Ricorso per conflitto di attribuzione della Provincia autonoma di
Bolzano (00390090215), in persona del suo presidente e legale
rappresentante pro tempore, Arno Kompatscher, rappresentata e difesa,
tanto congiuntamente quanto disgiuntamente, in virtu' della procura
speciale rep. n. 25626 del 10 agosto 2021, rogata dal segretario
generale della giunta provinciale dott. Eros Magnago, nonche' in
virtu' della deliberazione della giunta provinciale di autorizzazione
a stare in giudizio n. 672 del 10 agosto 2021, dagli avvocati Renate
von Guggenberg (VNGRNT57L45A952K renate.guggenberg@pec.prov.bz.it),
Alexandra Roilo (RLOLND68S41B160H - alexandra.roilo@pec.prov.bz.it),
Laura Fadanelli (FDNLRA65H69A952U - laura.fadanelli@pec.prov.bz.it),
Cristina Bernardi (BRNCST64M47D548L -
cristina.bernardi@pec.prov.bz.it) e Lukas Plancker (PLNLKS68E21A952A
- lukas.plancker@pec.prov.bz.it), dell'avvocatura della stessa
provincia (anwaltschaft.avvocatura@pec.prov.bz.it - fax 0471/412099),
e dall'avv. Luca Graziani (GRZLCU62R29H501D -
lucagraziani@ordineavvocatiroma.org), del Foro di Roma, e presso lo
studio di quest'ultimo in 00195 Roma, via Bassano del Grappa n. 24,
elettivamente domiciliata (06/3729467);
Contro il Presidente del Consiglio dei ministri, in persona del
Presidente del Consiglio in carica;
Il Garante per la protezione dei dati personali, in persona del
legale rappresentante pro tempore;
In relazione al provvedimento del Garante per la protezione dei
dati personali n. 244 del 18 giugno 2021, per la declaratoria della
non spettanza allo stesso garante dei poteri ivi esercitati, e per il
conseguente annullamento di detto provvedimento, nonche' di ogni
altro atto comunque connesso, presupposto, attuativo e/o
consequenziale, ivi compresa la comunicazione dello stesso garante di
data 6 luglio 2021, prot. n. 0035891.
Fatto
Al paragrafo II.0 dell'allegato A della legge provinciale 8
maggio 2020, n. 4, recante «Misure di contenimento della diffusione
del virus SARS-COV-2 nella fase di ripresa delle attivita'», sono
disciplinate le certificazioni verdi, e cioe' le attestazioni
comprovanti una delle seguenti fattispecie:
a) lo stato di avvenuta vaccinazione contro il SARS-CoV-2;
b) la guarigione dall'infezione da SARS-CoV-2;
c) l'effettuazione di un test per la rilevazione del
SARS-CoV-2 con esito negativo.
Con ordinanza contingibile e urgente n. 20 del 23 aprile 2021 del
presidente della Provincia autonoma di Bolzano (doc. 6) e' stato
previsto, tenuto anche conto del quadro normativo delineato dal
decreto-legge 22 aprile 2021, n. 52, relativamente all'introduzione
della certificazione verde quale misura di sanita' pubblica per il
contenimento della diffusione del virus Sars CoV-2, al fine di
garantire la ripresa graduale delle attivita' economiche e sociali e
«in attesa di eventuali disposizioni emanate a livello centrale», che
l'esibizione di detta certificazione fosse necessaria, nel territorio
della provincia, per accedere a determinati eventi, strutture e altri
luoghi pubblici o aperti al pubblico, attivita' e servizi.
In relazione a quanto previsto dalla predetta ordinanza, il
Garante per la protezione dei dati personali, con nota del 30 aprile
2021, prot. n. 24123 (doc. 5), ha chiesto informazioni alla Provincia
autonoma di Bolzano, rappresentando di aver adottato un provvedimento
di avvertimento in merito ai trattamenti effettuati relativamente
alla certificazione verde per COVID-19 prevista dal decreto-legge n.
52/2021, nel quale avrebbe rilevato che detto decreto-legge non
rappresenti una valida base giuridica per l'introduzione e l'utilizzo
dei certificati verdi a livello nazionale.
Con la predetta nota del 30 aprile 2021, e' stato inoltre
rappresentato che una delle criticita' sollevate dal Garante nel
predetto provvedimento riguarda la mancata individuazione delle
specifiche finalita' perseguite attraverso l'introduzione della
certificazione verde, elemento essenziale al fine di valutare la
proporzionalita' della norma, richiesta dall'art. 6 del regolamento
(UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile
2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonche' alla libera circolazione di
tali dati e che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati) e, in particolare, che soltanto una legge
statale potrebbe subordinare l'esercizio di determinati diritti o
liberta' all'esibizione di tale certificazione.
In risposta alla richiesta di informazioni, la Provincia autonoma
di Bolzano ha fornito elementi con nota del 7 maggio 2021 (doc. 7),
in cui e' stato rappresentato, in particolare, che:
«ai sensi dell'art. 52, secondo comma dello statuto
d'autonomia il presidente della provincia adotta i provvedimenti
contingibili e urgenti in materia di sicurezza e di igiene pubblica
nell'interesse delle popolazioni di due o piu' comuni»;
«la Provincia autonoma di Bolzano ha competenza legislativa
primaria, tra l'altro, nelle materie di opere di prevenzione e di
pronto soccorso per calamita' pubbliche, assunzione diretta di
servizi pubblici e loro gestione a mezzo di aziende speciali,
assistenza e beneficenza pubblica e scuola materna (art. 8, comma 1,
punti 13, 19, 25 e 26 dello statuto d'autonomia)»;
«la Provincia autonoma di Bolzano ha competenza legislativa
concorrente, tra l'altro, in materia di igiene e sanita', ivi
compresa l'assistenza sanitaria e ospedaliera (art. 9, comma 1, punto
10 dello statuto d'autonomia)»;
«la legge provinciale 8 maggio 2020, n. 4, recante "Misure di
contenimento della diffusione del virus SARS-COV-2 nella fase di
ripresa delle attivita'", tra l'altro gia' contempla nel proprio
"allegato A, II.C." una "Covid protected area" per gli esercizi
ricettivi. Sono ivi previste delle misure di sicurezza supplementari
tra cui il controllo completo della clientela: ospiti e clienti
presentano al check-in un test PCR certificato con esito negativo
risalente a non piu' di quattro giorni prima oppure forniscono prova
certificata dello sviluppo di anticorpi o all'arrivo si sottopongono
a un test come da protocollo del servizio sanitario»;
«l'art. 1 della legge 7 agosto 2015, n. 124, in materia di
riorganizzazione delle amministrazioni pubbliche, rubricato "Carta
della cittadinanza digitale", sancisce il diritto di cittadini e
imprese, "anche attraverso l'utilizzo delle tecnologie
dell'informazione e della comunicazione ... di accedere a tutti i
dati, i documenti e i servizi di loro interesse in modalita' digitale
... al fine di garantire la semplificazione nell'accesso ai servizi
alla persona" e "riducendo la necessita' dell'accesso fisico agli
uffici pubblici"»;
«l'impugnazione di una legge provinciale davanti alla Corte
