Ricorso ex art. 127 della Costituzione per il Presidente del Consiglio dei ministri, rappresentato e difeso ex lege dall'Avvocatura generale dello Stato presso i cui uffici e' domiciliato in Roma alla via dei Portoghesi, 12 contro la Regione Puglia, in persona del Presidente della Giunta regionale pro tempore, con sede in Bari, Lungomare Nazario Sauro n. 33 per la declaratoria di illegittimita' costituzionale dell'art. 3 della legge della Regione Puglia 15 giugno 2023, n. 13, pubblicata nel BUR n. 58 del 20 giugno 2023, recante: «Disposizioni per prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilita' e modifica alla legge regionale 9 agosto 2006, n. 26 (Interventi in materia sanitaria)», come da delibera del Consiglio dei ministri in data 3 agosto 2023. Sul B.U.R. n. 58 del 20 giugno 2023 della Regione Puglia e' stata pubblicata la legge regionale 15 giugno 2023, n. 13. Per quanto in questa sede d'interesse, le disposizioni impugnate cosi' dispongono: «Art. 3. Installazione dei sistemi di videosorveglianza e tutela della privacy 1. Le strutture private adibite all'attivita' di cui all'art. 1 provvedono autonomamente all'installazione delle telecamere a circuito chiuso e ne danno comunicazione alle aziende sanitarie locali in caso di strutture socio-sanitarie e socio-assistenziali. 2. I sistemi di videosorveglianza a circuito chiuso di cui al comma 1 devono essere installati con modalita' atte a garantire la sicurezza dei dati trattati e la loro protezione da accessi abusivi. Nelle strutture di cui all'art. 1 e' vietato l'utilizzo di webcam. 3. L'installazione del sistema di videosorveglianza e' effettuata in conformita' al decreto legislativo 10 agosto 2018, n. 101 (Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)) e al regolamento (UE) 2016/679 nonche' nel rispetto della Convenzione delle Nazioni Unite sui diritti delle persone con disabilita' ratificata ai sensi della legge 3 marzo 2009, n. 18 (Ratifica ed esecuzione della Convenzione delle Nazioni Unite sui diritti delle persone con disabilita', con Protocollo opzionale, fatta a New York il 13 dicembre 2006 e istituzione dell'Osservatorio nazionale sulla condizione delle persone con disabilita'). Per l'attivazione e' necessario acquisire il consenso degli ospiti o dei loro tutori. 4. La presenza dei sistemi di videosorveglianza e' inoltre adeguatamente segnalata a tutti i soggetti che accedono all'area video sorvegliata. 5. Le registrazioni sono effettuate in modalita' criptata e possono essere visionate esclusivamente dall'autorita' giudiziaria, a seguito di segnalazioni da parte dei soggetti interessati, familiari o degenti». Il Governo ritiene che tale legge sia censurabile nelle disposizioni sopra indicate (dunque, nel suo art. 3). Propone pertanto questione di legittimita' costituzionale ai sensi dell'art. 127, comma 1, della Costituzione per i seguenti motivi 1. Illegittimita' costituzionale dell'art. 3, legge regionale Puglia, 15 giugno 2023, n. 13 per contrasto con l'art. 117, secondo comma, lettera l), della Costituzione sotto il profilo dell'ordinamento civile e penale, e dell'art. 117, primo comma, della Costituzione in relazione al regolamento (UE) n. 2016/679 («GDPR») e al decreto legislativo n. 101/2018 recante disposizioni di adeguamento al GDPR e di modifica al decreto legislativo 30 giugno 2003, n. 196 (Codice della privacy); nonche' in relazione alla direttiva (UE) 2016/680 e al decreto legislativo 18 maggio 2018, n. 51 (norme interposte). La legge della Regione Puglia 15 giugno 2023, n. 13, recante «Disposizioni per prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilita' e modifica alla legge regionale 9 agosto 2006, n. 26 (Interventi in materia sanitaria)», reca all'art. 3 disposizioni in tema di installazione di sistemi di videosorveglianza che si pongono in contrasto con l'art. 117, comma 2, lettera l), della Costituzione, in ordine alla competenza esclusiva statale in materia di ordinamento civile e penale e sono, altresi', adottate in violazione dei vincoli derivanti dall'ordinamento comunitario, in violazione dell'art. 117, comma 1, della Costituzione. Come sopra riportato, l'art. 3 legittima le strutture private socio-sanitarie e socio-assistenziali a carattere residenziale, semiresidenziale o diurno, all'autonoma installazione di sistemi di videosorveglianza. 