Le regioni possono occuparsi di privacy solo se lo prevede lo Stato

Cassata una legge dell'Emilia Romagna che interveniva sulla gestione dei dati personali

Privacy, le Regioni devono rispettare la legislazione statale in materia di protezione dei dati personali e richiamarla nelle proprie leggi. Così la Corte costituzionale con la sentenza 271/05 depositata ieri, 7 luglio 2005, redatta da Ugo De Siervo e qui leggibile nei documenti correlati ha dichiarato illegittimi gli articoli 12 e 13.1 della legge della Regione Emilia Romagna 11/2004. A sollevare la questione era stato il presidente del Consiglio dei ministri nella parte in cui invadono la potestà legislativa dello Stato. Del resto, sosteneva il remittente, la tutela dei dati personali sarebbe riservata solo allo Stato. La Consulta nel dichiarare fondata la questione ha fornito importanti chiarimenti. La legislazione vigente - hanno spiegato i giudici delle leggi - prevede anche un ruolo normativo, per quanto di tipo meramente integrativo, per i soggetti pubblici chiamati a trattare i dati personali. Per cui, in questi ambiti possono essere adottati anche leggi o regolamenti regionali, ma solo nella misura in cui ciò sia previsto dalla legislazione statale. Tuttavia, nelle leggi o nei regolamenti regionali è necessario richiamare il rispetto della legislazione nazionale in materia di protezione dei dati personali. cri.cap

Corte costituzionale - sentenza 23 giugno - 7 luglio 2005, n. 271 Presidente Capotosti - relatore De Siervo Ritenuto in fatto 1. - Con ricorso, notificato il 23 luglio 2004 e depositato in cancelleria il 30 luglio 2004, il Presidente del Consiglio dei ministri, rappresentato e difeso dall'Avvocatura generale dello Stato, ha impugnato gli articoli 12, 13 e 14 della legge della Regione Emilia-Romagna 11/2004, Sviluppo regionale della società dell'informazione , pubblicata nel Bollettino Ufficiale della Regione Emilia-Romagna 65/2004, in relazione all'articolo 117, secondo comma, lettere l , m e r , e sesto comma della Costituzione, nonché ai principi della legislazione statale in materia di protezione dei dati personali. In particolare, il citato articolo 12 prevede che, ferma restando l'applicazione delle norme a tutela della privacy, l'insieme delle informazioni acquisite o prodotte nell'esercizio di pubbliche funzioni costituisce patrimonio comune per le attività istituzionali delle pubbliche amministrazioni e degli enti, o associazioni o soggetti privati che operano in ambito regionale per finalità di interesse pubblico, disponendo inoltre che questo patrimonio sia aperto al libero utilizzo di soggetti terzi, con forme e modalità di carattere tecnico disciplinate dalla Giunta regionale. La disposizione in esame prevede, inoltre, che con regolamento regionale sia disciplinata la cessione a privati ed enti pubblici economici dei dati costitutivi del patrimonio informativo pubblico, stabilendo altresì un obbligo sia delle pubbliche amministrazioni e degli enti pubblici, sia delle associazioni e dei soggetti privati che operano in ambito regionale per finalità di interesse pubblico, di fornire la disponibilità dei dati contenuti nei propri sistemi informativi nei limiti previsti dal decreto legislativo n. 196 del 2003 . L'Avvocatura dello Stato ritiene del tutto generico il richiamo, contenuto nel medesimo articolo 12, al rispetto dei limiti di cui al D.Lgs 196/03 Codice in materia di protezione dei dati personali , e dei princip fondamentali posti dalla legislazione statale in materia, nonché dei livelli di tutela previsti nel citato decreto. La disciplina della protezione dei dati personali, secondo la difesa erariale, sarebbe riconducibile alla conformazione dei diritti fondamentali della persona il cui livello di tutela non può che essere uniforme sul territorio nazionale , anche in coerenza con atti internazionali quali la Convenzione di Strasburgo 108/81 ratificata con la legge 98/1989 Ratifica ed esecuzione della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 , e con la direttiva n. 95/46/CE del 24 ottobre 1995 Direttiva del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati . Sarebbe quindi esclusa la configurabilità, in materia di protezione dei dati personali, di una qualsiasi competenza regionale, sussistendo, invece, la potestà legislativa esclusiva dello Stato, in base all'articolo 117, secondo comma, lettere l , m e r della Costituzione. La previsione, contenuta nella disposizione censurata, di una generale condivisione delle informazioni ai fini della formazione di un patrimonio informativo comune di supporto alle varie attività di soggetti pubblici e privati che operano in ambito regionale per ogni