costituzionale per violazione della Costituzione, dello statuto o del
principio di parita' tra i gruppi linguistici puo' essere esercitata
solo dal Governo» e «il Governo non ha sollevato ricorso contro la
legge provinciale 8 maggio 2020, n. 4, ne' ha sollevato delle
criticita' nei confronti dell'ordinanza presidenziale contingente e
urgente n. 20 del 23 aprile 2021»;
«le "Certificazioni verdi" di cui al punto 47 dell'ordinanza
presidenziale sono rilasciate in piena conformita' alle disposizioni
dell'art. 9 del decreto-legge 22 aprile 2021, n. 52, e potranno
essere in seguito modificate qualora cambiasse il quadro normativo
nazionale di riferimenti»;
«le "Certificazioni verdi" di cui al punto 47 dell'ordinanza
presidenziale sono rilasciate in piena conformita' alle disposizioni
dell'art. 9 del decreto-legge 22 aprile 2021, n. 52, e potranno
essere in seguito modificate qualora cambiasse il quadro normativo
nazionale di riferimento»;
«nessuna discriminazione tra le persone e' stata perpetrata
dalle "Certificazioni verdi" di cui al punto 47 dell'ordinanza
presidenziale sopra meglio specificata. Analogamente al certificato
verde digitale, presentato il 17 marzo 2021 dalla Commissione europea
per agevolare la libera circolazione sicura dei cittadini nell'UE
durante la pandemia di COVID-19, anche la suddetta certificazione
verde si pone come prova digitale attestante che una persona e' stata
vaccinata contro il SARS-COVID-2, che e' guarita dall'infezione
SARS-COVID-2 oppure che ha ottenuto un risultato negativo al test per
la rivelazione del SARS-COVID-2. L'ampia gamma delle diverse
fattispecie risulta essere coperta. Ogni persona ha poi la
possibilita' di sottoporsi gratuitamente al test. A tal fine la
provincia ha realizzato un'infrastruttura presente in maniera
capillare su tutto il territorio, di modo che chiunque abbia
l'opportunita' di sottoporsi nelle sue immediate vicinanze
gratuitamente ad un test»;
«le "Certificazioni verdi" in parola consentono di contenere
ulteriormente la limitazione dei diritti individuali, in quanto
condizione per l'accesso ad una serie di attivita' altrimenti
precluse; tale strumento consente pertanto un piu' proporzionato e
bilanciato contemperamento tra la tutela della salute e la minore
compressione possibile dei diritti costituzionalmente garantiti, come
richiesto da costante giurisprudenza costituzionale sul principio di
uguaglianza»;
«la soluzione dei certificati verdi rappresenta la sintesi
del bilanciamento tra interessi e diritti di eguale rango primario di
natura costituzionale: la tutela della salute, sia individuale che
collettiva, ai sensi dell'art. 32 e la liberta' di iniziativa
economica ai sensi dell'art. 41 della Costituzione, la quale non puo'
comunque svolgersi in contrasto con l'utilita' sociale o in modo da
recare danno alla sicurezza, alla liberta', alla dignita' umana. La
finalita' della misura e' infatti quella di far riaprire e ripartire
le attivita' economiche e culturali riducendo al minimo il rischio di
contagio in aree pubbliche, specialmente nei locali al chiuso, in
modo da evitare ulteriori nuove ondate di contagi, e garantire un
"Alto Adige Covid Safe", come peraltro dettagliato anche nel relativo
studio di eurac research e Azienda sanitaria dell'Alto Adige»;
«l'Alto Adige e' una terra di confine e molti lavoratori
pendolari e studenti gia' da mesi devono sottoporsi al test SARS-COV
2 esibendo il relativo certificato ogni qualvolta si recano in
Austria. Le nuove disposizioni del Governo austriaco per l'ingresso
nel Paese prevedono infatti che per entrare in Austria i lavoratori
pendolari, gli studenti e gli universitari che vi entrano
regolarmente dal 10 febbraio 2021 devono presentare un certificato
medico che certifichi il test negativo al SARS-CoV-2 e devono
registrarsi. Se non dispongono del test lo devono eseguire nell'arco
delle ventiquattro ore dall'ingresso nel Paese. Il test e la
registrazione hanno una validita' di sette giorni. La registrazione
deve essere rinnovata dopo i sette giorni o prima qualora
intervengano modifiche rilevanti dei dati»;
«l'ordinanza presidenziale contingente e urgente n. 20 del 23
aprile 2021 risulta adottata in presenza dei presupposti di
necessita' ed urgenza in materia sanitaria e non si pone in contrasto
con le disposizioni dettate a carattere nazionale - richiamate nella
stessa ordinanza - e a carattere europeo»;
«l'ordinanza stessa, in attesa di eventuali disposizioni
emanate a livello centrale, ha una validita' temporale limitata dal
26 aprile 2021 al 31 luglio 2021»;
«trattasi cioe' di attestazioni che, a prescindere da quanto
previsto in ordine alla loro valenza da predetta ordinanza, gia'
venivano rilasciate al cittadino, fin dai principi della pandemia e
poi con l'inizio della campagna vaccinale, al ricorrere di una delle
situazioni individuate come presupposto, non e' stata creata alcuna
banca dati ulteriore, o app dedicata, per i certificati verdi in
quanto non raccolgono e non certificano informazioni o dati
aggiuntivi rispetto a quelli gia' contenuti nelle attestazioni di
avvenuta vaccinazione, guarigione o di effettuazione di un test con
risultato negativo. Si tratta di documentazione gia' esistente,
comunque prodotta e messa a disposizione del cittadino, in cui il
trattamento dei dati viene effettuato per finalita' di cura diagnosi,
prevenzione dell'emergenza virale COVID SARS-CoV-2 dal titolare del
trattamento, da individuarsi nell'Azienda sanitaria dell'Alto Adige»;
«la previsione per cui il possesso di tale documentazione
possa assurgere a presupposto per l'accesso a determinati servizi, ma
in ogni caso mai per quelli essenziali, che altrimenti potrebbero
restare preclusi al cittadino in ragione delle primarie esigenze di
tutela della salute, e' da ricondursi ai motivi di interesse pubblico
rilevante nel settore della sanita' pubblica ai sensi dell'art. 9,
paragrafo 2, lettera i) del regolamento europeo in materia di
protezione dei dati personali 2016/679»;
«le certificazioni verdi non implicano infatti alcun
trattamento ulteriore dei dati rispetto a quanto gia' compiutamente
definito e regolamentato, in ordine ai profili di protezione dei dati
personali, dal titolare del trattamento, l'azienda sanitaria, per il
rilascio delle attestazioni di avvenuta vaccinazione, guarigione o
effettuazione di un test con esito negativo. In altri termini, il
certificato verde altoatesino consiste nell'attestazione rilasciata
dall'azienda sanitaria in modalita' cartacea o digitale. A decorrere
dal 5 maggio 2021 le cittadine e i cittadini potranno richiedere il
proprio certificato vaccinale o attestante la guarigione dal virus
