Green Pass COVID-19: Avvertimento alla Regione Sicilia dal Garante per la Protezione dei Dati Personali
Con l’ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale «Ulteriori misure per l’emergenza epidemiologica da COVID-19», al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale tenuto conto del rischio di diffusione del virus nella variante comunemente nota come “Delta”.
Nella predetta ordinanza, il Presidente della Regione Siciliana prevede che sia disposta, una «ricognizione del personale non vaccinato operante nelle pubbliche amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, disponendo, in particolare, all’art. 3 che: «le AA.SS.PP. provvedono, mediante apposito interpello a tutti gli enti pubblici operanti nel territorio della Regione Siciliana, alla ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione», «all’esito di tale ricognizione […], tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione.
Per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna, analoga attività ricognitiva debba essere effettuata «con riferimento al personale preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonché agli autotrasportatori e al personale delle imprese che assicurano la continuità della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto».
A seguito di richiesta di informazioni da parte del Garante per la protezione dei dati personali, la Regione Siciliana ha specificato che:
«l’Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 e’ stata emanata dal Presidente della regione sia in qualità di Autorità sanitaria regionale – ai sensi della legge n. 8233/1978 – sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei ministri relativo alla pandemia da COVID-19 (Ordinanza del Capo della protezione civile n. 630/2020)». Si tratta, quindi, dell’esercizio di poteri riconosciuti per legge e volti ad intervenire con urgenza per contrastare l’evolversi (e, oggi, l’acuirsi) della pandemia. Impregiudicate, pertanto, le specifiche disposizioni contenute nelle rispettive discipline di settore, le attività giuridiche e materiali (incluse quelle relative al trattamento di dati) che il provvedimento richiede ai soggetti rientranti nella propria sfera applicativa sono strumentali alle finalità istituzionali perseguite dal Presidente, ossia la tutela di un diritto costituzionalmente rilevante quale è la salute dei siciliani.
Le disposizioni contenute nella ordinanza n. 75 del Presidente della Regione Sicilia volte a tutelare la salute pubblica, siano assolutamente legittime e, certamente, non siano volte a violare le norme in materia di protezione dei dati personali e, come emerge dal tenore letterale dell’articolo 3 dell’ordinanza, oggetto di verifica, non è l’individuazione dei nominativi dei lavoratori pubblici non ancora vaccinati, bensì l’indicazione del “numero” dei detti dipendenti.
L’attività di indagine, utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale, deve avvenire in anonimato. Ciò, è chiaro, garantisce sia i dipendenti e sia l’attività pubblica volta a gestire l’emergenza sanitaria.
La corretta interpretazione della Ordinanza, avvalorata dalla [successiva] circolare interpretativa, [che prevede il coinvolgimento del medico competente…] elimina in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso. Può osservarsi come spetti sempre e solo al medico competente, nel rispetto della vigente normativa, valutare le condizioni di salute del dipendente e, eventualmente, comunicarle al datore di lavoro Per assumere le necessarie determinazioni (nel rispetto del CCNL e delle leggi di settore). Si pensi, a titolo meramente esemplificativo, alle c.d. fragilità già evidenziate per individuare i soggetti con priorità in sede di vaccinazione e che, ove presenti in lavoratori non vaccinati, a giudizio del medico competente potrebbero senza dubbio aumentare il rischio di salute dei medesimi ove svolgano mansioni a contatto con il pubblico.
Si vuole, cioè, tutelare la salute del lavoratore in funzione della concreta attività svolta la cui valutazione compete sempre e solo al medico competente […]. E giova chiarire ulteriormente come, stante l’anonimato del dato, il datore di lavoro senza la specifica richiesta del medico competente (che valuta in concreto le condizioni di salute del dipendente) non potrebbe certamente intervenire mancando proprio la conoscenza dei lavoratori non vaccinati».
Nella prudente ponderazione degli interessi (la salute pubblica, la sicurezza dei lavoratori e la protezione dei dati), quindi, si ritiene che non potrebbe certamente escludersi che uno degli elementi incidenti oggi in modo significativo sulla salute dei dipendenti sia proprio il rischio del contagio.
La decisione del medico, del resto, non sarebbe certamente (e non potrebbe esserlo, stante l’anonimato del dato) la conseguenza della ricognizione dei dipendenti vaccinati, bensì frutto di eventuale visita – come avviene per verificare la sicurezza dei lavoratori – e valutazioni specifiche delle condizioni di salute
rispetto alle mansioni ricoperte.
In sintesi, dunque, non vi sarebbe alcun pregiudizio o intento “punitivo” per il dipendente non vaccinato né, certamente, potrebbe mai ritenersi una volontà discriminatoria. E’ tuttavia vero (drammaticamente lo ricordano le migliaia di morti) che la pandemia richiede misure urgenti e straordinarie affinché venga preservata la salute di tutti (lavoratori e non).
A riguardo, le osservazioni del Garante dei dati personali sui profili di competenza dell’Autorità rilevano in via preliminare che le certificazioni attestanti l’avvenuta vaccinazione (e, non diversamente la guarigione da COVID-19, o l’esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2(cfr. provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il «Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green pass»).
