N. 2 RICORSO PER CONFLITTO DI ATTRIBUZIONE 26 agosto 2021
Ricorso per conflitto di attribuzione tra enti depositato in cancelleria il 26 agosto 2021 (della Provincia autonoma di Bolzano). Dati sensibili - Sanita' pubblica - Provvedimento del Garante per la protezione dei dati personali n. 244 del 2021 che impone alla Provincia autonoma di Bolzano e all'Azienda sanitaria dell'Alto Adige una limitazione definitiva dei trattamenti relativi all'utilizzo delle certificazioni verdi COVID-19 effettuati in attuazione delle ordinanze del Presidente della Provincia n. 20 e n. 23 del 2021 - Comunicazione del Garante prot. n. 0035891 del 6 luglio 2021 con la quale diffida le Regioni e le Province autonome dall'adottare o dal dare attuazione a iniziative territoriali che prevedano l'uso delle certificazioni verdi COVID-19, per finalita' ulteriori e con modalita' diverse rispetto a quelle previste dalla legge nazionale. - Provvedimento del Garante per la protezione dei dati personali del 18 giugno 2021, n. 244; comunicazione del Garante per la protezione dei dati personali del 6 luglio 2021, prot. n. 0035891.(GU n.38 del 22-9-2021 )
Ricorso per conflitto di attribuzione della Provincia autonoma di Bolzano (00390090215), in persona del suo presidente e legale rappresentante pro tempore, Arno Kompatscher, rappresentata e difesa, tanto congiuntamente quanto disgiuntamente, in virtu' della procura speciale rep. n. 25626 del 10 agosto 2021, rogata dal segretario generale della giunta provinciale dott. Eros Magnago, nonche' in virtu' della deliberazione della giunta provinciale di autorizzazione a stare in giudizio n. 672 del 10 agosto 2021, dagli avvocati Renate von Guggenberg (VNGRNT57L45A952K renate.guggenberg@pec.prov.bz.it), Alexandra Roilo (RLOLND68S41B160H - alexandra.roilo@pec.prov.bz.it), Laura Fadanelli (FDNLRA65H69A952U - laura.fadanelli@pec.prov.bz.it), Cristina Bernardi (BRNCST64M47D548L - cristina.bernardi@pec.prov.bz.it) e Lukas Plancker (PLNLKS68E21A952A - lukas.plancker@pec.prov.bz.it), dell'avvocatura della stessa provincia (anwaltschaft.avvocatura@pec.prov.bz.it - fax 0471/412099), e dall'avv. Luca Graziani (GRZLCU62R29H501D - lucagraziani@ordineavvocatiroma.org), del Foro di Roma, e presso lo studio di quest'ultimo in 00195 Roma, via Bassano del Grappa n. 24, elettivamente domiciliata (06/3729467); Contro il Presidente del Consiglio dei ministri, in persona del Presidente del Consiglio in carica; Il Garante per la protezione dei dati personali, in persona del legale rappresentante pro tempore; In relazione al provvedimento del Garante per la protezione dei dati personali n. 244 del 18 giugno 2021, per la declaratoria della non spettanza allo stesso garante dei poteri ivi esercitati, e per il conseguente annullamento di detto provvedimento, nonche' di ogni altro atto comunque connesso, presupposto, attuativo e/o consequenziale, ivi compresa la comunicazione dello stesso garante di data 6 luglio 2021, prot. n. 0035891. Fatto Al paragrafo II.0 dell'allegato A della legge provinciale 8 maggio 2020, n. 4, recante «Misure di contenimento della diffusione del virus SARS-COV-2 nella fase di ripresa delle attivita'», sono disciplinate le certificazioni verdi, e cioe' le attestazioni comprovanti una delle seguenti fattispecie: a) lo stato di avvenuta vaccinazione contro il SARS-CoV-2; b) la guarigione dall'infezione da SARS-CoV-2; c) l'effettuazione di un test per la rilevazione del SARS-CoV-2 con esito negativo. Con ordinanza contingibile e urgente n. 20 del 23 aprile 2021 del presidente della Provincia autonoma di Bolzano (doc. 6) e' stato previsto, tenuto anche conto del quadro normativo delineato dal decreto-legge 22 aprile 2021, n. 52, relativamente all'introduzione della certificazione verde quale misura di sanita' pubblica per il contenimento della diffusione del virus Sars CoV-2, al fine di garantire la ripresa graduale delle attivita' economiche e sociali e «in attesa di eventuali disposizioni emanate a livello centrale», che l'esibizione di detta certificazione fosse necessaria, nel territorio della provincia, per accedere a determinati eventi, strutture e altri luoghi pubblici o aperti al pubblico, attivita' e servizi. In relazione a quanto previsto dalla predetta ordinanza, il Garante per la protezione dei dati personali, con nota del 30 aprile 2021, prot. n. 24123 (doc. 5), ha chiesto informazioni alla Provincia autonoma di Bolzano, rappresentando di aver adottato un provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COVID-19 prevista dal decreto-legge n. 52/2021, nel quale avrebbe rilevato che detto decreto-legge non rappresenti una valida base giuridica per l'introduzione e l'utilizzo dei certificati verdi a livello nazionale. Con la predetta nota del 30 aprile 2021, e' stato inoltre rappresentato che una delle criticita' sollevate dal Garante nel predetto provvedimento riguarda la mancata individuazione delle specifiche finalita' perseguite attraverso l'introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalita' della norma, richiesta dall'art. 6 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e, in particolare, che soltanto una legge statale potrebbe subordinare l'esercizio di determinati diritti o liberta' all'esibizione di tale certificazione. In risposta alla richiesta di informazioni, la Provincia autonoma di Bolzano ha fornito elementi con nota del 7 maggio 2021 (doc. 7), in cui e' stato rappresentato, in particolare, che: «ai sensi dell'art. 52, secondo comma dello statuto d'autonomia il presidente della provincia adotta i provvedimenti contingibili e urgenti in materia di sicurezza e di igiene pubblica nell'interesse delle popolazioni di due o piu' comuni»; «la Provincia autonoma di Bolzano ha competenza legislativa primaria, tra l'altro, nelle materie di opere di prevenzione e di pronto soccorso per calamita' pubbliche, assunzione diretta di servizi pubblici e loro gestione a mezzo di aziende speciali, assistenza e beneficenza pubblica e scuola materna (art. 8, comma 1, punti 13, 19, 25 e 26 dello statuto d'autonomia)»; «la Provincia autonoma di Bolzano ha competenza legislativa concorrente, tra l'altro, in materia di igiene e sanita', ivi compresa l'assistenza sanitaria e ospedaliera (art. 9, comma 1, punto 10 dello statuto d'autonomia)»; «la legge provinciale 8 maggio 2020, n. 4, recante "Misure di contenimento della diffusione del virus SARS-COV-2 nella fase di ripresa delle attivita'", tra l'altro gia' contempla nel proprio "allegato A, II.C." una "Covid protected area" per gli esercizi ricettivi. Sono ivi previste delle misure di sicurezza supplementari tra cui il controllo completo della clientela: ospiti e clienti presentano al check-in un test PCR certificato con esito negativo risalente a non piu' di quattro giorni prima oppure forniscono prova certificata dello sviluppo di anticorpi o all'arrivo si sottopongono a un test come da protocollo del servizio sanitario»; «l'art. 