
Nel 2009 è stata approvata una nuova legge regionale che prevede
nuove procedure di redazione del PSR, che non hanno ancora trovato
attuazione. La LR 54/2009, tra l‟altro, dichiara espressamente che il PSR,
per quanto attiene i trattamenti di dati sensibili e giudiziari, è approvato in
conformità al parere del Garante.
Ai fini dell‟approvazione del PSR 2006-2008 è stato richiesto il parere del
Garante, in attuazione della scheda 32 del regolamento regionale per il
trattamento dei dati sensibili e giudiziari adottato nel 2006.
Confronto preliminare con l‟Ufficio del Garante, che ha portato modifiche
anche sostanziali del PSR rispetto alle edizioni precedenti.
(segue)
Paola Baldi
Bologna, 25 novembre 2010
Il programma statistico regionale : l‟esperienza
della regione Toscana (2)
52



E‟ stato trasmesso tutto il PSN, anche se il parere – ai sensi del
regolamento- è necessario solo per le attività statistiche che prevedono il
trattamento di dati sensibili e giudiziari.
Osservazioni preliminari del Garante sui soggetti cui sono affidati i lavori:
evidenziata la disapplicazione della LR 43/92 a seguito della entrata in
vigore del Codice di Deontologia (All. A3 al d.lgs. 196/03)
Presi accordi con le DG per modificare le responsabilità : incaricato
sempre US, eventualmente “in collaborazione con strutture di settore” (salvo
lavori PSN).



Indicazioni del Garante per revisione della tipologia di alcune schede.
Molte “rilevazioni” trasformate in “elaborazioni su dati amministrativi”,
rimaste però anche rilevazioni con doppia finalità (ad es.: asili nido).
Non è stata affrontata durante i contatti preliminari la questione delle
autonome elaborazioni regionali in relazione alle rilevazioni per le quali la
Regione è organo di rilevazione per conto di altri (Istat, Ministeri, etc.).
Parere favorevole sulla versione modificata del PSR, con prescrizione di
richiedere ulteriore parere per eventuali elaborazioni proprie quando RT è
organo di rilevazione.
Paola Baldi
Bologna, 25 novembre 2010