IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, «Regolamento generale sulla protezione dei dati» (di seguito, «Regolamento»); Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «Codice»); Visto il decreto legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro; Visto il protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha aggiornato il protocollo del 24 aprile 2020; Visto il decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attivita' economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19»; Visto il decreto del Presidente del Consiglio dei ministri del 17 giugno 2021 «Disposizioni attuative dell'art. 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante Misure urgenti per la graduale ripresa delle attivita' economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19»; Visto il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 106 dell'8 maggio 2019 e in www.gpdp.it - doc. web n. 9107633 (di seguito «Regolamento del garante n. 1/2019»); Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del garante n. 1/2000 sull'organizzazione e il funzionamento dell'ufficio del garante per la protezione dei dati personali, doc. web n. 1098801; Relatore il prof. Pasquale Stanzione;
Premesso
Con l'ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale «Ulteriori misure per l'emergenza epidemiologica da COVID-19», «al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell'80% per tutti i target anagrafici individuati a livello nazionale» e «tenuto conto del rischio di diffusione del virus nella variante comunemente nota come "Delta"». Nella predetta ordinanza, il Presidente della Regione Siciliana prevede che sia disposta, una «ricognizione del personale non vaccinato operante nelle pubbliche amministrazioni e preposto ai servizi di pubblica utilita' e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990», disponendo, in particolare, all'art. 3 che: «le AA.SS.PP. provvedono, mediante apposito interpello a tutti gli enti pubblici operanti nel territorio della Regione Siciliana, alla ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione» (comma 1); «all'esito di tale ricognizione [...] tutti coloro che nell'esercizio dei propri compiti d'ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione» (comma 2); «per l'ipotesi di indisponibilita' o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l'interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l'utenza esterna» (comma 2); analoga attivita' ricognitiva debba essere effettuata «con riferimento al personale preposto ai servizi di pubblica utilita' e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonche' agli autotrasportatori e al personale delle imprese che assicurano la continuita' della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto» (comma 1). A seguito di richiesta di informazioni da parte di questa Autorita', con nota prot. n. [omissis] del [omissis], la Regione Siciliana ha specificato che: «l'Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 e' stata emanata dal Presidente della regione sia in qualita' di Autorita' sanitaria regionale - ai sensi della legge n. 8233/1978 - sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei ministri relativo alla pandemia da COVID-19 (Ordinanza del Capo della protezione civile n. 630/2020)»; «si tratta, quindi, dell'esercizio di poteri riconosciuti per legge e volti ad intervenire con urgenza per contrastare l'evolversi (e, oggi, l'acuirsi) della pandemia. Impregiudicate, pertanto, le specifiche disposizioni contenute nelle rispettive discipline di settore, le attivita' giuridiche e materiali (incluse quelle relative al trattamento di dati) che il provvedimento richiede ai soggetti rientranti nella propria sfera applicativa sono strumentali alle finalita' istituzionali perseguite dal Presidente, ossia la tutela di un diritto costituzionalmente rilevante quale e' la salute dei siciliani»; «le disposizioni contenute nella ordinanza n. 75 del Presidente della regione, volte a tutelare la salute pubblica, siano assolutamente legittime e, certamente, non siano volte a violare le norme in materia di protezione dei dati personali» e «come emerge dal tenore letterale dell'articolo 3 dell'ordinanza, oggetto di verifica non e' la individuazione dei nominativi dei lavoratori pubblici non ancora vaccinati, bensi' la indicazione del "numero" dei detti dipendenti»; «l'attivita' di indagine, utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale, deve avvenite in anonimato. Cio', e' chiaro, garantisce sia i dipendenti sia l'attivita' pubblica volta a gestire l'emergenza sanitaria»; «la corretta interpretazione della Ordinanza, avvalorata dalla [successiva] circolare interpretativa, [che prevede il coinvolgimento del medico competente...] elimina in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso»; «puo' osservarsi