Ricorso ex art. 127 della Costituzione per il Presidente del
Consiglio dei ministri, rappresentato e difeso ex lege
dall'Avvocatura generale dello Stato presso i cui uffici e'
domiciliato in Roma alla via dei Portoghesi, 12 contro la Regione
Puglia, in persona del Presidente della Giunta regionale pro tempore,
con sede in Bari, Lungomare Nazario Sauro n. 33 per la declaratoria
di illegittimita' costituzionale dell'art. 3 della legge della
Regione Puglia 15 giugno 2023, n. 13, pubblicata nel BUR n. 58 del 20
giugno 2023, recante: «Disposizioni per prevenire e contrastare
condotte di maltrattamento o di abuso, anche di natura psicologica,
in danno di anziani e persone con disabilita' e modifica alla legge
regionale 9 agosto 2006, n. 26 (Interventi in materia sanitaria)»,
come da delibera del Consiglio dei ministri in data 3 agosto 2023.
Sul B.U.R. n. 58 del 20 giugno 2023 della Regione Puglia e' stata
pubblicata la legge regionale 15 giugno 2023, n. 13.
Per quanto in questa sede d'interesse, le disposizioni impugnate
cosi' dispongono:
«Art. 3.
Installazione dei sistemi di videosorveglianza e tutela della privacy
1. Le strutture private adibite all'attivita' di cui all'art. 1
provvedono autonomamente all'installazione delle telecamere a
circuito chiuso e ne danno comunicazione alle aziende sanitarie
locali in caso di strutture socio-sanitarie e socio-assistenziali.
2. I sistemi di videosorveglianza a circuito chiuso di cui al
comma 1 devono essere installati con modalita' atte a garantire la
sicurezza dei dati trattati e la loro protezione da accessi abusivi.
Nelle strutture di cui all'art. 1 e' vietato l'utilizzo di webcam.
3. L'installazione del sistema di videosorveglianza e'
effettuata in conformita' al decreto legislativo 10 agosto 2018, n.
101 (Disposizioni per l'adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE (regolamento generale sulla protezione dei dati))
e al regolamento (UE) 2016/679 nonche' nel rispetto della Convenzione
delle Nazioni Unite sui diritti delle persone con disabilita'
ratificata ai sensi della legge 3 marzo 2009, n. 18 (Ratifica ed
esecuzione della Convenzione delle Nazioni Unite sui diritti delle
persone con disabilita', con Protocollo opzionale, fatta a New York
il 13 dicembre 2006 e istituzione dell'Osservatorio nazionale sulla
condizione delle persone con disabilita'). Per l'attivazione e'
necessario acquisire il consenso degli ospiti o dei loro tutori.
4. La presenza dei sistemi di videosorveglianza e' inoltre
adeguatamente segnalata a tutti i soggetti che accedono all'area
video sorvegliata.
5. Le registrazioni sono effettuate in modalita' criptata e
possono essere visionate esclusivamente dall'autorita' giudiziaria, a
seguito di segnalazioni da parte dei soggetti interessati, familiari
o degenti».
Il Governo ritiene che tale legge sia censurabile nelle
disposizioni sopra indicate (dunque, nel suo art. 3).
Propone pertanto questione di legittimita' costituzionale ai
sensi dell'art. 127, comma 1, della Costituzione per i seguenti
motivi
1. Illegittimita' costituzionale dell'art. 3, legge regionale
Puglia, 15 giugno 2023, n. 13 per contrasto con l'art. 117, secondo
comma, lettera l), della Costituzione sotto il profilo
dell'ordinamento civile e penale, e dell'art. 117, primo comma, della
Costituzione in relazione al regolamento (UE) n. 2016/679 («GDPR») e
al decreto legislativo n. 101/2018 recante disposizioni di
adeguamento al GDPR e di modifica al decreto legislativo 30 giugno
2003, n. 196 (Codice della privacy); nonche' in relazione alla
direttiva (UE) 2016/680 e al decreto legislativo 18 maggio 2018, n.
