Si segnala per opportuna conoscenza che sulla Gazzetta Ufficiale n. 291 del 7-12- 2021 è stata pubblicata la legge Legge n. 3 dicembre 2021, n. 205 - “Conversione in legge, con modificazioni, del decreto-legge 8 ottobre 2021, n. 139, recante disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali”.

 

Articolo 3 (Comunicazioni dei lavoratori ai datori di lavoro in materia di certificazioni verdi COVID-19)

L'articolo 3 - inserendo l'articolo 9-octies nel D.L. 22 aprile 2021, n. 52, convertito, con modificazioni, dalla L. 17 giugno 2021, n. 87 - reca un'integrazione della disciplina transitoria - valida per il periodo 15 ottobre 2021-31 dicembre 2021 - che richiede, per i lavoratori, pubblici e privati, il possesso di un certificato verde COVID-19 in corso di validità ai fini dell'accesso al luogo di lavoro (fatta salva l'esenzione per i soggetti per i quali un'idonea certificazione medica attesti una controindicazione relativa alla vaccinazione contro il COVID-19). La novella in esame prevede che, in caso di richiesta da parte del datore di lavoro, pubblico o privato, derivante da specifiche esigenze organizzative, volte a garantire l'efficace programmazione del lavoro, i lavoratori siano tenuti a rendere le comunicazioni relative al possesso o alla mancanza del suddetto certificato con un preavviso idoneo a soddisfare le suddette esigenze. La novella in esame introduce, dunque, un obbligo di comunicazione, derivante dall'eventuale richiesta del datore di lavoro; in assenza di quest'ultima, le disposizioni (già vigenti) prevedono solo come eventuale la comunicazione, da parte del lavoratore, di mancanza di possesso del certificato - fermo restando che, in ogni caso, il lavoratore privo del medesimo certificato (e che non rientri nella suddetta fattispecie di esenzione) non può accedere al luogo di lavoro. Per l'ipotesi di inadempimento dell'obbligo di comunicazione - obbligo derivante dall'eventuale richiesta del datore di lavoro - non sono previste sanzioni specifiche, ma possono trovare luogo, ove ne ricorrano i presupposti in base ai rispettivi ordinamenti, quelle disciplinari (fermo restando che le suddette norme transitorie relative all'accesso al luogo di lavoro escludono l'applicazione di sanzioni disciplinari per il mancato possesso di un certificato verde COVID-19).

Articolo 9 comma 1, lettere a)-f), lettera i) nonché lettere m)-o); commi 2-3 e 5-6 (In materia di trattamento dei dati personali, se svolto nel pubblico interesse o nell'esercizio di pubblici poteri, e di correlativi poteri del Garante)

L'articolo 9 del decreto-legge - il quale estende la base giuridica del trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, ed a fronte ridisegna alcuni correlativi poteri del Garante per la protezione dei dati personali - è stato riscritto dal Senato in prima lettura in misura estesa. In particolare, il comma 1, lettera a), numero 1 novella l'articolo 2-ter del Codice in materia dei dati personali, recato dal decreto legislativo n. 196 del 2003. Tale articolo è intitolato: "Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri". Il trattamento dei dati personali, perché sia lecito, deve fondarsi sul consenso dell'interessato o su altra base legittima prevista dal regolamento europeo generale sulla protezione dei dati (Regolamento UE n. 679 del 2016), o dal diritto dell'Unione o degli Stati membri come indicato nel medesimo regolamento. Il citato articolo 2-ter del Codice della privacy italiano prevedeva al comma 1 - nel testo previgente rispetto al presente decreto-legge - che la base giuridica per il trattamento dei dati personali oggetto di quel medesimo articolo, sia costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento. La novella modifica tale generale previsione. Aggiunge infatti la previsione - per quanto riguarda la base giuridica del trattamento dei dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri - che siffatta base giuridica possa essere costituita anche da "atti amministrativi generali", nei casi previsti dalla legge. È ridotto a trenta giorni il termine per i pareri che il Garante per la protezione dei dati personali renda su atti riconducibili al Piano nazionale di ripresa e resilienza (PNRR), al Piano nazionale per gli investimenti complementari ed al Piano nazionale integrato per l'energia e il clima 2030. Prevede che quel termine sia improrogabile (ed una volta decorso, si può comunque procedere, pur in assenza di parere). L'articolo 9, comma 3 riduce a trenta giorni il termine per il parere del Garante per la protezione dei dati personali su un novero di atti. Diversamente, il termine previsto per l'attività del Garante entro il Codice per la protezione dei dati personali sarebbe di quarantacinque giorni. Inoltre, la disposizione viene a prevedere che il termine di trenta giorni sia improrogabile. Qualora decorra senza che il parere sia reso, l'acquisizione di quest'ultimo non è necessaria ai fini del prosieguo del procedimento. Il comma 1, lettera a), numero 2) del succitato articolo 9 introduce (ancora nell'articolo 2-ter del decreto legislativo n. 196 del 2003) un comma 1-bis, in cui si prevede che il trattamento dei dati personali sia "anche" consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti. Si tratta di trattamento dei dati personali da parte di un'amministrazione pubblica nonché da parte di una società a controllo pubblico statale o locale (limitatamente ai gestori di servizi pubblici), con esclusione, per le società pubbliche, dei trattamenti correlati ad attività svolte in regime di libero mercato. I soggetti pubblici qui considerati sono le amministrazioni pubbliche (quali enumerate dall'articolo 1, comma 2 del decreto legislativo n. 165 del 2001), ivi comprese le Autorità indipendenti e le amministrazioni inserite nel conto economico consolidato ai sensi della legge di contabilità e finanza pubblica, il cui elenco è fornito annualmente dall'Istat, nonché le società a controllo pubblico statale di cui all'articolo 16 del decreto legislativo n. 175 del 2016 (con esclusione - per le società pubbliche - dei trattamenti correlati ad attività svolte in regime di libero mercato). Rimane fermo ogni altro obbligo previsto dal Regolamento europeo e dal Codice in materia di protezione dei dati personali. Non è ribadita - rispetto al testo originario del decreto-legge - la prescrizione che il soggetto pubblico abbia l'obbligo di indicare la finalità del trattamento - se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento - "in coerenza al compito svolto o al potere esercitato"; e che sia tenuto ad assicurare adeguata pubblicità sia all'identità del titolare del trattamento sia alle finalità del trattamento; e debba fornire ogni altra informazione necessaria ad assicurare un trattamento "corretto e trasparente", con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardino. Tuttavia, si introduce la previsione che le disposizioni di questo comma 1-bis siano esercitate nel rispetto dell'articolo 6 del Regolamento europeo n. 679 del 2016, in modo da assicurare che non si arrechi pregiudizio effettivo e concreto alla tutela dei diritti e delle libertà degli interessati. Ancora del comma 1, lettera a), di questo articolo 9 del decreto-legge, i numeri 3 e 4 pongono novelle connesse alle previsioni sopra ricordate poste dai numeri 1 e 2. Il numero 4 incide sul comma 3 del citato articolo 2-ter del Codice. In tal modo, estende ai trattamenti ossia condotti dai ricordati soggetti pubblici con necessità per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri loro attribuiti - la legittimazione alla diffusione e comunicazione di dati personali, trattati in quell'ambito di pubblico interesse o pubblico potere, a soggetti che intendano trattarli per altre finalità. Secondo modificazione approvata dal Senato si prospetta tuttavia che - della diffusione e la comunicazione di dati personali a soggetti che intendano trattarli per altre finalità - sia data notizia al Garante almeno dieci giorni prima della diffusione e la comunicazione di dati personali, se appunto trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri benché in assenza di base normativa primaria o secondaria o di base amministrativa generale. Secondo il lessico normativo di riferimento, per "comunicazione" si intende la resa a conoscenza dei dati personali a uno o più soggetti determinati; per "diffusione", la resa a conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La lettera b), numero 1 estende l'ampliamento della base giuridica del trattamento agli atti amministrativi generali (secondo la previsione introdotta dal Senato, ricordata in avvio), per i dati di cui all'articolo 2-sexies del Codice della privacy (che fa rinvio all'art. 9, par. 1, del Regolamento europeo). Si tratta di categorie particolari di dati personali (ad esempio di sanità pubblica, medicina del lavoro, archiviazione nel pubblico interesse o per ricerca scientifica o storica o a fini statistici). Rimane fermo che le previsioni di legge, regolamento o atto amministrativo generale di tale trattamento siano tenute a specificare i tipi di dati che possano essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (come dispone l'articolo 2-sexies del Codice). Così come rimane ferma la previsione d'avvio dell'articolo 9 del Regolamento europeo, secondo cui "è vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona". Ancora della lettera b), il numero 2 reca novella previsione concernente il trattamento di dati personali relativi alla salute. Si prevede (qual comma 1-bis così introdotto nell'articolo 2-sexies nel Codice della privacy) che tali dati - i quali debbono essere "privi di elementi identificativi diretti" - siano trattati, nel rispetto delle finalità istituzionali di ciascuno, dal Ministero della salute, dall'Istituto superiore di sanità, dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà, dalle Regioni relativamente ai propri assistiti, anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale (ivi incluso il Fasciolo sanitario elettronico), con finalità compatibili con quelle inerenti al trattamento. Le relative modalità e finalità sono determinate con decreto del Ministro della salute, previo parere del Garante. La lettera c) - invariata rispetto al testo originario del decreto-legge - dispone l'abrogazione dell'articolo 2-quinquesdecies del Codice della privacy. Tale articolo è intitolato: "Trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico". Secondo tale disposizione - ora abrogata - il Garante per la protezione dei dati personali - nel caso di trattamenti di dati personali svolti per l'esecuzione di un compito di interesse pubblico, tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche - era titolare di un potere di adottare d'ufficio provvedimenti di carattere generale, prescriventi misure e accorgimenti a garanzia dell'interessato, ed il titolare del trattamento dei dati era tenuto ad adottare tali misure. La previsione di tale potestà prescrittiva del Garante - che fu inserita nel Codice della privacy dal decreto legislativo n. 101 del 2018, recante disposizioni per l'adeguamento della normativa nazionale al Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati - è dunque ora soppressa. Gli articoli 35 e 36 del Regolamento europeo prevedono, si ricorda, sia una valutazione - da parte del titolare del trattamento dei dati - del trattamento sulla protezione dei dati personali, quando esso possa importare (considerati la sua natura, l'oggetto, il contesto, le finalità, l'utilizzo di nuove tecnologie) un rischio elevato per i diritti e le libertà delle persone fisiche, sia una consultazione preventiva in tali casi dell'autorità di controllo, la quale - ove essa ritenga che il trattamento violi il regolamento europeo, in particolare se il titolare del lavoro, archiviazione nel pubblico interesse o per ricerca scientifica o storica o a fini statistici). Rimane fermo che le previsioni di legge, regolamento o atto amministrativo generale di tale trattamento siano tenute a specificare i tipi di dati che possano essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (come dispone l'articolo 2-sexies del Codice). Così come rimane ferma la previsione d'avvio dell'articolo 9 del Regolamento europeo, secondo cui "è vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona". Ancora della lettera b), il numero 2 reca novella previsione concernente il trattamento di dati personali relativi alla salute. Si prevede (qual comma 1-bis così introdotto nell'articolo 2-sexies nel Codice della privacy) che tali dati - i quali debbono essere "privi di elementi identificativi diretti" - siano trattati, nel rispetto delle finalità istituzionali di ciascuno, dal Ministero della salute, dall'Istituto superiore di sanità, dall'Agenzia nazionale per i servizi sanitari regionali, dall'Agenzia italiana del farmaco, dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà, dalle Regioni relativamente ai propri assistiti, anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale (ivi incluso il Fasciolo sanitario elettronico), con finalità compatibili con quelle inerenti al trattamento. Le relative modalità e finalità sono determinate con decreto del Ministro della salute, previo parere del Garante. La lettera c) - invariata rispetto al testo originario del decreto-legge - dispone l'abrogazione dell'articolo 2-quinquesdecies del Codice della privacy. Tale articolo è intitolato: "Trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico". Secondo tale disposizione - ora abrogata - il Garante per la protezione dei dati personali - nel caso di trattamenti di dati personali svolti per l'esecuzione di un compito di interesse pubblico, tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche - era titolare di un potere di adottare d'ufficio provvedimenti di carattere generale, prescriventi misure e accorgimenti a garanzia dell'interessato, ed il titolare del trattamento dei dati era tenuto ad adottare tali misure. La previsione di tale potestà prescrittiva del Garante - che fu inserita nel Codice della privacy dal decreto legislativo n. 101 del 2018, recante disposizioni per l'adeguamento della normativa nazionale al Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati - è dunque ora soppressa. Gli articoli 35 e 36 del Regolamento europeo prevedono, si ricorda, sia una valutazione - da parte del titolare del trattamento dei dati - del trattamento sulla protezione dei dati personali, quando esso possa importare (considerati la sua natura, l'oggetto, il contesto, le finalità, l'utilizzo di nuove tecnologie) un rischio elevato per i diritti e le libertà delle persone fisiche, sia una consultazione preventiva in tali casi dell'autorità di controllo, la quale - ove essa ritenga che il trattamento violi il regolamento europeo, in particolare se il titolare del disciplinino espressamente le modalità del trattamento, descrivendo una o più operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali (come ad esempio la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione), nonché nei casi in cui la norma di legge o di regolamento autorizzi espressamente un trattamento di dati personali da parte di soggetti privati senza rinviare la disciplina delle modalità del trattamento a fonti sotto ordinate. La lettera m), numero 1 reca previsione di mero coordinamento, giacché conseguente alla ricordata abrogazione dell'articolo 2-quinquiesdecies del Codice della privacy. Analoga novella è dettata dalla lettera n), incidente sull'articolo 167, comma 2 del Codice, là dove annoverava le violazioni a quell'articolo 2-quinquiesdecies - perpetrate al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali - tra quelle punite con la reclusione da uno a tre anni. La lettera m) sopra ricordata reca altresì i numeri 2 e 3, assenti nel testo originario ed introdotti dal Senato. Si tratta di due aggiuntive previsioni, introdotte nell'articolo 166 (recante criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l'adozione dei provvedimenti correttivi e sanzionatori) del Codice. La prima integra il comma 5 di quell'articolo 166, il quale prevede che l'Ufficio del Garante, quando ritenga che gli elementi acquisiti configurino una violazione, avvia il procedimento per l'adozione dei provvedimenti correttivi e delle sanzioni, notificando al titolare o al responsabile del trattamento le presunte violazioni (salvo che la previa notifica della contestazione non risulti incompatibile con la natura e le finalità del provvedimento da adottare). L'aggiuntiva disposizione prevede che tale notifica possa essere omessa - nei confronti dei titolari del trattamento effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri ovvero per fini di sicurezza nazionale e di difesa ovvero a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno già arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l'obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell'omessa notifica. In assenza di tali presupposti, il giudice competente accerta l'inefficacia del provvedimento. Altra aggiunta integra il comma 7 del medesimo articolo 166 del Codice, onde prevedere, quale possibile sanzione amministrativa accessoria, quella della pubblicazione della ingiunzione a realizzare campagne di comunicazione istituzionale, volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Ancora, nella determinazione della sanzione il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione. La lettera o) infine modifica l'articolo 170 del Codice della privacy, relativo all'inosservanza di provvedimenti del Garante punita con la reclusione da tre mesi a due anni. Si vengono a porre due condizioni, perché operi tale punibilità con la reclusione: un "concreto nocumento" a uno o più soggetti interessati al trattamento; la querela della persona offesa. Il comma 2 si pone come disposizione di coordinamento, conseguente all'abrogazione dell'articolo 2-quinquiesdecies del Codice della privacy (nonché alla diversa previsione circa la 'legittimazione' al trattamento di dati personali necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri attribuiti alla pubblica amministrazione). Ne segue l'abrogazione - qui disposta - della disposizione transitoria dettata dall'articolo 22 del decreto legislativo n. 101 del 2018 (recante adeguamento al regolamento europeo generale sulla protezione dei dati n. 679 del 2016). Esso prevedeva che fino all'adozione dei corrispondenti provvedimenti generali di cui al citato articolo 2-quinquiesdecies del Codice, i trattamenti lì previsti, che fossero già in