come spetti sempre e solo al medico competente, nel rispetto della vigente normativa, valutare le condizioni di salute del dipendente e, eventualmente, comunicarle al datore di lavoro Per assumere le necessarie determinazioni (nel rispetto del CCNL e delle leggi di settore). Si pensi, a titolo meramente esemplificativo, alle c.d. fragilita' gia' evidenziate per individuare i soggetti con priorita' in sede di vaccinazione e che, ove presenti in lavoratori non vaccinati, a giudizio del medico competente potrebbero senza dubbio aumentare il rischio di salute dei medesimi ove svolgano mansioni a contatto con il pubblico»; «si vuole, cioe', tutelare la salute del lavoratore in funzione della concreta attivita' svolta la cui valutazione compete sempre e solo al medico competente [...]. E giova chiarire ulteriormente come, stante l'anonimato del dato, il datore di lavoro senza la specifica richiesta del medico competente (che valuta in concreto le condizioni di salute del dipendente) non potrebbe certamente intervenire mancando proprio la conoscenza dei lavoratori non vaccinati»; «nella prudente ponderazione degli interessi (la salute pubblica, la sicurezza dei lavoratori e la protezione dei dati), quindi, si ritiene che non potrebbe certamente escludersi che uno degli elementi incidenti oggi in modo significativo sulla salute dei dipendenti sia proprio il rischio del contagio»; «la decisione del medico, del resto, non sarebbe certamente (e non potrebbe esserlo, stante l'anonimato del dato) la conseguenza della ricognizione dei dipendenti vaccinati, bensi' frutto di eventuale visita - come avviene per verificare la sicurezza dei lavoratori - e valutazioni specifiche delle condizioni di salute rispetto alle mansioni ricoperte»; «in sintesi, dunque, non vi sarebbe alcun pregiudizio o intento "punitivo" per il dipendente non vaccinato ne', certamente, potrebbe mai ritenersi una volonta' discriminatoria. E' tuttavia vero (drammaticamente lo ricordano le migliaia di morti) che la pandemia richiede misure urgenti e straordinarie affinche' venga preservata la salute di tutti (lavoratori e non)». Piu' nel dettaglio con riguardo alla circolare (prot. [omissis] del 13 luglio 2021) interpretativa e attuativa dell'ordinanza del Presidente della regione n. 75 del 7 luglio 2021, a firma dell'assessore regionale per la salute e del dirigente generale del Dipartimento regionale attivita' sanitarie e osservatorio epidemiologico, indirizzata ai rappresentati legali delle aziende sanitarie provinciali del SSR, adottata successivamente alla richiesta di elementi dell'Autorita', emerge che: «la suddetta rilevazione dovra' avvenire in prima istanza per finalita' statistiche e ricognitive nonche' di verifica della esatta percentuale, nell'ambito del target in esame, del numero dei dipendenti che non si sono ancora sottoposti a vaccinazione (non essendo pertanto richiesta, allo stato, indicazione nominativa dei dipendenti interessati dalla ricognizione medesima)»; «si raccomanda alle AA SS PP. in indirizzo di garantire, all'atto di instaurare la necessaria interlocuzione con gli enti pubblici datoriali, l'anonimato del personale dipendente (ad esempio mediante _invio di questionari da compilare in forma anonima) senza contestualmente procedere all'acquisizione di dati sensibili»; «ulteriore attivita' demandata alle aziende sanitarie provinciali all'esito della ricognizione del numero dei dipendenti degli enti pubblici non ancora sottoposti a vaccinazione consiste nell'effettuazione - per il tramite dei datori di lavoro e, piu' in particolare, del medico competente - di un "invito" a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente, a prescindere quindi dal possesso o meno dello status di soggetto vaccinato»; «i lavoratori che all'esito dell'invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneita', da svolgersi nelle forme e secondo le modalita' previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonche' dei provvedimenti recentemente adottati in materia dal garante per la protezione dei dati personali, che si concludera' nella stesura e nel giudizio finale (di idoneita' o di inidoneita') circa lo svolgimento della specifica mansione a cui il lavoratore e' assegnato»; «il datore di lavoro, ricevuto il suddetto giudizio, attuera' le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneita' alla mansione cui e' adibito il lavoratore (cfr. articoli 41, 42 e 279 del decreto legislativo n. 81/2008 e successive modifiche ed integrazioni)»; «le determinazioni conseguenziali in ordine all'eventuale assegnazione del lavoratore ad altra mansione per effetto dell'accertata inidoneita' siccome discendente dall'omessa effettuazione del vaccino, infine, verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento».