muniti entrambi di QR code. Per quanto riguarda le persone testate
con test nasali o antigenici il codice QR e' gia' presente
sull'attestazione del risultato del test»;
«i certificati verdi di cui all'ordinanza n. 20 del 23 aprile
2021, cosi' configurati, non costituiscono un'attuazione delle
disposizioni di cui al decreto-legge 22 aprile 2021, n. 52 (art. 9 ed
allegato 1), rispetto al quale il Garante ha espresso le proprie
censure con formale ammonimento in data peraltro concomitante con la
predetta ordinanza, ma operano nel quadro normativo delineato dal
decreto-legge. Non si tratta di attivita' non contemplate dalla
normativa nazionale e nel contempo eventuali rilievi rispetto alla
normativa nazionale non comportano automaticamente la caducazione
della disciplina provinciale. I dati di cui ai certificati verdi
altoatesini non riproducono infatti tutti i dati previsti, e ritenuti
dal garante come eccedenti in quanto contrastanti con il principio di
minimizzazione, per le certificazioni verdi COVID-19 nazionali ai
sensi dell'art. 9 del decreto-legge n. 52/2021 e dell'allegato 1. La
lettura dell'attestazione tramite QR-Code consente, infatti, di
limitare la riproduzione del solo dato relativo al nome e cognome del
soggetto che la esibisce La lettura del QR-Code, che avviene tramite
uso della fotocamera di cui sono dotati tutti gli smartphone standard
e funge da "biglietto di ingresso" per tutte le aree che
nell'ordinanza provinciale sono definite "CoronaPass Areas", non si
configura come un ulteriore trattamento di dati, considerato che cio'
che viene riprodotto, e non salvato, e' una sintesi dei dati
personali necessari e sufficienti a realizzare le finalita' sopra
esposte ovvero il nome e cognome della persona fisica cui
l'attestazione inerisce ed una mera spunta di colore verde (senza
indicazione se trattasi di soggetto vaccinato, guarito o testato
negativamente). La spunta verde ne sottende anche la validita', in
quanto allo scadere dei sei mesi previsti per le
vaccinazioni/guarigioni e delle settantadue ore per i test, il QRCode
non e' piu' funzionante»;
«in ordine alle attivita' per cui e' richiesto il possesso
della certificazione verde si rileva che quanto indicato al punto 22
dell'ordinanza presidenziale n. 20 del 23 aprile 2021 afferisce alla
partecipazione ad attivita' addestrative e i corsi di formazione»;
«con riguardo invece al punto 40 della stessa si subordina
alla presentazione della certificazione verde (secondo il rimando
contenuto al punto 43), la partecipazione alle attivita' svolte nei
luoghi chiusi, anche in palestre con presidio sanitario obbligatorio
oppure eroganti prestazioni rientranti nei livelli essenziali di
assistenza o prestazioni riabilitative o terapeutiche, qualora
l'attivita' non sia svolta in forma individuale o tra conviventi,
cosi' come prescritto parimenti per tutte le attivita' svolte in
palestre, centri fitness, piscine al chiuso e centri sportivi
comunque denominati dal comma 4 dello stesso punto».
Successivamente alla richiesta di informazioni, il presidente
della Provincia autonoma di Bolzano ha adottato l'ordinanza
contingibile e urgente n. 23 del 21 maggio 2021 (doc. 8), con la
quale e' stato riprodotto sostanzialmente quanto disposto con la
precedente ordinanza presidenziale, contenente alcune ulteriori
precisazioni.
Con provvedimento n. 244 del 18 giugno 2021 (doc. 3) il Garante
per la protezione dei dati personali ha imposto alla Provincia
autonoma di Bolzano e all'Azienda sanitaria dell'Alto Adige la
limitazione definitiva dei trattamenti relativi all'utilizzo delle
certificazioni verdi effettuati in attuazione delle ordinanze del
presidente della Provincia autonoma di Bolzano n. 20/2021 e n.
23/2021, ai sensi dell'art. 58, paragrafo 2, lettera f) del
regolamento (UE) 2016/679.
Detta limitazione e' stata disposta in relazione a quanto
prescritto nel parere n. 229 reso il 9 giugno 2021 sullo schema di
decreto del Presidente del Consiglio dei ministri relativo
all'attivazione della piattaforma nazionale DGC per l'emissione, il
rilascio e la verifica del Green Pass e a quanto previsto nel decreto
del Presidente del Consiglio dei ministri del 17 giugno 2021 adottato
sulla base di quanto indicato dal garante nel citato parere.
In particolare, sostiene il garante che la Provincia autonoma di
Bolzano non avrebbe competenze in merito all'introduzione di misure
di contenimento dell'emergenza da COVID-19 attraverso l'uso delle
certificazioni verdi COVID-19, in quanto la materia risulterebbe
assoggettata alla riserva di legge statale. Al riguardo il garante
richiama il provvedimento di avvertimento alla Regione Campania
adottato il 25 maggio 2021 e il precitato parere del 9 giugno 2021.
Nel provvedimento sono state altresi' rilevate delle criticita'
in relazione alle certificazioni verdi in uso nella Provincia di
Bolzano. Le stesse, tuttavia, sono state nel frattempo superate, in
quanto le certificazioni a livello locale sono state sostituite dalle
certificazioni valevoli a livello nazionale ed europeo.
Inoltre, con comunicazione di data 6 luglio 2021, prot. n.
0035891 (doc. 4), il Garante per la protezione dei dati personali ha
diffidato le regioni e le province autonome dall'adottare o dal dare
attuazione a iniziative territoriali che prevedano l'uso delle
certificazioni verdi per finalita' ulteriori e con modalita' difformi
rispetto a quelle espressamente previste dalla legge nazionale,
riservandosi espressamente ogni valutazione in ordine all'adozione di
provvedimenti finalizzati a imporre una limitazione provvisoria o
definitiva al trattamento, incluso il divieto di trattamento, con
riferimento ai predetti eventuali trattamenti.
Per completezza espositiva va ancora precisato che nel frattempo,
a livello provinciale, viene chiesta l'esibizione della
certificazione verde emessa ai sensi del decreto-legge n. 52/2021,
come convertito dalla legge 17 giugno 2021, n. 87, e del decreto del
Presidente del Consiglio dei ministri 17 giugno 2021, comprovante
sempre una delle seguenti fattispecie:
a) lo stato di avvenuta vaccinazione contro il SARS-CoV-2;
b) la guarigione dall'infezione da SARS-CoV-2;
c) l'effettuazione di un test per la rilevazione del
SARS-CoV-2 con esito negativo,
e che a livello nazionale tale certificazione viene oramai richiesta
per le stesse ipotesi gia' previste dalle ordinanze del presidente
della Provincia autonoma di Bolzano n. 20/2021 e n. 23/2021, per cui
alla Provincia di Bolzano va riconosciuto il ruolo di antesignano, e,
inoltre, tra breve l'impiego delle certificazioni verdi sara'
obbligatorio anche sui mezzi di trasporto.
Infine, in data 1° luglio 2021 e' entrato in vigore il
regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del
14 giugno 2021 su un quadro per il rilascio, la verifica e
l'accettazione di certificati interoperabili di vaccinazione, di test
e di guarigione in relazione alla COVID-19 (certificato COVID
digitale dell'UE) per agevolare la libera circolazione delle persone
durante la pandemia di COVID-19.
Cio' nondimeno la Provincia autonoma di Bolzano si vede costretta
a sollevare innanzi a codesta ecc.ma Corte il conflitto di
attribuzione in relazione al suddetto provvedimento del garante per
la protezione dei dati personali n. 244 del 18 giugno 2021 nonche' di
ogni altro atto comunque connesso, presupposto, attuativo e/o
consequenziale, ivi compresa la comunicazione dello stesso garante di
data 6 luglio 2021, prot. n. 0035891, ai sensi dell'art. 134 della
Costituzione, dell'art. 98 dello statuto speciale di autonomia per il
Trentino-Alto Adige/Südtirol (decreto del Presidente della Repubblica
31 agosto 1972, n. 670) e degli articoli 39 e seguenti della legge 11
marzo 1953, n. 87, per i seguenti motivi di
Diritto
Violazione delle attribuzioni costituzionali della Provincia
autonoma di Bolzano di cui all'art. 8, primo comma, punti 1, 9, 12,
13, 18, 19, 20, 21, 25, 26 e 29; all'art. 9, primo comma, punti 2, 3,
4, 6, 7, 8, 10, 11; dello statuto speciale di autonomia per la
Regione Trentino-Alto Adige/Südtirol (decreto del Presidente della
Repubblica 31 agosto 1972, n. 670), anche in riferimento all'art. 10
della legge costituzionale 18 ottobre 2001, n. 3, e relative norme di
attuazione, in particolare, decreto del Presidente della Repubblica
28 marzo 1975, n. 474; violazione dell'art. 52, secondo comma, dello
statuto speciale di autonomia per la Regione Trentino-Alto
Adige/Südtirol; violazione dell'art. 97 dello statuto speciale di
autonomia per la Regione Trentino-Alto Adige/Südtirol e dell'art. 2
del decreto legislativo 16 marzo 1992, n. 26.
Le competenze del Garante per la protezione dei dati personali
sono definiti principalmente dal regolamento (UE) 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonche' alla libera circolazione di tali dati e che abroga
la direttiva 95/46/CE (regolamento generale sulla protezione dei
dati) nonche' dal Codice in materia di protezione dei dati personali
di cui al decreto legislativo 30 giugno 2003, n. 196, e successive
modifiche, per le parti per le quali il regolamento UE prevede
espressamente delle possibilita' di deroga, oltre che da vari altri
atti normativi nazionali e internazionali.
In particolare, compete al Garante:
controllare che i trattamenti di dati personali siano
conformi al regolamento generale sulla protezione dei dati nonche' a
leggi e regolamenti nazionali e prescrivere, ove necessario, ai
titolari o ai responsabili dei trattamenti le misure da adottare per
svolgere correttamente il trattamento nel rispetto dei diritti e
delle liberta' fondamentali degli individui;
collaborare con le altre autorita' di controllo e prestare
assistenza reciproca al fine di garantire l'applicazione e
l'attuazione coerente del regolamento generale sulla protezione dei
dati;
esaminare reclami;
nel caso di trattamenti che violano le disposizioni del
regolamento generale sulla protezione dei dati rivolgere ammonimenti
al titolare del trattamento o al responsabile del trattamento e
ingiungere di conformare i trattamenti alle disposizioni dello stesso
regolamento; imporre una limitazione provvisoria o definitiva del
trattamento, incluso il divieto di trattamento; ordinare la
rettifica, la cancellazione di dati personali o la limitazione del
trattamento;
adottare i provvedimenti previsti dalla normativa in materia
di protezione dei dati personali;
segnalare, anche di propria iniziativa, al Parlamento e altri
organismi e istituzioni l'esigenza di adottare atti normativi e
amministrativi relativi alle questioni riguardanti la protezione dei
dati personali;
formulare pareri su proposte di atti normativi e
amministrativi;
partecipare alla discussione su iniziative normative con
audizioni presso il Parlamento;
predisporre una relazione annuale sull'attivita' svolta e
sullo stato di attuazione della normativa sulla privacy da
trasmettere al Parlamento e al Governo;
partecipare alle attivita' dell'Unione europea ed
internazionali di settore, anche in funzione di controllo e
assistenza relativamente ai sistemi di informazione Europol,
Schengen, VIS, e altri;
curare l'informazione e sviluppare la consapevolezza del
pubblico e dei titolari del trattamento in materia di protezione dei
dati personali, con particolare attenzione alla tutela dei minori;
tenere registri interni delle violazioni piu' rilevanti e
imporre sanzioni pecuniarie ove previsto dal regolamento generale
sulla protezione dei dati e dalla normativa nazionale;
coinvolgere, ove previsto, i cittadini e tutti i soggetti
interessati con consultazioni pubbliche dei cui risultati si tiene
conto per la predisposizione di provvedimenti a carattere generale.
Sennonche' dagli atti che hanno dato origine al presente
conflitto di attribuzione emerge l'intendimento del Garante per la
protezione dei dati personali di interferire indebitamente in ordine
alle sfere di competenza tra Stato, regioni e province autonome,
esorbitando in modo palese dalle proprie competenze.
Infatti, non compete al garante l'attribuzione di una determinata
disciplina normativa alla sfera di competenze dello Stato, a maggior
ragione ove si consideri che il regolamento generale sulla protezione
dei dati non prescrive che la limitazione delle liberta' personali
effettuata - anche attraverso il trattamento di dati relativi alla
salute - possa essere prevista unicamente da una legge statale.
Al riguardo va considerato che la normativa sulla protezione dei
dati personali risulta dalle norme del regolamento UE, come tale
direttamente applicabili, e soltanto in via residuale dalle
disposizioni del Codice della privacy, cosi' come riformato dal
decreto legislativo 10 agosto 2018, n. 101, e cioe' limitatamente
alle disposizioni attuative delle disposizioni non direttamente
applicabili contenute nel regolamento.
Al riguardo rileva anche che, in considerazione del contesto
dell'emergenza epidemiologica, allo scopo di assicurare la piu'
efficace gestione dei flussi e dell'interscambio di dati personali,
ovviamente con l'adozione di misure appropriate a tutela dei diritti
e delle liberta' degli interessati e nel bilanciamento tra
l'interesse della salute pubblica e di gestione dell'emergenza
sanitaria, da un lato, e l'esigenza di salvaguardare la riservatezza
degli interessati, dall'altro, in sede europea sono state assunte
diverse iniziative sui sistemi di tracciabilita', anche per finalita'
di allertamento delle persone che possono avere avuto contatti
ravvicinati con altri soggetti positivi al virus.
