Garante per la Protezione dei Dati Personali
Provvedimento 13 dicembre 2021, n. 430
doc-web 9727220
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);
VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da Covid-19”;
VISTO il decreto-legge 1° aprile 2021, n. 44, convertito, con modificazioni, dalla legge 28 maggio 2021, n. 76, recante “Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici”, e, in particolare, gli articoli 1-bis, 3-ter, 4, 4-bis e 4-ter;
VISTO il decreto-legge 6 agosto 2021, n. 111, convertito, con modificazioni, dalla legge 24 settembre 2021, n. 133, recante “Misure urgenti per l'esercizio in sicurezza delle attività scolastiche, universitarie, sociali e in materia di trasporti”, e in particolare l’art. 2 bis, che, introducendo l’art. 4-bis nel citato decreto-legge n. 44 del 2021, ha esteso l'obbligo vaccinale previsto dall'articolo 4, comma 1, del medesimo decreto-legge a tutti i soggetti, anche esterni, che svolgono, a qualsiasi titolo, la propria attività lavorativa nelle strutture residenziali, socio-assistenziali e socio-sanitarie, nonché nelle strutture semiresidenziali e nelle strutture che, a qualsiasi titolo, ospitano persone in situazione di fragilità;
VISTO il decreto-legge 26 novembre 2021, n. 172, “Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali”;
CONSIDERATO che gli articoli 4, 4-bis e 4-ter del citato decreto-legge n. 44 del 2021, rinviano al decreto del Presidente del Consiglio dei Ministri 17 giugno 2021 l’individuazione delle modalità per consentire l’acquisizione delle informazioni necessarie da parte dei soggetti tenuti alla verifica dell'adempimento dell'obbligo vaccinale;
VISTO il decreto del Presidente del Consiglio dei Ministri del 17 giugno 2021 recante “Disposizioni attuative dell'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19»”;
VISTO il provvedimento n. 229 del 9 giugno 2021 (doc. web n. 9668064), con il quale il Garante ha reso il parere sul predetto schema di decreto del Presidente del Consiglio dei Ministri, adottato il 17 giugno 2021, di attuazione della Piattaforma nazionale-DGC per l'emissione, il rilascio e la verifica delle certificazioni verdi Covid-19;
VISTO il provvedimento n. 306 del 31 agosto 2021 (doc. web n. 9694010), con il quale il Garante ha reso il parere sullo schema di decreto del Presidente del Consiglio dei Ministri, adottato il 10 settembre 2021, che ha introdotto specifiche modalità di verifica del possesso da parte del personale scolastico della certificazione verde Covid-19 in corso di validità;
VISTO il provvedimento n. 363 del 11 ottobre 2021 (doc. web n. 9707431), con il quale il Garante ha reso il parere sullo schema di decreto del Presidente del Consiglio dei Ministri, adottato il 12 ottobre 2021, che ha introdotto specifiche modalità di verifica del possesso da parte del personale nei contesti lavorativi pubblici e privati della certificazione verde Covid-19 in corso di validità;
RITENUTO di adottare il presente parere, in via d’urgenza, in ragione della rappresentata esigenza di assicurare l’applicabilità, a decorrere dal 15 dicembre 2021, di alcune delle disposizioni del citato d.l. n. 172/2021;
RITENUTO quindi che ricorrano i presupposti per l'applicazione dell'art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell'ufficio del Garante, il quale prevede che “Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il Presidente può adottare i provvedimenti di competenza dell'organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno”;
VISTA la documentazione in atti;
PREMESSO
Il Ministero della salute, con la nota del 10 dicembre 2021, ha trasmesso al Garante, per il prescritto parere, lo schema di decreto del Presidente del Consiglio dei Ministri, da adottare ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, predisposto al fine di dare applicazione alle disposizioni di cui al decreto-legge 26 novembre 2021, n. 172.
Nella nota di trasmissione il Ministero della salute ha segnalato l’esigenza di acquisire con urgenza il prescritto parere del Garante in considerazione dell’applicabilità, a decorrere dal 15 dicembre 2021, di alcune delle disposizioni del citato d.l. n. 172/2021 in tema di certificazioni verdi Covid-19 e obblighi vaccinali per talune categorie di lavoratori.
Lo schema di decreto trasmesso all’Autorità – formulato anche sulla base delle indicazioni fornite dall’Ufficio nell’ambito delle interlocuzioni intercorse con il Ministero della salute – si compone di 2 articoli nonché di n. 7 allegati di seguito sinteticamente descritti.
L’articolo 1 introduce modifiche a numerosi articoli del decreto del Presidente del Consiglio dei Ministri 17 giugno 2021, aggiornandolo alla luce delle richiamate recenti disposizioni normative, che hanno previsto sia l’estensione dell’obbligo vaccinale anti-SARS-Cov-2 per ulteriori categorie di lavoratori, che i casi in cui la fruizione di servizi, lo svolgimento di attività e gli spostamenti sono consentiti esclusivamente ai soggetti in possesso di una certificazione verde Covid-19 di avvenuta vaccinazione o guarigione. In particolare, tali interventi riguardano:
l’estensione del novero di soggetti abilitati a rendere disponibili agli interessati, che ne facciano richiesta, le proprie certificazioni verdi Covid-19 (art. 1, comma 1, lett. c), dello schema);
la revoca da parte della Piattaforma nazionale-DGC delle certificazioni verdi Covid-19 rilasciate a interessati successivamente risultati positivi al SARS-Cov-2, nonché di quelle rilasciate o ottenute in maniera fraudolenta o a seguito della sospensione di una partita di vaccino anti Covid-19 risultata difettosa (art. 1, comma 1, lett. d) ed e), dello schema);
le modalità per la verifica del possesso di una certificazione verde Covid-19 di avvenuta vaccinazione o guarigione (c.d. modalità di verifica “rafforzata”), mediante l’applicazione di VerificaC19, il pacchetto di sviluppo per applicazioni o le librerie software e le soluzioni da esse derivate (art. 1, comma 1, lett. f), dello schema);
l’introduzione di misure a tutela della salute pubblica e della sicurezza nei luoghi di lavoro in caso di eventuale consegna da parte del lavoratore al datore di lavoro di copia della propria certificazione verde Covid-19, volte a garantire la verifica quotidiana sulla perdurante validità della stessa (art. 1, comma 1, lett. g), dello schema);
la precisazione che il personale preposto alla verifica del possesso della certificazione verde Covid-19 in corso di validità debba essere adeguatamente istruito in merito alla necessità di limitare l’utilizzo della modalità di verifica “rafforzata” esclusivamente ai casi in cui la fruizione di servizi, lo svolgimento di attività e gli spostamenti siano consentiti dalla vigente legislazione ai soggetti muniti delle suddette certificazioni (art. 1, comma 1, lett. h), dello schema);
l’introduzione di nuove disposizioni relative alle modalità per assicurare, nel rispetto della disciplina in materia di protezione dei dati, la verifica dell’adempimento dell’obbligo vaccinale da parte del personale per il quale è stato previsto che la vaccinazione anti Covid-19 costituisce condizione per lo svolgimento dell’attività lavorativa (art. 1, comma 1, lett. l), dello schema).
L’allegato B (“Funzioni e servizi della Piattaforma Nazionale-DGC (PN-DGC)”) sostituisce la versione allegata al d.P.C.M. 17 giugno 2021, integrandola con la descrizione delle circostanze che determinano la revoca delle certificazioni verdi Covid-19 (tampone con esito positivo, certificazioni verdi Covid-19 rilasciate od ottenute in maniera fraudolenta, sospensione di una partita di vaccino anti Covid-19 risultata difettosa) e delle diverse modalità di verifica (cc.dd. “base” o “rafforzata”) rese disponibili dall’app VerificaC19.
L’allegato C (“Documento tecnico Sistema TS: funzionalità di acquisizione dati per le Certificazioni verdi COVID-19. Dati e relativo trattamento”) sostituisce la versione allegata al d.P.C.M. 17 giugno 2021, integrandola con la descrizione dei servizi per il recupero delle certificazioni verdi da parte di soggetti sanitari in qualità di intermediari (medici, operatori sanitari autorizzati dalla ASL, farmacisti, strutture sanitarie) e dei servizi per la revoca delle medesime certificazioni (art. 8, comma 5, del d.P.C.M. 17 giugno 2021, come modificato dallo schema di decreto in esame). Per ciascun servizio sono descritte le modalità di fruizione e di accesso, i tracciati record delle informazioni scambiate e delle informazioni registrate nei file di log unitamente ai relativi tempi di conservazione.