Osserva
Per i profili di competenza dell'Autorita' si rileva in via preliminare che il garante ha recentemente chiarito che le certificazioni attestanti l'avvenuta vaccinazione (e, non diversamente la guarigione da COVID-19, o l'esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l'accesso a luoghi o servizi o per l'instaurazione o l'individuazione delle modalita' di svolgimento di rapporti giuridici se non nei limiti in cui cio' e' previsto da una norma di rango primario, nell'ambito dell'adozione delle misure di sanita' pubblica necessarie per il contenimento del virus SARS-CoV-2 (cfr. provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il «Parere sul DPCM di attuazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green pass»). L'Autorita' ha infatti piu' volte ribadito come la competenza in merito all'introduzione di misure di limitazione dei diritti e delle liberta' fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (articoli 6, paragrafo 2, e 9 del regolamento e articoli 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, considerando n. 37 del regolamento del Parlamento europeo e del Consiglio sull'EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021). Come evidenziato anche dal Presidente del garante nella audizione informale alla Camera del 6 maggio 2021, in generale, la materia risulta essere assoggettata alla riserva di legge statale (Corte costituzionale, sentenza n. 5/2018 sulle condizioni di legittimita' dell'obbligo vaccinale, nonche', sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte costituzionale, sentenza n. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte costituzionale, sentenza n. 37/2021). Al riguardo, nel provvedimento di avvertimento del n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466) il Presidente ha infatti rappresentato che la Corte costituzionale ha recentemente evidenziato che «la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell'art. 117, secondo comma, lettera q), Cost.» (Ordinanza della n. 4/2021). Il garante ha pertanto reso parere favorevole sullo schema di decreto di attuazione della disciplina in tema di certificazioni verdi a condizione che, in sede di conversione in legge del decreto-legge 22 aprile 2021, n. 52 («Misure urgenti per la graduale ripresa delle attivita' economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19»), fossero, tra l'altro, specificamente definite le finalita' del trattamento e fosse introdotta una riserva di legge statale per l'utilizzo delle certificazioni per attestare l'avvenuta vaccinazione o guarigione da COVID-19, o l'esito negativo di un test antigenico o molecolare. Al riguardo, si rappresenta che, in sede di conversione in legge del decreto-legge n. 52/2021, e' stata modificata la disciplina sulle certificazioni verdi prevedendo che le stesse possono essere utilizzate esclusivamente ai fini di cui agli articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma 2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10-bis, legge n. 87/2021). Con specifico riguardo al contesto lavorativo, il predetto decreto-legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l'attivita' lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l'avvenuta vaccinazione o il risultato negativo di un test per COVID-19 (cfr. articoli 3, 3-bis, 4, 4-bis, 5, 5-bis, 6, 6-bis, 7, 8, 8-bis, 8-ter, legge n. 87/2021). Anche in merito alla possibilita' di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all'esposizione a un maggior rischio di contagio nel contesto sanitario, l'Autorita' ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalita' (art. 6, paragrafo 3, lettera b), del regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n. 3 in materia di «Trattamento di dati relativi alla vaccinazione anti COVID-19 nel contesto lavorativo» www.gpdp.it - doc. web n. 9543615). Il legislatore e', dunque, successivamente intervenuto con il decreto-legge del 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 - Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici), il cui art. 4 ha previsto che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce «requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative». In tale quadro, con riguardo a tutte le altre categorie di lavoratori, nel rispetto della disciplina di protezione dei dati, della disciplina nazionale di settore e delle norme piu' specifiche e di maggior tutela che garantiscono la dignita' e la liberta' degli interessati sui luoghi di lavoro (art. 88 del regolamento e 113 del Codice) nonche' di quelle emanate nel contesto dell'emergenza epidemiologica in corso, il datore di lavoro non puo' trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l'intenzione di aderire o meno alla campagna vaccinale). Come recentemente ribadito dal Garante anche con provvedimenti di carattere generale e documenti di indirizzo, eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti, nel contesto lavorativo, per il tramite del medico competente, nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituisco la base giuridica (decreto legislativo 9 aprile 2008, n. 81; Provvedimento del 13 maggio 2021 - documento di indirizzo «Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali», doc. web n. 9585300 e documento «Protezione dei dati - Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale», doc. web n. 9585367). Alla luce delle considerazioni