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche, rubricato "Carta della cittadinanza digitale", sancisce il diritto di cittadini e imprese, "anche attraverso l'utilizzo delle tecnologie dell'informazione e della comunicazione ... di accedere a tutti i dati, i documenti e i servizi di loro interesse in modalita' digitale ... al fine di garantire la semplificazione nell'accesso ai servizi alla persona" e "riducendo la necessita' dell'accesso fisico agli uffici pubblici"»; «l'impugnazione di una legge provinciale davanti alla Corte costituzionale per violazione della Costituzione, dello statuto o del principio di parita' tra i gruppi linguistici puo' essere esercitata solo dal Governo» e «il Governo non ha sollevato ricorso contro la legge provinciale 8 maggio 2020, n. 4, ne' ha sollevato delle criticita' nei confronti dell'ordinanza presidenziale contingente e urgente n. 20 del 23 aprile 2021»; «le "Certificazioni verdi" di cui al punto 47 dell'ordinanza presidenziale sono rilasciate in piena conformita' alle disposizioni dell'art. 9 del decreto-legge 22 aprile 2021, n. 52, e potranno essere in seguito modificate qualora cambiasse il quadro normativo nazionale di riferimenti»; «le "Certificazioni verdi" di cui al punto 47 dell'ordinanza presidenziale sono rilasciate in piena conformita' alle disposizioni dell'art. 9 del decreto-legge 22 aprile 2021, n. 52, e potranno essere in seguito modificate qualora cambiasse il quadro normativo nazionale di riferimento»; «nessuna discriminazione tra le persone e' stata perpetrata dalle "Certificazioni verdi" di cui al punto 47 dell'ordinanza presidenziale sopra meglio specificata. Analogamente al certificato verde digitale, presentato il 17 marzo 2021 dalla Commissione europea per agevolare la libera circolazione sicura dei cittadini nell'UE durante la pandemia di COVID-19, anche la suddetta certificazione verde si pone come prova digitale attestante che una persona e' stata vaccinata contro il SARS-COVID-2, che e' guarita dall'infezione SARS-COVID-2 oppure che ha ottenuto un risultato negativo al test per la rivelazione del SARS-COVID-2. L'ampia gamma delle diverse fattispecie risulta essere coperta. Ogni persona ha poi la possibilita' di sottoporsi gratuitamente al test. A tal fine la provincia ha realizzato un'infrastruttura presente in maniera capillare su tutto il territorio, di modo che chiunque abbia l'opportunita' di sottoporsi nelle sue immediate vicinanze gratuitamente ad un test»; «le "Certificazioni verdi" in parola consentono di contenere ulteriormente la limitazione dei diritti individuali, in quanto condizione per l'accesso ad una serie di attivita' altrimenti precluse; tale strumento consente pertanto un piu' proporzionato e bilanciato contemperamento tra la tutela della salute e la minore compressione possibile dei diritti costituzionalmente garantiti, come richiesto da costante giurisprudenza costituzionale sul principio di uguaglianza»; «la soluzione dei certificati verdi rappresenta la sintesi del bilanciamento tra interessi e diritti di eguale rango primario di natura costituzionale: la tutela della salute, sia individuale che collettiva, ai sensi dell'art. 32 e la liberta' di iniziativa economica ai sensi dell'art. 41 della Costituzione, la quale non puo' comunque svolgersi in contrasto con l'utilita' sociale o in modo da recare danno alla sicurezza, alla liberta', alla dignita' umana. La finalita' della misura e' infatti quella di far riaprire e ripartire le attivita' economiche e culturali riducendo al minimo il rischio di contagio in aree pubbliche, specialmente nei locali al chiuso, in modo da evitare ulteriori nuove ondate di contagi, e garantire un "Alto Adige Covid Safe", come peraltro dettagliato anche nel relativo studio di eurac research e Azienda sanitaria dell'Alto Adige»; «l'Alto Adige e' una terra di confine e molti lavoratori pendolari e studenti gia' da mesi devono sottoporsi al test SARS-COV 2 esibendo il relativo certificato ogni qualvolta si recano in Austria. Le nuove disposizioni del Governo austriaco per l'ingresso nel Paese prevedono infatti che per entrare in Austria i lavoratori pendolari, gli studenti e gli universitari che vi entrano regolarmente dal 10 febbraio 2021 devono presentare un certificato medico che certifichi il test negativo al SARS-CoV-2 e devono registrarsi. Se non dispongono del test lo devono eseguire nell'arco delle ventiquattro ore dall'ingresso nel Paese. Il test e la registrazione hanno una validita' di sette giorni. La registrazione deve essere rinnovata dopo i sette giorni o prima qualora intervengano modifiche rilevanti dei dati»; «l'ordinanza presidenziale contingente e urgente n. 20 del 23 aprile 2021 risulta adottata in presenza dei presupposti di necessita' ed urgenza in materia sanitaria e non si pone in contrasto con le disposizioni dettate a carattere nazionale - richiamate nella stessa ordinanza - e a carattere europeo»; «l'ordinanza stessa, in attesa di eventuali disposizioni emanate a livello centrale, ha una validita' temporale limitata dal 26 aprile 2021 al 31 luglio 2021»; «trattasi cioe' di attestazioni che, a prescindere da quanto previsto in ordine alla loro valenza da predetta ordinanza, gia' venivano rilasciate al cittadino, fin dai principi della pandemia e poi con l'inizio della campagna vaccinale, al ricorrere di una delle situazioni individuate come presupposto, non e' stata creata alcuna banca dati ulteriore, o app dedicata, per i certificati verdi in quanto non raccolgono e non certificano informazioni o dati aggiuntivi rispetto a quelli gia' contenuti nelle attestazioni di avvenuta vaccinazione, guarigione o di effettuazione di un test con risultato negativo. Si tratta di documentazione gia' esistente, comunque prodotta e messa a disposizione del cittadino, in cui il trattamento dei dati viene effettuato per finalita' di cura diagnosi, prevenzione dell'emergenza virale COVID SARS-CoV-2 dal titolare del trattamento, da individuarsi nell'Azienda sanitaria dell'Alto Adige»; «la previsione per cui il possesso di tale documentazione possa assurgere a presupposto per l'accesso a determinati servizi, ma in ogni caso mai per quelli essenziali, che altrimenti potrebbero restare preclusi al cittadino in ragione delle primarie esigenze di tutela della salute, e' da ricondursi ai motivi di interesse pubblico rilevante nel settore della sanita' pubblica ai sensi dell'art. 9, paragrafo 2, lettera i) del regolamento europeo in materia di protezione dei dati personali 2016/679»; «le certificazioni verdi non implicano infatti alcun trattamento ulteriore dei dati rispetto a quanto gia' compiutamente definito e regolamentato, in ordine ai profili di protezione dei dati personali, dal titolare del trattamento, l'azienda sanitaria, per il rilascio delle attestazioni di avvenuta vaccinazione, guarigione o effettuazione di un test con esito negativo. In altri termini, il certificato verde altoatesino consiste nell'attestazione rilasciata dall'azienda sanitaria in modalita' cartacea o digitale. A