Nota a Corte costituzionale, del 23 aprile 2024, n. 69

È incostituzionale la scelta arbitraria della regione sulla materia di trattamento dei dati personali nella installazione degli impianti di videosorveglianza 

Di Gianvito Campeggio

Abstract

Il contributo analizza la scelta arbitraria della Regione Puglia nel regolare autonomamente la materia sul trattamento dei dati personali spettante all’ Unione europea e alla competenza legislativa esclusiva dello Stato.

The contribution analyzes the arbitrary choice of the Apulia Region in autonomously regulating the matter on the processing of personal data pertaining to the European Union and to the exclusive legislative competence of the State.

Sommario: 1. Introduzione; 2. Le argomentazioni delle parti nel giudizio di legittimità costituzionale; 3. La disciplina della protezione dei dati personali e i limiti della legge regionale; 4. La decisione della Corte costituzionale.

1. Introduzione

La riforma del Titolo V della Costituzione ha apportato alcune importanti modifiche nella nostra architettura costituzionale.

Sin dall’approvazione nel 2001 della riforma del titolo V della parte II della Costituzione[1], il problema principale posto dalla nuova ripartizione di attribuzioni legislative tra Stato e Regioni è stato quello di una chiara individuazione del contenuto delle materie, al fine di determinare in modo netto rapporti tra gli enti costitutivi della Repubblica e tra lo Stato, le Regioni e l’Unione europea modificando la ripartizione delle competenze tra Stato e Regioni.

Nell’ambito della riforma, il nuovo art. 117 risulta uno degli articoli più innovativi sotto due diversi profili: da una parte perché scandisce le linee di base su cui dovranno articolarsi i futuri rapporti fra Stato, Regioni, Unione europea e Comunità internazionale; dall’altra, perché questa norma contiene una nuova ripartizione di materie tra Stato e Regioni, elencando le materie di potestà legislativa esclusiva dello Stato, di potestà concorrente Stato-Regioni e facendo riferimento alla competenza residuale regionale[2].

Tuttavia, il riparto di competenze tra Stato e Regioni rappresenta una tematica complessa della giustizia costituzionale. Dottrina e giurisprudenza hanno tentato più volte di inquadrare queste dinamiche in un principio di leale collaborazione sebbene l’applicazione quotidiana dimostri il contrario come avvalorato dai numerosi contenziosi che investono la Corte[3].

La Corte costituzionale con la sentenza n. 69 del 2024[4], depositata il 23 aprile, ha affrontato il tema della videosorveglianza nel contesto della legge della Regione Puglia n. 13 del 2023 che intendeva prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilità nell’ambito delle strutture sociosanitarie e socioassistenziali a carattere residenziale, semi-residenziale o diurno.

Il Giudice delle leggi, in particolare, ha dichiarato costituzionalmente illegittimo l’articolo 3[5] della legge regionale recante “Disposizioni per prevenire e contrastare condotte di maltrattamento o di abuso, anche di natura psicologica, in danno di anziani e persone con disabilità e modifica alla legge regionale 9 agosto 2006, n. 26 (Interventi in materia sanitaria)” perché eccede la competenza legislativa regionale, andando ad incidere su una materia, “ordinamento civile”, riservata in via esclusiva alla normazione dello Stato, alla quale sarebbe ascrivibile il trattamento dei dati personali.

2. Le argomentazioni delle parti nel giudizio di legittimità costituzionale

Il Presidente del Consiglio dei ministri, con ricorso, ha promosso questioni di legittimità costituzionale dell’art. 3 della legge della Regione Puglia n. 13 del 2023, che legittima le strutture private sociosanitarie e socioassistenziali a carattere residenziale, semiresidenziale o diurno, all’autonoma installazione di sistemi di videosorveglianza.

Ad avviso dell’Avvocatura generale dello Stato le questioni sollevate dalla Regione Puglia si presentano disallineate con i principi e la stessa disciplina generale di protezione dati perché contrastano sia con l’art. 117, secondo comma, lettera l), Cost., in merito alla materia “ordinamento civile”, per il generico – e limitato alla sola fase di installazione del sistema di videosorveglianza, che con l’art.117, primo comma, Cost., in relazione al regolamento (UE) n. 679/2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), e alla Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio.