preliminari sopra riportate, si ritiene pertanto che le disposizioni di cui all'ordinanza del Presidente della Regione Siciliana del 7 luglio 2021, n. 75, presentino le seguenti criticita': 1. Inidoneita' della base giuridica. In via preliminare, si rileva che l'individuazione della avvenuta vaccinazione quale condizione per esercitare diritti e liberta' individuali o accedere agli ambienti di lavoro, non puo' essere prevista da un'ordinanza regionale, in quanto, come sopra evidenziato, la competenza circa l'introduzione di misure di sanita' pubblica che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal regolamento (art. 6, paragrafo 3, del regolamento), previa acquisizione del parere dell'Autorita'. In particolare, la predetta ordinanza presidenziale, pur alla luce delle precisazioni contenute nella circolare del 13 luglio, prot. n. [omissis], nel prevedere la generalizzata ricognizione del personale degli enti pubblici e di altri lavoratori non vaccinati e la conseguente assegnazione a differenti mansioni che non implichino il contatto con l'utenza esterna (cfr. art. 3, comma 2, cit.), introduce trattamenti di dati personali relativi allo stato vaccinale dei dipendenti che comportano limitazioni dei diritti e delle liberta' individuali, allo stato non previsti da alcuna disposizione di legge statale (cfr., Corte costituzionale, sentenza n. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte costituzionale, sentenza n. 37/2021). A tale riguardo si rappresenta che l'Ufficio, ancorche' in relazione all'uso delle certificazioni verdi, e piu' in generale dei certificati vaccinali, per finalita' ulteriori e con modalita' difformi rispetto a quelle espressamente previste dalla legge nazionale, ha ribadito alle regioni e alla Conferenza delle regioni e delle province autonome la necessita' di soprassedere dall'adottare o dal dare attuazione ad iniziative territoriali (provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per COVID-19 - 18 giugno 2021, doc. web n. 9671917; provvedimento di avvertimento alla Regione Campania in merito all'uso delle certificazioni verdi COVID-19 - del 25 maggio 2021, doc web n. 9590466). Cio' in considerazione del fatto che l'ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualita' della fonte, contenuti necessari, rispetto del principio di proporzionalita') per introdurre limitazioni ai diritti e alle liberta' individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale (art. 6, paragrafi 2 e 3, del regolamento e 2-ter e 2-sexies del Codice). Peraltro l'ordinanza n. 75 della Regione Siciliana prevede che, «tutti coloro che nell'esercizio dei propri compiti d'ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione» e che «per l'ipotesi di indisponibilita' o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l'interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l'utenza esterna» (comma 2). Tale circostanza, anche alla luce delle successive precisazioni effettuate con la circolare interpretativa sopra richiamata che prevede «l'assegnazione del lavoratore ad altra mansione per effetto dell'accertata inidoneita' siccome discendente dall'omessa effettuazione del vaccino» (cfr. circolare p. 3), introduce in realta' un requisito per lo svolgimento di determinate mansioni (quelle che implicano «il contatto diretto del lavoratore con l'utenza esterna») su base regionale e non previsto dalla legge nazionale, generando una disparita' di trattamento rispetto al personale che svolge le medesime mansioni sull'intero territorio nazionale. Come messo in evidenza anche dalla Corte di giustizia «l'esame della liceita' dei requisiti [per lo svolgimento dell'attivita' lavorativa] e della verifica del permanere nel tempo dei medesimi [...deve essere] effettuato [...] rispetto al diritto nazionale [... e non puo' essere] sottratto a un controllo giurisdizionale effettivo» (v., in tal senso, sentenza del 17 aprile 2018, Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58) atteso che la previsione di un requisito per lo svolgimento dell'attivita' lavorativa da cui far derivare una differenza di trattamento per il prestatore di lavoro (quale, come, nel caso di specie, l'adibizione a mansioni differenti) deve costituire «requisito professionale essenziale, legittimo e giustificato» rispetto alla «natura» delle attivita' di cui trattasi e al «contesto» in cui vengono espletate le sue mansioni. Pertanto, la valutazione della liceita' del trattamento di informazioni afferenti alla salute, vita privata e alle convinzioni personali, anche sotto il profilo del rispetto del principio di finalita' e proporzionalita', cosi' come pure la legittimita' delle decisioni assunte dal datore di lavoro in conseguenza di tali trattamenti, e' subordinata all'esistenza, oggettivamente verificabile, di un nesso diretto tra il requisito professionale e lo svolgimento dell'attivita' lavorativa (dovendo questo consistere in un «requisito essenziale e determinante» per lo svolgimento dell'attivita' lavorativa ed essere «necessario, a causa dell'importanza dell'attivita' professionale di cui trattasi»; punto 55). In ogni caso, «il principio della parita' di trattamento in materia di occupazione e di condizioni di lavoro [..] trova la sua fonte in diversi atti internazionali e nelle tradizioni costituzionali comuni agli Stati membri, ma ha il solo obiettivo di stabilire, in queste stesse