51 (norme interposte).
La legge della Regione Puglia 15 giugno 2023, n. 13, recante
«Disposizioni per prevenire e contrastare condotte di maltrattamento
o di abuso, anche di natura psicologica, in danno di anziani e
persone con disabilita' e modifica alla legge regionale 9 agosto
2006, n. 26 (Interventi in materia sanitaria)», reca all'art. 3
disposizioni in tema di installazione di sistemi di videosorveglianza
che si pongono in contrasto con l'art. 117, comma 2, lettera l),
della Costituzione, in ordine alla competenza esclusiva statale in
materia di ordinamento civile e penale e sono, altresi', adottate in
violazione dei vincoli derivanti dall'ordinamento comunitario, in
violazione dell'art. 117, comma 1, della Costituzione.
Come sopra riportato, l'art. 3 legittima le strutture private
socio-sanitarie e socio-assistenziali a carattere residenziale,
semiresidenziale o diurno, all'autonoma installazione di sistemi di
videosorveglianza.
1. La disciplina regionale, nell'articolo censurato, interviene,
dunque, sulla materia del trattamento dei dati personali, materia che
la Corte, gia' nella sentenza n. 271/2005, ha ricondotto alla
competenza esclusiva dello Stato in materia di ordinamento civile.
La disciplina della tutela dei dati personali, riferendosi
all'intera serie dei fenomeni sociali nei quali questi possono venire
in rilievo, si caratterizza essenzialmente per il riconoscimento di
una serie di diritti alle persone fisiche relativamente ai propri
dati, diritti di cui sono regolate analiticamente caratteristiche,
limiti, modalita' di esercizio, garanzie, forme di tutela in sede
amministrativa e giurisdizionale; essa rientra quindi nella
competenza esclusiva statale in materia di ordinamento civile, di cui
all'art. 117, comma 2, lettera l), della Costituzione (e non anche,
secondo la Corte, in quella in tema di «determinazione dei livelli
essenziali delle prestazioni concernenti i diritti civili e sociali
che devono essere garantiti su tutto il territorio nazionale» di cui
alla lettera m) del comma 2 dell'art. 117 della Costituzione, dal
momento che la legislazione sui dati personali non concerne
prestazioni, bensi' la stessa disciplina di una serie di diritti
personali attribuiti ad ogni singolo interessato).
La situazione relativa alle competenze in materia non e' cambiata
a fronte del mutato quadro ordinamentale, europeo ed interno.
La nuova normativa sulla protezione dei dati personali risulta
dalle disposizioni del regolamento (UE) 2016/679 del Parlamento
europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione
delle persone fisiche con riguardo al trattamento dei dati personali,
nonche' alla libera circolazione di tali dati (di seguito «GDPR»),
nonche' dalle disposizioni del codice della privacy (decreto
legislativo 30 giugno 2003, n. 196) cosi' come riformato dal decreto
legislativo n. 101/2018, recante disposizioni per l'adeguamento della
normativa nazionale alle disposizioni del GDPR. Ulteriori modifiche
al codice sono state successivamente apportate attraverso il
decreto-legge n. 139 del 2021 convertito, con modificazioni, dalla
legge n. 205 del 2021.
Con il decreto legislativo n. 51 del 2018 l'ordinamento italiano
ha, invece, attuato la direttiva (UE) 2016/680, relativa alla
protezione delle persone fisiche con riguardo al trattamento dei dati
personali da parte delle autorita' competenti a fini di prevenzione,
indagine, accertamento e perseguimento di reati.
La legge regionale, al comma 3 dell'art 3, si limita ad un
generico richiamo alle disposizioni del GDPR e del decreto
legislativo n. 101/2018 ed, inoltre, tale riferimento e' limitato
alla fase della «installazione» del sistema di videosorveglianza,
restando del tutto oscuro e privo di disciplina il suo funzionamento
ed uso con riferimento a diversi profili che impattano sulla
protezione dei dati personali dei soggetti coinvolti.