Si ricorda, in primo luogo, che la Commissione europea ha
adottato la raccomandazione (UE) 2020/518, dell'8 aprile 2020,
«relativa a un pacchetto di strumenti comuni dell'Unione per l'uso
della tecnologia e dei dati al fine di contrastare la crisi COVID-19
e uscirne, in particolare per quanto riguarda le applicazioni mobili
e l'uso di dati anonimizzati sulla mobilita'». La commissione, in
tale atto, ha indicato l'obiettivo di sviluppare un approccio europeo
comune per lo sviluppo degli strumenti in oggetto ed ha enunciato
alcuni principi generali a cui essi dovrebbero essere improntati.
Successivamente, il 16 aprile 2020, la commissione ha emesso una
comunicazione recante «Orientamenti sulle app a sostegno della lotta
alla pandemia di COVID-19 relativamente alla protezione dei dati»
(C(2020)124). In base a tali orientamenti:
l'installazione dei sistemi in esame dovrebbe avvenire su
base volontaria - senza conseguenze negative per le persone che non
vi aderiscano - e dar luogo alla generazione di identificativi
tramite pseudonimi;
i titolari del trattamento dovrebbero essere le autorita'
sanitarie nazionali (o i soggetti che svolgono un compito nel
pubblico interesse nel campo della salute);
si raccomanda il ricorso a sistemi che traccino solo i dati
di prossimita' tra persone e non anche i dati di geolocalizzazione
delle medesime;
si formula il principio di cancellazione o trasformazione in
forma anonima definitiva dei dati.
Inoltre, il Comitato europeo per la protezione dei dati (EDPB) ha
adottato il 21 aprile 2020 le linee guida sull'uso dei dati di
localizzazione e degli strumenti per il tracciamento dei contatti nel
contesto dell'emergenza legata al COVID-19. Il documento afferma, tra
l'altro, che: la disciplina europea sulla protezione dei dati reca
«norme specifiche che consentono l'uso di dati anonimi o personali
per sostenere le autorita' pubbliche e altri soggetti, a livello
nazionale e dell'UE, nel monitoraggio e nel contenimento della
diffusione del virus SAR-CoV-22»; il ricorso agli strumenti in esame
per il tracciamento dei contatti «dovrebbe essere volontario e non
dovrebbe basarsi sulla tracciabilita' dei movimenti individuali,
bensi' sulle informazioni di prossimita' relative agli utenti».
Il 13 maggio 2020 gli Stati membri dell'Unione europea, con il
sostegno della Commissione europea, hanno concordato gli orientamenti
per l'interoperabilita' transfrontaliera delle applicazioni di
tracciamento nell'UE. Gli orientamenti sono stati adottati dagli
Stati membri nella sede dell'eHealth Network, una rete che collega le
autorita' nazionali responsabili dell'assistenza sanitaria online
designate dagli Stati membri, istituita sulla base dell'art. 14 della
direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9
marzo 2011 (direttiva concernente l'applicazione dei diritti dei
pazienti relativi all'assistenza sanitaria transfrontaliera).
Tali orientamenti fanno seguito al «pacchetto di strumenti
(toolbox) per l'uso di applicazioni mobili di tracciamento dei
contatti e allerta in risposta alla pandemia di COVID-19», definito
il 15 aprile 2020 nella medesima sede dell'eHealth Network;
quest'ultimo documento ha indicato i seguenti requisiti essenziali
per le applicazioni mobili di tracciamento dei contatti e allerta:
volontarieta', trasparenza, carattere temporaneo, cyber security, uso
di dati anonimizzati e della tecnologia Bluetooth, interoperabilita'
transfrontaliera e fra sistemi operativi. In base ai suddetti
orientamenti concordati il 13 maggio - che intendono guidare nella
progettazione e implementazione delle app e delle soluzioni di back
end -, l'interoperabilita' si riferisce ad app che siano in grado di
scambiare le informazioni minime necessarie in modo che gli utenti,
ovunque si trovino nell'UE, siano avvisati se siano stati in
prossimita' di un altro utente risultato positivo al virus COVID-19.
La notifica e il follow-up dovrebbero essere conformi alle procedure
definite dalle autorita' sanitarie pubbliche, tenuto conto delle
implicazioni relative alla privacy ed alla sicurezza dei dati.
Nell'anno 2021 si intensificano le iniziative a livello europeo
per un certificato UE:
27 gennaio: sono adottati orientamenti che stabiliscono i
requisiti di interoperabilita' dei certificati di vaccinazione
digitali, sulla base delle discussioni tenutesi tra la Commissione e
gli Stati membri nell'ambito della rete eHealth dal novembre 2020;
17 marzo: la Commissione propone un testo legislativo che
istituisce un quadro comune per un certificato UE;
14 aprile: il Consiglio adotta il mandato per avviare i
negoziati con il Parlamento europeo in merito alla proposta;
22 aprile: i rappresentanti degli Stati membri nella rete
eHealth concordano orientamenti che descrivono le principali
specifiche tecniche per l'attuazione del sistema. Si tratta di un
passo fondamentale per la creazione dell'infrastruttura necessaria a
livello dell'UE;
7 maggio: la Commissione avvia la sperimentazione pilota
dell'infrastruttura di interoperabilita' dell'UE (EU Gateway) che
facilitera' l'autenticazione dei certificati UE;
20 maggio: il Parlamento europeo e il Consiglio raggiungono
un accordo sul certificato COVID digitale dell'UE;
1° giugno: il gateway dell'UE (interconnessione tra i sistemi
nazionali) e' operativo;
1-30 giugno: fase preparatoria: gli Stati membri possono
avviare il certificato su base volontaria a condizione che siano
pronti a rilasciare e verificare i certificati e dispongano della
necessaria base giuridica;
meta' giugno: raccomandazione riveduta del Consiglio sui
viaggi all'interno dell'UE;
1° luglio: il certificato COVID digitale dell'UE di cui al
regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del
14 giugno 2021 su un quadro per il rilascio, la verifica e
l'accettazione di certificati interoperabili di vaccinazione, di test
e di guarigione in relazione alla COVID-19 (certificato COVID
digitale dell'UE) per agevolare la libera circolazione delle persone
durante la pandemia di COVID-19 entra in vigore in tutta l'UE;
1° luglio-12 agosto: periodo transitorio: se uno Stato membro
non e' ancora pronto a rilasciare il nuovo certificato ai propri
cittadini, e' ancora possibile utilizzare altri formati che
dovrebbero essere accettati negli altri Stati membri.
Alla luce della normativa UE e dei suoi sviluppi in materia,
risulta evidente che per mezzo dei provvedimenti che hanno dato
origine al presente conflitto di attribuzione il Garante per la
protezione dei dati personali - travalicando la sua funzione - ha
inteso menomare la posizione costituzionale della Provincia autonoma
di Bolzano sotto il profilo della pienezza delle competenze ad essa
riconosciute in forza dello statuto speciale di autonomia.