materie, un quadro generale per la lotta alle discriminazioni fondate su diversi motivi, tra i quali la religione o le convinzioni personali» (cfr. Corte di giustizia, sentenza del 17 aprile 2018, Egenberger, C-414/16). Con specifico riguardo al trattamento dei dati della stato vaccinale, peraltro, la normativa europea in materia di certificazioni vaccinali stabilisce che «e' necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perche' non rientrano nel gruppo di destinatari per cui il vaccino anti COVID-19 e' attualmente somministrato o consentito, come i bambini, o perche' non hanno ancora avuto l'opportunita' di essere vaccinate o hanno scelto di non essere vaccinate» (cfr. considerando 36 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021). Alla luce delle considerazioni che precedono eventuali trattamenti di dati personali posti in essere dai soggetti a vario titolo indicati dall'ordinanza presidenziale n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, risultano privi di idonea base giuridica in violazione dell'art. 5, 6, 9, del regolamento e 2-ter e 2-sexies del Codice). 2. I principi applicabili al trattamento dei dati personali. In via preliminare, si rappresenta che il trattamento di dati personali previsto dalla predetta ordinanza persegue una pluralita' di finalita', non sempre chiaramente individuate, che si fondano su differenti presupposti di legittimita' e che sono perseguibili da parte di distinti titolari del trattamento. Seppur non chiaramente individuate dalla regione nel corso dell'istruttoria, dalla documentazione in atti si evince infatti che il trattamento che si intende porre in essere mira a perseguire diversi interessi e a tutelare beni giuridici distinti (es. adozione di misure di sanita' pubblica; finalita' statistiche e ricognitive nonche' di verifica della esatta percentuale, nell'ambito del target in esame, del numero dei dipendenti; sicurezza sul lavoro). Al riguardo, infatti, la disciplina in materia di protezione dei dati personali individua specifiche e autonome eccezioni al generale divieto di trattamento dei dati appartenenti alle categorie particolari, tra i quali si configurano quelli sulla salute, distinguendo anche con riguardo ai diversi presupposti di liceita', i trattamenti necessari per finalita' di salute pubblica (art. 9, paragrafo 2, lettera i), del regolamento), di medicina preventiva e del lavoro (art. 9, paragrafi 2, lettera h), e 3, del regolamento) e di ricerca scientifica a fini statistici (art. 9, paragrafo 2, lettera j), del regolamento). Nel quadro dall'ordinamento vigente, anche nel contesto eccezionale, legato all'emergenza, occorre infatti che ciascuno dei soggetti chiamati a perseguire le predette finalita' operi nell'ambito e nei limiti previsti dalla rispettiva disciplina applicabile, che ne costituisce la base giuridica, evitando la confusione di ruoli che puo' dare luogo a trattamenti illeciti di dati personali e che potrebbe determinare effetti lesivi dei diritti e delle liberta' degli interessati. Pertanto l'ordinanza n. 75 del 7 luglio 2021 non individua in modo corretto le distinte finalita' del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceita' su cui debbono fondarsi i trattamenti, nonche' le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceita', correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita (articoli 5 e 25 del regolamento). 3. Trattamenti dei dati per finalita' di sicurezza dei luoghi di lavoro. Alla luce delle precisazioni fornite dalla regione (nota del [omissis], cit.), con la circolare successivamente emanata al fine di precisare e chiarire il portato dell'ordinanza n. 75, e' stato previsto, a tutela degli interessati, il coinvolgimento del medico competente nel trattamento dei dati. In particolare, «all'esito della ricognizione del numero dei dipendenti degli enti pubblici non ancora sottoposti a vaccinazione» le aziende devono rivolgere «- per il tramite dei datori di lavoro e, piu' in particolare, del medico competente - un "invito" a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente». Successivamente «i lavoratori che all'esito dell'invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneita', da svolgersi nelle forme e secondo le modalita' previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonche' dei provvedimenti recentemente adottati in materia dal garante per la protezione dei dati personali, che si concludera' nella stesura e nel giudizio finale (di idoneita' o di inidoneita') circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato». A propria volta «il datore di lavoro, ricevuto il suddetto giudizio, attuera' le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneita' alla mansione cui e' adibito il lavoratore (cfr. artt. 41, 42 e 279 del d.lgs. n. 81/2008 e ss.mm ii.). Inoltre e' prevista l'adozione di «determinazioni consequenziali in ordine all'eventuale assegnazione del lavoratore ad altra mansione per effetto dell'accertata inidoneita' siccome discendente dall'omessa effettuazione del vaccino verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento» (cfr. circolare cit. p. 3; sul punto l'ordinanza, art. 3, comma 2, dispone infatti che «per l'ipotesi di indisponibilita' o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l'interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l'utenza esterna»). In proposito si osserva che la