diversa finalità di interesse pubblico, e l'apertura di tale patrimonio alla disponibilità ed al libero utilizzo di soggetti terzi, estranei ad attività di interesse pubblico, secondo il ricorrente, contrasterebbero con l'articolo 11 del predetto D.Lgs 196/03, il quale dispone che la raccolta e la registrazione dei dati sia fatta per scopi determinati ed espliciti , e che siano pertinenti e non eccedenti rispetto alle specifiche finalità per le quali sono raccolti e siano conservati per un periodo di tempo non superiore a quello necessario per gli scopi per i quali sono stati raccolti . La previsione della emanazione di un regolamento regionale per la disciplina della cessione dei dati a privati e a soggetti pubblici economici contrasterebbe con l'articolo 117, sesto comma, della Costituzione, trattandosi di materia rientrante nella potestà legislativa esclusiva dello Stato. L'articolo 12 della legge regionale 11/2004 violerebbe, altresì, l'articolo 19, terzo comma, del D.Lgs 196/03, secondo il quale la comunicazione di dati personali da parte di un soggetto pubblico a privati o ad enti pubblici economici, e la diffusione da parte di un soggetto pubblico, sono ammesse solo se previste da una norma di legge o di regolamento, da intendere , secondo l'Avvocatura dello Stato, come fonti di livello statale. 2. - Oggetto di censura governativa sono anche le disposizioni contenute negli articoli 13 e 14 della legge della Regione Emilia-Romagna 11/2004, che disciplinano rispettivamente il Sistema informativo regionale SIR e la realizzazione da parte della Regione di progetti integrati volti all'accrescimento e alla valorizzazione del patrimonio pubblico di conoscenze . Il ricorrente ritiene evidente il contrasto di tali previsioni con l'articolo 117, secondo comma, lettera r , della Costituzione, che riserva allo Stato la competenza sul coordinamento informativo dei dati dell'amministrazione statale, regionale e locale. Ad avviso dell'Avvocatura, ciascun sistema informativo, strumentale all'esercizio di competenze distinte, si caratterizzerebbe per funzioni e procedure diverse e per il trattamento dei dati con forme e modalità differenti che non sarebbero suscettibili di interscambio al di fuori delle condizioni e delle cautele previste dalla normativa statale volta al fine di evitare la messa in pericolo dei diritti inviolabili garantiti dall'articolo 2 Costituzione L'interscambio di diversi sistemi informativi previsto dalla legge della Regione Emilia-Romagna avverrebbe invece al di fuori delle regole fissate dal Codice nei diversi settori. In particolare, la prevista collaborazione anche delle aziende sanitarie per l'immissione ed il trattamento dei dati a scala regionale e locale, nonché per l'alimentazione e l'aggiornamento dei flussi informativi articolo 13 , e la realizzazione con il sistema delle aziende sanitarie di supporti e procedure informatiche per l'estrazione automatica da archivi ed il trattamento dei dati necessari ad integrare le basi informative del SIR articolo 14 , sarebbero previste in modo generico ed indiscriminato. Non vi sarebbe, infatti, alcuna particolare considerazione dei dati sensibili di cui all'articolo 4, comma 1, lettera d del D.Lgs 196/03 e ciò sarebbe in contrasto con gli articoli 20, 21 e 22 del D.Lgs 196/03, che ne consentono il trattamento solo se autorizzato da espressa disposizione di legge statale nella quale siano precisati i tipi di dati trattabili, le operazioni eseguibili e le specifiche finalità di rilevante interesse pubblico perseguite e, per i soggetti pubblici, lo limitano ai dati indispensabili per svolgere attività istituzionali . Relativamente all'articolo 14, il quale per la realizzazione di supporti e procedure informatiche richiama l'accordo quadro stipulato tra Ministero della sanità, Regioni e Province autonome per lo sviluppo del nuovo sistema informativo sanitario nazionale Accordo del 22 febbraio 2001, avente durata triennale , la difesa erariale osserva che i requisiti funzionali di massima indicati nell'articolo 3 dell'accordo non potrebbero essere che quelli definiti nel dettaglio dallo Stato, in base alle sopravvenute previsioni della legge costituzionale 3/2001, così come è rimessa allo Stato la definizione del quadro normativo cui fa riferimento l'articolo 4 dello stesso accordo . 3. - In data 28 luglio 2004 si è costituita la Regione Emilia-Romagna, chiedendo che sia dichiarata l'inammissibilità e l'infondatezza della questione, e riservandosi di presentare successiva memoria, nella quale esplicitare le proprie ragioni. 