L’allegato G (“Modalità di interazione tra il Sistema informativo dell’istruzione-SIDI e la Piattaforma nazionale-DGC per il controllo semplificato del possesso della certificazione verde Covid-19 e del rispetto dell’obbligo vaccinale da parte del personale scolastico”) sostituisce la versione allegata al d.P.C.M. 17 giugno 2021, integrandola con la descrizione del processo di verifica del rispetto dell’obbligo vaccinale del personale scolastico e dei dirigenti delle istituzioni scolastiche tramite le funzionalità realizzate nell’ambito del Sistema informativo dell’istruzione (SIDI).
L’allegato H (“Modalità per il controllo automatizzato del possesso della Certificazione verde COVID-19”) sostituisce la versione allegata al d.P.C.M. 17 giugno 2021, aggiornando i riferimenti normativi ivi contenuti.
L’allegato I (“Verifica del rispetto dell’obbligo vaccinale tramite PORTALE INPS”) descrive il servizio, reso disponibile nell’ambito del Portale istituzione INPS, che consente la verifica del rispetto dell’obbligo vaccinale dei lavoratori, pubblici e privati, da parte dei datori di lavoro aderenti al servizio.
L’allegato L (“Verifica del rispetto dell’obbligo vaccinale tramite NOIPA”) descrive il servizio, reso disponibile nell’ambito della Piattaforma NoiPA, che consente la verifica del rispetto dell’obbligo vaccinale del personale di interesse da parte delle amministrazioni aderenti.
L’allegato M (“Verifica del rispetto dell’obbligo vaccinale tramite interoperabilità applicativa con le Federazioni nazionali degli Ordini degli esercenti le professioni sanitarie”) descrive le modalità di verifica mediante i sistemi informativi delle Federazioni nazionali degli Ordini degli esercenti le professioni sanitarie.
OSSERVA
1. I trattamenti di dati personali finalizzati alla verifica del rispetto dell’obbligo vaccinale previsto per alcune categorie di lavoratori.
Lo schema di decreto in esame disciplina le modalità di verifica del rispetto dell’obbligo vaccinale di talune categorie di lavoratori di cui al decreto-legge 1° aprile 2021, n. 44, attraverso modalità, anche automatizzate, che il Ministero rende disponibili, sulla base delle informazioni presenti nella Piattaforma nazionale-DGC, a datori di lavoro, strutture competenti e altri soggetti tenuti ai controlli, al fine di assicurare un più efficace ed efficiente processo di verifica (art. 1, comma 1, lett. l), dello schema di decreto in esame che introduce il Capo III, e gli articoli da 17-bis a 17-sexies, nel d.P.C.M. 17 giugno 2021).
1.1. Il quadro normativo di riferimento: la base giuridica.
L’art. 4 del d.l. n. 44 del 1° aprile 2021 ha previsto che, al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza del lavoro e nell'erogazione delle prestazioni di cura e assistenza, la vaccinazione anti-SARS-CoV-2 costituisce per gli esercenti le professioni sanitarie e agli operatori di interesse sanitario, “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative”. Tale disposizione ha disciplinato altresì le modalità per assicurare la somministrazione del vaccino e l’assolvimento dell’obbligo per tali categorie di professionisti e lavoratori, i casi in cui la vaccinazione possa essere omessa o differita, nonché le conseguenze per tali categorie professionali in caso di mancata sottoposizione alla vaccinazione, nell’ambito di un complesso sistema di verifica dell’avvenuta vaccinazione che coinvolge diversi soggetti istituzionali e prevede flussi di dati tra di essi.
Successivamente, il decreto-legge 6 agosto 2021, n. 111, ha esteso tale obbligo vaccinale a tutti i soggetti, anche esterni, che svolgono, a qualsiasi titolo, la propria attività lavorativa nelle strutture residenziali, socio-assistenziali e socio-sanitarie, nonché nelle strutture semiresidenziali e nelle strutture che, a qualsiasi titolo, ospitano persone in situazione di fragilità (v., in particolare, l’art. 2-bis del citato decreto-legge n. 111 del 2021, che, ha introdotto l’art. 4-bis nel citato decreto-legge n. 44 del 2021).
Da ultimo, il decreto-legge 26 novembre 2021, n. 172 (spec. artt. 1 e 2) ha introdotto nel citato decreto-legge n. 44 del 2021 specifiche diposizioni (v. gli artt. 3-ter e 4-ter e la nuova formulazione degli artt. 4 e 4-bis dello stesso) volte, tra l'altro, a estendere dal 15 dicembre 2021 il predetto obbligo vaccinale anche per il personale, rispettivamente:
della scuola (“personale scolastico del sistema nazionale di istruzione, delle scuole non paritarie, dei servizi educativi per l'infanzia di cui all'articolo 2 del decreto legislativo 13 aprile 2017, n. 65, dei centri provinciali per l'istruzione degli adulti, dei sistemi regionali di istruzione e formazione professionale e dei sistemi regionali che realizzano i percorsi di istruzione e formazione tecnica superiore”);
del comparto difesa, sicurezza e soccorso pubblico, della polizia locale, degli organismi della legge n. 124 del 2007;
delle strutture sanitarie di cui all’art. 8-ter del decreto legislativo n. 502/1992 (“ad esclusione di quello che svolge attività lavorativa con contratti esterni”);
degli Istituti penitenziari (“personale che svolge a qualsiasi titolo la propria attività lavorativa alle dirette dipendenze del Dipartimento dell'amministrazione penitenziaria o del Dipartimento per la giustizia minorile e di comunità, all'interno degli istituti penitenziari per adulti e minori”).
Anche con riguardo alle predette categorie di lavoratori la vaccinazione anti-SARS-CoV-2 costituisce per espressa previsione di legge “requisito essenziale per lo svolgimento delle attività lavorative”, stabilendo che le verifiche in merito all’adempimento dell’obbligo vaccinale siano rimesse, rispettivamente, ai datori di lavoro, ai responsabili delle istituzioni presso cui tali categorie di interessati prestano servizio e ai dirigenti scolastici e agli altri soggetti tenuti alle verifiche, con le modalità da definirsi mediante modifica del d.P.C.M. 17 giugno 2021.
Il medesimo decreto-legge n. 172 del 2021 ha inoltre previsto che l'adempimento dell'obbligo vaccinale anti-SARS-CoV-2, a far data dal 15 dicembre 2021, comprende anche la somministrazione della dose di richiamo, secondo le indicazioni e i termini previsti dal Ministero della salute e ha introdotto, sostituendo il precedente art. 4 del d.l. n. 44/2021, una nuova procedura per l’accertamento, per il tramite delle Federazioni nazionali degli Ordini degli esercenti le professioni sanitarie, dell’adempimento dell’obbligo vaccinale per il personale sanitario.
In via generale, il trattamento dei dati personali in ambito lavorativo deve avvenire nel rispetto della normativa in materia di protezione dei dati, della disciplina nazionale di settore ma anche delle norme preesistenti che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento), e in particolare le norme che stabiliscono il divieto per il datore di lavoro di acquisire o comunque “trattare” dati relativi alla salute o alla sfera privata e alle convinzioni personali che “non [siano] attinenti alla valutazione dell’attitudine professionale del lavoratore” (art. 113 del Codice che rinvia agli artt. 8 della l. 20 maggio 1970, n. 300, e 10 del d.lgs. 10 settembre 2003, n. 276).
Come ribadito in diverse occasioni dal Garante, anche nel periodo emergenziale, sulla base dello stato della regolazione attualmente in vigore e stante la libertà di scelta da parte delle persone in ambito vaccinale, fatta eccezione per il personale operante nei predetti settori, il datore di lavoro non è legittimato a trattare i dati personali relativi alla vaccinazione anti-SARS-CoV-2 dei dipendenti, né è consentito far derivare alcuna conseguenza, positiva o negativa, in ragione della scelta del lavoratore in ordine all’adesione o meno alla campagna vaccinale (cfr., da ultimo, il provvedimento n. 306 del 31 agosto 2021, doc. web n. 9694010, il provvedimento n. 363 del 11 ottobre 2021, doc. web n. 9707431, il provvedimento n. 273 del 22 luglio 2021, doc. web n. 9683814, e i provvedimenti e documenti di indirizzo ivi citati).
Tale limite non ricorre quindi con riguardo a quelle categorie di lavoratori per i quali la normativa di settore abbia stabilito specifici requisiti professionali ritenuti essenziali per accedere e per svolgere determinate attività lavorative (ipotesi fatta salva dal combinato disposto dei menzionati artt. 8 della l. 20 maggio 1970, n. 300, e 10 del d.lgs. 10 settembre 2003, n. 276).