L’Autorità ha infatti più volte ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (articoli 6, paragrafo 2, e 9 del regolamento e articoli 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, considerando n. 37 del regolamento del Parlamento europeo e del Consiglio sull’EU Digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021).
Come evidenziato anche dal Presidente del garante nell’audizione informale alla Camera del 6 maggio 2021, in generale, la materia risulta essere assoggettata alla riserva di legge statale (Corte costituzionale, sentenza n. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione. Il Garante ha pertanto reso parere favorevole sullo schema di decreto di attuazione della disciplina in tema di certificazioni verdi – Green Pass a condizione che, in sede di conversione in legge del decreto-legge 22 aprile 2021, n. 52 («Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19»), fossero, tra l’altro, specificamente definite le finalità del trattamento e fosse introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da COVID-19, o l’esito negativo di un test antigenico o molecolare. Al riguardo, si rappresenta che, in sede di conversione in legge del decreto-legge n. 52/2021, è stata modificata la disciplina sulle Green Pass prevedendo che le stesse possono essere utilizzate esclusivamente ai fini di cui agli articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma 2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10-bis, legge n. 87/2021).
Con specifico riguardo al contesto lavorativo, il predetto decreto-legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l’attività lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l’avvenuta vaccinazione o il risultato negativo di un test per COVID-19. Anche in merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, l’Autorità ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n. 3 in materia di «Trattamento di dati relativi alla vaccinazione anti COVID-19 nel contesto lavorativo» www.gpdp.it – doc. web n. 9543615).
Alla luce delle considerazioni preliminari sopra riportate, il Garante dei dati personali ritiene pertanto che le disposizioni di cui all’ordinanza del Presidente della Regione Siciliana del 7 luglio 2021, n. 75, presentino le seguenti criticità:
sull’Inidoneità della base giuridica si rileva che l’individuazione della avvenuta vaccinazione quale condizione per esercitare diritti e libertà individuali o accedere agli ambienti di lavoro, non può essere prevista da un’ordinanza regionale, in quanto, come sopra evidenziato, la competenza circa l’introduzione di misure di sanità pubblica che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal regolamento (art. 6, paragrafo 3, del regolamento), previa acquisizione del parere dell’Autorità.
In particolare, la predetta ordinanza presidenziale, pur alla luce delle precisazioni contenute nella circolare del 13 luglio, prot. n. [omissis], nel prevedere la generalizzata ricognizione del personale degli enti pubblici e di altri lavoratori non vaccinati e la conseguente assegnazione a differenti mansioni che non implichino il contatto con l’utenza esterna (cfr. art. 3, comma 2, cit.), introduce trattamenti di dati personali relativi allo stato vaccinale dei dipendenti che comportano limitazioni dei diritti e delle libertà individuali, allo stato non previsti da alcuna disposizione di legge statale (cfr., Corte costituzionale, sentenza n. 271/2005 sulla riserva di legge statale sulla protezione dati(Corte costituzionale, sentenza n. 37/2021).
A tale riguardo il Garante per i dati personali, ancorché in relazione all’uso del Green Pass, e più in generale dei certificati vaccinali, per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale, ha ribadito alle regioni e alla Conferenza delle regioni e delle province autonome la necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali. Ciò in considerazione del fatto che l’ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualità della fonte, contenuti necessari, rispetto del principio di proporzionalità) per introdurre limitazioni ai diritti e alle libertà individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale (art. 6, paragrafi 2 e 3, del regolamento e 2-ter e 2-sexies del Codice).
Peraltro l’ordinanza n. 75 della Regione Siciliana prevede che, «tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione» e che «per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna» (comma 2). Tale circostanza, anche alla luce delle successive precisazioni effettuate con la circolare interpretativa sopra richiamata che prevede «l’assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino» (cfr. circolare p. 3), introduce in realtà un requisito per lo svolgimento di determinate mansioni (quelle che implicano «il contatto diretto del lavoratore con l’utenza esterna») su base regionale e non previsto dalla legge nazionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
Pertanto, la valutazione della liceità del trattamento di informazioni afferenti alla salute, vita privata e alle convinzioni personali, anche sotto il profilo del rispetto del principio di finalità e proporzionalità, così come pure la legittimità delle decisioni assunte dal datore di lavoro in conseguenza di tali trattamenti, è subordinata all’esistenza, oggettivamente verificabile, di un nesso diretto tra il requisito professionale e lo svolgimento dell’attività lavorativa dovendo questo consistere in un «requisito essenziale e determinante» per lo svolgimento dell’attività lavorativa ed essere «necessario, a causa dell’importanza dell’attività professionale di cui trattasi».
Pertanto l’ordinanza n. 75 del 7 luglio 2021 riguardo i Trattamenti dei dati per finalità di sicurezza dei luoghi di lavoro non individua in modo corretto le distinte finalità del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceità su cui debbono fondarsi i trattamenti, nonché le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceità, correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita (articoli 5 e 25 del regolamento).
Il Garante a tutela dei dati personali ai sensi dell’art. 58, par 2, lettera a), del regolamento avverte la Regione Siciliana e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni in materia di protezione dei dati personali. Provvedimento n. 27 – GU Serie Generale n.246 del 14-10-2021.