Garante per la Protezione dei Dati Personali
Provvedimento del 22 luglio 2021 [9683814]
Registro dei provvedimenti n. 273 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI


NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Decreto Legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro;
VISTO Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha aggiornato il protocollo del 24 aprile 2020;
VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da Covid-19”;
VISTO il Decreto del Presidente del Consiglio Dei Ministri del 17 giugno 2021 “Disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19”;
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
 

PREMESSO

Con l’ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale “Ulteriori misure per l’emergenza epidemiologica da Covid-19”, “al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” e “tenuto conto del rischio di diffusione del virus nella variante comunemente nota come “Delta”.
Nella predetta ordinanza, il Presidente della Regione Siciliana prevede che sia disposta, una “ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990”, disponendo, in particolare, all’art. 3 che:
- “le AA.SS.PP. provvedono, mediante apposito interpello a tutti gli Enti pubblici operanti nel territorio della Regione Siciliana, alla ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione” (comma 1);
- all’esito di tale ricognizione […] tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” (comma 2);
- “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2);
- analoga attività ricognitiva debba essere effettuata “con riferimento al personale preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonché agli autotrasportatori e al personale delle imprese che assicurano la continuità della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto” (comma 1).
A seguito di richiesta di informazioni da parte di questa Autorità, con nota prot. n. XX del XX, la Regione Siciliana ha specificato che:
- “l’Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 è stata emanata dal Presidente della Regione sia in qualità di Autorità sanitaria regionale – ai sensi della legge n. 833/1978 - sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei Ministri relativo alla pandemia da Covid-19 (Ordinanza del Capo della Protezione civile n. 630/2020)”;
- “si tratta, quindi, dell'esercizio di poteri riconosciuti per legge e volti ad intervenire con urgenza per contrastare l’evolversi (e, oggi, l’acuirsi) della pandemia. Impregiudicate, pertanto, le specifiche disposizioni contenute nelle rispettive discipline di settore, le attività giuridiche e materiali (incluse quelle relative al trattamento di dati) che il provvedimento richiede ai soggetti rientranti nella propria sfera applicativa sono strumentali alle finalità istituzionali perseguite dal Presidente, ossia la tutela di un diritto costituzionalmente rilevante quale è la salute dei siciliani”;
- “le disposizioni contenute nella Ordinanza n. 75 del Presidente della Regione, volte a tutelare la salute pubblica, siano assolutamente legittime e, certamente, non siano volte a violare le norme in materia di protezione dei dati personali” e “come emerge dal tenore letterale dell’articolo 3 dell’Ordinanza, oggetto di verifica non è la individuazione dei nominativi dei lavoratori pubblici non ancora vaccinati, bensì la indicazione del “numero” dei detti dipendenti”;
- “l‘attività di indagine, utile ai fini della Programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale, deve avvenite in anonimato. Ciò, è chiaro, garantisce sia i dipendenti sia l’attività pubblica volta a gestire l’emergenza sanitaria”;
- “la corretta interpretazione della Ordinanza, avvalorata dalla [successiva] Circolare interpretativa, [che prevede il coinvolgimento del medico competente…] elimina in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso”;
- “può osservarsi come spetti sempre e solo al medico competente, nel rispetto della vigente normativa, valutare le condizioni di salute del dipendente e, eventualmente, comunicarle al datore di lavoro Per assumere le necessarie determinazioni (nel rispetto del CCNL e delle leggi di settore). Si pensi, a titolo meramente esemplificativo, alle c.d. fragilità già evidenziate per individuare i soggetti con priorità in sede di vaccinazione e che, ove presenti in lavoratori non vaccinati, a giudizio del medico competente potrebbero senza dubbio aumentare il rischio di salute dei medesimi ove svolgano mansioni a contatto con il pubblico”;
- “si vuole, cioè, tutelare la salute del lavoratore in funzione della concreta attività svolta la cui valutazione compete sempre e solo al medico competente […]. E giova chiarire ulteriormente come, stante l’anonimato del dato, il datore di lavoro senza la specifica richiesta del medico competente (che valuta in concreto le condizioni di salute del dipendente) non potrebbe certamente intervenire mancando proprio la conoscenza dei lavoratori non vaccinati”;
- “nella prudente ponderazione degli interessi (la salute pubblica, la sicurezza dei lavoratori e la protezione dei dati), quindi, si ritiene che non potrebbe certamente escludersi che uno degli elementi incidenti oggi in modo significativo sulla salute dei dipendenti sia proprio il rischio del contagio”;
- “la decisione del medico, del resto, non sarebbe certamente (e non potrebbe esserlo, stante l’anonimato del dato) la conseguenza della ricognizione dei dipendenti vaccinati, bensì frutto di eventuale visita - come avviene per verificare la sicurezza dei lavoratori - e valutazioni specifiche delle condizioni di salute rispetto alle mansioni ricoperte”;
- “in sintesi, dunque, non vi sarebbe alcun pregiudizio o intento “punitivo” per il dipendente non vaccinato né, certamente, potrebbe mai ritenersi una volontà discriminatoria. É tuttavia vero (drammaticamente lo ricordano le migliaia di morti) che la pandemia richiede misure urgenti e straordinarie affinché venga preservata la salute di tutti (lavoratori e non)”.