Ciò, in particolare, con riferimento alla vaccinazione anti-SARS-CoV-2, nei casi in cui il legislatore nazionale ha, in modo selettivo, ritenuto giustificato (v., in particolare, Corte di Giustizia dell’Unione europea, sentenza del 17 aprile 2018, Egenberger, C-414/16 “l'esame della liceità dei requisiti [per lo svolgimento dell’attività lavorativa] e della verifica del permanere nel tempo dei medesimi […deve essere] effettuato […] rispetto al diritto nazionale […e non può essere] sottratto a un controllo giurisdizionale effettivo”) nel quadro della situazione epidemiologica in atto e sulla base delle evidenze scientifiche, porre tale vaccinazione come specifico requisito per lo svolgimento di determinate professioni, attività lavorative e mansioni in ragione della “natura” delle attività di cui trattasi e del “contesto” in cui vengono espletate le mansioni (cfr. Consiglio di Stato, III sez., sentenza n. 7045 del 20 ottobre 2021, “La vaccinazione obbligatoria selettiva […] risponde ad una chiara finalità di tutela non solo – e anzitutto – di questo personale sui luoghi di lavoro […ma anche dei] pazienti e degli utenti”).
In tali casi, le richiamate norme di settore e la relativa disciplina di attuazione stabiliscono limiti e condizioni per la verifica dell’adempimento dell’obbligo vaccinale dei lavoratori interessati, regolando le modalità per comprovarlo, i casi in cui la vaccinazione del personale possa essere omessa o differita nonché le conseguenze, anche relative al rapporto di lavoro, in caso di mancata sottoposizione alla vaccinazione, e costituiscono la base giuridica dei relativi trattamenti da parte dei datori di lavoro e degli altri soggetti tenuti ai controlli (artt. 5, 6 e 9, par. 2, lett. b) e g), del Regolamento e art. 2-sexies del Codice).
1.2. Le modalità automatizzate di verifica del rispetto dell’obbligo vaccinale per le diverse categorie di lavoratori.
Lo schema di decreto in esame prevede che il Ministero renda disponibili, previa richiesta, ai datori di lavoro, alle strutture e agli altri soggetti tenuti a effettuare i controlli, specifiche funzionalità per la verifica automatizzata del rispetto dell’obbligo vaccinale, sulla base delle informazioni trattate nell'ambito della PN-DGC, di seguito descritte, con riguardo ai diversi contesti lavorativi e alle specifiche categorie di lavoratori.
Tali funzionalità consentiranno di effettuare le predette verifiche in relazione ai lavoratori effettivamente in servizio mostrando l’informazione di tipo booleano relativa al rispetto dell’obbligo vaccinale (semaforo verde: lavoratore vaccinato o esente; semaforo rosso: lavoratore non vaccinato). In ogni caso, non saranno rese disponibili ai soggetti che effettuano le verifiche del rispetto dell’obbligo vaccinale dei lavoratori le ulteriori informazioni conservate, o comunque trattate, nell'ambito della PN-DGC.
A. La verifica tramite il Portale istituzionale INPS
Con riferimento ai lavoratori subordinati, e quelli che prestano la propria attività lavorativa sulla base di contratti esterni, nelle residenze sanitarie assistenziale e le altre strutture assimilate, al personale del comparto della difesa, sicurezza e soccorso pubblico e della polizia locale, al personale delle strutture sanitarie, al personale scolastico non operante nelle scuole statali, al personale degli Istituti penitenziari, le verifiche sul rispetto dell’obbligo vaccinale sono effettuate mediante specifiche funzionalità rese disponibili all’interno del Portale istituzionale INPS che interagisce, in modalità asincrona, con la PN-DGC (art. 17-bis, commi da 1 a 6, e all. I del d.P.C.M. 17 giugno 2021, introdotti dallo schema di decreto in esame).
B. La verifica tramite la Piattaforma NoiPA
Con riferimento al personale delle pubbliche amministrazioni aderenti a NoiPA per il quale vige l’obbligo di vaccinazione anti-SARS-CoV-2, ad esclusione dei dipendenti delle scuole statali, le verifiche sul rispetto dell’obbligo vaccinale sono effettuate mediante specifiche funzionalità rese disponibili all’interno della Piattaforma NoiPA che interagisce, in modalità asincrona, con la PN-DGC (art. 17-bis, comma 7, e all. L del d.P.C.M. 17 giugno 2021, introdotti dallo schema di decreto in esame).
C. La verifica tramite il Sistema informativo dell'istruzione (SIDI)
Con riferimento al personale delle scuole statali del sistema nazionale di istruzione, le verifiche sul rispetto dell’obbligo vaccinale sono effettuate mediante specifiche funzionalità rese disponibili all’interno del Sistema informativo dell'istruzione (SIDI) che interagisce, in modalità asincrona, con la PN-DGC (art. 17-ter e all. G del d.P.C.M. 17 giugno 2021, introdotti dallo schema di decreto in esame).
D. La verifica tramite i sistemi informativi delle Federazioni nazionali degli Ordini degli esercenti le professioni sanitarie
Con riferimento agli esercenti le professioni sanitarie (medici chirurghi e odontoiatri, farmacisti, veterinari, chimici e fisici, tecnici sanitari di radiologia medica, esercenti le professioni sanitarie tecniche, della riabilitazione e della prevenzione, delle professioni infermieristiche, biologi, psicologi e ostetriche) – tenuto conto delle nuove disposizioni normative che disciplinano il processo di verifica dell’obbligo vaccinale per tali soggetti e che, diversamente dal passato, prevedono il diretto coinvolgimento degli Ordini professionali, per il tramite delle rispettive Federazioni nazionali (art. 4 del d.l. n. 44/2021, come modificato dal d.l. n. 176/2021) – il Ministero rende disponibili specifiche funzionalità che consentono una verifica automatizzata del rispetto dell’obbligo vaccinale degli iscritti, attraverso una interoperabilità applicativa, in modalità asincrona, tra i sistemi informativi delle medesime Federazioni nazionali e la PN-DGC. Le Federazioni nazionali, attraverso i rispettivi sistemi informativi, rendono quindi disponibili gli esiti delle verifiche agli Ordini territoriali cui sono iscritti gli esercenti le professioni sanitarie (art. 17-quinquies e all. M del d.P.C.M. 17 giugno 2021, introdotti dallo schema di decreto in esame).
1.3. Le altre modalità di verifica del rispetto dell’obbligo vaccinale.
Lo schema in esame prevede che la verifica dell’adempimento dell’obbligo vaccinale da parte dei soggetti che svolgono, a qualsiasi titolo diverso dal rapporto di lavoro subordinato, attività lavorativa nelle strutture sanitarie, residenziali, socio-assistenziali e assimilate o presso gli Istituti penitenziari, sia effettuata mediante esibizione da parte dei lavoratori interessati di documenti rilasciati, in formato cartaceo o digitale, dalle strutture sanitarie pubbliche e private, dalle farmacie, dai medici di medicina generale e dai pediatri di libera scelta, che attestano il rispetto dell’obbligo vaccinale (art. 17-quater del d.P.C.M. 17 giugno 2021, introdotto dallo schema di decreto in esame).
La medesima modalità di verifica è prevista, con riguardo a tutte le categorie di interessati soggetti all’obbligo vaccinale, nelle more dell'aggiornamento delle informazioni trattate nell’ambito della PN-DGC (artt. 17-bis, comma 8, e 17-ter, comma 4, del d.P.C.M. 17 giugno 2021, introdotti dallo schema di decreto in esame).
Si rileva, tuttavia, che tale modalità di verifica del rispetto dell’obbligo vaccinale non è espressamente prevista con riguardo agli esercenti le professioni sanitarie. Al fine di assicurare agli interessati, in condizione di parità rispetto agli altri lavoratori soggetti al medesimo obbligo vaccinale, la possibilità di comprovare la sussistenza del requisito professionale in questione, anche in caso di mancato aggiornamento della Piattaforma nazionale-DGC, si ritiene necessario che sia precisato che tale previsione sia applicabile anche a questa categoria di interessati. Ciò, in particolare, tenuto conto delle conseguenze che la legge riconduce al mancato adempimento dell’obbligo vaccinale (sospensione ex lege dall’albo professionale, sospensione dall’attività lavorativa e dalla retribuzione).
1.4. La finalità e la periodicità delle attività di verifica.
Nel corso delle interlocuzioni intercorse, nell’ambito dell’attività istruttoria, tra l’Ufficio e il Ministero, è stata evidenziata la necessità che, al fine di assicurare un trattamento lecito, corretto e trasparente, limitato alle finalità determinate, esplicite e legittime, stabilite dal richiamato quadro giuridico (art. 5, par. 1, lett. a) e b), del Regolamento), la verifica dell’assolvimento dell’obbligo vaccinale, quale requisito per lo svolgimento dell’attività lavorativa nei contesti indicati dalla legge, sia mantenuta distinta dalla quotidiana verifica del possesso della certificazione verde Covid-19 per l’accesso ai luoghi di lavoro.