1. La disciplina regionale, nell'articolo censurato, interviene, dunque, sulla materia del trattamento dei dati personali, materia che la Corte, gia' nella sentenza n. 271/2005, ha ricondotto alla competenza esclusiva dello Stato in materia di ordinamento civile. La disciplina della tutela dei dati personali, riferendosi all'intera serie dei fenomeni sociali nei quali questi possono venire in rilievo, si caratterizza essenzialmente per il riconoscimento di una serie di diritti alle persone fisiche relativamente ai propri dati, diritti di cui sono regolate analiticamente caratteristiche, limiti, modalita' di esercizio, garanzie, forme di tutela in sede amministrativa e giurisdizionale; essa rientra quindi nella competenza esclusiva statale in materia di ordinamento civile, di cui all'art. 117, comma 2, lettera l), della Costituzione (e non anche, secondo la Corte, in quella in tema di «determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale» di cui alla lettera m) del comma 2 dell'art. 117 della Costituzione, dal momento che la legislazione sui dati personali non concerne prestazioni, bensi' la stessa disciplina di una serie di diritti personali attribuiti ad ogni singolo interessato). La situazione relativa alle competenze in materia non e' cambiata a fronte del mutato quadro ordinamentale, europeo ed interno. La nuova normativa sulla protezione dei dati personali risulta dalle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (di seguito «GDPR»), nonche' dalle disposizioni del codice della privacy (decreto legislativo 30 giugno 2003, n. 196) cosi' come riformato dal decreto legislativo n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del GDPR. Ulteriori modifiche al codice sono state successivamente apportate attraverso il decreto-legge n. 139 del 2021 convertito, con modificazioni, dalla legge n. 205 del 2021. Con il decreto legislativo n. 51 del 2018 l'ordinamento italiano ha, invece, attuato la direttiva (UE) 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati. La legge regionale, al comma 3 dell'art 3, si limita ad un generico richiamo alle disposizioni del GDPR e del decreto legislativo n. 101/2018 ed, inoltre, tale riferimento e' limitato alla fase della «installazione» del sistema di videosorveglianza, restando del tutto oscuro e privo di disciplina il suo funzionamento ed uso con riferimento a diversi profili che impattano sulla protezione dei dati personali dei soggetti coinvolti. Il richiamo operato dalla legge regionale non e' completo anche perche' non viene puntualmente individuato l'intero plesso normativo di riferimento, da rinvenirsi, come s'e' detto, anche nel decreto legislativo 18 maggio 2018, n. 51, di recepimento della direttiva (UE) 2016/680, in ragione dell'attribuzione all'autorita' giudiziaria della competenza all'accesso alle videoriprese. 2. L'ultima parte del comma 3 dell'art. 3 allude, poi, quanto alla «attivazione» del sistema, alla necessita' del «consenso» degli ospiti (o dei tutori), senza pero' chiarire se il consenso costituisca la base giuridica del trattamento e, in tal caso, le precise modalita' attraverso cui esso dovrebbe essere prestato, specie per le situazioni di incapacita' degli interessati. Come e' noto, pero', affinche' si possa legittimamente far valere la (residuale) base giuridica costituita dal consenso di cui all'art. 6, par. 1, lettera a), e 9, par. 1, lettera a) del GDPR, il consenso deve avere determinate caratteristiche. A questo proposito va ricordato che il consenso, alla stregua dell'art. 4, n. 11 GDPR, e' valido solo se consiste in una «manifestazione di volonta' libera, specifica, informata e inequivocabile dell'interessato» a «che i dati personali che lo riguardano siano oggetto di trattamento». Va inoltre tenuto presente il considerando 43 del GDPR, secondo il quale «Per assicurare la liberta' di prestare il consenso, e' opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il titolare del trattamento, specie quando il titolare del trattamento e' un'autorita' pubblica e cio' rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente prestato se non e' possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l'esecuzione di un contratto, compresa la prestazione di un servizio, e' subordinata al consenso sebbene esso non sia necessario