Più nel dettaglio con riguardo alla circolare (prot. XX del 13 luglio 2021) interpretativa e attuativa dell’ordinanza del Presidente della Regione n. 75 del 7 luglio 2021, a firma dell’Assessore regionale per la Salute e del Dirigente generale del Dipartimento regionale Attività sanitarie e Osservatorio epidemiologico, indirizzata ai rappresentati legali delle Aziende sanitarie provinciali del SSR, adottata successivamente alla richiesta di elementi dell’Autorità, emerge che:
- “la suddetta rilevazione dovrà avvenire in prima istanza per finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti che non si sono ancora sottoposti a vaccinazione (non essendo pertanto richiesta, allo stato, indicazione nominativa dei dipendenti interessati dalla ricognizione medesima)”;
- “si raccomanda alle AA SS PP. in indirizzo di garantire, all’atto di instaurare la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente (ad esempio mediante invio di questionari da compilare in forma anonima) senza contestualmente procedere all'acquisizione di dati sensibili”;
- “ulteriore attività demandata alle Aziende Sanitarie Provinciali all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione consiste nell'effettuazione - per il tramite dei datori di lavoro e, più in particolare, del medico competente - di un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente, a prescindere quindi dal possesso o meno dello status di soggetto vaccinato”;
- “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”;
- “il datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D.lgs. n. 81/2008 e ss.mm ii.)”;
- “le determinazioni conseguenziali in ordine all'eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall'omessa effettuazione del vaccino, infine, verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento”.
 

OSSERVA

Per i profili di competenza dell’Autorità si rileva in via preliminare che il Garante ha recentemente chiarito che le certificazioni attestanti l’avvenuta vaccinazione (e, non diversamente la guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2 (cfr. Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il “Parere sul DPCM di attuazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green Pass”).
L’Autorità ha infatti più volte ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021).
Come evidenziato anche dal Presidente del Garante nella audizione informale alla Camera del 6 maggio 2021, in generale, la materia risulta essere assoggettata alla riserva di legge statale (Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21). Al riguardo, nel provvedimento di avvertimento del n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466) il Presidente ha infatti rappresentato che la Corte Costituzionale ha recentemente evidenziato che “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21).
Il Garante ha pertanto reso parere favorevole sullo schema di decreto di attuazione della disciplina in tema di certificazioni verdi a condizione che, in sede di conversione in legge del d.l. 22 aprile 2021, n. 52 (“Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19”), fossero, tra l’altro, specificamente definite le finalità del trattamento e fosse introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare. Al riguardo, si rappresenta che, in sede di conversione in legge del d.l. n. 52/2021, è stata modificata la disciplina sulle certificazioni verdi prevedendo che le stesse possono essere utilizzate esclusivamente ai fini di cui agli artt. 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma 2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10 bis, legge n. 87/2021).
Con specifico riguardo al contesto lavorativo, il predetto decreto legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l’attività lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l’avvenuta vaccinazione o il risultato negativo di un test per Covid-19 (cfr. artt. 3, 3 bis, 4, 4 bis, 5, 5 bis, 6, 6 bis, 7, 8, 8 bis, 8 ter, legge n. 87/2021).