Il richiamo operato dalla legge regionale non e' completo anche
perche' non viene puntualmente individuato l'intero plesso normativo
di riferimento, da rinvenirsi, come s'e' detto, anche nel decreto
legislativo 18 maggio 2018, n. 51, di recepimento della direttiva
(UE) 2016/680, in ragione dell'attribuzione all'autorita' giudiziaria
della competenza all'accesso alle videoriprese.
2. L'ultima parte del comma 3 dell'art. 3 allude, poi, quanto
alla «attivazione» del sistema, alla necessita' del «consenso» degli
ospiti (o dei tutori), senza pero' chiarire se il consenso
costituisca la base giuridica del trattamento e, in tal caso, le
precise modalita' attraverso cui esso dovrebbe essere prestato,
specie per le situazioni di incapacita' degli interessati.
Come e' noto, pero', affinche' si possa legittimamente far valere
la (residuale) base giuridica costituita dal consenso di cui all'art.
6, par. 1, lettera a), e 9, par. 1, lettera a) del GDPR, il consenso
deve avere determinate caratteristiche.
A questo proposito va ricordato che il consenso, alla stregua
dell'art. 4, n. 11 GDPR, e' valido solo se consiste in una
«manifestazione di volonta' libera, specifica, informata e
inequivocabile dell'interessato» a «che i dati personali che lo
riguardano siano oggetto di trattamento».
Va inoltre tenuto presente il considerando 43 del GDPR, secondo
il quale «Per assicurare la liberta' di prestare il consenso, e'
opportuno che il consenso non costituisca un valido fondamento
giuridico per il trattamento dei dati personali in un caso specifico,
qualora esista un evidente squilibrio tra l'interessato e il titolare
del trattamento, specie quando il titolare del trattamento e'
un'autorita' pubblica e cio' rende pertanto improbabile che il
consenso sia stato prestato liberamente in tutte le circostanze di
tale situazione specifica. Si presume che il consenso non sia stato
liberamente prestato se non e' possibile prestare un consenso
separato a distinti trattamenti di dati personali, nonostante sia
appropriato nel singolo caso, o se l'esecuzione di un contratto,
compresa la prestazione di un servizio, e' subordinata al consenso
sebbene esso non sia necessario per tale esecuzione».
In tale situazione la legge regionale appare del tutto oscura ed
equivoca sul fatto che il consenso dell'interessato possa
rappresentare un valido assenso alla raccolta e all'utilizzo dei dati
personali.
Il Comitato europeo per la protezione dei dati nelle Linee guida
3/2019 (all. 2) sul trattamento dei dati personali attraverso
dispositivi video, si occupa, specificamente, tra l'altro, della
«base giuridica» che, ai sensi del GDPR, puo' giustificare il
trattamento dei dati personali attraverso la videosorveglianza.
Occupandosi del consenso, al punto 3.3 «Consenso (art. 6,
paragrafo 1, lettera a)» il Comitato precisa:
«43. Il consenso deve essere prestato liberamente, deve essere
specifico, informato e inequivocabile, come descritto nelle linee
guida sul consenso.
44. Per quanto riguarda la sorveglianza sistematica, il
consenso dell'interessato puo' fungere da base giuridica ai sensi
dell'art. 7 (cfr. il considerando 43) solo in casi eccezionali. E'
nella natura della sorveglianza il fatto che questa tecnologia
consenta di controllare contemporaneamente un numero non noto di
persone. Il titolare del trattamento difficilmente sara' in grado di
dimostrare che l'interessato ha prestato il consenso prima del
trattamento dei suoi dati personali (art. 7, paragrafo 1). Supponendo
che l'interessato revochi il proprio consenso, sara' difficile per il
titolare dimostrare che i dati personali non sono piu' oggetto di
trattamento (art. 7, paragrafo 3)
...46. Se il titolare del trattamento desidera invocare il
consenso, e' suo dovere assicurarsi che ogni interessato che entra
nella zona sottoposta a videosorveglianza abbia prestato il proprio
consenso. Tale consenso deve soddisfare le condizioni di cui all'art.