finalita' di sicurezza e salute sui luoghi di lavoro afferisce, tipicamente, all'adempimento degli obblighi in materia di «diritto del lavoro», che legittimano il trattamento di dati personali dei dipendenti da parte del datore di lavoro (articoli 5, 6, paragrafo 1, lettera c), 9, paragrafo 2, lettera b), e 88 del regolamento) e del medico competente (art. 9, paragrafi 2, lettera h), e 3, del regolamento; cfr. anche art. 2-sexies, comma 2, lettera u), del Codice), ciascuno nell'ambito dei differenti compiti ed entro i precisi limiti fissati dalla legge. Cio' anche nel quadro delle disposizioni nazionali piu' specifiche e di maggior tutela che garantiscono la dignita' e la liberta' del dipendente nel contesto lavorativo (articoli 88 del regolamento e 113 del Codice; cfr., con riguardo al l tradizionale riparto di competenze tra il medico competente e il datore di lavoro, «Protezione dei dati: il ruolo del "medico competente" in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale», doc. web n. 9585367). In tale quadro, le finalita' e le operazioni del trattamento che devono essere poste in essere dal medico competente sono determinate esclusivamente dalla legge. In particolare le norme nazionali di settore in materia di tutela della salute e di sicurezza dei luoghi lavoro assegnano specifici compiti e responsabilita' al medico competente e costituiscono la base giuridica dei relativi trattamenti dei dati personali di cui specificano anche le modalita' (decreto legislativo n. 81/2008). Il professionista sanitario deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l'attivita' diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Per tali ragioni nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l'attivita' di sorveglianza sanitaria dei singoli lavoratori, il medico competente e', per legge, l'unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro. Ne' le sue valutazioni possono, per definizione, risentire o essere condizionate da terzi ovvero dalle scelte organizzative e gestionali dell'ente/datore di lavoro (ancorche' in quella struttura organizzativa tale figura sia funzionalmente inserita), rispetto al quale deve, al contrario, mantenere autonomia e terzieta' (art. 39 del decreto legislativo n. 81/2008). In tale contesto, quindi, il trattamento dei dati personali anche relativi alla vaccinazione dei dipendenti, come precisato in recenti occasioni dal garante, puo' certamente essere effettuato dal solo del medico competente (art. 9, paragrafi 2, lettera h), e 3. del regolamento; cfr. anche art. 2-sexies, comma 2, lettera u), del Codice), stante gli specifici limiti per il trattamento di tali dati da parte del datore di lavoro, ma cio' deve comunque avvenire nei limiti e alle condizioni stabilite dalla richiamata disciplina di settore in materia di sicurezza sul lavoro. In base a tale quadro normativo, il medico competente nell'ambito dei compiti di sorveglianza sanitaria che la legge gli attribuisce in via esclusiva (il medico «programma e effettuata la sorveglianza sanitaria»; «la sorveglianza sanitaria e' effettuata dal medico competente»), e' l'unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l'idoneita' alla «mansione specifica» (articoli 25, 39, comma 5, e 41, comma 4, del decreto legislativo n. 81/2008), potendo, «in funzione della valutazione del rischio» e delle «condizioni di salute» dei lavoratori, ovvero su richiesta del lavoratore in presenza di proprie specifiche o sopravvenute condizioni di salute, stabilire caso per caso se ricorrono i presupposti e la necessita' di sottoporre i lavoratori a ulteriori visite straordinarie e/o a indagini diagnostiche (art. 41, commi 2 e 4, decreto legislativo n. 81/2008). Cio' in quanto il medico, anche nel periodo emergenziale in corso, non tratta i dati per conto o in base alle istruzioni e indicazioni di altri soggetti (enti pubblici, autorita' sanitarie, datori di lavoro) ma in qualita' di titolare del trattamento (articoli 4, n. 7, e 24 del regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR), nel quadro di specifiche diposizioni di legge finalizzate anzitutto al perseguimento della tutela della salute nei luoghi di lavoro e della collettivita' (cfr., v., in particolare Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus COVID-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020, aggiornato il 6 aprile 2021 il cui contenuto e' vincolante per i datori di lavoro pubblici e privati; circolare del Ministero della salute del 29 aprile 2020, n. 0014915, recante «Indicazioni operative relative alle attivita' del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettivita'»). Per tali ragioni la previsione attraverso l'ordinanza presidenziale in esame di dar corso a una ricognizione generalizzata del numero di dipendenti non vaccinati e l'indiscriminata effettuazione di visite straordinarie in favore di tutti i dipendenti che si presentino «spontaneamente» dinanzi al medico competente dopo essere stati «formalmente invitati per il tramite dei datori di lavoro a ricevere la vaccinazione» (art. 3 ordinanza cit.; ovvero dai datori di lavoro «per il tramite del medico competente» cfr. circolare, cit.), e dunque a prescindere dalle specifiche valutazioni del professionista sulla base del documento di valutazione dei rischi e di eventuali peculiari o sopravvenute condizioni di salute del singolo lavoratore, non risulta