Quando un utente si rivolge al numero di emergenza nazionale 112 avvia un complesso percorso tecnico anche in riferimento alla protezione dei suoi dati personali, che passano dalla disponibilità del Viminale a quella delle Regioni e in seguito degli operatori di emergenza territoriale. Sarà dunque opportuno rendere trasparente questo circuito adeguando le informative e i disciplinari operativi alle diverse responsabilità della filiera.
Lo ha chiarito il Ministero dell'interno, Dipartimento di pubblica sicurezza, con la circolare del 21 maggio 2025. Alcune regioni hanno richiesto chiarimenti al Viminale sulla titolarità del trattamento privacy nell'ambito della gestione congiunta del servizio denominato numero unico di emergenza nazionale. Per fornire una risposta adeguata la tematica è stata sottoposta al vaglio della pertinente commissione consultiva che si è espressa nella seduta del 16 aprile 2025. Specifica quindi la circolare che non può ritenersi configurabile un'unica titolarità del trattamento lungo l'intera filiera del servizio, né tantomeno una contitolarità tra i soggetti istituzionali coinvolti. La circolare chiarisce che ciascun attore che accede, elabora o trasmette dati personali all'interno del sistema di gestione delle chiamate di emergenza agisce in qualità di autonomo titolare del trattamento, con obblighi informativi e misure tecniche e organizzative autonome. In pratica vanno distinti tre momenti operativi. L'acquisizione da parte del Viminale dei dati di identificazione del chiamante Per quanto riguarda l'acquisizione da parte delle centrali uniche di risposta regionali delle informazioni necessarie per permettere all'operatore di trasferire la chiamata, e il servizio di emergenza territoriale coinvolto, il Dipartimento sottolinea come la titolarità autonoma discende dal fatto che ciascun soggetto gestisce in modo indipendente le finalità e i mezzi del trattamento. Per tale motivo, la circolare invita a rafforzare la tracciabilità delle operazioni compiute da ciascun soggetto lungo la filiera e ad aggiornare le informative rivolte agli interessati, evidenziando in modo puntuale i ruoli e le competenze di ciascun attore. Inoltre, viene raccomandato di prevedere disciplinari interni chiari e procedure condivise per assicurare il corretto scambio e la sicurezza dei dati personali. La gestione multilivello del servizio impone, dunque, un modello distribuito di accountability, fondato sul principio di responsabilizzazione, ai sensi dell'articolo 5, par. 2, del Regolamento (UE) 2016/679 (GDPR), che deve riflettersi anche negli accordi e protocolli operativi stipulati tra le parti. Secondo quanto indicato dalla stessa commissione consultiva interministeriale, tale interpretazione non esclude la necessità di una cooperazione effettiva tra i vari titolari, in particolare per quanto riguarda gli adempimenti legati ai diritti degli interessati, alla sicurezza dei dati e alla gestione delle violazioni. La circolare rappresenta, infine, un'occasione importante per sollecitare tutti i soggetti coinvolti – in particolare Regioni, Prefetture, Enti Locali e centrali operative – a riesaminare i propri assetti organizzativi, aggiornare i documenti di accountability e rendere il trattamento dei dati personali pienamente conforme alle disposizioni europee, anche in un contesto emergenziale.
Circolare del 21 maggio 2025