7. L'ingresso in una zona sorvegliata contrassegnata (ad esempio, le
persone sono invitate a passare attraverso uno specifico corridoio o
cancello per accedere a una zona sorvegliata), non configura una
dichiarazione o una chiara azione affermativa come necessarie per la
validita' del consenso, a meno che siano soddisfatti i criteri di cui
agli articoli 4 e 7 descritti nelle linee guida sul consenso.
47. Dato lo squilibrio di potere tra datori di lavoro e
dipendenti, nella maggior parte dei casi i datori di lavoro non
dovrebbero invocare il consenso nel trattare i dati personali, in
quanto e' improbabile che quest'ultimo venga fornito liberamente. In
tale contesto si dovrebbe tener conto delle linee guida sul consenso.
48. La legge degli Stati membri o i contratti collettivi,
compresi i «contratti di lavoro», possono prevedere norme specifiche
sul trattamento dei dati personali dei dipendenti nell'ambito dei
rapporti di lavoro (cfr. l'art. 88)». (enfasi aggiunta).
Anche da tali indicazioni si ricava agevolmente che la legge
censurata, oltre ad essere intervenuta in una materia riservata alla
legislazione statale, ha anche omesso di considerare la disciplina
europea di settore, affidandosi ad una base giuridica (il consenso)
inappropriata allo scopo, anche tenuto conto delle finalita' della
disciplina in cui la videosorveglianza e' inserita.
A tale ultimo riguardo si osserva che la legge ha la finalita' di
prevenire e contrastare condotte di maltrattamento o di abuso, anche
di natura psicologica, in danno di anziani e persone con disabilita'
nell'ambito delle strutture socio-sanitarie e socio-assistenziali a
carattere residenziale, semi-residenziale o diurno.
Orbene, condizionare la liceita' della videosorveglianza al
consenso dell'ospite significa anche trascurare del tutto la
posizione dei lavoratori della struttura che pure sono coinvolti nel
trattamento dei dati personali.
Come si ricava, invece, dall' art. 1 della legge regionale
rubricato «Oggetto e finalita'» «1. La presente legge ha la finalita'
di prevenire e contrastare condotte di maltrattamento o di abuso,
anche di natura psicologica, in danno di anziani e persone con
disabilita' nell'ambito delle strutture socio-sanitarie e
socio-assistenziali a carattere residenziale, semi-residenziale o
diurno».
E' dunque evidente che l'oggetto del controllo tramite
videosorveglianza sono (anche, se non soprattutto) i lavoratori
addetti alla cura di anziani e disabili e dunque anche in relazione
alla loro posizione dovrebbe essere valutata la liceita' del
trattamento ed individuata la base giuridica.
Va osservato, ulteriormente, che l'installazione di impianti
audiovisivi e altri strumenti di controllo dei lavoratori deve
avvenire ai sensi dell'art. 4, comma 1, della legge n. 300/1970
(Statuto dei lavoratori) che prevede, prioritariamente, l'accordo
collettivo con le RSA e/o RSU presenti, mentre la procedura
autorizzatoria pubblica presso l'Ispettorato del lavoro risulta solo
eventuale e successiva al mancato accordo con i sindacati ed e'
condizionata, ai fini istruttori, alla dimostrazione dell'assenza
della RSA/RSU, ovvero del mancato accordo con esse (l'efficacia di
tale disposizione e' espressamente affermata dall'art. 114 del codice
della privacy «Garanzie in materia di controllo a distanza», in base
al quale «Resta fermo quanto disposto dall'art. 4 della legge 20
maggio 1970, n. 300»).
La legge regionale impugnata trascura del tutto la posizione dei
lavoratori e le garanzie per questi stabilite dalla legge affidando
al consenso dei (soli) ospiti della struttura il presupposto di
liceita' di un sistema di trattamento dei dati che incide anche su
altri (i lavoratori) e senza contemplare, ne' richiamare le relative
garanzie.