Come chiarito in precedenza dal Garante, infatti, la finalità di accertamento dei requisiti previsti dalle disposizioni di settore per lo svolgimento di talune professioni o mansioni deve comunque essere mantenuta distinta rispetto alle diverse, ancorché complementari, finalità di tutela della salute e della sicurezza dei luoghi di lavoro (cfr., sul punto, provv. 27 aprile 2016, doc. web n. 5149198, in relazione al trattamento di dati sanitari quali requisiti psicofisici per il rilascio delle licenze di volo del personale navigante).
Il quadro normativo di attuazione deve quindi garantire, anche attraverso l’adozione di idonee misure tecniche e organizzative, che i trattamenti effettuati per la verifica dell’obbligo vaccinale, nei casi previsti dalla legge, siano tenuti separati da quelli effettuati per la verifica quotidiana del possesso della certificazione verde Covid-19 per l’accesso alle sedi di lavoro, nel rispetto delle condizioni e dei limiti previsti da norme distinte che, in modo diverso, concorrono al contenimento dell'epidemia da Covid-19 e allo svolgimento in sicurezza delle attività lavorative, economiche e sociali.
In tale prospettiva, le diverse verifiche devono, nel rispetto sia dei principi di protezione dei dati che del quadro normativo di settore, essere effettuate con una diversa cadenza, non potendo ritenersi giustificata – diversamente da quelle relative al possesso di una valida certificazione verde – l’esecuzione di verifiche relative all’assolvimento dell’obbligo vaccinale con cadenza ravvicinata (quotidiana o, comunque, frequente), assicurando in ogni caso il trattamento di dati esatti e aggiornati (art. 5, par. 1, lett. d), del Regolamento).
A tal fine, sulla base delle predette considerazioni, si prende atto che lo schema di decreto in esame prevede che – in caso di ricorso a modalità di verifica automatizzate mediante, rispettivamente, il Portale istituzionale INPS, la Piattaforma NoiPA, il SIDI, i sistemi informativi delle Federazioni nazionale degli Ordini degli esercenti le professioni sanitarie –, successivamente alla prima verifica (che dovrebbe, quindi, essere effettuata una tantum), in caso di variazione dello stato vaccinale di un interessato, i soggetti autorizzati alle verifiche siano informati, attraverso un’apposita comunicazione (e-mail), di tale circostanza e della necessità di accedere al servizio per prenderne visione. L’invio della predetta comunicazione assicura al contempo la semplificazione del processo di verifica e il trattamento di dati aggiornati al ricorrere di specifiche condizioni quali, ad esempio: il termine del periodo di copertura vaccinale, il termine di periodo di esenzione dalla vaccinazione, l’effettuazione della vaccinazione da parte del personale inizialmente non in regola con l’obbligo vaccinale, l’accertamento di irregolarità della vaccinazione o di falsificazione della certificazione vaccinale, l’annullamento della revoca della certificazione vaccinale (artt. 17-bis, commi 5 e 7, 17-ter, comma 3, e 17-quinquies, comma 2, e allegati G, I, L e M del d.P.C.M. 17 giugno 2021, introdotti dallo schema di decreto in esame).
1.5. Le ulteriori misure a tutela dei diritti e delle libertà degli interessati.
Lo schema di decreto in esame è stato elaborato anche tenendo conto di altre indicazioni fornite dall’Ufficio nell’ambito delle richiamate interlocuzioni informali con il Ministero della salute, con particolare riferimento a:
la corretta individuazione del ruolo assunto dai soggetti coinvolti nei trattamenti di dati personali connessi alla verifica del rispetto dell’obbligo vaccinale, al fine di assicurare la trasparenza nei confronti degli interessati e di consentire una chiara ripartizione degli obblighi e delle responsabilità previste dal Regolamento, specificando che i soggetti tenuti a effettuare i controlli (in particolare, datori di lavoro, strutture sanitarie, uffici scolastici regionali e scuole statali del sistema nazionale di istruzione, ordini professionali) e il Ministero della salute operano in qualità di titolari del trattamento e che gli altri soggetti coinvolti nel processo di verifica sopra descritto (Istituto nazionale per la previdenza sociale, Ministero dell’economia e delle finanze con riguardo alla funzionalità resa disponibile sulla Piattaforma NoiPA, il Ministero dell’Istruzione con riguardo alla funzionalità resa disponibile tramite il SIDI, e le Federazioni nazionali degli Ordini degli esercenti le professioni sanitarie) agiscono in qualità di responsabili del trattamento (artt. 5, par. 2, 24 e 28 del Regolamento);
la descrizione accurata delle operazioni e delle modalità di trattamento negli allegati allo schema di decreto, al fine di assicurare un trattamento lecito, corretto e trasparente (artt. 5, par. 1, lett. a), 6 e 9 del Regolamento);
la previsione che il personale autorizzato alla verifica per conto dei datori di lavoro, degli Ordini professionali e degli altri soggetti tenuti ai controlli sia incaricato con atto formale recante le necessarie istruzioni in relazione ai trattamenti necessari alle predette verifiche (artt. 29 e 32, par. 4, del Regolamento e 2-quaterdecies del Codice);
la previsione che il personale interessato dal processo di verifica sia opportunamente informato dal proprio datore di lavoro, ovvero dal soggetto tenuto a effettuare la stessa, sul trattamento dei dati personali che lo riguardano attraverso una specifica informativa, anche mediante comunicazione resa alla generalità degli interessati (artt. 5, par. 1, lett. a), 13 e 14 del Regolamento);
con riguardo alle modalità di verifica automatizzate, l’adozione di misure volte a garantire che siano trattati i dati strettamente necessari alla verifica del rispetto dell’obbligo vaccinale e all’eventuale applicazione delle misure previste, per le diverse categorie di lavoratori interessati, dalle rispettive diposizioni di settore in relazione al mancato assolvimento dell’obbligo vaccinale, nel rispetto dei principi di minimizzazione e della protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5, par. 1, lett. c), 25 e 88 del Regolamento e art. 113 del Codice);
sempre con riguardo alle modalità di verifica automatizzate, l’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, assicurando, in particolare, che le operazioni di verifica del rispetto dell’obbligo vaccinale da parte dei soggetti tenuti ai controlli siano oggetto di registrazione in appositi log (conservati per dodici mesi), ad eccezione dell’esito delle singole verifiche, nel rispetto dei principi di integrità e riservatezza nonché della protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5, par. 1, lett. f), 25 e 32 del Regolamento).
Anche alla luce dei dubbi interpretativi e delle difficoltà applicative portate all’attenzione del Garante nel corso del tempo, derivanti dal quadro normativo di settore relativo all’obbligo vaccinale per i professionisti sanitari, l’Ufficio, come già evidenziato in precedenti interlocuzioni con i rappresentanti del Ministero della salute e delle Federazioni nazionali interessate, ha richiamato l’attenzione sulla necessità di stabilire modalità uniformi per l’annotazione sull’albo online dell’Ordine territoriale (e, ove esistente, sull’albo online della Federazione nazionale) della sospensione dall’esercizio della professione sanitaria in caso di accertamento di mancata vaccinazione, come previsto dalla legge (art. 4, comma 4, del d.l. n. 44/2021, come modificato dal d.l. n. 172/2021). In particolare, al fine di evitare la diffusione, anche online, di informazioni particolarmente delicate relative al professionista iscritto all’Ordine, tale annotazione dovrebbe essere effettuata con la sola menzione dell’intervenuta sospensione, senza ulteriori specificazioni, dalle quali sia possibile risalire alla violazione dell’obbligo vaccinale (ad esempio, mediante riferimenti espliciti alla violazione di tale obbligo e/o richiami espressi all’art. 4 del d.l. n. 44/2021 o altre similari locuzioni, quali “sospensioni ex. L.76/21”, e/o alla natura temporanea – fino al 31 dicembre 2021 – della sospensione).
Recependo tale indicazione, lo schema di decreto in esame ha espressamente previsto che l’annotazione sugli albi debba essere effettuata “senza ulteriori specificazioni dalle quali sia possibile desumere il mancato rispetto dell’obbligo vaccinale da parte dell’esercente la professione sanitaria” (art. 17-quinquies, comma 5, del d.P.C.M. 17 giugno 2021, introdotto dallo schema di decreto in esame).
Infine, nella prospettiva della certezza del diritto e al fine di evitare disparità di trattamento rispetto al personale amministrativo appartenente alle altre amministrazioni generali dello Stato, lo schema di decreto in esame, sulla base delle osservazioni formulate dall’Ufficio nel corso delle interlocuzioni, chiarisce l’ambito di applicazione dell’obbligo vaccinale per il personale del comparto della difesa, precisando che tale obbligo si riferisce al solo personale militare e non anche a quello amministrativo civile (art. 17-bis, comma 2, lett. c), del d.P.C.M. 17 giugno 2021, introdotto dallo schema di decreto in esame).
2. I trattamenti di dati personali finalizzati alla verifica delle certificazioni verdi Covid-19 di avvenuta vaccinazione o guarigione.
Il d.l. n. 172/2021 ha modificato l’art. 9-bis del d.l. n. 52/2021 che disciplina l’impiego delle certificazioni verdi Covid-19, indicando le tipologie di servizi, attività e spostamenti per le quali, a decorrere dal 29 novembre 2021, è richiesto il possesso di una certificazione verde Covid-19 di avvenuta vaccinazione o guarigione (c.d. super green pass).
Lo schema di decreto in esame individua le modalità attraverso le quali, nei predetti casi, è possibile effettuare la verifica del possesso di tali tipologie di certificazioni attraverso l’app VerificaC19, il pacchetto di sviluppo per applicazioni e le librerie software e le soluzioni da esse derivate.
Le misure individuate per tutelare, anche attraverso tale differenziata modalità di controllo delle certificazioni verdi, i diritti e le libertà fondamentali degli interessati assicurano, come richiesto dall’Ufficio nell’ambito delle interlocuzioni informali intercorse, che, selezionando la modalità di verifica “rafforzata”, il verificatore non visualizzi la condizione (vaccinazione o guarigione) che ha determinato l’emissione della certificazione verde (art. 1, comma 1, lett. f), dello schema di decreto che introduce il comma 1-bis all’art. 13 del d.P.C.M. 17 giugno 2021).
Con specifico riferimento alla nuova modalità di verifica “rafforzata”, nell’ambito delle richiamate interlocuzioni informali, l’Ufficio ha evidenziato la necessità che tutti i soggetti preposti alla verifica del possesso delle certificazioni verdi siano appositamente istruiti in merito al trattamento dei dati connesso all’attività di verifica, con particolare riferimento alla possibilità di utilizzare la modalità di verifica “rafforzata” esclusivamente nei casi in cui la fruizione di servizi, lo svolgimento di attività e gli spostamenti siano consentiti dalla vigente legislazione ai soggetti muniti delle suddette certificazioni.
Al riguardo, si prende atto che lo schema di decreto in esame tiene conto delle osservazioni formulate dall’Ufficio, prevedendo che i soggetti deputati alla verifica del possesso delle certificazioni verdi, oltre a dover essere appositamente autorizzati dal titolare del trattamento, ai sensi degli artt. 29 e 32, par. 4, del Regolamento e 2-quaterdecies del Codice, devono anche essere specificamente istruiti in merito alla possibilità di utilizzare la modalità di verifica “rafforzata” esclusivamente nei casi in cui lo richieda la vigente legislazione (art. 1, comma 1, lett. h), dello schema di decreto che introduce il comma 7 all’art. 15 del d.P.C.M. 17 giugno 2021).
Nel rispetto dei principi di trasparenza nei confronti degli interessati e di limitazione della finalità del trattamento, nel corso delle interlocuzioni informali con il Ministero della salute, l’Ufficio ha evidenziato altresì l’opportunità di adottare misure tecniche volte a garantire che possa essere facilmente riconoscibile la modalità di verifica utilizzata dal verificatore (“base” e “rafforzata”).
In tal senso, si ritiene che debbano essere adottati specifici accorgimenti volti a rendere evidente all’interessato la modalità di verifica utilizzata dal verificatore, introducendo, all’interno dell’app VerificaC19, specifici elementi testuali, grafici e visivi come, ad esempio, diciture, simboli e colori differenziati per le due modalità di verifica (“base” o “rafforzata”).
3. L’attuazione dell’istituto della revoca delle certificazioni verdi Covid-19.
Lo schema di decreto in esame intende dare piena attuazione alla disposizione relativa alla revoca delle certificazioni verdi e alla successiva comunicazione al gateway europeo che era già contenuta nell’art. 8, comma 5, del d.P.C.M. 17 giugno 2021, sia con riferimento alle ipotesi di sopraggiunta positività di un interessato che ha completato il ciclo vaccinale, sia di generazione o di acquisizione fraudolenta delle stesse. La revoca delle certificazioni verdi, infatti, sebbene prevista nel predetto d.P.C.M., non ha trovato finora piena e sistematica attuazione ed è stata applicata solo in limitati casi di generazione fraudolenta delle certificazioni verdi Covid-19.
Sin dai lavori preparatori del predetto d.P.C.M. 17 giugno 2021 il Garante aveva evidenziato l’estrema importanza dell’istituto della revoca della certificazione verde, considerando la stessa essenziale per garantire l’efficacia dell’azione di sanità pubblica realizzata attraverso l’uso delle certificazioni verdi e, al contempo, per assicurare l’esattezza e l’aggiornamento dei dati trattati dalla PN-DGC.
Nel richiamato parere del 9 giugno 2021, infatti, l’Autorità aveva già rappresentato l’indispensabilità che, all’atto della verifica delle certificazioni verdi, fosse sempre assicurata l’attualità delle condizioni ivi attestate, alla luce del fatto che l’eventuale variazione dei presupposti per il rilascio (es. sopraggiunta positività) avrebbe determinato rischi rilevanti in ordine alla correttezza del trattamento e alla reale efficacia della misura di contenimento.
A seguito dell’adozione del suddetto parere del 9 giugno 2021, l’Ufficio ha più volte sollecitato il Ministero della salute a dare piena attuazione all’istituto della revoca delle certificazioni verdi, con particolare riferimento all’ipotesi di sopraggiunta positività dell’interessato. Nell’ambito delle interlocuzioni informali con il predetto Ministero, l’Ufficio ha infatti più volte rappresentato che – in considerazione del fatto che la revoca delle certificazioni verdi è tesa a garantire sia la reale efficacia delle azioni di sanità pubblica che il trattamento di dati esatti e aggiornati – la validità della certificazione verde deve essere assicurata costantemente attraverso il monitoraggio della perduranza delle circostanze che ne hanno determinato la generazione, che -per loro natura- hanno un carattere dinamico (sopraggiunta positività), nonché delle condizioni alla base dell’emissione delle stesse (contraffazione o uso fraudolento della certificazione).
Sulla base di tali considerazioni, l’Autorità, nei precedenti pareri adottati in materia, ha reputato proporzionata l’acquisizione da parte della PN-DGC dei dati relativi alla positività al SARS-CoV-2 di un interessato in possesso di certificazione verde proprio al fine di assicurarne la revoca.
Alla luce dell’attivazione di tale flusso di dati (esito positivo dei tamponi molecolari) e della mancata attuazione dell’istituto della revoca delle certificazioni verdi indicato nel richiamato art. 8, comma 5, del d.P.C.M. 17 giugno 2021, con il richiamato parere dell’11 ottobre 2021, l’Autorità ha formalmente ribadito la necessità che la funzionalità di revoca delle certificazioni fosse resa pienamente operativa in tempi rapidi, prendendo comunque atto di quanto rappresentato dal Ministero della salute circa la prossima predisposizione delle specifiche tecniche per l’attuazione di tale istituto. Il parere espresso sulle modalità di verifica automatizzate nel contesto lavorativo – mediante sistemi informativi già esistenti e accessibili da parte dei singoli datori di lavoro, in alternativa alle ordinarie modalità di verifica delle certificazioni verdi attraverso l’app VerificaC19, a cui tali modalità si affiancano – si è fondato sulla necessità di garantire l’esattezza e l’aggiornamento dei dati in base ai quali è generata la certificazione verde e al contempo di assicurare modalità semplificate da utilizzare per le verifiche del possesso della certificazione in tutti gli altri ambiti lavorativi.
In tal senso, nella segnalazione al Parlamento e al Governo dell’11 novembre 2021 sul disegno di legge di conversione del decreto-legge n. 127 del 2021 (AS 2394), circa la possibilità di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde al datore di lavoro, il Presidente dell’Autorità ha evidenziato che l’efficacia a fini epidemiologici della certificazione verde è strettamente connessa alla verifica periodica della validità della stessa, realizzabile attraverso l’aggiornamento delle certificazioni in base alle risultanze diagnostiche eventualmente sopravvenute rilevate mediante la PN-DGC, che garantisce l’esattezza e l’aggiornamento dei dati personali (doc. web n. 9717878).
Lo schema di decreto in esame delinea, con alcune differenze rispetto a quanto previsto nell’originaria versione del d.P.C.M. 17 giugno 2021, il flusso di dati relativi alla sopraggiunta positività del soggetto in possesso di una certificazione verde in corso di validità attraverso il coinvolgimento del Sistema Tessera Sanitaria, al fine di inserire gli identificativi univoci di dette certificazioni nella lista delle certificazioni revocate (art. 1, comma 1, lett. d), dello schema di decreto che sostituisce l’art. 8, comma 5, del d.P.C.M. 17 giugno 2021).
In tale quadro, si prende atto che il Ministero, anche alla luce dell’attuale contesto pandemico, ha condiviso l’esigenza, non più differibile, di dare piena attuazione all’istituto della revoca delle certificazioni verdi e conseguentemente anche ai principi di esattezza, integrità e riservatezza dei dati, accogliendo l’invito più volte espresso dall’Autorità (art. 5, par. 1, lett. d) e f), del Regolamento).
Anche in considerazione dei recenti episodi di diffusione online delle certificazioni verdi, attualmente all’esame dell’Autorità, si rileva con favore che, come più volte sollecitato dall’Ufficio, sia stata prevista una specifica procedura di revoca – per il tramite di una apposita funzionalità del Sistema TS – in caso di certificazioni verdi rilasciate od ottenute in maniera fraudolenta ovvero nel caso di sospensione di una partita di vaccino anti Covid-19 risultata difettosa (art. 1, comma 1, lett. e), dello schema di decreto che introduce il comma 6 all’art. 8 del d.P.C.M. 17 giugno 2021).
Si valuta, inoltre, positivamente che, nello schema di decreto in esame, sia stata mantenuta la previsione – già proposta dall’Ufficio in occasione della stesura della prima versione del d.P.C.M. 17 giugno 2021 – di informare l’interessato, in caso di revoca di una certificazione verde, utilizzando i dati di contatto forniti dallo stesso. Tale misura consente di assicurare un costante controllo, da parte dell’interessato, circa l’esattezza dei dati trattati nell’ambito della PN-DGC, utile quindi anche al fine di individuare precocemente eventuali revoche generate da dati non corretti (art. 1, comma 1, lett. d), dello schema di decreto che sostituisce l’art. 8, comma 5, del d.P.C.M. 17 giugno 2021).
Su richiesta dell’Ufficio, nel rispetto del principio di trasparenza, sono state inoltre meglio descritte nello schema di decreto in esame le ipotesi in cui è possibile procedere all’annullamento della revoca della certificazione: emissione della certificazione di guarigione dalla positività che l'aveva generata o rettifica dell’esito di un tampone erroneamente risultato positivo (art. 1, comma 1, lett. d), dello schema di decreto che sostituisce l’art. 8, comma 5, del d.P.C.M. 17 giugno 2021).
Rispetto alle previsioni relative alla revoca delle certificazioni presenti nell’impianto originario del predetto d.P.C.M. 17 giugno 2021, lo schema di decreto in esame prevede che il Sistema TS metta a disposizione del Ministero della salute e delle regioni e Province autonome la lista delle certificazioni verdi dei propri assistiti revocate. Su richiesta dell’Ufficio, lo schema di decreto delimita la finalità di tale trattamento alla necessità di allineare i sistemi regionali che hanno comunicato l’evento sanitario che ha generato le certificazioni revocate (art. 1, comma 1, lett. e), dello schema di decreto che introduce il comma 7 all’art. 8 del d.P.C.M. 17 giugno 2021).
4. I trattamenti di dati personali connessi alla consegna della certificazione verde Covid-19 al datore di lavoro
Lo schema di decreto in esame introduce misure a tutela della salute pubblica e della sicurezza nei luoghi di lavoro in caso di eventuale consegna da parte del lavoratore al datore di lavoro di copia della propria certificazione verde Covid-19 (ipotesi introdotta dagli artt. 9-quinquies, comma 4, e 9-septies, comma 5, del decreto-legge 22 aprile 2021, n. 52), prevedendo, comunque, la verifica quotidiana, da parte del datore di lavoro, della perdurante validità della stessa (art. 13, comma 16, del d.P.C.M. 17 giugno 2021, introdotto dallo schema di decreto in esame).
Come evidenziato nel precedente paragrafo, l’impiego delle certificazioni verdi risulta efficace a fini epidemiologici nella misura in cui il certificato sia soggetto a verifiche periodiche sulla sua persistente validità. L’eventuale assenza di verifiche sulla validità della certificazione verde non consente infatti di rilevare l’eventuale occorrenza di una condizione che determina la revoca della stessa (es. in caso di positività sopravvenuta in capo al lavoratore che ha volontariamente consegnato la certificazione verde), in contrasto, peraltro, con il principio di esattezza cui deve informarsi il trattamento dei dati personali (art. 5, par. 1, lett. d), del Regolamento).
Sul punto, già prima dell’entrata in vigore della richiamata disposizione normativa, il Garante ha evidenziato i notevoli rischi per i diritti e le libertà degli interessati derivanti da tale diposizione in relazione alla acquisizione della copia della certificazione verde, specialmente nel contesto lavorativo, evidenziando che un’eventuale mancata verifica quotidiana della validità della certificazione verde rischia di determinare la sostanziale elusione delle finalità di sanità pubblica (cfr. Segnalazione al Parlamento e al Governo sul Disegno di legge di conversione del decreto-legge n. 127 del 2021 (AS 2394), doc. web n. 9717878, nella parte in cui evidenzia che “la dinamicità e potenziale variabilità della condizione sanitaria del soggetto è difficilmente “cristallizzabile” in una presunzione di validità della certificazione, insensibile a ogni eventuale circostanza sopravvenuta ed esige, di contro, un costante aggiornamento con corrispondenti verifiche”).
Considerato che la certificazione verde Covid-19 e il QR code contengono, come previsto dal Regolamento (UE) 2021/953, numerosi dati personali anche relativi alla salute degli interessati e, tra questi, anche la specifica causale in ragione della quale è stata rilasciata la certificazione verde (vaccinazione, guarigione, tampone con esito negativo) nonché altre informazioni di dettaglio (ad esempio, il numero di dosi somministrate, il tipo ed il lotto del vaccino, il tipo di tampone effettuato- antigenico o molecolare- la data del primo tampone con esito positivo), il Garante continua a evidenziare i rischi che la prevista consegna del certificato verde al datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e le convinzioni personali, pone rispetto alle garanzie della disciplina di protezione dati e dalla normativa di settore a tutela della dignità e della libertà nei luoghi di lavoro (art. 88 del Regolamento, art. 113 del Codice, art. 8 della l. n. 300/1970 e art. 10 del d.lgs. n. 276/2003; v., sul punto, Memoria del Presidente del Garante del 7 dicembre 2021 su AS 2463 - Conversione in legge del decreto-legge 26 novembre 2021, n. 172, doc. web n. 9725434).
In tale quadro, all’esito delle interlocuzioni con l’Ufficio e alla luce della piena attuazione dell’istituto della revoca delle certificazioni verdi, si prende atto della previsione in base alla quale, nei casi in cui il lavoratore si avvalga della facoltà di consegna al proprio datore di lavoro della certificazioni verde, il datore di lavoro stesso sia comunque tenuto, a tutela della salute e sicurezza dei luoghi di lavoro, a effettuare il regolare controllo sulla perdurante validità della certificazione del lavoratore effettivamente in servizio con le modalità previste dalla disciplina di settore (mediante lettura del QR code della copia in possesso del datore di lavoro attraverso l’app VerificaC19, ovvero mediante le previste modalità automatizzate).
Il trattamento dei dati personali da parte del datore di lavoro, in caso di acquisizione e conservazione della certificazione verde, deve in ogni caso essere limitato alla sola finalità di verifica della perdurante validità della certificazione nel rispetto del principio di limitazione della finalità del trattamento (art. 5, par. 1, lett. b) del Regolamento), non essendo ammessi trattamenti per finalità ulteriori rispetto a quelle previste dalla norma (cfr. art. 2-decies del Codice), ed essere effettuato adottando misure tecniche e organizzative per assicurare l’integrità e la riservatezza dei dati, tenuto conto dei rischi e delle possibili conseguenze per gli interessati nel contesto lavorativo e professionale (artt. 5, par. 1, lett. f), 24 e 32 del Regolamento).
5. Le certificazioni digitali di esenzione dalla vaccinazione anti Covid-19
L’art. 9-bis, comma 3, della legge n. 87/2021 ha previsto che le disposizioni relative all’uso delle certificazioni verdi non si applichino ai soggetti esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della salute. Con decreto del Presidente del Consiglio dei Ministri, adottato di concerto con i Ministri della salute, per l’innovazione tecnologica e la transizione digitale, e dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali, devono essere individuate le specifiche tecniche per trattare in modalità digitale le certificazioni di esenzione alla vaccinazione, al fine di consentirne la verifica digitale e assicurare contestualmente la protezione dei dati personali in esse contenuti.
Ai sensi delle disposizioni sopra richiamate, il 4 agosto 2021, la Direzione generale della prevenzione sanitaria del Ministero della salute ha adottato la prevista circolare definendo i criteri per il rilascio delle certificazioni di esenzione alla vaccinazione anti Covid-19 necessarie per consentire l’accesso ai servizi e all’attività indicate dalla normativa vigente ai soggetti che, per condizione medica, non possono ricevere o completare la vaccinazione e quindi ottenere la relativa certificazione verde Covid-19 (circolare del 4 agosto 2021, prot. n. 35309).
In tale circolare, il Ministero ha stabilito che, nelle more dell’adozione del richiamato decreto del Presidente del Consiglio dei Ministri, le certificazioni di esenzione alla vaccinazione anti-SARS-CoV-2 potevano essere rilasciate dai soggetti ivi indicati in formato cartaceo con una validità massima fino al 30 settembre 2021 e che le stesse “non poss[...a]no contenere altri dati sensibili del soggetto interessato (es. motivazione clinica della esenzione)”.
Con successiva circolare del 25 settembre 2021 (prot. n. 43366), il Ministero della salute ha esteso la validità delle predette certificazioni cartacee sino al 30 novembre 2021. Tale circolare ha inoltre previsto un nuovo rilascio delle certificazioni di esenzione già emesse qualora “le stesse contengano dati del soggetto interessato, ulteriori rispetto a quelli indicati per la loro compilazione, a carattere sensibile (es. motivazione clinica della esenzione)”.
Il 25 novembre 2021 la Direzione generale della prevenzione sanitaria del Ministero della salute ha adottato una nuova circolare (prot. n. 53922) con la quale è stata disposta un’ulteriore proroga della validità delle certificazioni cartacee di esenzione sino al 31 dicembre 2021.
Con riferimento alle certificazioni mediche che attestano una condizione temporanea o definitiva di esenzione dalla vaccinazione anti Covid-19, l’Autorità, nell’immediatezza della relativa previsione normativa, ha evidenziato al Ministero della salute che, alla luce dei principi di correttezza del trattamento, di minimizzazione e di integrità e riservatezza dei dati (art. 5, par. 1, lett. a), c) e f), del Regolamento), il suddetto periodo transitorio doveva essere limitato al tempo strettamente necessario all’adozione del previsto decreto del Presidente del Consiglio dei Ministri. Ciò in quanto la presentazione di un documento cartaceo di esenzione alla vaccinazione anti Covid-19, diverso dalla certificazione verde Covid-19, avrebbe inevitabilmente rivelato a terzi la sussistenza di una condizione di salute dell’interessato che gli impedisce, in via temporanea o definitiva, di sottoporsi alla predetta vaccinazione (cfr., da ultimo, parere dell’11 ottobre 2021, doc. web n. 9707431).
Il Garante continua a ritenere prioritario intervenire al fine di assicurare che i soggetti esenti dalla vaccinazione per motivi di salute, in caso di accesso ai servizi e alle attività per le quali è richiesta la certificazione verde, possano presentare un documento digitale dotato di QR Code che, attraverso l’uso dei sistemi di verifica previsti dalla normativa vigente, riveli le medesime informazioni delle certificazioni verdi covid-19, ovvero quelle relative all’autenticità, alla validità e all’integrità della certificazione e alle generalità dell’interessato, senza che siano anche visibili le informazioni che ne hanno determinato l’emissione. In conformità ai principi applicabili al trattamento dei dati personali, il soggetto deputato al controllo della certificazione digitale di esenzione non dovrà, quindi, venire a conoscenza della condizione di salute alla base della quale è stata emessa la certificazione di esenzione, né la data di cessazione della validità della stessa.
Tali considerazioni risultano ancor più rilevanti in ragione dell’estensione dell’uso delle certificazioni verdi Covid-19 per l’accesso ai luoghi di lavoro (d.l. n. 111/2021 e d.l. n. 127/2021) e alle nuove modalità di impiego delle stesse (d.l. n. 172/2021) (in tal senso cfr. citato parere dell’11 ottobre 2021).
Ciò premesso, nel prendere nuovamente atto di quanto rappresentato dal Ministero della salute in ordine alla prossima predisposizione del predetto d.P.C.M. e nel rinnovare la disponibilità dell’Ufficio a collaborare ai fini dell’individuazione delle modalità di emissione della certificazione digitale di esenzione rispettose della disciplina sulla protezione dei dati, l’Autorità, alla luce dell’estensione dell’uso delle certificazioni verdi Covid-19 determinata dai recenti interventi normativi, nonché dell’estensione dell’obbligo vaccinale a numerose categorie di lavoratori, considerati i maggiori rischi per gli interessati nel contesto lavorativo, ritiene estremamente urgente l’adozione del richiamato decreto del Presidente del Consiglio dei Ministri previsto dall’art. 9-bis, comma 3, d.l. n. 52/2021.
6. Le modalità di recupero delle certificazioni verdi Covid-19.
Lo schema di decreto in esame, al fine di favorire la messa a disposizione agli interessati delle certificazioni verdi Covid-19 generate dalla PN-DGC, prevede che le suddette certificazioni possano essere rese disponibili agli interessati anche per il tramite dei “laboratori pubblici e privati accreditati” e dei “professionisti sanitari e operatori di interesse sanitario” (art. 1, comma 1, lett. c), dello schema di decreto che modifica l’art. 11, comma 1, lett. e), del d.P.C.M. 17 giugno 2021).
Come già rilevato nell’ambito delle interlocuzioni informali con il Ministero della salute, anche al fine di mitigare i rischi di divulgazione non autorizzata e di accesso illecito ai dati personali presenti nelle certificazioni verdi, l’Autorità ritiene necessario che il predetto Dicastero definisca in modo puntuale i soggetti che rientrano nella categoria di “operatore di interesse sanitario” prima di procedere all’autorizzazione degli stessi quali intermediari abilitati al recupero delle certificazioni verdi su richiesta dell’interessato.
Si prende infine atto che, alla luce di un riesame dei rischi per i diritti e le libertà degli interessati effettuato anche a seguito dell’avvenuta diffusione online di numerose di certificazioni verdi, è stata prevista la registrazione di ulteriori informazioni relative alle operazioni di recupero delle stesse tramite il Sistema TS da parte di intermediari abilitati al rilascio delle certificazioni verdi agli interessati (cfr. all. C, par. 14.5, dello schema in esame). In particolare, il Ministero ha accolto le indicazioni dell’Ufficio, formulate nel corso delle interlocuzioni, sulla necessità di registrare, per ciascuna transazione effettuata, anche: l’identificativo della transazione; il codice fiscale o identificativo del soggetto che ha eseguito l’operazione; le modalità di autenticazione dell’operatore sanitario; il codice fiscale o i dati anagrafici dell’interessato; l’identificativo univoco del certificato (UVCI) della certificazione; la data e l’ora dell’operazione.
Si rileva, tuttavia, che, analogamente a quanto stabilito in caso di recupero della certificazione verde Covid-19 tramite intermediario abilitato, dovrebbe essere prevista la registrazione di ulteriori informazioni di dettaglio anche in caso di recupero della certificazione verde direttamente da parte dell’interessato mediante la PN-DGC, aggiornando opportunamente l’all. F al d.P.C.M. 17 giugno 2021.
7. L’ambito di validità delle certificazioni verdi Covid-19.
Nel richiamato parere dell’11 ottobre 2021, l’Autorità, considerata l’estensione della certificazione verde Covid-19 ai lavoratori del settore pubblico e privato, aveva rappresentato che, in caso di verifica della stessa tramite l’app VerificaC19, non fossero mostrati al verificatore elementi, quali diciture (“Certificazione valida solo in Italia”) o colori (schermata azzurra), suscettibili di rivelare la sussistenza di una particolare condizione alla base del rilascio della certificazione (es. prima dose vaccinale).
Al riguardo, non risulta tuttavia che il Ministero abbia adottato accorgimenti o misure per evitare che siano mostrati al verificatore i richiamati elementi e diciture.
Ciò stante, in considerazione dell’ulteriore estensione dell’uso delle certificazioni verdi Covid-19 e al generalizzato impiego per l’accesso ai luoghi di lavoro, l’Autorità ritiene necessario che il Ministero apporti le necessarie modifiche all’app VerificaC19, al pacchetto di sviluppo per applicazioni (SDK), nonché alle specifiche tecniche e ai requisiti che devono essere soddisfatti dalle librerie software e dalle soluzioni da esse derivate, in modo tale da non mostrare al verificatore elementi, quali diciture (“Certificazione valida solo in Italia” o “Certificazione non ancora valida”) o colori (schermata azzurra), suscettibili di rivelare la sussistenza di una particolare condizione alla base del rilascio della certificazione (es. prima dose vaccinale).
Qualora fosse necessario effettuare una distinzione tra le certificazioni verdi valide solo in Italia e quelle valide anche in altri Stati membri (ad es. all’atto di verifiche della validità delle certificazioni in occasione di spostamenti transfrontalieri), resta salva la possibilità di prevedere una specifica modalità di verifica analogamente a quanto previsto per la verifica delle certificazioni di avvenuta guarigione e di vaccinazione.
Peraltro, stante la non completa omogeneità delle discipline dei singoli Stati membri in ordine alle condizioni per l’ingresso nei relativi territori, tale modalità di verifica -alla luce del recente avvio dello scambio delle regole di verifica delle certificazioni attraverso il gateway europeo (cfr. Commissione europea, “Relazione della su un quadro per il rilascio, la verifica e l'accettazione dei certificati di vaccinazione, di test e di guarigione in relazione alla COVID-19” del 18 ottobre 2021, spec. pag. 3)- potrebbe essere realizzata tenendo in considerazione le regole in uso nel Paese di destinazione.
8. L’aggiornamento della valutazione di impatto sulla protezione dei dati.
I trattamenti di dati personali disciplinati dallo schema di decreto in esame, relativi alla verifica del rispetto dell’obbligo vaccinale con riguardo ad alcune categorie di lavoratori, alla revoca delle certificazioni verdi Covid-19, alla verifica del possesso delle certificazioni verdi Covid-19 di avvenuta vaccinazione o guarigione, presentano rischi elevati per i diritti e le libertà degli interessati.
Pertanto, si ritiene necessario che il Ministero della salute, titolare dei trattamenti effettuati nell’ambito della PN-DGC per le predette finalità, dia conto dell’avvenuto aggiornamento della valutazione di impatto sulla protezione dei dati, in considerazione degli specifici rischi connessi ai trattamenti di dati personali in esame, effettuati su larga scala e concernenti dati relativi alla salute di interessati, anche vulnerabili, nonché delle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.
RITENUTO
In ragione della manifestata esigenza di dare attuazione con urgenza alle disposizioni che hanno previsto l’estensione dell’obbligo vaccinale anti-SARS-CoV-2 per ulteriori categorie di lavoratori, nonché il possesso della certificazione verde di avvenuta vaccinazione o guarigione per la fruizione di alcuni servizi, per specifiche attività e spostamenti, l’Autorità prende atto del complesso delle misure di garanzia sopra descritte, adottate anche a seguito delle interlocuzioni avviate con l’Ufficio, ritenute appropriate per tutelare i diritti fondamentali e gli interessi delle persone fisiche. Per i profili di competenza in materia di protezione dei dati personali, si ritiene pertanto che nulla osti, allo stato dell’attuale situazione epidemiologica, alla tempestiva applicazione delle disposizioni contenute nello schema di decreto in esame e all’avvio dei relativi trattamenti in quanto complessivamente conformi al principio di liceità e, più in generale, alla disciplina sulla protezione dei dati personali.
Ciò premesso, tenuto conto che i trattamenti di dati personali in esame, destinati a protrarsi nel tempo, sono effettuati su larga scala e riguardano dati relativi alla salute di interessati, anche vulnerabili, nonché valutata la necessità di assicurare che il trattamento sia proporzionato rispetto all’obiettivo di interesse pubblico perseguito nel settore della sanità pubblica, al fine di incrementare, a regime, il livello di tutela dei diritti fondamentali e degli interessi delle persone fisiche, attraverso l’adozione di misure di garanzia aggiuntive rispetto a quelle già previste nello schema di decreto in esame, l’Autorità ritiene necessario che il Ministero della salute:
definisca in modo puntuale i soggetti che rientrano nella categoria di “operatore di interesse sanitario” prima di procedere all’autorizzazione degli stessi quali intermediari abilitati al recupero delle certificazioni verdi su richiesta dell’interessato (par. 6 del presente provvedimento);
adotti specifici accorgimenti volti a rendere evidente all’interessato la modalità di verifica utilizzata dal soggetto che effettua i controlli, introducendo, all’interno dell’app VerificaC19, specifici elementi testuali, grafici e visivi, come, ad esempio, diciture, simboli e colori, differenziati per le due modalità di verifica (“base” o “rafforzata”) (par. 2 del presente provvedimento);
apporti le necessarie modifiche all’app VerificaC19, al pacchetto di sviluppo per applicazioni (SDK), nonché alle specifiche tecniche e ai requisiti che devono essere soddisfatti dalle librerie software e dalle soluzioni da esse derivate, in modo tale da non mostrare al verificatore elementi, quali diciture (“Certificazione valida solo in Italia” o “Certificazione non ancora valida”) o colori (schermata azzurra), suscettibili di rivelare la sussistenza di una particolare condizione alla base del rilascio della certificazione (es. prima dose vaccinale) (par. 7 del presente provvedimento);
dia conto dell’avvenuto aggiornamento della valutazione di impatto sulla protezione dei dati relativa ai trattamenti effettuati nell’ambito della PN-DGC, in considerazione degli specifici rischi connessi ai trattamenti di dati personali in esame, effettuati su larga scala e concernenti dati relativi alla salute di interessati, anche vulnerabili, nonché delle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo (par. 8 del presente provvedimento).
TUTTO CIÒ PREMESSO, IL GARANTE
1) ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri, da adottare di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze;
2) ai sensi degli artt. 57, par. 1, lett. a) e c), e 58, par. 2, lett. d), del Regolamento, nell’ambito dei compiti istituzionali volti a sorvegliare e ad assicurare la piena applicazione del Regolamento, tenuto conto dello stato dell’attuale quadro epidemiologico, prescrive al Ministero della salute di adottare le seguenti misure di garanzia dei diritti e delle libertà fondamentali degli interessati aggiuntive rispetto a quelle previste nello schema di decreto in esame, che non costituiscono condizioni ostative all’attuazione delle disposizioni ivi contenute, essendo volte a determinare un incremento del livello di tutela nei confronti degli interessati in relazione all’obiettivo di interesse pubblico perseguito nel settore della sanità pubblica:
a) definire in modo puntuale i soggetti che rientrano nella categoria di “operatore di interesse sanitario” prima di procedere all’autorizzazione degli stessi quali intermediari abilitati al recupero delle certificazioni verdi su richiesta dell’interessato;
b) adottare specifici accorgimenti volti a rendere evidente all’interessato la modalità di verifica utilizzata dal soggetto che effettua i controlli, introducendo, all’interno dell’app VerificaC19, specifici elementi testuali, grafici e visivi, come, ad esempio, diciture, simboli e colori, differenziati per le due modalità di verifica (“base” o “rafforzata”);
c) apportare le necessarie modifiche all’app VerificaC19, al pacchetto di sviluppo per applicazioni (SDK), nonché alle specifiche tecniche e ai requisiti che devono essere soddisfatti dalle librerie software e dalle soluzioni da esse derivate, in modo tale da non mostrare al verificatore elementi, quali diciture (“Certificazione valida solo in Italia” o “Certificazione non ancora valida”) o colori (schermata azzurra), suscettibili di rivelare la sussistenza di una particolare condizione alla base del rilascio della certificazione (es. prima dose vaccinale);
d) dare conto dell’avvenuto aggiornamento della valutazione di impatto sulla protezione dei dati relativa ai trattamenti effettuati nell’ambito della PN-DGC, in considerazione degli specifici rischi connessi ai trattamenti di dati personali in esame, effettuati su larga scala e concernenti dati relativi alla salute di interessati, anche vulnerabili, nonché delle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo; si ricorda che l'eventuale inosservanza di un ordine impartito da parte dell'autorità di controllo ai sensi dell'art. 58, par. 2, del Regolamento può comportare l'applicazione della sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento;
3) ai sensi 157 del Codice, chiede al Ministero della salute di comunicare, entro 15 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese, o si intende intraprendere, al fine di dare attuazione a quanto prescritto nel precedente punto 2), avendo cura di indicare anche il termine entro il quale si intende completare l’adozione delle misure ivi indicate che comunque non deve essere superiore a 45 giorni dalla data di adozione del presente provvedimento; si ricorda che l'eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria di cui all’art. 166 del Codice.
Roma, 13 dicembre 2021
IL PRESIDENTE
Stanzione