La Regione Puglia, per converso, sostiene la non fondatezza delle questioni, evidenziando come la disposizione impugnata si inquadra nell’ambito di una legge regionale che nasce in conseguenza “di gravissimi episodi di maltrattamento e di abuso riportati dalle cronache che riferiscono di anziani e disabili che all’interno delle strutture sociosanitarie o assistenziali hanno subito inaccettabili violenze fisiche e psicologiche”[6].

La difesa regionale, infatti, adduce l’inesatta individuazione del parametro costituzionale violato, posto che l’ambito normato dall’art. 3 della legge regionale in commento sarebbe ascrivibile all’art. 117, secondo comma, lettera h), Cost., con riguardo alla materia “ordine pubblico e sicurezza”, o, in subordine, alla competenza legislativa regionale concorrente nella materia “tutela della salute”, di cui all’art. 117, terzo comma, Cost.

3. La disciplina della protezione dei dati personali e i limiti della legge regionale

La videosorveglianza nelle strutture sanitarie rappresenta uno degli argomenti più delicati dal punto di vista della privacy perché da un lato è necessario tutelare le categorie particolari di dati, (es. la salute), dall’altro bisogna porre particolare attenzione ad evitare che le telecamere installate violino la riservatezza dei soggetti.

In questo quadro si integra il diritto alla protezione dei dati personali di più recente elaborazione definito da ultimo con l’entrata in vigore del Regolamento UE 679/2016 (c.d. GDPR) e del successivo D.lgs. 10 agosto 2018, n. 101 che ha modificato il D.lgs. 196/2003 (c.d. Codice Privacy).

Il diritto alla protezione dei dati personali[7] è un diritto fondamentale della persona, costituendo una manifestazione del diritto all’intangibilità della sfera privata, strettamente connesso al diritto alla riservatezza individuale e riconosciuto da una pluralità di fonti normative nazionali e sovranazionali. A tal proposito si ritiene opportuno richiamare l’art. 8 della Carta dei diritti fondamentali 8 (cd. Carta di Nizza), l’art. 16 del Trattato sul funzionamento dell’Unione Europea e l’art. 8 della Convenzione Europea dei diritti dell’uomo. 

Occorre ulteriormente precisare che, sul piano sovranazionale, il diritto alla protezione dei dati personali è riconosciuto sia dalla Convenzione n.108/1981 adottata a Strasburgo che, all’art. 6, prevede le categorie speciali di dati, tra cui quelli della salute, per i quali è escluso il trattamento in assenza di conformi garanzie offerte sia dall’ordinamento nazionale, sia dalla Dichiarazione universale dei diritti dell’uomo[8].

In questo scenario si colloca l’art. 4[9] comma 1 del Regolamento Europeo (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, oltre che da diversi atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101[10]. Ulteriori modifiche al Codice sono state successivamente apportate con il decreto-legge n. 139 del 2021 convertito, con modificazioni, dalla legge n. 205 del 2021[11].

L’aver previsto una disciplina di dettaglio per il trattamento dei dati personali in ambito sanitario, evidenzia la volontà del legislatore di regolare equamente il rapporto tra diritto alla salute e diritto alla riservatezza, per raggiungere un miglior bilanciamento tra la libera circolazione delle informazioni funzionale alla tutela della salute e alla tutela della riservatezza[12].

Ponendo l’attenzione sul Regolamento UE 2016/679, il trattamento dei dati personali è ammesso purché siano rispettati i principi delineati dall’art. 5 e i limiti di cui al successivo art. 6 del GDPR.

Il Regolamento traccia una linea più restrittiva in merito al trattamento di categorie particolari di dati personali. Infatti, all’ art. 9 del GDPR, è fatto divieto di trattamento dei dati personali c.d. particolari, salva la presenza delle condizioni di cui al par. 2. All’interno di tali dati relativi alla salute sono compresi tutti gli aspetti che riguardano la salute fisica o mentale di una persona, inclusa la prestazione dei servizi di assistenza sanitaria in quanto capaci di rivelare informazioni relative allo stato di salute fisica o mentale di un soggetto e le prestazioni che riceve dai servizi sanitari e sociosanitari.

In tal senso, il GDPR consente che gli Stati membri prevedano ulteriori condizioni di liceità, in particolare, “……possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.