3. La legge regionale appare, inoltre, violare il principio di
proporzionalita' il cui rispetto e' necessario, ai sensi degli
articoli 52 della Carta dei diritti fondamentali dell'UE e 5, par. 1,
lett c) del regolamento UE 2016/679, per la legittimita' di una
previsione normativa incidente su diritti fondamentali.
Il rispetto del principio di proporzionalita' dovrebbe comportare
una analisi attenta - nella fattispecie del tutto omessa - sul se
effettivamente tutti i luoghi indicati presentino un grado di rischio
adeguato a legittimare una limitazione significativa della liberta'
del lavoratore nell'adempimento della prestazione, assumendo
parametri quali i fattori di rischio propri del contesto di
riferimento, assicurando che il ricorso a uno strumento di
monitoraggio cosi' invasivo avvenga solo laddove altre misure meno
limitative della riservatezza risultino inefficaci.
Ogni intervento normativo in materia deve necessariamente
coniugare, infatti, la tutela di soggetti in condizione di
particolare vulnerabilita' rispetto al rischio di abusi e violenze,
l'esigenza di ricostruzione probatoria di reati per i quali nella
maggior parte dei casi non si dispone di testi in grado di agevolare
gli accertamenti, la liberta' del lavoratore nell'adempimento della
prestazione e, infine, il diritto alla protezione dei dati personali
dei vari soggetti ripresi dal sistema di videosorveglianza (i
lavoratori, ed anche gli ospiti delle strutture di cura).
E', dunque, evidente che il bilanciamento dei descritti, diversi
interessi in gioco di natura fondamentale con il diritto alla
protezione dei dati personali e' devoluto allo Stato, ai sensi
dell'art. 117, comma 2, lettera l), della Costituzione.
Nel disciplinare l'attivita' di videosorveglianza nelle strutture
residenziali di cura di anziani e disabili la legge regionale in
esame interviene, quindi, al di la' delle stesse competenze
regionali, in un ambito riservato al legislatore statale cui spetta
declinare i principi di protezione dati nello specifico contesto
considerato e il bilanciamento con gli altri interessi giuridici in
gioco.
Di tale riserva e' significativa non solo la previsione, con
legge statale, del fondo di cui all'art. 5-septies, comma 2,
decreto-legge 18 aprile 2019, n. 32 (convertito dalla legge 14 giugno
2019, n. 55), ma anche il criterio di delega di cui all'art. 4, comma
2. lettera r), legge 23 marzo 2023, n. 33, che annovera infatti,
nell'ambito dei criteri di accreditamento delle strutture di cura per
anziani, oggetto di semplificazione previo parere in Conferenza
unificata, «...la presenza di sistemi di videosorveglianza a circuito
chiuso, finalizzati alla prevenzione e alla garanzia della sicurezza
degli utenti».
Tali norme dimostrano l'esigenza di una complessiva regolazione
statale delle ipotesi di ammissibilita' dell'installazione di sistemi
di videosorveglianza in contesti residenziali di cura.
Tra la XVII e la XVIII legislatura, infatti, le Camere hanno
discusso alcune proposte di legge volte precisamente a disciplinare
l'utilizzo delle videoriprese nei servizi educativi e nelle scuole
dell'infanzia, nonche' nelle strutture socio-sanitarie e
socio-assistenziali per anziani e disabili.
La legge regionale in esame, proprio per la scelta di autonoma
disciplina della materia, cosi' fortemente incidente sulle garanzie
di protezione dei dati, non si muove nell'ambito «interstiziale»
delineato dalla Corte come legittimo spazio d'intervento per il
legislatore di livello sub-statale, nel rispetto peraltro della
cornice normativa di riferimento essendo la protezione dei dati
personali attribuita alla competenza legislativa statale esclusiva in
quanto ricondotta, comma ritenuto nella citata sentenza n. 271 del
2005, alla materia «ordinamento civile» (art. 117, secondo comma,
lettera l), della Costituzione).