decorrere dal 5 maggio 2021 le cittadine e i cittadini potranno richiedere il proprio certificato vaccinale o attestante la guarigione dal virus muniti entrambi di QR code. Per quanto riguarda le persone testate con test nasali o antigenici il codice QR e' gia' presente sull'attestazione del risultato del test»; «i certificati verdi di cui all'ordinanza n. 20 del 23 aprile 2021, cosi' configurati, non costituiscono un'attuazione delle disposizioni di cui al decreto-legge 22 aprile 2021, n. 52 (art. 9 ed allegato 1), rispetto al quale il Garante ha espresso le proprie censure con formale ammonimento in data peraltro concomitante con la predetta ordinanza, ma operano nel quadro normativo delineato dal decreto-legge. Non si tratta di attivita' non contemplate dalla normativa nazionale e nel contempo eventuali rilievi rispetto alla normativa nazionale non comportano automaticamente la caducazione della disciplina provinciale. I dati di cui ai certificati verdi altoatesini non riproducono infatti tutti i dati previsti, e ritenuti dal garante come eccedenti in quanto contrastanti con il principio di minimizzazione, per le certificazioni verdi COVID-19 nazionali ai sensi dell'art. 9 del decreto-legge n. 52/2021 e dell'allegato 1. La lettura dell'attestazione tramite QR-Code consente, infatti, di limitare la riproduzione del solo dato relativo al nome e cognome del soggetto che la esibisce La lettura del QR-Code, che avviene tramite uso della fotocamera di cui sono dotati tutti gli smartphone standard e funge da "biglietto di ingresso" per tutte le aree che nell'ordinanza provinciale sono definite "CoronaPass Areas", non si configura come un ulteriore trattamento di dati, considerato che cio' che viene riprodotto, e non salvato, e' una sintesi dei dati personali necessari e sufficienti a realizzare le finalita' sopra esposte ovvero il nome e cognome della persona fisica cui l'attestazione inerisce ed una mera spunta di colore verde (senza indicazione se trattasi di soggetto vaccinato, guarito o testato negativamente). La spunta verde ne sottende anche la validita', in quanto allo scadere dei sei mesi previsti per le vaccinazioni/guarigioni e delle settantadue ore per i test, il QRCode non e' piu' funzionante»; «in ordine alle attivita' per cui e' richiesto il possesso della certificazione verde si rileva che quanto indicato al punto 22 dell'ordinanza presidenziale n. 20 del 23 aprile 2021 afferisce alla partecipazione ad attivita' addestrative e i corsi di formazione»; «con riguardo invece al punto 40 della stessa si subordina alla presentazione della certificazione verde (secondo il rimando contenuto al punto 43), la partecipazione alle attivita' svolte nei luoghi chiusi, anche in palestre con presidio sanitario obbligatorio oppure eroganti prestazioni rientranti nei livelli essenziali di assistenza o prestazioni riabilitative o terapeutiche, qualora l'attivita' non sia svolta in forma individuale o tra conviventi, cosi' come prescritto parimenti per tutte le attivita' svolte in palestre, centri fitness, piscine al chiuso e centri sportivi comunque denominati dal comma 4 dello stesso punto». Successivamente alla richiesta di informazioni, il presidente della Provincia autonoma di Bolzano ha adottato l'ordinanza contingibile e urgente n. 23 del 21 maggio 2021 (doc. 8), con la quale e' stato riprodotto sostanzialmente quanto disposto con la precedente ordinanza presidenziale, contenente alcune ulteriori precisazioni. Con provvedimento n. 244 del 18 giugno 2021 (doc. 3) il Garante per la protezione dei dati personali ha imposto alla Provincia autonoma di Bolzano e all'Azienda sanitaria dell'Alto Adige la limitazione definitiva dei trattamenti relativi all'utilizzo delle certificazioni verdi effettuati in attuazione delle ordinanze del presidente della Provincia autonoma di Bolzano n. 20/2021 e n. 23/2021, ai sensi dell'art. 58, paragrafo 2, lettera f) del regolamento (UE) 2016/679. Detta limitazione e' stata disposta in relazione a quanto prescritto nel parere n. 229 reso il 9 giugno 2021 sullo schema di decreto del Presidente del Consiglio dei ministri relativo all'attivazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green Pass e a quanto previsto nel decreto del Presidente del Consiglio dei ministri del 17 giugno 2021 adottato sulla base di quanto indicato dal garante nel citato parere. In particolare, sostiene il garante che la Provincia autonoma di Bolzano non avrebbe competenze in merito all'introduzione di misure di contenimento dell'emergenza da COVID-19 attraverso l'uso delle certificazioni verdi COVID-19, in quanto la materia risulterebbe assoggettata alla riserva di legge statale. Al riguardo il garante richiama il provvedimento di avvertimento alla Regione Campania adottato il 25 maggio 2021 e il precitato parere del 9 giugno 2021. Nel provvedimento sono state altresi' rilevate delle criticita' in relazione alle certificazioni verdi in uso nella Provincia di Bolzano. Le stesse, tuttavia, sono state nel frattempo superate, in quanto le certificazioni a livello locale sono state sostituite dalle certificazioni valevoli a livello nazionale ed europeo. Inoltre, con comunicazione di data 6 luglio 2021, prot. n. 0035891 (doc. 4), il Garante per la protezione dei dati personali ha diffidato le regioni e le province autonome dall'adottare o dal dare attuazione a iniziative territoriali che prevedano l'uso delle certificazioni verdi per finalita' ulteriori e con modalita' difformi rispetto a quelle espressamente previste dalla legge nazionale, riservandosi espressamente ogni valutazione in ordine all'adozione di provvedimenti finalizzati a imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento, con riferimento ai predetti eventuali trattamenti. Per completezza espositiva va ancora precisato che nel frattempo, a livello provinciale, viene chiesta l'esibizione della certificazione verde emessa ai sensi del decreto-legge n. 52/2021, come convertito dalla legge 17 giugno 2021, n. 87, e del decreto del Presidente del Consiglio dei ministri 17 giugno 2021, comprovante sempre una delle seguenti fattispecie: a) lo stato di avvenuta vaccinazione contro il SARS-CoV-2; b) la guarigione dall'infezione da SARS-CoV-2; c) l'effettuazione di un test per la rilevazione del SARS-CoV-2 con esito negativo, e che a livello nazionale tale certificazione viene oramai richiesta per le stesse ipotesi gia' previste dalle ordinanze del presidente della Provincia autonoma di Bolzano n. 20/2021 e n. 23/2021, per cui alla Provincia di Bolzano va riconosciuto il ruolo di antesignano, e, inoltre, tra breve l'impiego delle certificazioni verdi sara' obbligatorio anche sui mezzi di trasporto. Infine, in data 1° luglio 2021 e' entrato in vigore il regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell'UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19. Cio' nondimeno la Provincia autonoma di Bolzano si vede costretta a sollevare innanzi a codesta ecc.ma Corte il conflitto di attribuzione