Tramite i provvedimenti in questione si realizza, infatti,
un'indebita/illegittima interferenza, priva di alcun fondamento
legislativo, nella sfera di competenza riconosciuta alla Provincia
autonoma di Bolzano, in forza degli articoli 8, primo comma, punti 1,
9, 12, 13, 18, 19, 20, 21, 25, 26 e 29; 9, primo comma, punti 2, 3,
4, 6, 7, 8, 10, 11; e 52, secondo comma, anche in riferimento
all'art. 10 della legge costituzionale 18 ottobre 2001, n. 3.
Va ricordato che in forza dell'art. 8 dello statuto la Provincia
autonoma di Bolzano ha competenza legislativa esclusiva nelle
materie: ordinamento degli uffici provinciali e del personale a essi
addetto (n. 1); artigianato (n. 9); fiere e mercati (n. 12); opere di
prevenzione e di pronto soccorso per calamita' pubbliche (n. 13);
comunicazioni e trasporti di interesse provinciale (n. 18);
assunzione diretta di servizi pubblici e loro gestione a mezzo di
aziende speciali (n. 19); turismo e industria alberghiera (n. 20);
agricoltura e foreste (n. 21); assistenza e beneficenza pubblica (n.
25); scuola materna (n. 26); addestramento e formazione professionale
(n. 29); e in forza dell'art. 9 dello stesso statuto essa ha
competenza legislativa concorrente nelle materie: istruzione
elementare e secondaria (n. 2); commercio (n. 3); apprendistato (n.
4); spettacoli pubblici per quanto attiene alla pubblica sicurezza
(n. 6); esercizi pubblici (n. 7); incremento della produzione
industriale (n. 8); igiene e sanita', ivi compresa l'assistenza
sanitaria e ospedaliera (n. 10); attivita' sportive e ricreative (n.
11).
Inoltre, l'art. 10 la legge costituzionale 18 ottobre 2001, n. 3,
con la quale sono state apportate modifiche al titolo V della parte
seconda della Costituzione, stabilisce che le sue disposizioni si
applicano anche alle regioni a statuto speciale e alle Province
autonome di Trento e di Bolzano unicamente per le parti in cui
prevedono forme di autonomia piu' ampie rispetto a quelle gia'
attribuite (v. Corte costituzionale, sentenza n. 279/2005).
Per effetto di tale norma la potesta' legislativa delle province
autonome e' stata estesa alla materia della «tutela della salute», di
portata piu' ampia, secondo quanto affermato da codesta ecc.ma Corte
con la sentenza n. 328/2006. Secondo tale sentenza, infatti, che
richiama anche alcuni precedenti, la sanita' e' ripartita fra la
materia di competenza regionale concorrente della «tutela della
salute», che deve essere intesa come «assai piu' ampia rispetto alla
precedente materia dell'assistenza sanitaria e ospedaliera» (sentenze
n. 181/2006 e n. 270/2005), e quella dell'organizzazione sanitaria,
in cui le regioni possono adottare «una propria disciplina anche
sostitutiva di quella statale» (sentenza n. 510/2002).
In merito assume particolare rilevanza il fatto che il servizio
sanitario provinciale e' finanziato esclusivamente dalle Province
autonome di Trento e di Bolzano. Dispone, infatti, l'art. 34, comma 3
della legge 23 dicembre 1994, n. 724, che le Province autonome di
Trento e di Bolzano, cosi' come la Regione Valle d'Aosta/Vallee
d'Aoste, provvedono al finanziamento del Servizio sanitario nazionale
nei rispettivi territori, senza alcun apporto a carico del bilancio
dello Stato, utilizzando prioritariamente le entrate derivanti dai
contributi sanitari (art. 11, comma 9, decreto legislativo 30
dicembre 1992, n. 502) e, ad integrazione, le risorse dei propri
bilanci.
E' in questo quadro normativo di rango costituzionale ed unionale
che con le ordinanze contingibili e urgenti n. 20/2021 e n. 23/2021
del presidente della Provincia autonoma di Bolzano, adottate in forza
dell'art. 52, secondo comma, dello statuto di autonomia, nel rispetto
di quanto previsto dalla legge provinciale 8 maggio 2020, n. 4, e
tenendo conto del quadro normativo delineato dal decreto-legge 22
aprile 2021, n. 52, e, in particolare, nel rispetto di quanto
disposto dal regolamento generale sulla protezione dei dati, sono
state disciplinate le certificazioni verdi, quale semplice mezzo per
l'accesso, in determinate forme, a determinati luoghi; cio' al fine
di agevolare la libera circolazione e di alleviare le restrizioni
alla stessa per motivi di sanita' pubblica, perseguendo nel contempo
un livello elevato di protezione della salute pubblica.
Che un tanto e' legittimo trova piena conferma nel recentissimo
regolamento (UE) 2021/953 sul certificato COVID digitale dell'UE, in
particolare al considerando (6), mentre il regolamento UE sulla
privacy prevede che:
limitazioni alla privacy possono essere disposte dalle
autorita' per motivi di salute pubblica;
ai privati e' comunque fatto obbligo di non trattare i dati
dei clienti che esibiscono il green pass;
il green pass finisce per essere una documentazione al pari
di un documento personale, da non pubblicare ma da esibire solo
all'occorrenza come avviene appunto con gli attuali documenti di
riconoscimento.
La lesione da interferenza ad opera dei provvedimenti che hanno
dato origine al presente conflitto di attribuzione e' pertanto
palese.
Di certo va escluso che la disciplina delle certificazioni verdi
attenga alla materia della profilassi internazionale, perche' il fine
della stessa e' quello di garantire il diritto fondamentale alla
libera circolazione.
Ad ogni modo non compete al Garante per la protezione dei dati
personali farsi difensore di asserite competenze esclusive statali.
Gia' per questo motivo e' indubbia l'invasivita' dei provvedimenti
impugnati, costituente una forma di turbativa e/o menomazione di
potesta' mediante l'illegittimo esercizio da parte del garante di
attribuzioni non proprie. Gli atti impugnati non costituiscono
semplicemente un «cattivo esercizio» del potere che si manifesti in
mera illegittimita' dell'atto, dal momento che gli stessi hanno
costituito turbativa (menomazione) di attribuzioni,
costituzionalmente garantite, della Provincia autonoma di Bolzano e
una altrettanto illegittima espansione dell'attribuzione del garante,
per cui va ripristinato il riequilibrio delle rispettive
attribuzioni.
In ogni caso gli atti impugnati sono invasivi perche' travalicano
i limiti delle funzioni attribuite al Garante per la protezione dei
dati personali, posto che non spetta allo stesso, nell'esercizio
delle sue competenze, giudicare sulle competenze della provincia,
potere questo spettante unicamente al Governo in forza del combinato
disposto dell'art. 97 dello statuto speciale di autonomia e dell'art.
2 del decreto legislativo 16 marzo 1992, n. 266.
E' appena il caso di ribadire come le ordinanze presidenziali
contingibili e urgenti censurate dal Garante per la protezione dei
dati personali richiedano l'esibizione della certificazione verde per
accedere a determinati eventi, strutture e altri luoghi pubblici o
aperti al pubblico, attivita' e servizi, unicamente nelle materie in
cui la Provincia autonoma di Bolzano gode di competenza legislativa
esclusiva ovvero concorrente, come gia' in precedenza puntualmente
elencate. Helmi.