4. - In prossimità dell'udienza pubblica la Regione Emilia-Romagna ha presentato una memoria nella quale premette che le censure governative appaiono muovere da una impostazione non corretta circa le prerogative regionali esercitabili ai fini del coordinamento informativo statistico e informatico dei dati dell'amministrazione regionale e locale e paiono essere caratterizzate inoltre da un eccessivo formalismo che porta ad intravedere lesioni dei princip fondamentali fissati dalla normativa statale anche dove il legislatore regionale si è invece ad essa espressamente richiamato . In particolare, la difesa della Regione ritiene che il coordinamento informatico sia materia trasversale si tratterebbe di una competenza di scopo, nel senso che la lettera r dell'articolo 117, secondo comma, della Costituzione collega a quella materia una finalità del cui raggiungimento lo Stato si fa carico. Le Regioni, partendo dalle proprie materie, potrebbero dettare norme interferenti con i predetti ambiti trasversali e, sia pure nel rispetto delle norme di principio e di uniformità fissate dalla normativa statale, potrebbero adottare misure ulteriori in materie di propria competenza intrecciate con la competenza esclusiva statale. Le norme regionali oggetto di censura, prevedendo forme di coordinamento, di organizzazione e sviluppo dei sistemi informativi statistici e informatici, sempre secondo la difesa della Regione, in quanto strumentali rispetto a materie tipicamente regionali quali l'organizzazione degli uffici e degli enti amministrativi dipendenti dalla Regione ovvero il sostegno all'innovazione per i settori produttivi sarebbero da ritenere pienamente giustificate quanto al titolo di competenza e legittimazione, più in generale perché strumentali a tutte le funzioni di programmazione, di coordinamento finanziario e di costruzione del sistema amministrativo regionale e locale . Con l'articolo 12 la Regione vorrebbe semplicemente agevolare la costituzione di un patrimonio informativo pubblico, rimuovendo gli ostacoli tecnici e giuridici alla condivisione delle informazioni fra pubbliche amministrazioni e fra i soggetti che ne abbiano diritto. Ciò ovviamente, nel rispetto dei limiti dettati dalla disciplina in materia di trattamento dei dati personali . Quindi la interconnessione fra le banche dati non implicherebbe che automaticamente tutte le informazioni siano allora condivise e che esse siano, pertanto, visibili da chiunque . Circa la presunta violazione della normativa sulla protezione dei dati personali ed in particolare dei princip di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati sono raccolti e trattati, fissati nel D.Lgs 196/03, la difesa regionale afferma che l'articolo 12 impugnato prevede esplicitamente il rispetto delle norme statali in materia di riservatezza e che da tale normativa quindi non potrebbero discostarsi il regolamento regionale e le direttive tecniche che dovranno essere emanate con deliberazione di Giunta, ai sensi dell'articolo 26 della medesima legge . Per quanto concerne poi le censure mosse agli articoli 13 e 14 della legge regionale 11/2004, la difesa regionale precisa che il mancato riferimento alla categoria dei dati sensibili deriverebbe dal fatto che le norme in esame si occupano solo di definire cosa sia il Sistema informativo regionale, senza che la condivisione ipotizzata dei flussi informativi implichi l'automatica condivisione anche delle informazioni detenute. Pertanto, la partecipazione all'interno del predetto sistema informativo regionale delle aziende sanitarie locali avverrebbe nel più assoluto rispetto delle regole a tutela dei diversi tipi di dati personali, mentre la Regione svolgerebbe solo un ruolo di gestore tecnico del sistema . Considerato in diritto 1. - Il Presidente del Consiglio dei ministri ha sollevato questione di legittimità costituzionale degli articoli 12, 13 e 14 della legge della Regione Emilia-Romagna 11/2004 Sviluppo regionale della società dell'informazione , per violazione dell'articolo 117, secondo comma, lettere l , m e r , e sesto comma, della Costituzione, nonché dei princip della legislazione statale in materia di protezione dei dati personali. Secondo il ricorrente le norme impugnate violerebbero i citati parametri costituzionali poiché in materia di tutela dei dati personali sarebbe riservata solo allo Stato la potestà legislativa e regolamentare, dal momento che la legislazione a tutela dei dati personali, derivata dal recepimento nell'ordinamento nazionale di atti internazionali e comunitari, sarebbe riconducibile alla esclusiva competenza statale in tema di ordinamento civile e di determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale , nonché a quella in tema di coordinamento informativo statistico e informatico dei dati dell'amministrazione