in relazione al suddetto provvedimento del garante per la protezione dei dati personali n. 244 del 18 giugno 2021 nonche' di ogni altro atto comunque connesso, presupposto, attuativo e/o consequenziale, ivi compresa la comunicazione dello stesso garante di data 6 luglio 2021, prot. n. 0035891, ai sensi dell'art. 134 della Costituzione, dell'art. 98 dello statuto speciale di autonomia per il Trentino-Alto Adige/Südtirol (decreto del Presidente della Repubblica 31 agosto 1972, n. 670) e degli articoli 39 e seguenti della legge 11 marzo 1953, n. 87, per i seguenti motivi di Diritto Violazione delle attribuzioni costituzionali della Provincia autonoma di Bolzano di cui all'art. 8, primo comma, punti 1, 9, 12, 13, 18, 19, 20, 21, 25, 26 e 29; all'art. 9, primo comma, punti 2, 3, 4, 6, 7, 8, 10, 11; dello statuto speciale di autonomia per la Regione Trentino-Alto Adige/Südtirol (decreto del Presidente della Repubblica 31 agosto 1972, n. 670), anche in riferimento all'art. 10 della legge costituzionale 18 ottobre 2001, n. 3, e relative norme di attuazione, in particolare, decreto del Presidente della Repubblica 28 marzo 1975, n. 474; violazione dell'art. 52, secondo comma, dello statuto speciale di autonomia per la Regione Trentino-Alto Adige/Südtirol; violazione dell'art. 97 dello statuto speciale di autonomia per la Regione Trentino-Alto Adige/Südtirol e dell'art. 2 del decreto legislativo 16 marzo 1992, n. 26. Le competenze del Garante per la protezione dei dati personali sono definiti principalmente dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) nonche' dal Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, e successive modifiche, per le parti per le quali il regolamento UE prevede espressamente delle possibilita' di deroga, oltre che da vari altri atti normativi nazionali e internazionali. In particolare, compete al Garante: controllare che i trattamenti di dati personali siano conformi al regolamento generale sulla protezione dei dati nonche' a leggi e regolamenti nazionali e prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle liberta' fondamentali degli individui; collaborare con le altre autorita' di controllo e prestare assistenza reciproca al fine di garantire l'applicazione e l'attuazione coerente del regolamento generale sulla protezione dei dati; esaminare reclami; nel caso di trattamenti che violano le disposizioni del regolamento generale sulla protezione dei dati rivolgere ammonimenti al titolare del trattamento o al responsabile del trattamento e ingiungere di conformare i trattamenti alle disposizioni dello stesso regolamento; imporre una limitazione provvisoria o definitiva del trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento; adottare i provvedimenti previsti dalla normativa in materia di protezione dei dati personali; segnalare, anche di propria iniziativa, al Parlamento e altri organismi e istituzioni l'esigenza di adottare atti normativi e amministrativi relativi alle questioni riguardanti la protezione dei dati personali; formulare pareri su proposte di atti normativi e amministrativi; partecipare alla discussione su iniziative normative con audizioni presso il Parlamento; predisporre una relazione annuale sull'attivita' svolta e sullo stato di attuazione della normativa sulla privacy da trasmettere al Parlamento e al Governo; partecipare alle attivita' dell'Unione europea ed internazionali di settore, anche in funzione di controllo e assistenza relativamente ai sistemi di informazione Europol, Schengen, VIS, e altri; curare l'informazione e sviluppare la consapevolezza del pubblico e dei titolari del trattamento in materia di protezione dei dati personali, con particolare attenzione alla tutela dei minori; tenere registri interni delle violazioni piu' rilevanti e imporre sanzioni pecuniarie ove previsto dal regolamento generale sulla protezione dei dati e dalla normativa nazionale; coinvolgere, ove previsto, i cittadini e tutti i soggetti interessati con consultazioni pubbliche dei cui risultati si tiene conto per la predisposizione di provvedimenti a carattere generale. Sennonche' dagli atti che hanno dato origine al presente conflitto di attribuzione emerge l'intendimento del Garante per la protezione dei dati personali di interferire indebitamente in ordine alle sfere di competenza tra Stato, regioni e province autonome, esorbitando in modo palese dalle proprie competenze. Infatti, non compete al garante l'attribuzione di una determinata disciplina normativa alla sfera di competenze dello Stato, a maggior ragione ove si consideri che il regolamento generale sulla protezione dei dati non prescrive che la limitazione delle liberta' personali effettuata - anche attraverso il trattamento di dati relativi alla salute - possa essere prevista unicamente da una legge statale. Al riguardo va considerato che la normativa sulla protezione dei dati personali risulta dalle norme del regolamento UE, come tale direttamente applicabili, e soltanto in via residuale dalle disposizioni del Codice della privacy, cosi' come riformato dal decreto legislativo 10 agosto 2018, n. 101, e cioe' limitatamente alle disposizioni attuative delle disposizioni non direttamente applicabili contenute nel regolamento. Al riguardo rileva anche che, in considerazione del contesto dell'emergenza epidemiologica, allo scopo di assicurare la piu' efficace gestione dei flussi e dell'interscambio di dati personali, ovviamente con l'adozione di misure appropriate a tutela dei diritti e delle liberta' degli interessati e nel bilanciamento tra l'interesse della salute pubblica e di gestione dell'emergenza sanitaria, da un lato, e l'esigenza di salvaguardare la riservatezza degli interessati, dall'altro, in sede europea sono state assunte diverse iniziative sui sistemi di tracciabilita', anche per finalita' di allertamento delle persone che possono avere avuto contatti ravvicinati con altri soggetti positivi al virus. Si ricorda, in primo luogo, che la Commissione europea ha adottato la raccomandazione (UE) 2020/518, dell'8 aprile 2020, «relativa a un pacchetto di strumenti comuni dell'Unione per l'uso della tecnologia e dei dati al fine di contrastare la crisi COVID-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l'uso di dati anonimizzati sulla mobilita'». La commissione, in tale atto, ha indicato l'obiettivo di sviluppare un approccio europeo comune per lo sviluppo degli strumenti in oggetto ed ha enunciato alcuni principi generali a cui essi dovrebbero essere improntati. Successivamente, il 16 aprile 2020, la commissione ha emesso una comunicazione recante «Orientamenti sulle app a sostegno della lotta alla pandemia di COVID-19 relativamente alla protezione dei dati» (C(2020)124). In base a tali orientamenti: l'installazione dei sistemi in esame dovrebbe avvenire su base volontaria - senza conseguenze negative per le persone che non vi aderiscano - e dar luogo alla generazione di identificativi tramite pseudonimi; i titolari del trattamento dovrebbero