Anche in merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, l’Autorità ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n.3 in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it - doc. web n. 9543615).
Il legislatore è, dunque, successivamente intervenuto con il decreto legge del 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 - Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici), il cui articolo 4 ha previsto che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative”.
In tale quadro, con riguardo a tutte le altre categorie di lavoratori, nel rispetto della disciplina di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché di quelle emanate nel contesto dell’emergenza epidemiologica in corso, il datore di lavoro non può trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l’intenzione di aderire o meno alla campagna vaccinale). Come recentemente ribadito dal Garante anche con provvedimenti di carattere generale e documenti di indirizzo, eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti, nel contesto lavorativo, per il tramite del medico competente, nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituisco la base giuridica (d.lgs. 9 aprile 2008 n. 81; Provvedimento del 13 maggio 2021 - documento di indirizzo "Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali", doc. web n. 9585300 e documento “Protezione dei dati - Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).
Alla luce delle considerazioni preliminari sopra riportate, si ritiene pertanto che le disposizioni di cui all’ordinanza del Presidente della Regione Siciliana del 7 luglio 2021, n.75, presentino le seguenti criticità:

1. Inidoneità della base giuridica.
In via preliminare, si rileva che l’individuazione della avvenuta vaccinazione quale condizione per esercitare diritti e libertà individuali o accedere agli ambienti di lavoro, non può essere prevista da un’ordinanza regionale, in quanto, come sopra evidenziato, la competenza circa l’introduzione di misure di sanità pubblica che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal Regolamento (art. 6, par. 3, del Regolamento), previa acquisizione del parere dell’Autorità.
In particolare, la predetta ordinanza presidenziale, pur alla luce delle precisazioni contenute nella circolare del 13 luglio, prot. n. XX, nel prevedere la generalizzata ricognizione del personale degli enti pubblici e di altri lavoratori non vaccinati e la conseguente assegnazione a differenti mansioni che non implichino il contatto con l’utenza esterna (cfr. art. 3, comma 2, cit.), introduce trattamenti di dati personali relativi allo stato vaccinale dei dipendenti che comportano limitazioni dei diritti e delle libertà individuali, allo stato non previsti da alcuna disposizione di legge statale (cfr., Corte cost., sent. n. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. n. 37/21).
A tale riguardo si rappresenta che l’Ufficio, ancorché in relazione all’uso delle certificazioni verdi, e più in generale dei certificati vaccinali, per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale, ha ribadito alle regioni e alla Conferenza delle Regioni e delle Province autonome la necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali (Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19 - 18 giugno 2021, doc. web n. 9671917; Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19 - del 25 maggio 2021, doc web n. 9590466). Ciò in considerazione del fatto che l’ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualità della fonte, contenuti necessari, rispetto del principio di proporzionalità) per introdurre limitazioni ai diritti e alle libertà individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale (art. 6, parr. 2 e 3, del Regolamento e 2-ter e 2-sexies del Codice).
Peraltro l’ordinanza n. 75 della Regione Siciliana prevede che, “tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” e che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2). Tale circostanza, anche alla luce delle successive precisazioni effettuate con la circolare interpretativa sopra richiamata che prevede “l’assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall'omessa effettuazione del vaccino” (cfr. circolare p. 3), introduce in realtà un requisito per lo svolgimento di determinate mansioni (quelle che implicano “il contatto diretto del lavoratore con l’utenza esterna”) su base regionale e non previsto dalla legge nazionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
Come messo in evidenza anche dalla Corte di Giustizia “l'esame della liceità dei requisiti [per lo svolgimento dell’attività lavorativa] e della verifica del permanere nel tempo dei medesimi […deve essere] effettuato […] rispetto al diritto nazionale [… e non può essere] sottratto a un controllo giurisdizionale effettivo” (v., in tal senso, sentenza del 17 aprile 2018, Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58) atteso che la previsione di un requisito per lo svolgimento dell'attività lavorativa da cui far derivare una differenza di trattamento per il prestatore di lavoro (quale, come, nel caso di specie, l’adibizione a mansioni differenti) deve costituire “requisito professionale essenziale, legittimo e giustificato” rispetto alla “natura” delle attività di cui trattasi e al “contesto” in cui vengono espletate le sue mansioni.