statale, regionale e locale . L'articolo 12 della legge regionale contrasterebbe sotto molteplici profili con quanto previsto negli articoli 11 e 19 del D.Lgs 196/03 Codice in materia di protezione dei dati personali , e inoltre sarebbe illegittima la previsione di un regolamento regionale in una materia di esclusiva competenza legislativa dello Stato. Gli articoli 13 e 14 della legge regionale 11/2004, nel disciplinare il sistema informativo regionale, contrasterebbero con l'articolo 117, secondo comma, lettera r , della Costituzione che riconosce allo Stato la competenza esclusiva in tema di coordinamento informativo statistico e informatico dei dati dell'amministrazione statale, regionale e locale e con gli articoli 20, 21 e 22 del D.Lgs 196/03 che consentono il trattamento solo se autorizzato da espressa disposizione di legge statale nella quale siano previsti i tipi di dati trattabili, le operazioni eseguibili e le specifiche finalità di rilevante interesse pubblico perseguite, e per i soggetti pubblici lo limitano ai dati indispensabili per svolgere attività istituzionali. 2. - Occorre in via preliminare prendere in considerazione il problema della collocazione, rispetto al riparto di competenze fra Stato e Regioni di cui al Titolo V della Costituzione, di una legislazione, quale quella censurata, incidente sulla tutela dei dati personali. Il D.Lgs 196/03 attualmente vigente coordina in un testo unico la normativa originata dal recepimento - mediante la legge 675/96 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali - della direttiva n. 95/46/CE del 24 ottobre 1995 Direttiva del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati , nonché dalle successive numerose integrazioni e modificazioni del richiamato testo legislativo sulla base della legge 676/96 Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali , e recepisce la direttiva 2002/58/CE del 12 luglio 2002 Direttiva del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche , secondo quanto previsto dalla legge 24 marzo 2001, n. 127 Differimento del termine per l'esercizio della delega prevista dalla legge 676/96, in materia di trattamento dei dati personali , modificata dall'articolo 26 della legge 14/2003 Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alle Comunità europee . Questa complessa legislazione tende a tutelare per la prima volta in modo organico il trattamento dei dati personali esplicitamente definiti dall'articolo 4, comma 1, lettera b, del D.Lgs 196/03, come qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione , riferendosi all'intera serie dei fenomeni sociali nei quali questi possono venire in rilievo da ciò una disciplina che, pur riconoscendo tutele differenziate in relazione ai diversi tipi di dati personali ed alla grande diversità delle situazioni e dei contesti normativi nei quali tali dati vengono utilizzati, si caratterizza essenzialmente per il riconoscimento di una serie di diritti alle persone fisiche e giuridiche relativamente ai propri dati, diritti di cui sono regolate analiticamente caratteristiche, limiti, modalità di esercizio, garanzie, forme di tutela in sede amministrativa e giurisdizionale. Anche nel trattamento dei dati personali da parte dei soggetti pubblici rileva essenzialmente la necessaria tutela dei diversi tipi di dati personali, così come dispone espressamente il terzo comma dell'articolo 18 del D.Lgs 196/03, secondo il quale nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti . Ciò rende evidente che ci si trova dinanzi ad un corpo normativo essenzialmente riferibile, all'interno delle materie legislative di cui all'articolo 117 Costituzione, alla categoria dell' ordinamento civile , di cui alla lettera l del secondo comma alla medesima disposizione ci si deve riferire per quanto attiene alle tutele giurisdizionali delle situazioni soggettive del settore, mentre le disposizioni relative al garante per la protezione dei dati personali ed ai suoi poteri sono riconducibili alla lettera g del medesimo comma . Improprio appare, invece, il riferimento alla competenza esclusiva dello Stato in tema di determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale , di cui alla lettera m del secondo comma dell'articolo 117 Costituzione, dal momento che la legislazione sui dati personali non concerne prestazioni, bensì la stessa disciplina di una serie di diritti personali attribuiti ad ogni singolo interessato, consistenti nel potere di controllare le informazioni che lo riguardano e le modalità con cui viene effettuato il loro trattamento. Deve peraltro notarsi che, pur nell'ambito di questa esclusiva competenza statale, la legislazione vigente prevede anche un