essere le autorita' sanitarie nazionali (o i soggetti che svolgono un compito nel pubblico interesse nel campo della salute); si raccomanda il ricorso a sistemi che traccino solo i dati di prossimita' tra persone e non anche i dati di geolocalizzazione delle medesime; si formula il principio di cancellazione o trasformazione in forma anonima definitiva dei dati. Inoltre, il Comitato europeo per la protezione dei dati (EDPB) ha adottato il 21 aprile 2020 le linee guida sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell'emergenza legata al COVID-19. Il documento afferma, tra l'altro, che: la disciplina europea sulla protezione dei dati reca «norme specifiche che consentono l'uso di dati anonimi o personali per sostenere le autorita' pubbliche e altri soggetti, a livello nazionale e dell'UE, nel monitoraggio e nel contenimento della diffusione del virus SAR-CoV-22»; il ricorso agli strumenti in esame per il tracciamento dei contatti «dovrebbe essere volontario e non dovrebbe basarsi sulla tracciabilita' dei movimenti individuali, bensi' sulle informazioni di prossimita' relative agli utenti». Il 13 maggio 2020 gli Stati membri dell'Unione europea, con il sostegno della Commissione europea, hanno concordato gli orientamenti per l'interoperabilita' transfrontaliera delle applicazioni di tracciamento nell'UE. Gli orientamenti sono stati adottati dagli Stati membri nella sede dell'eHealth Network, una rete che collega le autorita' nazionali responsabili dell'assistenza sanitaria online designate dagli Stati membri, istituita sulla base dell'art. 14 della direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011 (direttiva concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera). Tali orientamenti fanno seguito al «pacchetto di strumenti (toolbox) per l'uso di applicazioni mobili di tracciamento dei contatti e allerta in risposta alla pandemia di COVID-19», definito il 15 aprile 2020 nella medesima sede dell'eHealth Network; quest'ultimo documento ha indicato i seguenti requisiti essenziali per le applicazioni mobili di tracciamento dei contatti e allerta: volontarieta', trasparenza, carattere temporaneo, cyber security, uso di dati anonimizzati e della tecnologia Bluetooth, interoperabilita' transfrontaliera e fra sistemi operativi. In base ai suddetti orientamenti concordati il 13 maggio - che intendono guidare nella progettazione e implementazione delle app e delle soluzioni di back end -, l'interoperabilita' si riferisce ad app che siano in grado di scambiare le informazioni minime necessarie in modo che gli utenti, ovunque si trovino nell'UE, siano avvisati se siano stati in prossimita' di un altro utente risultato positivo al virus COVID-19. La notifica e il follow-up dovrebbero essere conformi alle procedure definite dalle autorita' sanitarie pubbliche, tenuto conto delle implicazioni relative alla privacy ed alla sicurezza dei dati. Nell'anno 2021 si intensificano le iniziative a livello europeo per un certificato UE: 27 gennaio: sono adottati orientamenti che stabiliscono i requisiti di interoperabilita' dei certificati di vaccinazione digitali, sulla base delle discussioni tenutesi tra la Commissione e gli Stati membri nell'ambito della rete eHealth dal novembre 2020; 17 marzo: la Commissione propone un testo legislativo che istituisce un quadro comune per un certificato UE; 14 aprile: il Consiglio adotta il mandato per avviare i negoziati con il Parlamento europeo in merito alla proposta; 22 aprile: i rappresentanti degli Stati membri nella rete eHealth concordano orientamenti che descrivono le principali specifiche tecniche per l'attuazione del sistema. Si tratta di un passo fondamentale per la creazione dell'infrastruttura necessaria a livello dell'UE; 7 maggio: la Commissione avvia la sperimentazione pilota dell'infrastruttura di interoperabilita' dell'UE (EU Gateway) che facilitera' l'autenticazione dei certificati UE; 20 maggio: il Parlamento europeo e il Consiglio raggiungono un accordo sul certificato COVID digitale dell'UE; 1° giugno: il gateway dell'UE (interconnessione tra i sistemi nazionali) e' operativo; 1-30 giugno: fase preparatoria: gli Stati membri possono avviare il certificato su base volontaria a condizione che siano pronti a rilasciare e verificare i certificati e dispongano della necessaria base giuridica; meta' giugno: raccomandazione riveduta del Consiglio sui viaggi all'interno dell'UE; 1° luglio: il certificato COVID digitale dell'UE di cui al regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio del 14 giugno 2021 su un quadro per il rilascio, la verifica e l'accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell'UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19 entra in vigore in tutta l'UE; 1° luglio-12 agosto: periodo transitorio: se uno Stato membro non e' ancora pronto a rilasciare il nuovo certificato ai propri cittadini, e' ancora possibile utilizzare altri formati che dovrebbero essere accettati negli altri Stati membri. Alla luce della normativa UE e dei suoi sviluppi in materia, risulta evidente che per mezzo dei provvedimenti che hanno dato origine al presente conflitto di attribuzione il Garante per la protezione dei dati personali - travalicando la sua funzione - ha inteso menomare la posizione costituzionale della Provincia autonoma di Bolzano sotto il profilo della pienezza delle competenze ad essa riconosciute in forza dello statuto speciale di autonomia. Tramite i provvedimenti in questione si realizza, infatti, un'indebita/illegittima interferenza, priva di alcun fondamento legislativo, nella sfera di competenza riconosciuta alla Provincia autonoma di Bolzano, in forza degli articoli 8, primo comma, punti 1, 9, 12, 13, 18, 19, 20, 21, 25, 26 e 29; 9, primo comma, punti 2, 3, 4, 6, 7, 8, 10, 11; e 52, secondo comma, anche in riferimento all'art. 10 della legge costituzionale 18 ottobre 2001, n. 3. Va ricordato che in forza dell'art. 8 dello statuto la Provincia autonoma di Bolzano ha competenza legislativa esclusiva nelle materie: ordinamento degli uffici provinciali e del personale a essi addetto (n. 1); artigianato (n. 9); fiere e mercati (n. 12); opere di prevenzione e di pronto soccorso per calamita' pubbliche (n. 13); comunicazioni e trasporti di interesse provinciale (n. 18); assunzione diretta di servizi pubblici e loro gestione a mezzo di aziende speciali (n. 19); turismo e industria alberghiera (n. 20); agricoltura e foreste (n. 21); assistenza e beneficenza pubblica (n. 25); scuola materna (n. 26); addestramento e formazione professionale (n. 29); e in forza dell'art. 9 dello stesso statuto essa ha competenza legislativa concorrente nelle materie: istruzione elementare e secondaria (n. 2); commercio (n. 3); apprendistato (n. 4); spettacoli pubblici per quanto attiene alla pubblica sicurezza (n. 6); esercizi pubblici (n. 7); incremento della produzione industriale (n. 8); igiene e sanita', ivi compresa l'assistenza sanitaria e ospedaliera (n. 10); attivita' sportive e ricreative (n. 11). Inoltre, l'art. 10 la legge costituzionale 18 ottobre 2001, n. 3, con la quale sono state apportate modifiche al titolo V della parte seconda della Costituzione, stabilisce che le sue disposizioni si applicano anche alle regioni a statuto speciale e alle Province autonome di Trento e di Bolzano unicamente per le parti in cui prevedono forme di autonomia piu' ampie rispetto a quelle gia' attribuite (v. Corte costituzionale, sentenza n. 279/2005). Per effetto di tale norma la potesta' legislativa delle province autonome e' stata estesa alla materia della «tutela della salute», di portata piu' ampia, secondo quanto affermato da codesta ecc.ma Corte con la sentenza n. 328/2006. Secondo tale sentenza, infatti, che richiama anche alcuni precedenti, la sanita' e' ripartita fra la materia di competenza regionale concorrente della «tutela della salute», che deve essere intesa come «assai piu' ampia rispetto alla precedente materia dell'assistenza sanitaria e ospedaliera» (sentenze n. 181/2006 e n. 270/2005), e quella dell'organizzazione sanitaria, in cui le regioni possono adottare «una propria disciplina anche sostitutiva di quella statale» (sentenza n. 510/2002). In merito assume particolare rilevanza il fatto che il servizio sanitario provinciale e' finanziato esclusivamente dalle Province autonome di Trento e di Bolzano. Dispone, infatti, l'art. 34, comma 3 della legge 23 dicembre 1994, n. 724, che le Province autonome di Trento e di Bolzano, cosi' come la Regione Valle d'Aosta/Vallee d'Aoste, provvedono al finanziamento del Servizio sanitario nazionale nei rispettivi territori, senza alcun apporto a carico del bilancio dello Stato, utilizzando prioritariamente le entrate derivanti dai contributi sanitari (art. 11, comma 9, decreto legislativo 30 dicembre 1992, n. 502) e, ad integrazione, le risorse dei propri bilanci. E' in questo quadro normativo di rango costituzionale ed unionale che con le ordinanze contingibili e urgenti n. 20/2021 e n. 23/2021 del presidente della Provincia autonoma di Bolzano, adottate in forza dell'art. 52, secondo comma, dello statuto di autonomia, nel rispetto di quanto previsto dalla legge provinciale 8 maggio 2020, n. 4, e tenendo conto del quadro normativo delineato dal decreto-legge 22 aprile 2021, n. 52, e, in particolare, nel rispetto di quanto disposto dal regolamento generale sulla protezione dei dati, sono state disciplinate le certificazioni verdi, quale semplice mezzo per l'accesso, in determinate forme, a determinati luoghi; cio' al fine di agevolare la libera circolazione e di alleviare le restrizioni alla stessa per motivi di sanita' pubblica, perseguendo nel contempo un livello elevato di protezione della salute pubblica. Che un tanto e' legittimo trova piena conferma nel recentissimo regolamento (UE) 2021/953 sul certificato COVID digitale dell'UE, in particolare al considerando (6), mentre il regolamento UE sulla privacy prevede che: limitazioni alla privacy possono essere disposte dalle autorita' per motivi di salute pubblica; ai privati e' comunque fatto obbligo di non trattare i dati dei clienti che esibiscono il green pass; il green pass finisce per essere una documentazione al pari di un documento personale, da non pubblicare ma da esibire solo all'occorrenza come avviene appunto con gli attuali documenti di riconoscimento. La lesione da interferenza ad opera dei provvedimenti che hanno dato origine al presente conflitto di attribuzione e' pertanto palese. Di certo va escluso che la disciplina delle certificazioni verdi attenga alla materia della profilassi internazionale, perche' il fine della stessa e' quello di garantire il diritto fondamentale alla libera circolazione. Ad ogni modo non compete al Garante per la protezione dei dati personali farsi difensore di asserite competenze esclusive statali. Gia' per questo motivo e' indubbia l'invasivita' dei provvedimenti impugnati, costituente una forma di turbativa e/o menomazione di potesta' mediante l'illegittimo esercizio da parte del garante di attribuzioni non proprie. Gli atti impugnati non costituiscono semplicemente un «cattivo esercizio» del potere che si manifesti in mera illegittimita' dell'atto, dal momento che gli stessi hanno costituito turbativa (menomazione) di attribuzioni, costituzionalmente garantite, della Provincia autonoma di Bolzano e una altrettanto illegittima espansione dell'attribuzione del garante, per cui va ripristinato il riequilibrio delle rispettive attribuzioni. In ogni caso gli atti impugnati sono invasivi perche' travalicano i limiti delle funzioni attribuite al Garante per la protezione dei dati personali, posto che non spetta allo stesso, nell'esercizio delle sue competenze, giudicare sulle competenze della provincia, potere questo spettante unicamente al Governo in forza del combinato disposto dell'art. 97 dello statuto speciale di autonomia e dell'art. 2 del decreto legislativo 16 marzo 1992, n. 266. E' appena il caso di ribadire come le ordinanze presidenziali contingibili e urgenti censurate dal Garante per la protezione dei dati personali richiedano l'esibizione della certificazione verde per accedere a determinati eventi, strutture e altri luoghi pubblici o aperti al pubblico, attivita' e servizi, unicamente nelle materie in cui la Provincia autonoma di Bolzano gode di competenza legislativa esclusiva ovvero concorrente, come gia' in precedenza puntualmente elencate. Helmi. In tale contesto va ricordato l'insegnamento di codesta ecc.ma Corte che con sentenza n. 271 del 7 luglio 2005 ha gia' avuto modo di statuire quanto segue: «Quanto appena espresso non equivale peraltro ad affermare la incompetenza del legislatore regionale a disciplinare procedure o strutture organizzative che prevedono il trattamento di dati personali, pur ovviamente nell'integrale rispetto della legislazione statale sulla loro protezione (ivi comprese le disposizioni relative alle "misure minime di sicurezza" prescritte per i trattamenti dei dati personali con o senza l'utilizzazione degli strumenti elettronici): infatti le regioni, nelle materie di propria competenza legislativa, non solo devono necessariamente prevedere l'utilizzazione di molteplici categorie di dati personali da parte di soggetti pubblici e privati, ma possono anche organizzare e disciplinare a livello regionale una rete informativa sulle realta' regionali, entro cui far confluire i diversi dati conoscitivi (personali e non personali) che sono nella disponibilita' delle istituzioni regionali e locali o di altri soggetti interessati cio', tuttavia, deve avvenire ovviamente nel rispetto degli eventuali livelli di riservatezza o di segreto, assoluti o relativi, che siano prescritti dalla legge statale in relazione ad alcune delle informazioni, nonche' con i consensi necessari da parte delle diverse realta' istituzionali o sociali coinvolte. Ne' in quest'ambito e' preclusiva la titolarita' esclusiva del legislatore statale in tema di "coordinamento informativo statistico e informatico