per tale esecuzione». In tale situazione la legge regionale appare del tutto oscura ed equivoca sul fatto che il consenso dell'interessato possa rappresentare un valido assenso alla raccolta e all'utilizzo dei dati personali. Il Comitato europeo per la protezione dei dati nelle Linee guida 3/2019 (all. 2) sul trattamento dei dati personali attraverso dispositivi video, si occupa, specificamente, tra l'altro, della «base giuridica» che, ai sensi del GDPR, puo' giustificare il trattamento dei dati personali attraverso la videosorveglianza. Occupandosi del consenso, al punto 3.3 «Consenso (art. 6, paragrafo 1, lettera a)» il Comitato precisa: «43. Il consenso deve essere prestato liberamente, deve essere specifico, informato e inequivocabile, come descritto nelle linee guida sul consenso. 44. Per quanto riguarda la sorveglianza sistematica, il consenso dell'interessato puo' fungere da base giuridica ai sensi dell'art. 7 (cfr. il considerando 43) solo in casi eccezionali. E' nella natura della sorveglianza il fatto che questa tecnologia consenta di controllare contemporaneamente un numero non noto di persone. Il titolare del trattamento difficilmente sara' in grado di dimostrare che l'interessato ha prestato il consenso prima del trattamento dei suoi dati personali (art. 7, paragrafo 1). Supponendo che l'interessato revochi il proprio consenso, sara' difficile per il titolare dimostrare che i dati personali non sono piu' oggetto di trattamento (art. 7, paragrafo 3) ...46. Se il titolare del trattamento desidera invocare il consenso, e' suo dovere assicurarsi che ogni interessato che entra nella zona sottoposta a videosorveglianza abbia prestato il proprio consenso. Tale consenso deve soddisfare le condizioni di cui all'art. 7. L'ingresso in una zona sorvegliata contrassegnata (ad esempio, le persone sono invitate a passare attraverso uno specifico corridoio o cancello per accedere a una zona sorvegliata), non configura una dichiarazione o una chiara azione affermativa come necessarie per la validita' del consenso, a meno che siano soddisfatti i criteri di cui agli articoli 4 e 7 descritti nelle linee guida sul consenso. 47. Dato lo squilibrio di potere tra datori di lavoro e dipendenti, nella maggior parte dei casi i datori di lavoro non dovrebbero invocare il consenso nel trattare i dati personali, in quanto e' improbabile che quest'ultimo venga fornito liberamente. In tale contesto si dovrebbe tener conto delle linee guida sul consenso. 48. La legge degli Stati membri o i contratti collettivi, compresi i «contratti di lavoro», possono prevedere norme specifiche sul trattamento dei dati personali dei dipendenti nell'ambito dei rapporti di lavoro (cfr. l'art. 88)». (enfasi aggiunta). Anche da tali indicazioni si ricava agevolmente che la legge censurata, oltre ad essere intervenuta in una materia riservata alla legislazione statale, ha anche omesso di considerare la disciplina europea di settore, affidandosi ad una base giuridica (il consenso) inappropriata allo scopo, anche tenuto conto delle finalita' della disciplina in cui la videosorveglianza e' inserita. A tale ultimo riguardo si osserva che la legge ha la finalita' di prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilita' nell'ambito delle strutture socio-sanitarie e socio-assistenziali a carattere residenziale, semi-residenziale o diurno. Orbene, condizionare la liceita' della videosorveglianza al consenso dell'ospite significa anche trascurare del tutto la posizione dei lavoratori della struttura che pure sono coinvolti nel trattamento dei dati personali. Come si ricava, invece, dall' art. 1 della legge regionale rubricato «Oggetto e finalita'» «1. La presente legge ha la finalita' di prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilita' nell'ambito delle strutture socio-sanitarie e socio-assistenziali a carattere residenziale, semi-residenziale o diurno». E' dunque evidente che l'oggetto del controllo tramite videosorveglianza sono (anche, se non soprattutto) i lavoratori addetti alla cura di anziani e disabili e dunque anche in relazione alla loro posizione dovrebbe essere valutata la liceita' del trattamento ed individuata la base giuridica. Va osservato, ulteriormente, che l'installazione di impianti audiovisivi e altri strumenti di controllo dei lavoratori deve