ruolo normativo, per quanto di tipo meramente integrativo, per i soggetti pubblici chiamati a trattare i dati personali, evidentemente per la necessità, almeno in parte ineludibile, che i princìpi posti dalla legge a tutela dei dati personali siano garantiti nei diversi contesti legislativi ed istituzionali ad esempio, il Codice prevede, all'articolo 19, che norme di legge o di regolamento possano modulare nelle diverse materie il trattamento dei dati comuni, per ciò che riguarda la loro comunicazione ai soggetti pubblici o privati o la loro diffusione, e all'articolo 20, comma 2, che l'integrazione delle prescrizioni legislative statali che siano incomplete in relazione al trattamento di dati sensibili da parte di pubbliche amministrazioni poiché non determinano i tipi di dati sensibili e di operazioni eseguibili sia operata tramite appositi regolamenti a cura dei soggetti che ne effettuano il trattamento , seppure in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g , anche su schemi tipo . In questi ambiti possono quindi essere adottati anche leggi o regolamenti regionali, ma solo in quanto e nella misura in cui ciò sia appunto previsto dalla legislazione statale. 3. - Quanto appena espresso non equivale peraltro ad affermare la incompetenza del legislatore regionale a disciplinare procedure o strutture organizzative che prevedono il trattamento di dati personali, pur ovviamente nell'integrale rispetto della legislazione statale sulla loro protezione ivi comprese le disposizioni relative alle misure minime di sicurezza prescritte per i trattamenti dei dati personali con o senza l'utilizzazione degli strumenti elettronici infatti le Regioni, nelle materie di propria competenza legislativa, non solo devono necessariamente prevedere l'utilizzazione di molteplici categorie di dati personali da parte di soggetti pubblici e privati, ma possono anche organizzare e disciplinare a livello regionale una rete informativa sulle realtà regionali, entro cui far confluire i diversi dati conoscitivi personali e non personali che sono nella disponibilità delle istituzioni regionali e locali o di altri soggetti interessati. Ciò, tuttavia, deve avvenire ovviamente nel rispetto degli eventuali livelli di riservatezza o di segreto, assoluti o relativi, che siano prescritti dalla legge statale in relazione ad alcune delle informazioni, nonché con i consensi necessari da parte delle diverse realtà istituzionali o sociali coinvolte. Né in quest'ambito è preclusiva la titolarità esclusiva del legislatore statale in tema di coordinamento informativo statistico e informatico dei dati dell'amministrazione statale, regionale e locale , di cui alla lettera r del secondo comma dell'articolo 117 Costituzione, come sostenuto dalla Avvocatura generale dello Stato. Ciò anzitutto perché si tratta di un potere legislativo di coordinamento, il cui mancato esercizio non preclude autonome iniziative delle Regioni aventi ad oggetto la razionale ed efficace organizzazione delle basi di dati che sono nella loro disponibilità ed anche il loro coordinamento paritario con le analoghe strutture degli altri enti pubblici o privati operanti sul territorio. Il problema sorgerebbe solo nel momento in cui il legislatore statale dettasse normative nei medesimi ambiti a fine di coordinamento. D'altra parte questo esclusivo potere legislativo statale concerne solo un coordinamento di tipo tecnico che venga ritenuto opportuno dal legislatore statale si vedano le sentenze di questa Corte 31/2005 e 17/2004 e il cui esercizio, comunque, non può escludere una competenza regionale nella disciplina e gestione di una propria rete informativa cfr. sentenza 50/2005 . 4. - Sulla base di quanto affermato nei paragrafi precedenti, va peraltro dichiarata la illegittimità costituzionale dell'articolo 12 della legge della Regione Emilia-Romagna 11/2004. Ciò in quanto questo articolo, che pure si apre affermando il rispetto delle norme a tutela della privacy e delle forme di segreto , in concreto contraddice sotto molteplici profili la legislazione statale vigente in materia di protezione dei dati personali nonché le stesse direttive europee che ne sono all'origine . Innanzitutto, il primo comma dispone che, mediante apposito regolamento regionale, sia disciplinata la cessione dei dati costitutivi del patrimonio informativo pubblico a privati ed enti pubblici economici , con un'espressione tanto generica da poter essere riferita ad ogni tipo di dato personale. L'istituto della cessione dei dati personali, tuttavia, è del tutto estraneo alla legislazione statale in materia di protezione di tali dati. Anche ove si volesse interpretare questa espressione come riferita