Pertanto, la valutazione della liceità del trattamento di informazioni afferenti alla salute, vita privata e alle convinzioni personali, anche sotto il profilo del rispetto del principio di finalità e proporzionalità, così come pure la legittimità delle decisioni assunte dal datore di lavoro in conseguenza di tali trattamenti, è subordinata all'esistenza, oggettivamente verificabile, di un nesso diretto tra il requisito professionale e lo svolgimento dell'attività lavorativa (dovendo questo consistere in un “requisito essenziale e determinante” per lo svolgimento dell'attività lavorativa ed essere “necessario, a causa dell'importanza dell'attività professionale di cui trattasi”; punto 55). In ogni caso, “il principio della parità di trattamento in materia di occupazione e di condizioni di lavoro [..] trova la sua fonte in diversi atti internazionali e nelle tradizioni costituzionali comuni agli Stati membri, ma ha il solo obiettivo di stabilire, in queste stesse materie, un quadro generale per la lotta alle discriminazioni fondate su diversi motivi, tra i quali la religione o le convinzioni personali” (cfr. Corte di Giustizia, sentenza del 17 aprile 2018, Egenberger, C-414/16).
Con specifico riguardo al trattamento dei dati della stato vaccinale, peraltro, la normativa europea in materia di certificazioni vaccinali stabilisce che “è necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perché non rientrano nel gruppo di destinatari per cui il vaccino anti COVID-19 è attualmente somministrato o consentito, come i bambini, o perché non hanno ancora avuto l'opportunità di essere vaccinate o hanno scelto di non essere vaccinate” (cfr. considerando 36 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021).
Alla luce delle considerazioni che precedono eventuali trattamenti di dati personali posti in essere dai soggetti a vario titolo indicati dall’ordinanza presidenziale n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, risultano privi di idonea base giuridica in violazione dell’art. 5, 6, 9, del Regolamento e 2-ter e 2-sexies del Codice).

2. I principi applicabili al trattamento dei dati personali.
In via preliminare, si rappresenta che il trattamento di dati personali previsto dalla predetta ordinanza persegue una pluralità di finalità, non sempre chiaramente individuate, che si fondano su differenti presupposti di legittimità e che sono perseguibili da parte di distinti titolari del trattamento.
Seppur non chiaramente individuate dalla Regione nel corso dell’istruttoria, dalla documentazione in atti si evince infatti che il trattamento che si intende porre in essere mira a perseguire diversi interessi e a tutelare beni giuridici distinti (es. adozione di misure di sanità pubblica; finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti; sicurezza sul lavoro).
Al riguardo, infatti, la disciplina in materia di protezione dei dati personali individua specifiche e autonome eccezioni al generale divieto di trattamento dei dati appartenenti alle categorie particolari, tra i quali si configurano quelli sulla salute, distinguendo anche con riguardo ai diversi presupposti di liceità, i trattamenti necessari per finalità di salute pubblica (art. 9, par. 2, lett. i), del Regolamento), di medicina preventiva e del lavoro (art. 9, parr. 2, lett. h), e 3, del Regolamento) e di ricerca scientifica a fini statistici (art. 9, par. 2, lett. j), del Regolamento).
Nel quadro dall’ordinamento vigente, anche nel contesto eccezionale, legato all’emergenza, occorre infatti che ciascuno dei soggetti chiamati a perseguire le predette finalità operi nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile, che ne costituisce la base giuridica, evitando la confusione di ruoli che può dare luogo a trattamenti illeciti di dati personali e che potrebbe determinare effetti lesivi dei diritti e delle libertà degli interessati.
Pertanto l’ordinanza n 75 del 7 luglio 2021 non individua in modo corretto le distinte finalità del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceità su cui debbono fondarsi i trattamenti, nonché le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceità, correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5 e 25 del Regolamento).

3. Trattamenti dei dati per finalità di sicurezza dei luoghi di lavoro.
Alla luce delle precisazioni fornite dalla Regione (nota del XX, cit.), con la circolare successivamente emanata al fine di precisare e chiarire il portato dell’ordinanza n.75, è stato previsto, a tutela degli interessati, il coinvolgimento del medico competente nel trattamento dei dati.