avvenire ai sensi dell'art. 4, comma 1, della legge n. 300/1970 (Statuto dei lavoratori) che prevede, prioritariamente, l'accordo collettivo con le RSA e/o RSU presenti, mentre la procedura autorizzatoria pubblica presso l'Ispettorato del lavoro risulta solo eventuale e successiva al mancato accordo con i sindacati ed e' condizionata, ai fini istruttori, alla dimostrazione dell'assenza della RSA/RSU, ovvero del mancato accordo con esse (l'efficacia di tale disposizione e' espressamente affermata dall'art. 114 del codice della privacy «Garanzie in materia di controllo a distanza», in base al quale «Resta fermo quanto disposto dall'art. 4 della legge 20 maggio 1970, n. 300»). La legge regionale impugnata trascura del tutto la posizione dei lavoratori e le garanzie per questi stabilite dalla legge affidando al consenso dei (soli) ospiti della struttura il presupposto di liceita' di un sistema di trattamento dei dati che incide anche su altri (i lavoratori) e senza contemplare, ne' richiamare le relative garanzie. 3. La legge regionale appare, inoltre, violare il principio di proporzionalita' il cui rispetto e' necessario, ai sensi degli articoli 52 della Carta dei diritti fondamentali dell'UE e 5, par. 1, lett c) del regolamento UE 2016/679, per la legittimita' di una previsione normativa incidente su diritti fondamentali. Il rispetto del principio di proporzionalita' dovrebbe comportare una analisi attenta - nella fattispecie del tutto omessa - sul se effettivamente tutti i luoghi indicati presentino un grado di rischio adeguato a legittimare una limitazione significativa della liberta' del lavoratore nell'adempimento della prestazione, assumendo parametri quali i fattori di rischio propri del contesto di riferimento, assicurando che il ricorso a uno strumento di monitoraggio cosi' invasivo avvenga solo laddove altre misure meno limitative della riservatezza risultino inefficaci. Ogni intervento normativo in materia deve necessariamente coniugare, infatti, la tutela di soggetti in condizione di particolare vulnerabilita' rispetto al rischio di abusi e violenze, l'esigenza di ricostruzione probatoria di reati per i quali nella maggior parte dei casi non si dispone di testi in grado di agevolare gli accertamenti, la liberta' del lavoratore nell'adempimento della prestazione e, infine, il diritto alla protezione dei dati personali dei vari soggetti ripresi dal sistema di videosorveglianza (i lavoratori, ed anche gli ospiti delle strutture di cura). E', dunque, evidente che il bilanciamento dei descritti, diversi interessi in gioco di natura fondamentale con il diritto alla protezione dei dati personali e' devoluto allo Stato, ai sensi dell'art. 117, comma 2, lettera l), della Costituzione. Nel disciplinare l'attivita' di videosorveglianza nelle strutture residenziali di cura di anziani e disabili la legge regionale in esame interviene, quindi, al di la' delle stesse competenze regionali, in un ambito riservato al legislatore statale cui spetta declinare i principi di protezione dati nello specifico contesto considerato e il bilanciamento con gli altri interessi giuridici in gioco. Di tale riserva e' significativa non solo la previsione, con legge statale, del fondo di cui all'art. 5-septies, comma 2, decreto-legge 18 aprile 2019, n. 32 (convertito dalla legge 14 giugno 2019, n. 55), ma anche il criterio di delega di cui all'art. 4, comma 2. lettera r), legge 23 marzo 2023, n. 33, che annovera infatti, nell'ambito dei criteri di accreditamento delle strutture di cura per anziani, oggetto di semplificazione previo parere in Conferenza unificata, «...la presenza di sistemi di videosorveglianza a circuito chiuso, finalizzati alla prevenzione e alla garanzia della sicurezza degli utenti». Tali norme dimostrano l'esigenza di una complessiva regolazione statale delle ipotesi di ammissibilita' dell'installazione di sistemi di videosorveglianza in contesti residenziali di cura. Tra la XVII e la XVIII legislatura, infatti, le Camere hanno discusso alcune proposte di legge volte precisamente a disciplinare l'utilizzo delle videoriprese nei servizi educativi e nelle scuole dell'infanzia, nonche' nelle strutture socio-sanitarie e socio-assistenziali per anziani e disabili. La legge regionale in esame, proprio per la scelta di autonoma disciplina della