conforme al quadro normativo sopra descritto (art. 41 del decreto legislativo n. 81/2008). Non sussistono, inoltre, i presupposti per un ricorso in modo generalizzato e preventivo alla sorveglianza sanitaria eccezionale prevista nel periodo dell'emergenza con esclusivo riguardo ai lavoratori «fragili» in quanto esposti a maggiori rischi, individuati dalle norme di settore nell'eta' o in pregressi o sopravvenuti stati morbosi (cfr., art. 83 del decreto-Legge 19 maggio 2020, n. 34, convertito con modificazioni dalla legge 17 luglio 2020, n. 77; v. anche circolare Ministero del lavoro e delle politiche sociali e del Ministero della salute n. 28877 del 4 settembre 2020-DGPREDGPRE-P - Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai lavoratori «fragili»). In ogni caso, come chiarito dal garante, il medico che nell'ambito della sorveglianza sanitaria venga a conoscenza di dati relativi alla avvenuta o meno vaccinazione dei dipendenti puo', considerata la specificita' del contesto lavorativo, delle condizioni cliniche del singolo lavoratore nonche' delle indicazioni fornite dalle autorita' sanitarie anche in merito alla efficacia e affidabilita' medico-scientifica del vaccino, valutare «se del caso, tenerne conto in sede di valutazione dell'idoneita' alla mansione specifica» del singolo lavoratore (cfr., FAQ in materia di «Trattamento di dati relativi alla vaccinazione anti COVID-19 nel contesto lavorativo» www.gpdp.it - doc. web n. 9543615). Anche con riguardo a tale profilo, la procedura introdotta dalla regione con la predetta ordinanza che prevede che l'adozione di «determinazioni consequenziali in ordine all'eventuale assegnazione del lavoratore ad altra mansione per effetto dell'accertata inidoneita' siccome discendente dall'omessa effettuazione del vaccino» (cfr. circolare p. 3; e ordinanza), non appare conforme al quadro normativo in materia di protezione dei dati, alla disciplina in materia di sicurezza dei luoghi di lavoro nonche' alle disposizioni introdotte nel periodo dell'emergenza epidemiologica in corso, comportando trattamenti in violazione degli articoli 5, 6, 9 del regolamento e 2-ter e 2-sexies del Codice. 4. I trattamenti di dati da parte dei datori di lavoro. L'ordinanza n. 75, anche a seguito delle precisazioni effettuate con la successiva circolare, non chiarisce inoltre il ruolo e le finalita' del trattamento dei dati effettuati dal datore di lavoro, prevedendo che le aziende sanitarie pongano in essere un interpello nei confronti di tutti gli enti pubblici operanti nel territorio della Regione Siciliana funzionale alla «ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione» e che tale attivita' di indagine, «utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale», debba avvenire assicurando la «gestione anonima» dei dati (cfr. nota del 14 luglio cit.). Tuttavia ne' l'ordinanza ne' la circolare chiariscono quali specifiche misure tecniche e organizzative debbano essere adottate affinche', in ragione della particolare delicatezza delle informazioni trattate e degli elevati rischi e delle possibili conseguenze, anche indirette, per gli interessati nel contesto lavorativo e professionale (cfr., con riguardo alla «vulnerabilita'» degli interessati nel contesto lavorativo, cfr. articoli 35 e 88, paragrafo 2, del regolamento e «Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonche' i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679», WP 248 del 4 aprile 2017), le aziende sanitarie e i datori di lavoro possano assicurare in tutte le fasi del trattamento e fin dal momento «la necessaria interlocuzione con gli enti pubblici datoriali, l'anonimato del personale dipendente», essendo particolarmente generico il mero riferimento in via esemplificativa all'«_invio di questionari da compilare in forma anonima» (cfr. circolare, cit.). Non e', inoltre, specificato con quali modalita' e garanzie il datore di lavoro possa acquisire nell'ambito della propria struttura organizzativa il solo dato numerico relativo ai dipendenti non vaccinati, con la conseguenza che le decisioni e le scelte organizzative e tecniche in proposito - che possono comportare trattamenti di dati personali non conformi alla disciplina di protezione dei dati e/o incidere anche sul livello di sicurezza e integrita' dei dati trattati (art. 5, paragrafo 1, lettera f), e 32 del regolamento) - siano rimesse alle valutazioni di volta in volta, assunte da singoli datori di lavoro. Si aggiunga, peraltro, che la prospettata raccolta e comunicazione di dati numerici e non nominativi da parte dei datori di lavoro puo', specie nei contesti lavorativi di piccole dimensioni, consentire di identificare, anche indirettamente, gli interessati, anche in ragione della disponibilita' di ulteriori informazioni, quali il profilo professionale, l'unita' produttiva e il comprensorio territoriale. I datori di lavoro posso legittimamente trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, paragrafo 1, del regolamento), dei dipendenti se il trattamento e' necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale e comunitaria (articoli 6, paragrafo 1, lettera c), 9, paragrafi 2, lettera b), e 4, e 88 del regolamento). Ad eccezione, pertanto, di quanto previsto per la vaccinazione quale requisito professionale per il personale sanitario, il trattamento da parte del datore di lavoro di dati relativi allo stato