Ne' vale a superare i rilievi esposti l'affermazione, presente
nella legge regionale, circa la necessita' del rispetto della
disciplina di protezione dei dati personali, in assenza di una
formulazione della norma in concreto conforme ai parametri generali
di liceita' in materia e vista la incompleta individuazione del
corretto plesso normativo di riferimento.
Per completezza, si ricorda che la Corte ha chiarito che nelle
materie di competenza esclusiva dello Stato sono inibiti alle regioni
interventi diretti ad incidere sulla disciplina statale, finanche in
modo meramente riproduttivo della stessa. In tal senso la sentenza
40/2017 ha ribadito che, in materie di competenza esclusiva dello
Stato, come quella ex art. 117, secondo comma, lettera e), della
Costituzione, sono «inibiti alle regioni interventi normativi diretti
ad incidere sulla disciplina dettata dallo Stato, finanche in modo
meramente riproduttivo della stessa (sentenza n. 245 del 2013, che
richiama le sentenze n. 18 del 2013, n. 271 del 2009, n. 153 e n. 29
del 2006)».
4. La disciplina regionale, peraltro, non individua neppure i
tempi di conservazione delle videoriprese, cio' che costituisce
elemento essenziale della disciplina di protezione.
I dati personali non possono essere conservati piu' a lungo di
quanto necessario per le finalita' per le quali sono trattati (art.
5, paragrafo 1, lettere c) ed e), del GDPR) e lo Stato (con
disciplina uniforme a livello nazionale) puo' prevedere disposizioni
specifiche per i periodi di conservazione con riguardo alla
videosorveglianza a norma dell'art. 6, paragrafo 2, del GDPR.
Le citate linee guida del Comitato europeo per la protezione dei
dati si occupano al punto 120 della necessita' che sia previsto un
periodo di conservazione dei dati raccolti, ma su questo aspetto la
legge impugnata omette ogni indicazione.
5. Infine, il comma 5 del medesimo art. 3, che prevede che le
videoregistrazioni sono effettuate in modalita' criptata e possono
essere visionate esclusivamente dall'autorita' giudiziaria, a seguito
di segnalazioni da parte dei soggetti interessati, familiari o
degenti, reca una disposizione che investe specifici aspetti che
afferiscono all'ordinamento penale, poiche' interferisce con le
prerogative dell'autorita' giudiziaria (inquirente), risultando
quindi anch'essa in contrasto con l'art. 117, comma 2, lettera l)
della Costituzione.
Il trattamento dei dati personali da parte dell'autorita'
giudiziaria non e', peraltro, disciplinato dal RGPD (si veda l'art.
2, paragrafo 2, lettera d), bensi' dalla direttiva (UE) 2016/680
sulla protezione dei dati nelle attivita' di polizia e giudiziarie
come attuata dal decreto legislativo 18 maggio 2018, n. 5, che, come
gia' esposto, non e' neppure indicato o richiamato nella disposizione
censurata.
Alla luce di quanto sopra esposto l'art. 3 della legge della
Regione Puglia 15 giugno 2023, n. 13, che legittima le strutture
private socio-sanitarie e socio-assistenziali a carattere
residenziale, semiresidenziale o diurno, all'autonoma installazione
di sistemi di videosorveglianza, reca una disciplina invasiva della
competenza legislativa esclusiva dello Stato in materia di
ordinamento civile e penale (cui la Corte, con sentenza 271 del 2005,
ha ricondotto la normativa di protezione dei dati) ed appare,
altresi', in contrasto con i vincoli derivanti dall'ordinamento
comunitario in riferimento alle disposizioni del regolamento (UE) n.
2016/679 (GDPR), della direttiva (UE) 2016/680 e delle norme
nazionali che a quelle disposizioni hanno dato attuazione (decreto
legislativo n. 101/2018 recante disposizioni di adeguamento al GDPR e
di modifica al decreto legislativo 30 giugno 2003, n. 196 - codice
della privacy -, nonche' decreto legislativo 18 maggio 2018, n. 51).