dei dati dell'amministrazione statale, regionale e locale", di cui alla lettera r) del secondo comma dell'art. 117 della Costituzione, come sostenuto dalla Avvocatura generale dello Stato. Cio' anzitutto perche' si tratta di un potere legislativo di coordinamento, il cui mancato esercizio non preclude autonome iniziative delle regioni aventi ad oggetto la razionale ed efficace organizzazione delle basi di dati che sono nella loro disponibilita' ed anche il loro coordinamento paritario con le analoghe strutture degli altri enti pubblici o privati operanti sul territorio. Il problema sorgerebbe solo nel momento in cui il legislatore statale dettasse normative nei medesimi ambiti a fine di coordinamento. D'altra parte questo esclusivo potere legislativo statale concerne solo un coordinamento di tipo tecnico che venga ritenuto opportuno dal legislatore statale (si vedano le sentenze di questa Corte n. 31 del 2005 e n. 17 del 2004) e il cui esercizio, comunque, non puo' escludere una competenza regionale nella disciplina e gestione di una propria rete informativa (cfr. sentenza n. 50 del 2005)». La pronuncia appena ricordata risulta chiara nel consentire alle regioni e, quindi, alle province autonome di disciplinare nelle materie di propria competenza procedure e strutture che prevedono il trattamento dei dati personali, purche' cio' avvenga nell'integrale rispetto della legislazione statale sulla loro protezione. Cio' posto, appare ancora una volta piu' evidente come la competenza del garante e' limitata alla verifica del rispetto della legislazione nazionale sulla protezione dei dati personali, non potendosi di converso estendere alla sindacabilita', in radice, della competenza attribuita alla Provincia autonoma di Bolzano di legiferare e regolamentare in materie di propria competenza, esclusiva o concorrente. In altre parole, il controllo del garante puo' e deve limitarsi alla verifica del corretto trattamento dei dati personali, anche perche', come gia' visto, spetta unicamente al Governo denunciare alla Corte costituzionale eventuali presunte violazioni di competenze (e spetta a quest'ultima decidere in merito). Sul punto appare significativo che il provvedimento del garante n. 244 del 18 giugno 2021 muove nei confronti delle ordinanze presidenziali contingibili e urgenti n. 20/2021 e n. 23/2021 censure fondate pressoche' unicamente su asseriti difetti di competenza della Provincia autonoma di Bolzano, mentre nel merito si censura il mancato rispetto delle certificazioni verdi al modello previsto dal decreto del Presidente del Consiglio dei ministri 17 giugno 2021, emanato, quindi, il giorno precedente alla pubblicazione del provvedimento del garante n. 244/2021 stesso. Al riguardo ci si richiama alla gia' citata pronuncia di codesta ecc.ma Corte n. 271/2005, secondo cui il mancato esercizio del potere legislativo di coordinamento non preclude autonome iniziative delle regioni (e province autonome), per sottolineare nuovamente come la Provincia autonoma di Bolzano abbia provveduto a regolare la certificazione verde «in attesa di eventuali disposizioni emanate a livello centrale» le quali, una volta emanate il 17 giugno 2021, sono state puntualmente recepite dalla Provincia autonoma di Bolzano. A margine va aggiunto che le misure nel frattempo adottate a livello nazionale sono praticamente le stesse di quelle adottate a livello provinciale che hanno tutte lo scopo di decelerare il piu' possibile la diffusione del virus COVID-19, al fine di alleviare il rischio di compromettere la salute del singolo e della collettivita' e nel contempo di garantire il diritto alla libera circolazione e la liberta' di iniziativa economica. Per le considerazioni sin qui svolte, risulta anche palese la menomazione dei poteri del presidente della provincia ad esso attribuite dall'art. 52, comma 2 dello statuto speciale di autonomia, ai sensi del quale lo stesso «[A]dotta i provvedimenti contingibili ed urgenti in materia di sicurezza e di igiene pubblica nell'interesse delle popolazioni di due o piu' comuni», con conseguente violazione di tale norma di rango costituzionale. Infatti, in forza di tale norma statutaria il potere di decretazione d'urgenza in caso di pericolo per l'incolumita' e la sicurezza pubblica spetta al presidente della provincia, posto che l'esercizio del potere di adottare ordinanze contingibili e urgenti presuppone la necessita' di provvedere con immediatezza in ordine a situazioni di pericolo che non sia possibile fronteggiare con gli ordinari strumenti apprestati dall'ordinamento (cfr. Consiglio di Stato, sez. VI, sentenza 31 maggio 2013, n. 3007). Ne consegue che i qui impugnati provvedimenti sono altresi' invasivi della sfera di competenza del presidente della Provincia autonoma di Bolzano, anche perche' le certificazioni verdi di cui alle ordinanze presidenziali contingibili e urgenti n. 20/2021 e n. 23/2021 sono disciplinate nel pieno rispetto della normativa europea, oltre che quella nazionale, in materia di protezione dei dati personali. Infatti, a livello provinciale per «certificazioni verdi» si intendono le attestazioni rilasciate dall'azienda sanitaria (dell'Alto Adige) o da altre autorita' sanitarie competenti comprovanti, in relazione al SARS-CoV-2, lo stato di avvenuta vaccinazione, la guarigione dall'infezione o l'effettuazione di un test per la sua rilevazione con risultato negativo; trattasi quindi di attestazioni che, a prescindere da quanto previsto in ordine alla loro valenza dalle predette ordinanze, gia' venivano rilasciate al cittadino, fin dai principi della pandemia e poi con l'inizio della campagna vaccinale, al ricorrere di una delle situazioni individuate come presupposto. Non e' stata creata alcuna banca dati ulteriore, o app dedicata, per i certificati verdi in quanto non raccolgono e non certificano informazioni o dati aggiuntivi rispetto a quelli gia' contenuti nelle attestazioni di avvenuta vaccinazione, guarigione o di effettuazione di un test con risultato negativo. Si tratta pertanto di documentazione gia' esistente, comunque prodotta e messa a disposizione del cittadino, in cui il trattamento dei dati viene effettuato per finalita' di cura diagnosi, prevenzione dell'emergenza virale COVID SARS-CoV-2 dal titolare del trattamento, da individuarsi nell'Azienda sanitaria dell'Alto Adige. La messa a disposizione in formato digitale di tale documentazione attua quanto previsto dall'art. 2 del decreto legislativo 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale), in forza del quale «Lo Stato, le regioni e le autonomie locali assicurano la disponibilita', la gestione, l'accesso, la trasmissione, la conservazione e la fruibilita' dell'informazione in modalita' digitale e si organizzano ed agiscono a tale fine utilizzando con le modalita' piu' appropriate e nel modo piu' adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell'informazione e della comunicazione» nonche' dall'art. 1 della legge 7 agosto 2015, n. 124, che