vaccinale dei dipendenti non e' previsto da alcuna disposizione di legge (articoli 5, paragrafo 1, lettera a), nonche' 9, paragrafo 2, lettera b), del regolamento). Pertanto, nell'ambito delle procedure previste dalla predetta ordinanza, il trattamento da parte dei datori di lavoro di informazioni, che consentano anche indirettamente l'identificazione degli interessati, possono determinare trattamenti di dati personali privi di idonea base giuridica e porsi in contrasto, in talune circostanze, con le disposizioni dell'ordinamento che vietano al datore di lavoro di conoscere informazioni attinenti alla salute e alla sfera privata del lavoratore (art. 88 del regolamento, art. 113 del Codice in relazione all'art. 8 della legge 20 maggio 1970, n. 300 e all'art. 10 del decreto legislativo 10 settembre 2003, n. 276; cfr. Corte di giustizia, Grande Sezione, sentenza 11 settembre 2018, causa C-68/17). Tali norme, volte a prevenire effetti discriminatori nel contesto lavorativo, costituiscono nell'ordinamento interno quelle disposizioni piu' specifiche e di maggiore garanzia di cui all'art. 88 del regolamento la cui osservanza costituisce una condizione di liceita' del trattamento e la cui violazione - analogamente alle specifiche situazioni di trattamento del capo IX del regolamento - determina anche l'applicazione di sanzioni amministrative pecuniarie ai sensi dell'art. 83, paragrafo 5, lettera d), del regolamento (cfr., da ultimo, con specifico riguardo alla violazione dell'art. 113 del Codice nell'ambito lavorativo pubblico, provv. n. 190 del 13 maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della Corte europea dei diritti dell'uomo, nel caso Antovic e Mirković v. Montenegro, Application n. 70838/13 del 28 novembre 2017, che ha stabilito che il rispetto della «vita privata» deve essere esteso anche ai luoghi di lavoro pubblici, richiamando il rispetto delle garanzie previste dalla legge nazionale applicabile).
Ritenuto
alla luce delle rilevanti criticita' sopra illustrate, che quanto previsto dall'ordinanza presidenziale della Regione Siciliana n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, non risulta conforme alla disciplina in materia di protezione dei dati personali in quanto: individua misure per la prevenzione e gestione dell'emergenza epidemiologica da COVID-19 che prevedono il trattamento di informazioni personali, relative alla salute degli interessati, e incidono sui diritti e liberta' degli stessi che possono essere introdotte solo da una norma del diritto dell'Unione o nazionale di rango primario che abbia le caratteristiche richieste dal regolamento e previa acquisizione del parere dell'Autorita'; introduce trattamenti preventivi e generalizzati di dati relativi allo stato vaccinale dei dipendenti, non previsti da alcuna disposizione di legge statale e comunque non conformi alle disposizioni di settore, in violazione dei principi di protezione dei dati e senza prevedere misure adeguate a garantire la protezione dei dati in ogni fase del trattamento (artt. 5, 6, 9, 25 e 32 del regolamento e articoli 2-ter e 2-sexies del Codice); introduce trattamenti che, in assenza di specifiche e adeguate misure tecniche e organizzative, possono comportare la violazione da parte dei datori di lavoro della disciplina nazionale piu' specifiche e di maggiore garanzia a tutela della dignita' degli interessati nei luoghi di lavoro (art. 88 del regolamento, art. 113 del Codice in riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e all'art. 10 del decreto legislativo 10 settembre 2003, n. 276). Considerato che il regolamento attribuisce al garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento (art. 58, paragrafo 2, lettera a)) e che ricorre l'esigenza di intervenire tempestivamente al fine di tutelare i diritti e le liberta' degli interessati prima che le richiamate violazioni producano effetti. Considerato quindi che risulta necessario avvertire la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) del fatto che i trattamenti di dati personali di cui all'ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, in assenza di interventi correttivi, possono violare le disposizioni in materia di protezione dei dati personali di cui agli articoli 5, 6, 9, 25, 32 e 88 del regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e all'art. 10 del decreto legislativo 10 settembre 2003, n. 276). Ritenuto inoltre di comunicare il presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle regioni e delle province autonome, per le valutazioni di competenza anche al fine di segnalare alle regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.
Tutto cio' premesso, il garante
a) ai sensi dell'art. 58, par 2, lettera a), del regolamento avverte la Regione Siciliana (C.F. 80012000826) e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell'ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni in materia di protezione dei dati personali di cui agli articoli 5, 6, 9, 25, 32 e 88 del regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e all'art. 10 del decreto legislativo 10 settembre 2003, n. 276. b) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle regioni e delle province autonome per le valutazioni di competenza; c) ai sensi dell'art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana. Roma, 22 luglio 2021
Il Presidente e relatore: Stanzione Il segretario generale: Mattei |