In particolare, “all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione” le aziende devono rivolgere “- per il tramite dei datori di lavoro e, più in particolare, del medico competente - un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente”. Successivamente “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”. A propria volta “i1 datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D.lgs. n. 81/2008 e ss.mm ii.). Inoltre è prevista l’adozione di “determinazioni consequenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall'omessa effettuazione del vaccino verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento” (cfr. circolare cit. p. 3; sul punto l’ordinanza, art. 3, comma 2, dispone infatti che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna”).
In proposito si osserva che la finalità di sicurezza e salute sui luoghi di lavoro afferisce, tipicamente, all’adempimento degli obblighi in materia di “diritto del lavoro”, che legittimano il trattamento di dati personali dei dipendenti da parte del datore di lavoro (artt. 5, 6, par. 1, lett. c), 9, par. 2, lett. b), e 88 Regolamento) e del medico competente (art. 9, parr. 2, lett. h), e 3, del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), ciascuno nell’ambito dei differenti compiti ed entro i precisi limiti fissati dalla legge. Ciò anche nel quadro delle disposizioni nazionali più specifiche e di maggior tutela che garantiscono la dignità e la libertà del dipendente nel contesto lavorativo (artt. 88 del Regolamento e 113 del Codice; cfr., con riguardo al l tradizionale riparto di competenze tra il medico competente e il datore di lavoro, “Protezione dei dati: il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).
In tale quadro, le finalità e le operazioni del trattamento che devono essere poste in essere dal medico competente sono determinate esclusivamente dalla legge. In particolare le norme nazionali di settore in materia di tutela della salute e di sicurezza dei luoghi lavoro assegnano specifici compiti e responsabilità al medico competente e costituiscono la base giuridica dei relativi trattamenti dei dati personali di cui specificano anche le modalità (d.lgs. n. 81/2008).
Il professionista sanitario deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Per tali ragioni nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l’attività di sorveglianza sanitaria dei singoli lavoratori, il medico competente è, per legge, l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro. Né le sue valutazioni possono, per definizione, risentire o essere condizionate da terzi ovvero dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita), rispetto al quale deve, al contrario, mantenere autonomia e terzietà (art. 39 d.lgs. n. 81/2008).
In tale contesto, quindi, il trattamento dei dati personali anche relativi alla vaccinazione dei dipendenti, come precisato in recenti occasioni dal Garante, può certamente essere effettuato dal solo del medico competente (art. 9, parr. 2, lett. h), e 3. del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), stante gli specifici limiti per il trattamento di tali dati da parte del datore di lavoro, ma ciò deve comunque avvenire nei limiti e alle condizioni stabilite dalla richiamata disciplina di settore in materia di sicurezza sul lavoro.
In base a tale quadro normativo, il medico competente nell’ambito dei compiti di sorveglianza sanitaria che la legge gli attribuisce in via esclusiva (il medico “programma e effettuata la sorveglianza sanitaria”; “la sorveglianza sanitaria è effettuata dal medico competente”), è l’unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, del d.lgs. n. 81/2008), potendo, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, ovvero su richiesta del lavoratore in presenza di proprie specifiche o sopravvenute condizioni di salute, stabilire caso per caso se ricorrono i presupposti e la necessità di sottoporre i lavoratori a ulteriori visite straordinarie e/o a indagini diagnostiche (art. 41, commi 2 e 4, d.lgs. n. 81/2008).
Ciò in quanto il medico, anche nel periodo emergenziale in corso, non tratta i dati per conto o in base alle istruzioni e indicazioni di altri soggetti (enti pubblici, autorità sanitarie, datori di lavoro) ma in qualità di titolare del trattamento (artt. 4, n. 7, e 24 del Regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR), nel quadro di specifiche diposizioni di legge finalizzate anzitutto al perseguimento della tutela della salute nei luoghi di lavoro e della collettività (cfr., v., in particolare Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020, aggiornato il 6 aprile 2021 il cui contenuto è vincolante per i datori di lavoro pubblici e privati; Circolare del Ministero della Salute del 29 aprile 2020, n. 0014915, recante “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività”).
Per tali ragioni la previsione attraverso l’ordinanza presidenziale in esame di dar corso a una ricognizione generalizzata del numero di dipendenti non vaccinati e l’indiscriminata effettuazione di visite straordinarie in favore di tutti i dipendenti che si presentino “spontaneamente” dinanzi al medico competente dopo essere stati “formalmente invitati per il tramite dei datori di lavoro a ricevere la vaccinazione” (art. 3 ordinanza cit. ; ovvero dai datori di lavoro “per il tramite del medico competente” cfr. circolare, cit.), e dunque a prescindere dalle specifiche valutazioni del professionista sulla base del documento di valutazione dei rischi e di eventuali peculiari o sopravvenute condizioni di salute del singolo lavoratore, non risulta conforme al quadro normativo sopra descritto (art. 41 d.lgs. n. 81/2008).
Non sussistono, inoltre, i presupposti per un ricorso in modo generalizzato e preventivo alla sorveglianza sanitaria eccezionale prevista nel periodo dell’emergenza con esclusivo riguardo ai lavoratori “fragili” in quanto esposti a maggiori rischi, individuati dalle norme di settore nell’età o in pregressi o sopravvenuti stati morbosi (cfr., art. 83 del Decreto-Legge 19 maggio 2020, n. 34, convertito con modificazioni dalla l. 17 luglio 2020, n. 77; v. anche Circolare Ministero del lavoro e delle politiche sociali e del Ministero della salute n. 28877 del 04 settembre 2020-DGPREDGPRE-P -Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai lavoratori “fragili”).
In ogni caso, come chiarito dal Garante, il medico che nell’ambito della sorveglianza sanitaria venga a conoscenza di dati relativi alla avvenuta o meno vaccinazione dei dipendenti può, considerata la specificità del contesto lavorativo, delle condizioni cliniche del singolo lavoratore nonché delle indicazioni fornite dalle autorità sanitarie anche in merito alla efficacia e affidabilità medico-scientifica del vaccino, valutare “se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica” del singolo lavoratore (cfr., FAQ in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it - doc. web n. 9543615).
Anche con riguardo a tale profilo, la procedura introdotta dalla Regione con la predetta ordinanza che prevede che l’adozione di “determinazioni consequenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall'omessa effettuazione del vaccino” (cfr. circolare p. 3; e ordinanza), non appare conforme al quadro normativo in materia di protezione dei dati, alla disciplina in materia di sicurezza dei luoghi di lavoro nonché alle disposizioni introdotte nel periodo dell’emergenza epidemiologica in corso, comportando trattamenti in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. I trattamenti di dati da parte dei datori di lavoro.
L’ordinanza n. 75, anche a seguito delle precisazioni effettuate con la successiva circolare, non chiarisce inoltre il ruolo e le finalità del trattamento dei dati effettuati dal datore di lavoro, prevedendo che le aziende sanitarie pongano in essere un interpello nei confronti di tutti gli Enti pubblici operanti nel territorio della Regione Siciliana funzionale alla “ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione “ e che tale attività di indagine, “utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale”, debba avvenire assicurando la “gestione anonima” dei dati (cfr. nota del XX cit.).
Tuttavia né l’ordinanza né la circolare chiariscono quali specifiche misure tecniche e organizzative debbano essere adottate affinché, in ragione della particolare delicatezza delle informazioni trattate e degli elevati rischi e delle possibili conseguenze, anche indirette, per gli interessati nel contesto lavorativo e professionale (cfr., con riguardo alla “vulnerabilità” degli interessati nel contesto lavorativo, cfr. artt. 35 e 88, par. 2, del Regolamento e “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017), le aziende sanitarie e i datori di lavoro possano assicurare in tutte le fasi del trattamento e fin dal momento “la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente”, essendo particolarmente generico il mero riferimento in via esemplificativa all’ ”invio di questionari da compilare in forma anonima” (cfr. circolare, cit.).
Non è, inoltre, specificato con quali modalità e garanzie il datore di lavoro possa acquisire nell’ambito della propria struttura organizzativa il solo dato numerico relativo ai dipendenti non vaccinati, con la conseguenza che le decisioni e le scelte organizzative e tecniche in proposito - che possono comportare trattamenti di dati personali non conformi alla disciplina di protezione dei dati e/o incidere anche sul livello di sicurezza e integrità dei dati trattati (art. 5, par. 1, lett. f), e 32 del Regolamento) - siano rimesse alle valutazioni di volta in volta, assunte da singoli datori di lavoro.
Si aggiunga, peraltro, che la prospettata raccolta e comunicazione di dati numerici e non nominativi da parte dei datori di lavoro può, specie nei contesti lavorativi di piccole dimensioni, consentire di identificare, anche indirettamente, gli interessati, anche in ragione della disponibilità di ulteriori informazioni, quali il profilo professionale, l’unità produttiva e il comprensorio territoriale.
I datori di lavoro posso legittimamente trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale e comunitaria (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento). Ad eccezione, pertanto, di quanto previsto per la vaccinazione quale requisito professionale per il personale sanitario, il trattamento da parte del datore di lavoro di dati relativi allo stato vaccinale dei dipendenti non è previsto da alcuna disposizione di legge (artt. 5, par. 1, lett. a), nonché 9, par. 2, lett. b), del Regolamento).
Pertanto, nell’ambito delle procedure previste dalla predetta ordinanza, il trattamento da parte dei datori di lavoro di informazioni, che consentano anche indirettamente l’identificazione degli interessati, possono determinare trattamenti di dati personali privi di idonea base giuridica e porsi in contrasto, in talune circostanze, con le disposizioni dell’ordinamento che vietano al datore di lavoro di conoscere informazioni attinenti alla salute e alla sfera privata del lavoratore (art. 88 del Regolamento, art. 113 del Codice in relazione all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276; cfr. Corte di Giustizia, Grande Sezione, sentenza 11 settembre 2018, causa C-68/17).
Tali norme, volte a prevenire effetti discriminatori nel contesto lavorativo, costituiscono nell’ordinamento interno quelle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione - analogamente alle specifiche situazioni di trattamento del capo IX del Regolamento - determina anche l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento (cfr., da ultimo, con specifico riguardo alla violazione dell’art.113 del Codice nell’ambito lavorativo pubblico, provv. n. 190 del 13 maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro, Application n. 70838/13 del 28.11.2017, che ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici, richiamando il rispetto delle garanzie previste dalla legge nazionale applicabile).
 

RITENUTO

alla luce delle rilevanti criticità sopra illustrate, che quanto previsto dall’ordinanza presidenziale della Regione Siciliana n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, non risulta conforme alla disciplina in materia di protezione dei dati personali in quanto:
- individua misure per la prevenzione e gestione dell’emergenza epidemiologica da Covid 19 che prevedono il trattamento di informazioni personali, relative alla salute degli interessati, e incidono sui diritti e libertà degli stessi che possono essere introdotte solo da una norma del diritto dell’Unione o nazionale di rango primario che abbia le caratteristiche richieste dal Regolamento e previa acquisizione del parere dell’Autorità;
- introduce trattamenti preventivi e generalizzati di dati relativi allo stato vaccinale dei dipendenti, non previsti da alcuna disposizione di legge statale e comunque non conformi alle disposizioni di settore, in violazione dei principi di protezione dei dati e senza prevedere misure adeguate a garantire la protezione dei dati in ogni fase del trattamento (artt. 5, 6, 9, 25 e 32 del Regolamento e artt. 2-ter e 2-sexies del Codice);
- introduce trattamenti che, in assenza di specifiche e adeguate misure tecniche e organizzative, possono comportare la violazione da parte dei datori di lavoro della disciplina nazionale più specifiche e di maggiore garanzia a tutela della dignità degli interessati nei luoghi di lavoro (art. 88 del Regolamento, art. 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).
Considerato che il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a)) e che ricorre l’esigenza di intervenire tempestivamente al fine di tutelare i diritti e le libertà degli interessati prima che le richiamate violazioni producano effetti.
Considerato quindi che risulta necessario avvertire la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) del fatto che i trattamenti di dati personali di cui all’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, in assenza di interventi correttivi, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).
Ritenuto inoltre di comunicare il presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza anche al fine di segnalare alle regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.
 

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 58, par 2, lett. a), del Regolamento avverte la Regione Siciliana (C.F. 80012000826) e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.
b) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza;
c) ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei