Green Pass: Garante Privacy, gli enti locali non possono decidere in autonomia sui trattamenti dei dati personali
Gli enti locali non possono introdurre trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale e fissare su questa base un requisito per lo svolgimento di determinate mansioni. È infatti necessaria una norma nazionale di rango primario – adottata previo parere del Garante per la protezione dei dati personali – per attivare trattamenti di dati personali che determinano limitazioni dei diritti e delle libertà individuali. Lo ha ribadito lo stesso Garante con un provvedimento del 22 luglio relativo a un’ordinanza del Presidente della Regione Siciliana. In questo focus un quadro completo sul tema
2 Settembre 2021
Patrizia Cardillo
Esperta di Protezione dati personali, Coordinatrice del Network dei RPD delle Autorità indipendenti
Occorre una norma nazionale di rango primario per attivare trattamenti di dati personali che determinano limitazioni dei diritti e delle libertà individuali. E tale norma nazionale deve essere adottata previo parere del Garante per la protezione dei dati personali (di seguito: Garante). È, in estrema sintesi, il contenuto del provvedimento del 22 luglio 2021 con il quale il Garante, ai sensi dell’art. 58, par 2, lett. a), del Regolamento, ha avvertito la Regione Siciliana e tutti i soggetti pubblici e privati coinvolti che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana (“Ulteriori misure per l’emergenza epidemiologica da Covid-19”) possono, in assenza di correttivi, violare le disposizioni in materia di protezione dei dati personali. Ma soprattutto il Garante ha richiamato l’attenzione del Presidente del Consiglio dei ministri e della Conferenza delle Regioni e delle Province autonome sull’esigenza di vigilare al fine di assicurare il rispetto delle medesime disposizioni. Sullo stesso tema il Garante era già intervenuto nei confronti della Regione Campania[1].
I fatti
Con l’ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale “ulteriori misure per l’emergenza epidemiologica da Covid-19 al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” introducendo trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale e, di fatto, fissando un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
In particolare, l’ordinanza prevede una ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali con l’obiettivo di formalmente invitarlo, tramite i datori di lavoro, a ricevere la vaccinazione; in caso d’indisponibilità o di rifiuto di sottoporsi a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare, per l’interessato, una differente assegnazione lavorativa che, ove possibile, non implichi il contatto diretto del lavoratore con l’utenza esterna.
L’intervento del Garante
Il primo profilo sollevato è proprio quello dell’assenza di un’idonea base giuridica del trattamento. Ed è facile il richiamo ai numerosi interventi che si sono succeduti negli ultimi mesi come nei pareri espressi[2] nell’ambito del tormentato iter di avvio del Green Pass, tesi a ribadire come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali) [3].
Tale elemento, già sottolineato dal Garante[4], emerge oggi inconfutabile dalle motivazioni della Corte Costituzionale[5] che con Ordinanza n. 4/21 ha sospeso l’efficacia della legge della Regione Valle d’Aosta 9 dicembre 2020, n. 11 per la disciplina della gestione regionale dell’emergenza epidemiologica indotta dalla diffusione del virus Covid-19 evidenziando che la materia trattata sarebbe da ricondurre alla competenza esclusiva statale in tema di profilassi internazionale (art. 117, secondo comma, lettera q, della Costituzione), e di determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali (art. 117, secondo comma, lettera m, Cost.), oltre che a principi fondamentali della materia tutela della salute, tali da imporsi anche all’autonomia speciale.
A completare il quadro occorre aggiungere che tra le indicazioni del Garante formulate sul parere espresso relativamente al d.l 22 aprile, n.52 emerge l’esigenza di definire una lista “chiusa” delle finalità del trattamento con l’introduzione di una riserva di legge statale per l’utilizzo delle certificazioni verdi. In sede di conversione la legge 87/2021 ha dettagliatamente indicato le finalità di utilizzo (art. 9, comma 10bis): Le certificazioni verdi COVID-19 possono essere utilizzate esclusivamente ai fini di cui agli articoli 2, comma 1, articolo 2-bis, comma 1, articolo 2-quater; articolo 5, comma 4, articolo 7, comma 2, e articolo 8-bis, comma 2[6]. Ad oggi una sola volta il legislatore è intervenuto in ambito lavorativo e ha stabilito che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce “requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative”[7].
Green pass: il dibattito in corso
Diverso è il dibattito che negli ultimi due mesi ha tormentato il mondo politico e i social: l’obbligatorietà del Green pass per accedere ad una serie di attività. In particolare dal 6 agosto[8] è obbligatorio mostrare la certificazione per consumare al tavolo al chiuso in bar e ristoranti, per andare in palestra e praticare altri sport al chiuso e andare allo stadio, per andare a teatro, al cinema, ai concerti, a Fiere e convegni, per entrare nei musei, nei centri termali, nei parchi divertimenti, nei centri culturali, nelle sale da gioco e nei Casinò, per partecipare ai concorsi. Dal 1 settembre [9] il Green Pass deve essere esibito per viaggiare su aerei, treni, navi ma non sui mezzi pubblici; sarà obbligatorio per il personale e gli insegnanti delle scuole di ogni ordine e grado e per gli studenti universitari.
Il provvedimento ha resistito, al momento, al vaglio del giudice amministrativo[10] che ha dichiarato palesemente inammissibile il ricorso in quanto diretto nei confronti di un atto normativo del Governo con valore e forza di legge che ne sposta la competenza direttamente alla Consulta, oggi non attivabile, data l’assenza di impugnazione contestuale di atti applicativi che del gravato decreto legge costituiscano concreta esecuzione. Vedremo l’esito della trattazione collegiale della controversia il prossimo 6 ottobre.
Ma si stanno anche discutendo misure per renderlo obbligatorio per i dipendenti pubblici e privati per accedere ai luoghi di lavoro. Considerate le polemiche seguite all’analogo obbligo per l’ingresso alle mense aziendali, non si riuscirà a breve a trovare un compromesso tra i diversi interessi in campo.
Un commento
Forse, c’è da osservare, che occorre in primo luogo rispondere ad una domanda prioritaria: è la campagna vaccinale lo strumento primario per uscire dalla crisi, sanitaria ed economica, scatenata dalla pandemia? Se la risposta del mondo scientifico è (come appare), pur con inevitabili sfumature, unanime, occorre spingere verso una più massiccia adesione alla campagna vaccinale. Lo sforzo fatto non basta. L’allargamento dell’obbligo di mostrare Green pass (che come sappiamo lascia una, anche se minima, libertà di scelta sulle modalità di conseguimento) sicuramente costituisce un spinta a vaccinarsi. Incentivo e non obbligo a vaccinarsi Ci aspetteremmo però un’azione più diretta ed incisiva. Sicuramente inserendo tutte le garanzie da un lato nei confronti di coloro che per motivi sanitari non possono vaccinarsi e dall’altro ogni misura a protezione dei nostri dati personali che vengono sicuramente trattati e fatti circolare in grande misura. E sul punto sicuramente il Garante ha dato prova di grande attenzione e tempestività di intervento.
Conclusioni sul provvedimento del Garante
Il ruolo del datore di lavoro
Tornando al Provvedimento del Presidente delle Regione Siciliana, il Garante nel suo intervento ribadisce che, in relazione all’attuale quadro normativo di riferimento, per tutte le altre categorie di lavoratori, il datore di lavoro non può trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l’intenzione di aderire o meno alla campagna vaccinale e l’eventuale avvenuta vaccinazione) per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare.
In tale quadro, considerata la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza della regione Siciliana, in assenza di adeguate misure tecniche e organizzative, può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni riguardanti la salute, le scelte individuali e la vita privata dei dipendenti.
Da qui l’intervento preventivo del Garante che, in considerazione delle gravi violazioni riscontrate, ha ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, e ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy.
Il ruolo del Medico competente
Di rilievo un ulteriore passaggio del provvedimento laddove il Garante torna a rafforzare e ribadire il ruolo di autonomo titolare del trattamento del Medico Competente le cui attività e le finalità dei trattamenti posti in essere, sono previste e determinate esclusivamente dalla legge che gli assegna responsabilità e compiti specifici e costituiscono la base giuridica dei relativi trattamenti dei dati personali di cui specificano anche le modalità.
Il Garante – richiamando precedenti provvedimenti[11] – ribadisce, che nello svolgimento dei compiti che la legge gli affida, il medico competente è l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro[12]. Né le sue valutazioni possono, per definizione, risentire o essere condizionate da istruzioni e indicazioni di altri soggetti ovvero dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita), rispetto al quale deve, al contrario, mantenere autonomia e terzietà [13].
Precisazione quest’ultima necessaria in quanto l’ordinanza prevede trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.
Il Campus di FPA Digital School
Come attuare il GDPR nelle pubbliche amministrazioni
Un percorso di formazione online con la supervisione scientifica e la conduzione di Patrizia Cardillo, docente ed esperta della materia, che ha ricoperto il ruolo di Responsabile protezione dati per Arera, in co-docenza per alcuni moduli con Anna Cataleta, Avvocato specializzata in temi di data protection e Giulia Adotti, Avvocato Cassazionista, esperta nell'ambito della tutela dei Diritti della Persona, in particolare in materia di privacy
16 Novembre 2024
[1] Provvedimento di avvertimento del n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466);
[2]
Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il “Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass”;
[3] Considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvato nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021;
[4] Provvedimento di avvertimento del Garante n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466);
[5] La Corte Costituzionale già con la Sentenza n. 271/05 si era espressa sul tema, riconoscendo la presenza di corpo normativo complesso posto a tutelare in modo organico il trattamento dei dati personali e affermando in materia la competenza esclusiva dello Stato. Competenza da ricondurre all’interno delle materie legislative di cui all’art.117 Costituzione, alla categoria dell’“ordinamento civile”, di cui alla lettera l) del secondo comma del medesimo articolo. La stessa Corte precisava anche che “in questi ambiti possono quindi essere adottati anche leggi o regolamenti regionali, ma solo in quanto e nella misura in cui ciò sia appunto previsto dalla legislazione statale” http://www.issirfa.cnr.it/corte-cost-sent-n-271-05-tutela-dei-dati-personali.html ;
[6]Testo coordinato del d.l. 22 aprile 2021, n. 52 art. 2 comma 1 (spostamenti in entrata e in uscita dai territori collocati in zona arancione o rossa); art. 2bis (accesso sale d’attesa dei dipartimenti di emergenza); art. 2quater (accesso strutture di ospitalità e lungodegenza); art.5 (spettacoli e eventi sportivi); art. 7, comma 2 (fiere convegni e congressi); art. 8 bis comma 2 (cerimonie civili e religiose);
[7] Cfr. art.4 del d.l. 1 aprile 2021, n.44 convertito in legge n. 76 del 28 maggio 2021;
[8] Decreto legge 23 luglio 2021, n.105;
[9] Decreto legge 6 agosto 2021, n.111
[10] Tar Lazio sez. I Decreto 23 agosto 2021 n. 08390/2021 Reg.Ric. decreto n. 4453 del 24 agosto 2021
[11] EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR e Circolare del Ministero della Salute del 29 aprile 2020, n. 0014915, recante “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività”;
[12] Cfr. Garante Documento “Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).
[13] Cfr. art. 39 d.lgs. n. 81/2008