Con riferimento alla cura, l’attuale disciplina, prevede che il trattamento sia ammesso, ex art. 9 par. 2 lett. h), ogniqualvolta effettuato per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o del diritto nazionale degli Stati membri. Resta, tuttavia, ferma la necessità che all’interessato sia illustrata una chiara e attuale informativa rispetto al trattamento dei dati.

Dal contenuto della legge regionale emergono numerose lacune di operatività come la richiesta di  consenso di tutti coloro i cui dati vengono trattati (artt. 6 e 7 del Regolamento n. 679/2016/UE, nonché art. 9 dello stesso regolamento rispetto ai dati sensibili), che nello specifico investe: l’informativa; le modalità di raccolta del consenso e le sue caratteristiche; le cautele richieste in ordine ai dati sensibili; il trattamento dei dati successivo alla raccolta, a partire dalla durata e dalle modalità di conservazione dei dati; la garanzia per i titolari dei dati raccolti di poter accedere agli stessi e di poterne bloccare la diffusione.

La videosorveglianza prevista dalla legge regionale investe due campi d’azione particolarmente delicati: da un lato, “determina un monitoraggio che include la raccolta e il trattamento di dati sensibili relativi a persone anziane, malate o disabili, con inevitabili ricadute sulla riservatezza e sulla dignità di persone fragili”; mentre dall’ altro, “implica un controllo sull’attività lavorativa del personale operante all’interno delle strutture (medici, infermieri, operatori socio-sanitari e socio-assistenziali, personale amministrativo, addetti alle pulizie e altri) e di eventuali lavoratori esterni, la cui attività si svolge, in tutto o in parte, presso le strutture medesime”.

Pertanto, si registra un quadro normativo dove la Regione Puglia con la propria condotta vìola i vincoli derivanti dall’UE e invade la competenza legislativa esclusiva spettante allo Stato (art. 117 primo e secondo comma, lett. l) Cost.), in quanto si sovrappone con proprie previsioni autonome e con un rinvio selettivo al delicato intreccio di fonti sovranazionali e dello Stato. La legge regionale nel normare la videosorveglianza nelle strutture sociosanitarie e socioassistenziali residenziali interviene in un ambito regionale al di là delle stesse competenze. Ciò non toglie, tuttavia, che la regione può legiferare in maniera integrativa, nei limiti stabiliti dalla legge statale[13].

4. La decisione della Corte costituzionale

La decisone della Corte, in linea con precedenti pronunce[14], offre una chiara lettura sulla disciplina della protezione delle persone con riguardo al trattamento dei dati personali e come questa afferisce alla già menzionata materia di esclusiva pertinenza statale, sia per quanto concerne le norme sostanziali, che regolano le modalità di raccolta e il trattamento dei dati personali, sia per quanto riguarda le “tutele giurisdizionali delle situazioni soggettive del settore”[15]. Tanto anche in virtù dell’art. 16 del TFUE che detta una complessa disciplina in materia di trattamento dei dati personali e trova “completamento e integrazione nelle fonti nazionali” [16].

Il ragionamento seguito dalla Corte sulle conseguenze della scelta operata dal legislatore pugliese ha evidenziato come la regione non può regolare arbitrariamente la materia, né operare una selezione di fonti. Infatti, la selezione di fonti e di regole applicabili non prende in considerazione l’imponente corpo normativo in ambito eurounitario e statale.

La Corte costituzionale, infatti, dichiara come “l’invasione della competenza legislativa statale si rileva già solo in presenza di una novazione delle fonti”[17], e ciò “tanto a fronte di rinvii parziali, quanto in presenza di una disciplina puntuale che individui solo una limitata porzione di regole, trascurando le altre che sono oggetto della fitta disciplina eurounitaria e statale”[18].

Pertanto, il Giudice delle leggi, a seguito di una ricostruzione organica ed esaustiva del quadro giurisprudenziale e dottrinale, ha dichiarato l’illegittimità costituzionale dell’art. 3 della legge reg. Puglia n. 13 del 2023 per contrasto con l’art. 117, primo comma Cost., in relazione al regolamento n. 679/2016/UE e alla Direttiva 2016/680/UE e con l’art. 117, secondo comma, lettera l), Cost., con riguardo alla materia “ordinamento civile”.

[1] Legge costituzionale 18 ottobre 2001, n. 3, “Modifiche al titolo V della parte seconda della Costituzione”, in GU n. 248 del 24 ottobre 2001. Cfr. PIZZETTI F., Intervento, in BERTI G., DE MARTINI C. (a cura di) Le autonomie territoriali. Dalla riforma amministrativa alla riforma costituzionale, (Atti del convegno: Roma, 9 gennaio 2001), Milano, 2001.

[2] S. Marcazzan, La riforma del Titolo V della Costituzione: Il nuovo ruolo delle regioni nei rapporti con lo Stato e con l’Unione Europea, in Amministrazioneincammino.it, 2003.

[3] F. Benelli, Materie statali e materie regionali. La costruzione delle materie e le materie esclusive statali, in Le Regioni, 2-3, 2011.

[4] Corte costituzionale, sentenza n.69/2024

[5] LEGGE REGIONALE 15 giugno 2023, n. 13. L’art. 3 regola la “installazione dei sistemi di videosorveglianza e la tutela della privacy”, con cinque commi che, oltre a prevedere il rispetto – nella sola fase dell’installazione – del d.lgs. n. 101 del 2018, del Regolamento n. 679/2016/UE e della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, dettano specifiche prescrizioni concernenti la raccolta e il trattamento dei dati personali.

[6] Corte costituzionale, sentenza n.69/2024, n.3.2, Ritenuto in fatto.

[7] Nel continente europeo, il concetto di protezione dei dati personali compare per la prima volta nel 1909 in Francia, in un articolo intitolato “Des Droits de la personnalité” a firma di E.H. Perreau. Per un maggior approfondimento si rinvia a: E-H.Perreau, Des droits de Ja personnalité, in RTD civ., Paris,1909.

[8] Si veda S. Niger, Le nuove dimensioni della privacy, cit., pp. 23 ss.

[9] L’art. 4 com.1 del Regolamento 2016/679 definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

[10] Cfr. articolo Cosa è il diritto alla protezione dei dati personali?, su https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/2003167 . Il decreto legislativo n. 101 del 2018 è andato ad aggiungersi al decreto legislativo n. 51 del 2018, con il quale l'ordinamento italiano ha attuato la direttiva 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, completando il recepimento del c.d. pacchetto protezione dati dell'Unione europea.

[11] Cfr. Servizio studi https://temi.camera.it/leg18/temi/la_protezione_dei_dati_personali.html.

[12]F. Comito, La tutela dei dati personali in ambito di assistenza sanitaria e sociosanitaria, in Amministrazioneincammino.it, 2021. Ogni intervento normativo in materia deve necessariamente coniugare, infatti, la tutela di soggetti in condizione di particolare vulnerabilità rispetto al rischio di abusi e violenze, l’esigenza di ricostruzione probatoria di reati per i quali nella maggior parte dei casi non si dispone di testi in grado di agevolare gli accertamenti, la libertà del lavoratore nell'adempimento della prestazione, il diritto alla protezione dei dati personali dei vari soggetti ripresi dal sistema di videosorveglianza (i lavoratori, ma anche gli stessi ospiti delle strutture di cura).

[13] Cfr. Corte cost. n. 271 del 2005. In questi ambiti le regioni possono adottare leggi o regolamenti regionali, ma solo in quanto e nella misura in cui ciò sia appunto previsto dalla legislazione statale.

[14] Cfr. Corte cost. n. 271 del 2005 e in senso analogo Corte cost. n.177 del 2020.

[15] Corte costituzionale, sentenza n.69/2024, n.5, Considerato in diritto.

[16] L’art. 16 TFUE (ex art. 286 TCE) attribuisce al legislatore europeo la facoltà di adottare, mediante procedura legislativa ordinaria, una normativa relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e alla loro libera circolazione da parte delle istituzioni, degli organi e degli organismi dell’Unione, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’Unione, affidando il rispetto di tali norme ad autorità indipendenti.

[17] Cfr. Corte cost. sentenza n. 239 del 2022; nella materia “ordinamento civile”, Corte cost. n. 153 del 2021 e n. 234 del 2017.

[18] Corte cost. n. 271 del 2005.