sancisce il diritto di cittadini e imprese, «... anche attraverso l'utilizzo delle tecnologie dell'informazione e della comunicazione di accedere a tutti i dati, i documenti e i servizi di loro interesse in modalita' digitale al fine di garantire la semplificazione nell'accesso ai servizi alla persona» e «riducendo la necessita' dell'accesso fisico agli uffici pubblici». La previsione per cui il possesso di tale documentazione possa assurgere a presupposto per l'accesso a determinati servizi, ma in ogni caso mai per quelli essenziali, che altrimenti potrebbero restare preclusi al cittadino in ragione delle primarie esigenze di tutela della salute, e' da ricondursi ai motivi di interesse pubblico rilevante nel settore della sanita' pubblica ai sensi dell'art. 9, paragrafo 2, lettera i), del regolamento (UE) 2016/679 sulla protezione dei dati. Le certificazioni verdi non implicano di fatto alcun trattamento ulteriore dei dati rispetto a quanto gia' compiutamente definito e regolamentato, in ordine ai profili di protezione dei dati personali, dal titolare del trattamento, l'azienda sanitaria, per il rilascio delle attestazioni di avvenuta vaccinazione, guarigione o effettuazione di un test con esito negativo. I dati di cui ai certificati verdi altoatesini non riproducono tutti i dati previsti, e ritenuti dal garante come eccedenti in quanto contrastanti con il principio di minimizzazione, per le certificazioni verdi COVID-19 nazionali originariamente previsti dall'art. 9 del decreto-legge n. 52/2021 e dall'allegato 1, rispetto al quale il garante aveva espresso le proprie censure con formale ammonimento in data peraltro concomitante con quella dell'ordinanza n. 20/2021. La lettura dell'attestazione tramite QR-Code consente, infatti, di limitare la riproduzione del solo dato relativo al nome e cognome del soggetto che la esibisce. La lettura del QR-Code, che avviene tramite uso della fotocamera di cui sono dotati tutti gli smartphone standard e funge da «biglietto di ingresso» per le aree definite «CoronaPass Areas», non si configura come un ulteriore trattamento di dati, considerato che cio' che viene riprodotto, e non salvato, e' una sintesi dei dati personali necessari e sufficienti a realizzare le finalita' sopra esposte ovvero il nome e cognome della persona fisica cui l'attestazione inerisce ed una mera spunta di colore verde (senza indicazione se trattasi di soggetto vaccinato, guarito o testato negativamente). Rientra comunque nella discrezionalita' dell'interessato disporre liberamente dei documenti (ovvero dell'esito del test o del certificato di vaccinazione o di guarigione anche corredato anche del relativo QR-Code), decidendo volontariamente di esibirli per garantirsi la fruizione di un servizio in condizioni di sicurezza per la salute personale e collettiva, mentre gli esercenti le attivita' per cui e' richiesta l'esibizione del certificato verde hanno il mero obbligo di avvisare i cittadini di tale presupposto per l'accesso. Trova quindi applicazione il principio di auto responsabilita', per cui il cittadino che accede alle aree riservate ai possessori di certificazione verde dichiara, cosi' facendo, di disporre della relativa (valida) attestazione. Risulta, pertanto, evidente che con il provvedimento n. 244 di data 18 giugno 2021 e la seguente comunicazione di data 6 luglio 2021, prot. 0035891, il Garante per la protezione dei dati ha ecceduto le proprie competenze per i seguenti motivi: al fine dell'introduzione delle certificazioni verdi, non e' stata creata alcuna banca dati ulteriore, app dedicata o trattamento nuovo bensi' si tratta di documentazione gia' esistente, comunque prodotta e messa a disposizione del cittadino, in cui il trattamento dei dati viene effettuato per finalita' di cura, diagnosi, prevenzione dell'emergenza virale COVID SARS-CoV-2 dall'Azienda sanitaria dell'Alto Adige nella sua qualita' di titolare del trattamento; i provvedimenti del Garante per la protezione dei dati non trovano quindi alcun fondamento giuridico nelle competenze affidate a questo, quali ad esempio il controllo affinche' i trattamenti di dati personali siano conformi al regolamento nonche' a leggi e regolamenti nazionali e la connessa prescrizione ai titolari o ai responsabili dei trattamenti di misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle liberta' fondamentali degli individui; non e' stata perpetrata alcuna discriminazione tra le persone destinatarie delle certificazioni ne' queste hanno subito violazioni dei loro diritti e liberta' fondamentali; in nessun momento sono stati violati i principi di anonimizzazione e di minimizzazione dei dati personali, con conseguente illegittima interferenza nella sfera di competenze costituzionalmente protette della Provincia autonoma di Bolzano per effetto dello statuto speciale di autonomia per il Trentino-Alto Adige/Südtirol e, quindi, menomazione della stessa, nella parte in cui viene attribuito esclusivamente al legislatore statale la disciplina sulle certificazioni verdi, esorbitando cosi' dalle proprie competenze, consistenti, nel caso di specie, nel controllo affinche' che i trattamenti di dati personali avvengano in conformita' alla normativa in materia.
P. Q. M. Si chiede che codesta ecc.ma Corte costituzionale, in accoglimento del presente ricorso, voglia dichiarare che non spetta al Garante per la protezione dei dati personali adottare provvedimenti che ledono l'ordine costituzionale delle competenze della Provincia autonoma di Bolzano e, in particolare, che non spetta allo stesso garante, nell'esercizio delle sue competenze, giudicare sulle competenze della provincia autonoma e/o limitare le stesse, e, per l'effetto, annullare il provvedimento del Garante per la protezione dei dati personali n. 244 del 18 giugno 2021, nonche' di ogni altro atto comunque connesso, presupposto, attuativo e/o consequenziale, ivi compresa la comunicazione dello stesso Garante di data 6 luglio 2021, prot. n. 0035891. Con il presente atto si deposita la seguente documentazione: 1) autorizzazione a stare in giudizio (deliberazione della giunta provinciale di Bolzano n. 672 del 10 agosto 2021); 2) procura speciale rep. n. 25626 del 10 agosto 2021; 3) provvedimento del Garante per la protezione dei dati personali n. 244 del 18 giugno 2021; 4) comunicazione del Garante per la protezione dei dati personali di data 6 luglio 2021, prot. n. 0035891; 5) nota del Garante per la protezione dei dati personali di data 30 aprile 2021, prot. n. 24123; 6) ordinanza contingibile e urgente del presidente della Provincia autonoma di Bolzano n. 20 del 23 aprile 2021; 7) nota della Provincia autonoma di Bolzano di data 7 maggio 2021; 8) ordinanza contingibile e urgente del Presidente della Provincia autonoma di Bolzano n. 23 del 21 maggio 2021. Bolzano-Roma, 11 agosto 2021 L'avvocato: Renate von Guggenberg L'avvocato: Alexandra Roilo L'avvocato: Laura Fadanelli L'avvocato: Cristina Bernardi L'avvocato: Lukas Plancker L'avvocato: Luca Graziani