materia, cosi' fortemente incidente sulle garanzie di protezione dei dati, non si muove nell'ambito «interstiziale» delineato dalla Corte come legittimo spazio d'intervento per il legislatore di livello sub-statale, nel rispetto peraltro della cornice normativa di riferimento essendo la protezione dei dati personali attribuita alla competenza legislativa statale esclusiva in quanto ricondotta, comma ritenuto nella citata sentenza n. 271 del 2005, alla materia «ordinamento civile» (art. 117, secondo comma, lettera l), della Costituzione). Ne' vale a superare i rilievi esposti l'affermazione, presente nella legge regionale, circa la necessita' del rispetto della disciplina di protezione dei dati personali, in assenza di una formulazione della norma in concreto conforme ai parametri generali di liceita' in materia e vista la incompleta individuazione del corretto plesso normativo di riferimento. Per completezza, si ricorda che la Corte ha chiarito che nelle materie di competenza esclusiva dello Stato sono inibiti alle regioni interventi diretti ad incidere sulla disciplina statale, finanche in modo meramente riproduttivo della stessa. In tal senso la sentenza 40/2017 ha ribadito che, in materie di competenza esclusiva dello Stato, come quella ex art. 117, secondo comma, lettera e), della Costituzione, sono «inibiti alle regioni interventi normativi diretti ad incidere sulla disciplina dettata dallo Stato, finanche in modo meramente riproduttivo della stessa (sentenza n. 245 del 2013, che richiama le sentenze n. 18 del 2013, n. 271 del 2009, n. 153 e n. 29 del 2006)». 4. La disciplina regionale, peraltro, non individua neppure i tempi di conservazione delle videoriprese, cio' che costituisce elemento essenziale della disciplina di protezione. I dati personali non possono essere conservati piu' a lungo di quanto necessario per le finalita' per le quali sono trattati (art. 5, paragrafo 1, lettere c) ed e), del GDPR) e lo Stato (con disciplina uniforme a livello nazionale) puo' prevedere disposizioni specifiche per i periodi di conservazione con riguardo alla videosorveglianza a norma dell'art. 6, paragrafo 2, del GDPR. Le citate linee guida del Comitato europeo per la protezione dei dati si occupano al punto 120 della necessita' che sia previsto un periodo di conservazione dei dati raccolti, ma su questo aspetto la legge impugnata omette ogni indicazione. 5. Infine, il comma 5 del medesimo art. 3, che prevede che le videoregistrazioni sono effettuate in modalita' criptata e possono essere visionate esclusivamente dall'autorita' giudiziaria, a seguito di segnalazioni da parte dei soggetti interessati, familiari o degenti, reca una disposizione che investe specifici aspetti che afferiscono all'ordinamento penale, poiche' interferisce con le prerogative dell'autorita' giudiziaria (inquirente), risultando quindi anch'essa in contrasto con l'art. 117, comma 2, lettera l) della Costituzione. Il trattamento dei dati personali da parte dell'autorita' giudiziaria non e', peraltro, disciplinato dal RGPD (si veda l'art. 2, paragrafo 2, lettera d), bensi' dalla direttiva (UE) 2016/680 sulla protezione dei dati nelle attivita' di polizia e giudiziarie come attuata dal decreto legislativo 18 maggio 2018, n. 5, che, come gia' esposto, non e' neppure indicato o richiamato nella disposizione censurata. Alla luce di quanto sopra esposto l'art. 3 della legge della Regione Puglia 15 giugno 2023, n. 13, che legittima le strutture private socio-sanitarie e socio-assistenziali a carattere residenziale, semiresidenziale o diurno, all'autonoma installazione di sistemi di videosorveglianza, reca una disciplina invasiva della competenza legislativa esclusiva dello Stato in materia di ordinamento civile e penale (cui la Corte, con sentenza 271 del 2005, ha ricondotto la normativa di protezione dei dati) ed appare, altresi', in contrasto con i vincoli derivanti dall'ordinamento comunitario in riferimento alle disposizioni del regolamento (UE) n. 2016/679 (GDPR), della direttiva (UE) 2016/680 e delle norme nazionali che a quelle disposizioni hanno dato attuazione (decreto legislativo n. 101/2018 recante disposizioni di adeguamento al GDPR e di modifica al decreto legislativo 30 giugno 2003, n. 196 - codice della privacy -, nonche' decreto legislativo 18 maggio 2018, n. 51).