alla comunicazione dei dati personali da parte di un soggetto pubblico a privati o ad enti pubblici economici, la disposizione contrasterebbe comunque con la normativa statale, poiché l'articolo 19, comma 3, del D.Lgs 196/03 disciplina la sola comunicazione dei dati personali diversi da quelli sensibili e giudiziari, mentre gli articoli 20, 21 e 22 del medesimo testo normativo disciplinano in termini molto restrittivi il trattamento dei dati sensibili e di quelli giudiziari. In secondo luogo, il comma 2 dell'articolo 12 ripete la volontà di rispettare la legislazione in materia di protezione dei dati personali , ma poi prevede che la Regione e gli enti regionali incontrino il solo limite dell'articolo 18 del D.Lgs 196/03 nel rendere disponibili i dati contenuti nei propri sistemi informativi , laddove, invece, il Codice prevede molteplici altri limiti per i trattamenti effettuati da soggetti pubblici, individuati nelle disposizioni dell'intero Capo II del Titolo III. In terzo luogo, nel medesimo comma 2, si prevede un obbligo per le associazioni e i soggetti privati che operano in ambito regionale per finalità di interesse pubblico di fornire la disponibilità dei dati contenuti nei propri sistemi informativi , sia pure nei limiti previsti dal D.Lgs 196/03 . E tuttavia un obbligo del genere non è previsto dal Codice, caratterizzato, piuttosto, dalla normale preminenza della volontà dell'interessato in ordine al trattamento dei propri dati personali e dal fatto che questi sono raccolti ed utilizzati per scopi determinati. Né, certo, appare sufficiente prevedere, come fa il secondo comma dell'articolo 12, che, ai fini della comunicazione dei dati, sia fornita un'adeguata informativa all'interessato e, ove previsto dalla legge, la richiesta dello specifico consenso , perché questi istituti sono configurati dalla legislazione statale come preliminari, e comunque sempre obbligatori al trattamento da parte dei privati o di enti pubblici economici cfr. articoli 13 e 23 del D.Lgs 196/03 . Il contrasto delle disposizioni contenute nei primi due commi dell'articolo 12 con la disciplina dettata dal D.Lgs 196/03 determina la illegittimità costituzionale dell'intero articolo 12 della legge regionale 11/2004. 5. - Le censure mosse contro gli articoli 13 e 14 della legge regionale 11/2004 sono solo in parte fondate. Mentre non rileva, per quanto esposto al paragrafo 3, la competenza esclusiva del legislatore statale in tema di coordinamento informativo statistico e informatico dei dati dell'amministrazione statale, regionale e locale , assume, invece, rilevanza l'assenza, nell'articolo 13, di ogni riferimento espresso al doveroso rispetto della normativa a tutela dei dati personali ciò tanto più in quanto l'articolo 13 configura un vero e proprio sistema informativo regionale, nel quale confluiscono molteplici dati anche personali, sia ordinari che sensibili, provenienti da diverse pubbliche amministrazioni. Tali dati, secondo la normativa statale, possono essere utilizzati solo nei limiti e con tutte le garanzie da essa poste in relazione alla protezione dei dati personali. Il mancato richiamo, da parte della disposizione censurata, di tali garanzie e limiti, e dunque l'utilizzabilità dei dati personali nell'ambito del SIR, determina l'illegittimità costituzionale del comma 1 dell'articolo 13 della legge regionale 11/2004, nella parte in cui non richiama espressamente il pieno rispetto della legislazione statale sulla protezione dei dati personali. 6. - La dichiarazione d'incostituzionalità del primo comma dell'articolo 13 nel senso del doveroso rispetto da parte del Sistema informativo regionale SIR della legislazione statale in materia, consente di ritenere infondate le censure formulate nei confronti dell'articolo 14 della medesima legge regionale essendo quest'ultima disposizione meramente attuativa dell'articolo 13, dal momento che definisce solo alcune modalità di funzionamento del sistema informativo regionale. PQM La Corte costituzionale dichiara l'illegittimità costituzionale dell'articolo 12 della legge della Regione Emilia-Romagna 11/2004 Sviluppo regionale della società dell'informazione dichiara l'illegittimità costituzionale dell'articolo 13, comma 1, della legge della Regione Emilia-Romagna 11/2004, nella parte in cui non richiama il rispetto della legislazione statale in materia di protezione dei dati personali dichiara non fondate le questioni di legittimità costituzionale degli articoli 13, commi 2 e 3, e 14 della legge della Regione Emilia-Romagna 11/2004, sollevate dal Presidente del Consiglio dei ministri in riferimento all'articolo 117 della Costituzione, con il ricorso indicato in epigrafe. 8