In tale contesto va ricordato l'insegnamento di codesta ecc.ma
Corte che con sentenza n. 271 del 7 luglio 2005 ha gia' avuto modo di
statuire quanto segue: «Quanto appena espresso non equivale peraltro
ad affermare la incompetenza del legislatore regionale a disciplinare
procedure o strutture organizzative che prevedono il trattamento di
dati personali, pur ovviamente nell'integrale rispetto della
legislazione statale sulla loro protezione (ivi comprese le
disposizioni relative alle "misure minime di sicurezza" prescritte
per i trattamenti dei dati personali con o senza l'utilizzazione
degli strumenti elettronici): infatti le regioni, nelle materie di
propria competenza legislativa, non solo devono necessariamente
prevedere l'utilizzazione di molteplici categorie di dati personali
da parte di soggetti pubblici e privati, ma possono anche organizzare
e disciplinare a livello regionale una rete informativa sulle realta'
regionali, entro cui far confluire i diversi dati conoscitivi
(personali e non personali) che sono nella disponibilita' delle
istituzioni regionali e locali o di altri soggetti interessati cio',
tuttavia, deve avvenire ovviamente nel rispetto degli eventuali
livelli di riservatezza o di segreto, assoluti o relativi, che siano
prescritti dalla legge statale in relazione ad alcune delle
informazioni, nonche' con i consensi necessari da parte delle diverse
realta' istituzionali o sociali coinvolte.
Ne' in quest'ambito e' preclusiva la titolarita' esclusiva del
legislatore statale in tema di "coordinamento informativo statistico
e informatico dei dati dell'amministrazione statale, regionale e
locale", di cui alla lettera r) del secondo comma dell'art. 117 della
Costituzione, come sostenuto dalla Avvocatura generale dello Stato.
Cio' anzitutto perche' si tratta di un potere legislativo di
coordinamento, il cui mancato esercizio non preclude autonome
iniziative delle regioni aventi ad oggetto la razionale ed efficace
organizzazione delle basi di dati che sono nella loro disponibilita'
ed anche il loro coordinamento paritario con le analoghe strutture
degli altri enti pubblici o privati operanti sul territorio. Il
problema sorgerebbe solo nel momento in cui il legislatore statale
dettasse normative nei medesimi ambiti a fine di coordinamento.
D'altra parte questo esclusivo potere legislativo statale
concerne solo un coordinamento di tipo tecnico che venga ritenuto
opportuno dal legislatore statale (si vedano le sentenze di questa
Corte n. 31 del 2005 e n. 17 del 2004) e il cui esercizio, comunque,
non puo' escludere una competenza regionale nella disciplina e
gestione di una propria rete informativa (cfr. sentenza n. 50 del
2005)».
La pronuncia appena ricordata risulta chiara nel consentire alle
regioni e, quindi, alle province autonome di disciplinare nelle
materie di propria competenza procedure e strutture che prevedono il
trattamento dei dati personali, purche' cio' avvenga nell'integrale
rispetto della legislazione statale sulla loro protezione.
Cio' posto, appare ancora una volta piu' evidente come la
competenza del garante e' limitata alla verifica del rispetto della
legislazione nazionale sulla protezione dei dati personali, non
potendosi di converso estendere alla sindacabilita', in radice, della
competenza attribuita alla Provincia autonoma di Bolzano di
legiferare e regolamentare in materie di propria competenza,
esclusiva o concorrente.
In altre parole, il controllo del garante puo' e deve limitarsi
alla verifica del corretto trattamento dei dati personali, anche
perche', come gia' visto, spetta unicamente al Governo denunciare
alla Corte costituzionale eventuali presunte violazioni di competenze
(e spetta a quest'ultima decidere in merito).
Sul punto appare significativo che il provvedimento del garante
n. 244 del 18 giugno 2021 muove nei confronti delle ordinanze
presidenziali contingibili e urgenti n. 20/2021 e n. 23/2021 censure
fondate pressoche' unicamente su asseriti difetti di competenza della
Provincia autonoma di Bolzano, mentre nel merito si censura il
mancato rispetto delle certificazioni verdi al modello previsto dal
decreto del Presidente del Consiglio dei ministri 17 giugno 2021,
emanato, quindi, il giorno precedente alla pubblicazione del
provvedimento del garante n. 244/2021 stesso.
Al riguardo ci si richiama alla gia' citata pronuncia di codesta
ecc.ma Corte n. 271/2005, secondo cui il mancato esercizio del potere
legislativo di coordinamento non preclude autonome iniziative delle
regioni (e province autonome), per sottolineare nuovamente come la
Provincia autonoma di Bolzano abbia provveduto a regolare la
certificazione verde «in attesa di eventuali disposizioni emanate a
livello centrale» le quali, una volta emanate il 17 giugno 2021, sono
state puntualmente recepite dalla Provincia autonoma di Bolzano.
A margine va aggiunto che le misure nel frattempo adottate a
livello nazionale sono praticamente le stesse di quelle adottate a
livello provinciale che hanno tutte lo scopo di decelerare il piu'
possibile la diffusione del virus COVID-19, al fine di alleviare il
rischio di compromettere la salute del singolo e della collettivita'
e nel contempo di garantire il diritto alla libera circolazione e la
liberta' di iniziativa economica.
Per le considerazioni sin qui svolte, risulta anche palese la
menomazione dei poteri del presidente della provincia ad esso
attribuite dall'art. 52, comma 2 dello statuto speciale di autonomia,
ai sensi del quale lo stesso «[A]dotta i provvedimenti contingibili
ed urgenti in materia di sicurezza e di igiene pubblica
nell'interesse delle popolazioni di due o piu' comuni», con
conseguente violazione di tale norma di rango costituzionale.
Infatti, in forza di tale norma statutaria il potere di
decretazione d'urgenza in caso di pericolo per l'incolumita' e la
sicurezza pubblica spetta al presidente della provincia, posto che
l'esercizio del potere di adottare ordinanze contingibili e urgenti
presuppone la necessita' di provvedere con immediatezza in ordine a
situazioni di pericolo che non sia possibile fronteggiare con gli
ordinari strumenti apprestati dall'ordinamento (cfr. Consiglio di
Stato, sez. VI, sentenza 31 maggio 2013, n. 3007).
Ne consegue che i qui impugnati provvedimenti sono altresi'
invasivi della sfera di competenza del presidente della Provincia
autonoma di Bolzano, anche perche' le certificazioni verdi di cui
alle ordinanze presidenziali contingibili e urgenti n. 20/2021 e n.
23/2021 sono disciplinate nel pieno rispetto della normativa europea,
oltre che quella nazionale, in materia di protezione dei dati
personali.
Infatti, a livello provinciale per «certificazioni verdi» si
intendono le attestazioni rilasciate dall'azienda sanitaria
(dell'Alto Adige) o da altre autorita' sanitarie competenti
comprovanti, in relazione al SARS-CoV-2, lo stato di avvenuta
vaccinazione, la guarigione dall'infezione o l'effettuazione di un
test per la sua rilevazione con risultato negativo; trattasi quindi
di attestazioni che, a prescindere da quanto previsto in ordine alla
loro valenza dalle predette ordinanze, gia' venivano rilasciate al
cittadino, fin dai principi della pandemia e poi con l'inizio della
campagna vaccinale, al ricorrere di una delle situazioni individuate
come presupposto.
Non e' stata creata alcuna banca dati ulteriore, o app dedicata,
per i certificati verdi in quanto non raccolgono e non certificano
informazioni o dati aggiuntivi rispetto a quelli gia' contenuti nelle
attestazioni di avvenuta vaccinazione, guarigione o di effettuazione
di un test con risultato negativo.
Si tratta pertanto di documentazione gia' esistente, comunque
prodotta e messa a disposizione del cittadino, in cui il trattamento
dei dati viene effettuato per finalita' di cura diagnosi, prevenzione
dell'emergenza virale COVID SARS-CoV-2 dal titolare del trattamento,
da individuarsi nell'Azienda sanitaria dell'Alto Adige.
La messa a disposizione in formato digitale di tale
documentazione attua quanto previsto dall'art. 2 del decreto
legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione
digitale), in forza del quale «Lo Stato, le regioni e le autonomie
locali assicurano la disponibilita', la gestione, l'accesso, la
trasmissione, la conservazione e la fruibilita' dell'informazione in
modalita' digitale e si organizzano ed agiscono a tale fine
utilizzando con le modalita' piu' appropriate e nel modo piu'
adeguato al soddisfacimento degli interessi degli utenti le
tecnologie dell'informazione e della comunicazione» nonche' dall'art.
1 della legge 7 agosto 2015, n. 124, che sancisce il diritto di
cittadini e imprese, «... anche attraverso l'utilizzo delle
tecnologie dell'informazione e della comunicazione di accedere a
tutti i dati, i documenti e i servizi di loro interesse in modalita'
digitale al fine di garantire la semplificazione nell'accesso ai
servizi alla persona» e «riducendo la necessita' dell'accesso fisico
agli uffici pubblici».
La previsione per cui il possesso di tale documentazione possa
assurgere a presupposto per l'accesso a determinati servizi, ma in
ogni caso mai per quelli essenziali, che altrimenti potrebbero
restare preclusi al cittadino in ragione delle primarie esigenze di
tutela della salute, e' da ricondursi ai motivi di interesse pubblico
rilevante nel settore della sanita' pubblica ai sensi dell'art. 9,
paragrafo 2, lettera i), del regolamento (UE) 2016/679 sulla
protezione dei dati.
Le certificazioni verdi non implicano di fatto alcun trattamento
ulteriore dei dati rispetto a quanto gia' compiutamente definito e
regolamentato, in ordine ai profili di protezione dei dati personali,
dal titolare del trattamento, l'azienda sanitaria, per il rilascio
delle attestazioni di avvenuta vaccinazione, guarigione o
effettuazione di un test con esito negativo.
I dati di cui ai certificati verdi altoatesini non riproducono
tutti i dati previsti, e ritenuti dal garante come eccedenti in
quanto contrastanti con il principio di minimizzazione, per le
certificazioni verdi COVID-19 nazionali originariamente previsti
dall'art. 9 del decreto-legge n. 52/2021 e dall'allegato 1, rispetto
al quale il garante aveva espresso le proprie censure con formale
ammonimento in data peraltro concomitante con quella dell'ordinanza
n. 20/2021. La lettura dell'attestazione tramite QR-Code consente,
infatti, di limitare la riproduzione del solo dato relativo al nome e
cognome del soggetto che la esibisce.
La lettura del QR-Code, che avviene tramite uso della fotocamera
di cui sono dotati tutti gli smartphone standard e funge da
«biglietto di ingresso» per le aree definite «CoronaPass Areas», non
si configura come un ulteriore trattamento di dati, considerato che
cio' che viene riprodotto, e non salvato, e' una sintesi dei dati
personali necessari e sufficienti a realizzare le finalita' sopra
esposte ovvero il nome e cognome della persona fisica cui
l'attestazione inerisce ed una mera spunta di colore verde (senza
indicazione se trattasi di soggetto vaccinato, guarito o testato
negativamente).
Rientra comunque nella discrezionalita' dell'interessato disporre
liberamente dei documenti (ovvero dell'esito del test o del
certificato di vaccinazione o di guarigione anche corredato anche del
relativo QR-Code), decidendo volontariamente di esibirli per
garantirsi la fruizione di un servizio in condizioni di sicurezza per
la salute personale e collettiva, mentre gli esercenti le attivita'
per cui e' richiesta l'esibizione del certificato verde hanno il mero
obbligo di avvisare i cittadini di tale presupposto per l'accesso.
Trova quindi applicazione il principio di auto responsabilita',
per cui il cittadino che accede alle aree riservate ai possessori di
certificazione verde dichiara, cosi' facendo, di disporre della
relativa (valida) attestazione.
Risulta, pertanto, evidente che con il provvedimento n. 244 di
data 18 giugno 2021 e la seguente comunicazione di data 6 luglio
2021, prot. 0035891, il Garante per la protezione dei dati ha
ecceduto le proprie competenze per i seguenti motivi:
al fine dell'introduzione delle certificazioni verdi, non e'
stata creata alcuna banca dati ulteriore, app dedicata o trattamento
nuovo bensi' si tratta di documentazione gia' esistente, comunque
prodotta e messa a disposizione del cittadino, in cui il trattamento
dei dati viene effettuato per finalita' di cura, diagnosi,
prevenzione dell'emergenza virale COVID SARS-CoV-2 dall'Azienda
sanitaria dell'Alto Adige nella sua qualita' di titolare del
trattamento; i provvedimenti del Garante per la protezione dei dati
non trovano quindi alcun fondamento giuridico nelle competenze
affidate a questo, quali ad esempio il controllo affinche' i
trattamenti di dati personali siano conformi al regolamento nonche' a
leggi e regolamenti nazionali e la connessa prescrizione ai titolari
o ai responsabili dei trattamenti di misure da adottare per svolgere
correttamente il trattamento nel rispetto dei diritti e delle
liberta' fondamentali degli individui;
non e' stata perpetrata alcuna discriminazione tra le persone
destinatarie delle certificazioni ne' queste hanno subito violazioni
dei loro diritti e liberta' fondamentali;
in nessun momento sono stati violati i principi di
anonimizzazione e di minimizzazione dei dati personali,
con conseguente illegittima interferenza nella sfera di
competenze costituzionalmente protette della Provincia autonoma di
Bolzano per effetto dello statuto speciale di autonomia per il
Trentino-Alto Adige/Südtirol e, quindi, menomazione della stessa,
nella parte in cui viene attribuito esclusivamente al legislatore
statale la disciplina sulle certificazioni verdi, esorbitando cosi'
dalle proprie competenze, consistenti, nel caso di specie, nel
controllo affinche' che i trattamenti di dati personali avvengano in
conformita' alla normativa in materia.