corso alla data di entrata in vigore del decreto legislativo n. 101 del 2018, potessero proseguire qualora svolti in base a espresse disposizioni di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui fossero stati sottoposti a verifica preliminare o autorizzazione del Garante per la protezione dei dati personali, tali da individuare misure e accorgimenti adeguati a garanzia dell'interessato. Introdotte dal Senato, quale comma 3 di questo articolo 9, sono altresì alcune modificazioni del decreto legislativo n. 101 del 2018, recante attuazione della direttiva europea n. 680 del 2016 (relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati). Le novelle all'articolo 5 di quel decreto legislativo n. 51, qui dettate, traspongono al suo interno l'estensione agli atti amministrativi generali della base giuridica del trattamento, da un lato; dall'altro retrocedono da regolamento governativo a decreto ministeriale (della giustizia o dell'interno) l'atto di determinazione - per i trattamenti o le categorie di trattamenti non occasionali, riguardanti i dati sopra ricordati - dei termini (ove non già stabiliti da disposizioni di legge o di regolamento), le modalità di conservazione dei dati, i soggetti legittimati ad accedervi, le condizioni di accesso, le modalità di consultazione, nonché le modalità e le condizioni per l'esercizio dei diritti dell'interessato quali l'accesso, la rettifica, la rimozione, la limitazione del trattamento. Le modificazioni dell'articolo 45 del medesimo decreto legislativo n. 51 del 2018 ricalcano quelle sopra ricordate (a proposito della lettera o) del comma 1) circa la punibilità con la reclusione dell'inosservanza di provvedimenti del Garante con la reclusione. Dunque, si prescrive la presenza di un concreto nocumento arrecato ad uno o più interessati e la querela della parte offesa.

Articolo 9, comma 4 (Trattamento di dati personali da parte del Ministero della salute per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione)

Il comma 4 dell'articolo 9 modifica ed integra una disciplina concernente il trattamento di dati personali da parte del Ministero della salute. Tale disciplina, nella versione vigente, concerne i dati personali - anche relativi alla salute degli assistiti - raccolti nei sistemi informativi del Servizio sanitario nazionale ed autorizza il suddetto Ministero al relativo trattamento, al fine di sviluppare metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione, demandando ad un decreto di natura regolamentare del Ministro della salute - adottato previo parere del Garante per la protezione dei dati personali - la definizione delle norme attuative. Le novelle in esame prevedono che il decreto sia invece di natura non regolamentare - fermo restando il parere del suddetto Garante - (lettera b)), estendono (lettera a)), con riferimento a dati personali non sanitari, l'ambito delle norme di rango legislativo in esame e del relativo decreto attuativo e pongono una norma transitoria (lettera c)), valida nelle more dell'emanazione del medesimo decreto. La novella di cui alla lettera a) prevede che, con le modalità e nei limiti stabiliti dal decreto attuativo summenzionato, il Ministero della salute sia autorizzato - al fine suddetto di sviluppare metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione - a trattare anche i dati personali non relativi alla salute necessari a garantire l'effettivo perseguimento della finalità suddetta, anche con riferimento all'attuazione degli interventi del Piano nazionale di ripresa e resilienza concernenti la missione "Salute" (missione M6 del Piano). A tal fine, la novella autorizza l'interconnessione dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo Sanitario Elettronico (FSE), con i sistemi informativi - gestiti da altre amministrazioni pubbliche, e che raccolgono i dati non relativi alla salute - specificamente individuati dal decreto summenzionato, con modalità tali da garantire che l'interessato non sia direttamente identificabile. Riguardo al decreto attuativo - per il quale, come accennato, la novella di cui alla lettera b) esclude la natura regolamentare -, si ricorda che esso deve individuare le tipologie di dati che possono essere trattati, nonché le relative modalità di acquisizione dai sistemi informativi dei soggetti la tutela dei diritti degli interessati, i tempi di conservazione dei dati medesimi. La novella di cui alla lettera c) prevede che, nelle more dell'adozione del decreto attuativo, il Ministero della salute avvii le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla definizione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili.