IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE,
«Regolamento generale sulla protezione dei dati» (di seguito,
«Regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali», recante
disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonche' alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (di
seguito «Codice»);
Visto il decreto legislativo 9 aprile 2008, n. 81, in materia di
tutela della salute e della sicurezza nei luoghi di lavoro;
Visto il protocollo condiviso di aggiornamento delle misure per il
contrasto e il contenimento della diffusione del virus
SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha
aggiornato il protocollo del 24 aprile 2020;
Visto il decreto-legge 22 aprile 2021, n. 52, recante «Misure
urgenti per la graduale ripresa delle attivita' economiche e sociali
nel rispetto delle esigenze di contenimento della diffusione
dell'epidemia da COVID-19»;
Visto il decreto del Presidente del Consiglio dei ministri del 17
giugno 2021 «Disposizioni attuative dell'art. 9, comma 10, del
decreto-legge 22 aprile 2021, n. 52, recante Misure urgenti per la
graduale ripresa delle attivita' economiche e sociali nel rispetto
delle esigenze di contenimento della diffusione dell'epidemia da
COVID-19»;
Visto il regolamento n. 1/2019 concernente le procedure interne
aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e
all'esercizio dei poteri demandati al Garante per la protezione dei
dati personali, approvato con deliberazione del n. 98 del 4 aprile
2019, pubblicato nella Gazzetta Ufficiale della Repubblica italiana
n. 106 dell'8 maggio 2019 e in www.gpdp.it - doc. web n. 9107633 (di
seguito «Regolamento del garante n. 1/2019»);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del garante n. 1/2000
sull'organizzazione e il funzionamento dell'ufficio del garante per
la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
Premesso
Con l'ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione
Siciliana ha introdotto sul territorio regionale «Ulteriori misure
per l'emergenza epidemiologica da COVID-19», «al fine di conseguire
celermente nel territorio della Regione Siciliana uno standard di
vaccinazione non inferiore alla quota percentuale dell'80% per tutti
i target anagrafici individuati a livello nazionale» e «tenuto conto
del rischio di diffusione del virus nella variante comunemente nota
come "Delta"».
Nella predetta ordinanza, il Presidente della Regione Siciliana
prevede che sia disposta, una «ricognizione del personale non
vaccinato operante nelle pubbliche amministrazioni e preposto ai
servizi di pubblica utilita' e ai servizi essenziali di cui alla
legge n. 146 del 12 giugno 1990», disponendo, in particolare,
all'art. 3 che:
«le AA.SS.PP. provvedono, mediante apposito interpello a tutti
gli enti pubblici operanti nel territorio della Regione Siciliana,
alla ricognizione aggiornata del numero dei dipendenti che non si
sono ancora sottoposti alla vaccinazione» (comma 1);
«all'esito di tale ricognizione [...] tutti coloro che
nell'esercizio dei propri compiti d'ufficio si trovino ad instaurare
contatti diretti con il pubblico vengono formalmente invitati, per il
tramite dei datori di lavoro, a ricevere la vaccinazione» (comma 2);
«per l'ipotesi di indisponibilita' o di rifiuto di sottoposizione
a vaccinazione, il datore di lavoro pubblico provvede, nei modi e
termini previsti dal CCNL di categoria, ad individuare per
l'interessato una differente assegnazione lavorativa, ove possibile,
che non implichi il contatto diretto del lavoratore con l'utenza
esterna» (comma 2);
analoga attivita' ricognitiva debba essere effettuata «con
riferimento al personale preposto ai servizi di pubblica utilita' e
ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990,
nonche' agli autotrasportatori e al personale delle imprese che
assicurano la continuita' della filiera agro-alimentare e sanitaria e
agli equipaggi dei mezzi di trasporto» (comma 1).
A seguito di richiesta di informazioni da parte di questa
Autorita', con nota prot. n. [omissis] del [omissis], la Regione
Siciliana ha specificato che:
«l'Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 e'
stata emanata dal Presidente della regione sia in qualita' di
Autorita' sanitaria regionale - ai sensi della legge n. 8233/1978 -
sia come soggetto attuatore delle misure emergenziali connesse allo
stato di emergenza dichiarato dal Consiglio dei ministri relativo
alla pandemia da COVID-19 (Ordinanza del Capo della protezione civile
n. 630/2020)»;
«si tratta, quindi, dell'esercizio di poteri riconosciuti per
legge e volti ad intervenire con urgenza per contrastare l'evolversi
(e, oggi, l'acuirsi) della pandemia. Impregiudicate, pertanto, le
specifiche disposizioni contenute nelle rispettive discipline di
settore, le attivita' giuridiche e materiali (incluse quelle relative
al trattamento di dati) che il provvedimento richiede ai soggetti
rientranti nella propria sfera applicativa sono strumentali alle
finalita' istituzionali perseguite dal Presidente, ossia la tutela di
un diritto costituzionalmente rilevante quale e' la salute dei
siciliani»;
«le disposizioni contenute nella ordinanza n. 75 del Presidente
della regione, volte a tutelare la salute pubblica, siano
assolutamente legittime e, certamente, non siano volte a violare le
norme in materia di protezione dei dati personali» e «come emerge dal
tenore letterale dell'articolo 3 dell'ordinanza, oggetto di verifica
non e' la individuazione dei nominativi dei lavoratori pubblici non
ancora vaccinati, bensi' la indicazione del "numero" dei detti
dipendenti»;
«l'attivita' di indagine, utile ai fini della programmazione
della futura gestione sanitaria della pandemia e della organizzazione
dei presidi di prevenzione su tutto il territorio regionale, deve
avvenite in anonimato. Cio', e' chiaro, garantisce sia i dipendenti
sia l'attivita' pubblica volta a gestire l'emergenza sanitaria»;
«la corretta interpretazione della Ordinanza, avvalorata dalla
[successiva] circolare interpretativa, [che prevede il coinvolgimento
del medico competente...] elimina in radice il problema del
trattamento di un dato sensibile riferito ad una determinata persona
fisica che, potenzialmente, potrebbe reputarsi leso»;
«puo' osservarsi come spetti sempre e solo al medico competente,
nel rispetto della vigente normativa, valutare le condizioni di
salute del dipendente e, eventualmente, comunicarle al datore di
lavoro Per assumere le necessarie determinazioni (nel rispetto del
CCNL e delle leggi di settore). Si pensi, a titolo meramente
esemplificativo, alle c.d. fragilita' gia' evidenziate per
individuare i soggetti con priorita' in sede di vaccinazione e che,
ove presenti in lavoratori non vaccinati, a giudizio del medico
competente potrebbero senza dubbio aumentare il rischio di salute dei
medesimi ove svolgano mansioni a contatto con il pubblico»;
«si vuole, cioe', tutelare la salute del lavoratore in funzione
della concreta attivita' svolta la cui valutazione compete sempre e
solo al medico competente [...]. E giova chiarire ulteriormente come,
stante l'anonimato del dato, il datore di lavoro senza la specifica
richiesta del medico competente (che valuta in concreto le condizioni
di salute del dipendente) non potrebbe certamente intervenire
mancando proprio la conoscenza dei lavoratori non vaccinati»;
«nella prudente ponderazione degli interessi (la salute pubblica,
la sicurezza dei lavoratori e la protezione dei dati), quindi, si
ritiene che non potrebbe certamente escludersi che uno degli elementi
incidenti oggi in modo significativo sulla salute dei dipendenti sia
proprio il rischio del contagio»;
«la decisione del medico, del resto, non sarebbe certamente (e
non potrebbe esserlo, stante l'anonimato del dato) la conseguenza
della ricognizione dei dipendenti vaccinati, bensi' frutto di
eventuale visita - come avviene per verificare la sicurezza dei
lavoratori - e valutazioni specifiche delle condizioni di salute
rispetto alle mansioni ricoperte»;
«in sintesi, dunque, non vi sarebbe alcun pregiudizio o intento
"punitivo" per il dipendente non vaccinato ne', certamente, potrebbe
mai ritenersi una volonta' discriminatoria. E' tuttavia vero
(drammaticamente lo ricordano le migliaia di morti) che la pandemia
richiede misure urgenti e straordinarie affinche' venga preservata la
salute di tutti (lavoratori e non)».
Piu' nel dettaglio con riguardo alla circolare (prot. [omissis] del
13 luglio 2021) interpretativa e attuativa dell'ordinanza del
Presidente della regione n. 75 del 7 luglio 2021, a firma
dell'assessore regionale per la salute e del dirigente generale del
Dipartimento regionale attivita' sanitarie e osservatorio
epidemiologico, indirizzata ai rappresentati legali delle aziende
sanitarie provinciali del SSR, adottata successivamente alla
richiesta di elementi dell'Autorita', emerge che:
«la suddetta rilevazione dovra' avvenire in prima istanza per
finalita' statistiche e ricognitive nonche' di verifica della esatta
percentuale, nell'ambito del target in esame, del numero dei
dipendenti che non si sono ancora sottoposti a vaccinazione (non
essendo pertanto richiesta, allo stato, indicazione nominativa dei
dipendenti interessati dalla ricognizione medesima)»;
«si raccomanda alle AA SS PP. in indirizzo di garantire, all'atto
di instaurare la necessaria interlocuzione con gli enti pubblici
datoriali, l'anonimato del personale dipendente (ad esempio mediante
_invio di questionari da compilare in forma anonima) senza
contestualmente procedere all'acquisizione di dati sensibili»;
«ulteriore attivita' demandata alle aziende sanitarie provinciali
all'esito della ricognizione del numero dei dipendenti degli enti
pubblici non ancora sottoposti a vaccinazione consiste
nell'effettuazione - per il tramite dei datori di lavoro e, piu' in
particolare, del medico competente - di un "invito" a sottoporsi alla
vaccinazione da rivolgere a tutto il personale dipendente, a
prescindere quindi dal possesso o meno dello status di soggetto
vaccinato»;
«i lavoratori che all'esito dell'invito sopra menzionato si
presenteranno spontaneamente dinanzi al medico competente verranno
sottoposti ad apposita visita di idoneita', da svolgersi nelle forme
e secondo le modalita' previste dalla normativa vigente in materia di
sicurezza e salute sui luoghi di lavoro nonche' dei provvedimenti
recentemente adottati in materia dal garante per la protezione dei
dati personali, che si concludera' nella stesura e nel giudizio
finale (di idoneita' o di inidoneita') circa lo svolgimento della
specifica mansione a cui il lavoratore e' assegnato»;
«il datore di lavoro, ricevuto il suddetto giudizio, attuera' le
misure indicate dal medico competente nei casi di giudizio di
parziale o temporanea inidoneita' alla mansione cui e' adibito il
lavoratore (cfr. articoli 41, 42 e 279 del decreto legislativo n.
81/2008 e successive modifiche ed integrazioni)»;
«le determinazioni conseguenziali in ordine all'eventuale
assegnazione del lavoratore ad altra mansione per effetto
dell'accertata inidoneita' siccome discendente dall'omessa
effettuazione del vaccino, infine, verranno adottate nel rispetto
della normativa e della contrattazione collettiva di riferimento».
Osserva
Per i profili di competenza dell'Autorita' si rileva in via
preliminare che il garante ha recentemente chiarito che le
certificazioni attestanti l'avvenuta vaccinazione (e, non
diversamente la guarigione da COVID-19, o l'esito negativo di un test
antigenico o molecolare) non possano essere ritenute una condizione
necessaria per consentire l'accesso a luoghi o servizi o per
l'instaurazione o l'individuazione delle modalita' di svolgimento di
rapporti giuridici se non nei limiti in cui cio' e' previsto da una
norma di rango primario, nell'ambito dell'adozione delle misure di
sanita' pubblica necessarie per il contenimento del virus SARS-CoV-2
(cfr. provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064,
recante il «Parere sul DPCM di attuazione della piattaforma nazionale
DGC per l'emissione, il rilascio e la verifica del Green pass»).
L'Autorita' ha infatti piu' volte ribadito come la competenza in
merito all'introduzione di misure di limitazione dei diritti e delle
liberta' fondamentali che implichino il trattamento di dati personali
ricade nelle materie assoggettate alla riserva di legge statale
(articoli 6, paragrafo 2, e 9 del regolamento e articoli 2-ter e
2-sexies del Codice in materia di protezione dei dati personali,
considerando n. 37 del regolamento del Parlamento europeo e del
Consiglio sull'EU digital COVID certificate, approvata nella sua
formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021).
Come evidenziato anche dal Presidente del garante nella audizione
informale alla Camera del 6 maggio 2021, in generale, la materia
risulta essere assoggettata alla riserva di legge statale (Corte
costituzionale, sentenza n. 5/2018 sulle condizioni di legittimita'
dell'obbligo vaccinale, nonche', sulla riserva di legge statale in
materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina
del 12 dicembre 2020; Corte costituzionale, sentenza n. 271/2005
sulla riserva di legge statale sulla protezione dati; Corte
costituzionale, sentenza n. 37/2021). Al riguardo, nel provvedimento
di avvertimento del n. 207 del 25 maggio 2021 nei confronti della
Regione Campania (doc web n. 9590466) il Presidente ha infatti
rappresentato che la Corte costituzionale ha recentemente evidenziato
che «la pandemia in corso ha richiesto e richiede interventi
rientranti nella materia della profilassi internazionale di
competenza esclusiva dello Stato ai sensi dell'art. 117, secondo
comma, lettera q), Cost.» (Ordinanza della n. 4/2021).
Il garante ha pertanto reso parere favorevole sullo schema di
decreto di attuazione della disciplina in tema di certificazioni
verdi a condizione che, in sede di conversione in legge del
decreto-legge 22 aprile 2021, n. 52 («Misure urgenti per la graduale
ripresa delle attivita' economiche e sociali nel rispetto delle
esigenze di contenimento della diffusione dell'epidemia da
COVID-19»), fossero, tra l'altro, specificamente definite le
finalita' del trattamento e fosse introdotta una riserva di legge
statale per l'utilizzo delle certificazioni per attestare l'avvenuta
vaccinazione o guarigione da COVID-19, o l'esito negativo di un test
antigenico o molecolare. Al riguardo, si rappresenta che, in sede di
conversione in legge del decreto-legge n. 52/2021, e' stata
modificata la disciplina sulle certificazioni verdi prevedendo che le
stesse possono essere utilizzate esclusivamente ai fini di cui agli
articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma
2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10-bis,
legge n. 87/2021).
Con specifico riguardo al contesto lavorativo, il predetto
decreto-legge n. 52/2021, convertito nella legge n. 87/2021, nel
prevedere specifiche misure atte a ridurre il rischio di contagio in
ambienti in cui svolge anche l'attivita' lavorativa, non ha
introdotto quella relativa al possesso di un attestato comprovante
l'avvenuta vaccinazione o il risultato negativo di un test per
COVID-19 (cfr. articoli 3, 3-bis, 4, 4-bis, 5, 5-bis, 6, 6-bis, 7, 8,
8-bis, 8-ter, legge n. 87/2021).
Anche in merito alla possibilita' di introdurre la vaccinazione
anti SARS-CoV-2, quale requisito per lo svolgimento di particolari
professioni o mansioni, con particolare riguardo all'esposizione a un
maggior rischio di contagio nel contesto sanitario, l'Autorita' ha
ritenuto necessario, nella prospettiva di certezza del diritto e nel
principio di non discriminazione, che la materia dovesse essere
oggetto di una regolazione uniforme con legge nazionale, nel rispetto
del principio di proporzionalita' (art. 6, paragrafo 3, lettera b),
del regolamento) e del principio di ragionevolezza (art. 3 Cost.),
tenendo conto della specifica situazione sanitaria ed epidemiologica
in atto e delle evidenze scientifiche (cfr. FAQ n. 3 in materia di
«Trattamento di dati relativi alla vaccinazione anti COVID-19 nel
contesto lavorativo» www.gpdp.it - doc. web n. 9543615).
Il legislatore e', dunque, successivamente intervenuto con il
decreto-legge del 1° aprile 2021, n. 44 (convertito in legge n. 76
del 28 maggio 2021 - Misure urgenti per il contenimento dell'epidemia
da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia
e di concorsi pubblici), il cui art. 4 ha previsto che, limitatamente
agli esercenti le professioni sanitarie e agli operatori di interesse
sanitario, la vaccinazione anti SARS-CoV-2 costituisce «requisito
essenziale per l'esercizio della professione e per lo svolgimento
delle prestazioni lavorative».
In tale quadro, con riguardo a tutte le altre categorie di
lavoratori, nel rispetto della disciplina di protezione dei dati,
della disciplina nazionale di settore e delle norme piu' specifiche e
di maggior tutela che garantiscono la dignita' e la liberta' degli
interessati sui luoghi di lavoro (art. 88 del regolamento e 113 del
Codice) nonche' di quelle emanate nel contesto dell'emergenza
epidemiologica in corso, il datore di lavoro non puo' trattare i dati
relativi alla vaccinazione dei propri dipendenti (inclusa
l'intenzione di aderire o meno alla campagna vaccinale). Come
recentemente ribadito dal Garante anche con provvedimenti di
carattere generale e documenti di indirizzo, eventuali trattamenti di
dati personali inerenti alla vaccinazione di dipendenti sono allo
stato consentiti, nel contesto lavorativo, per il tramite del medico
competente, nei limiti e alle condizioni previste dalle disposizioni
vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne
costituisco la base giuridica (decreto legislativo 9 aprile 2008, n.
81; Provvedimento del 13 maggio 2021 - documento di indirizzo
«Vaccinazione nei luoghi di lavoro: indicazioni generali per il
trattamento dei dati personali», doc. web n. 9585300 e documento
«Protezione dei dati - Il ruolo del medico competente in materia di
sicurezza sul luogo di lavoro, anche con riferimento al contesto
emergenziale», doc. web n. 9585367).
Alla luce delle considerazioni preliminari sopra riportate, si
ritiene pertanto che le disposizioni di cui all'ordinanza del
Presidente della Regione Siciliana del 7 luglio 2021, n. 75,
presentino le seguenti criticita':
1. Inidoneita' della base giuridica.
In via preliminare, si rileva che l'individuazione della avvenuta
vaccinazione quale condizione per esercitare diritti e liberta'
individuali o accedere agli ambienti di lavoro, non puo' essere
prevista da un'ordinanza regionale, in quanto, come sopra
evidenziato, la competenza circa l'introduzione di misure di sanita'
pubblica che implichino il trattamento di dati personali ricade nelle
materie assoggettate alla riserva di legge statale e pertanto deve
avvenire attraverso una disposizione che abbia le caratteristiche
richieste dal regolamento (art. 6, paragrafo 3, del regolamento),
previa acquisizione del parere dell'Autorita'.
In particolare, la predetta ordinanza presidenziale, pur alla luce
delle precisazioni contenute nella circolare del 13 luglio, prot. n.
[omissis], nel prevedere la generalizzata ricognizione del personale
degli enti pubblici e di altri lavoratori non vaccinati e la
conseguente assegnazione a differenti mansioni che non implichino il
contatto con l'utenza esterna (cfr. art. 3, comma 2, cit.), introduce
trattamenti di dati personali relativi allo stato vaccinale dei
dipendenti che comportano limitazioni dei diritti e delle liberta'
individuali, allo stato non previsti da alcuna disposizione di legge
statale (cfr., Corte costituzionale, sentenza n. 271/2005 sulla
riserva di legge statale sulla protezione dati; Corte costituzionale,
sentenza n. 37/2021).
A tale riguardo si rappresenta che l'Ufficio, ancorche' in
relazione all'uso delle certificazioni verdi, e piu' in generale dei
certificati vaccinali, per finalita' ulteriori e con modalita'
difformi rispetto a quelle espressamente previste dalla legge
nazionale, ha ribadito alle regioni e alla Conferenza delle regioni e
delle province autonome la necessita' di soprassedere dall'adottare o
dal dare attuazione ad iniziative territoriali (provvedimento di
limitazione definitiva in merito ai trattamenti previsti dalla
Provincia autonoma di Bolzano in tema di certificazione verde per
COVID-19 - 18 giugno 2021, doc. web n. 9671917; provvedimento di
avvertimento alla Regione Campania in merito all'uso delle
certificazioni verdi COVID-19 - del 25 maggio 2021, doc web n.
9590466). Cio' in considerazione del fatto che l'ordinanza
presidenziale di una regione o di una provincia autonoma (e
analogamente anche una circolare interpretativa) non rappresenta una
valida base giuridica, alla luce delle caratteristiche richieste
dalla disciplina di protezione dei dati (qualita' della fonte,
contenuti necessari, rispetto del principio di proporzionalita') per
introdurre limitazioni ai diritti e alle liberta' individuali che
implichino il trattamento di dati personali, in quanto disciplina
profili che ricadono nelle materie assoggettate alla riserva di legge
statale (art. 6, paragrafi 2 e 3, del regolamento e 2-ter e 2-sexies
del Codice).
Peraltro l'ordinanza n. 75 della Regione Siciliana prevede che,
«tutti coloro che nell'esercizio dei propri compiti d'ufficio si
trovino ad instaurare contatti diretti con il pubblico vengono
formalmente invitati, per il tramite dei datori di lavoro, a ricevere
la vaccinazione» e che «per l'ipotesi di indisponibilita' o di
rifiuto di sottoposizione a vaccinazione, il datore di lavoro
pubblico provvede, nei modi e termini previsti dal CCNL di categoria,
ad individuare per l'interessato una differente assegnazione
lavorativa, ove possibile, che non implichi il contatto diretto del
lavoratore con l'utenza esterna» (comma 2). Tale circostanza, anche
alla luce delle successive precisazioni effettuate con la circolare
interpretativa sopra richiamata che prevede «l'assegnazione del
lavoratore ad altra mansione per effetto dell'accertata inidoneita'
siccome discendente dall'omessa effettuazione del vaccino» (cfr.
circolare p. 3), introduce in realta' un requisito per lo svolgimento
di determinate mansioni (quelle che implicano «il contatto diretto
del lavoratore con l'utenza esterna») su base regionale e non
previsto dalla legge nazionale, generando una disparita' di
trattamento rispetto al personale che svolge le medesime mansioni
sull'intero territorio nazionale.
Come messo in evidenza anche dalla Corte di giustizia «l'esame
della liceita' dei requisiti [per lo svolgimento dell'attivita'
lavorativa] e della verifica del permanere nel tempo dei medesimi
[...deve essere] effettuato [...] rispetto al diritto nazionale [...
e non puo' essere] sottratto a un controllo giurisdizionale
effettivo» (v., in tal senso, sentenza del 17 aprile 2018,
Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58) atteso che la
previsione di un requisito per lo svolgimento dell'attivita'
lavorativa da cui far derivare una differenza di trattamento per il
prestatore di lavoro (quale, come, nel caso di specie, l'adibizione a
mansioni differenti) deve costituire «requisito professionale
essenziale, legittimo e giustificato» rispetto alla «natura» delle
attivita' di cui trattasi e al «contesto» in cui vengono espletate le
sue mansioni.
Pertanto, la valutazione della liceita' del trattamento di
informazioni afferenti alla salute, vita privata e alle convinzioni
personali, anche sotto il profilo del rispetto del principio di
finalita' e proporzionalita', cosi' come pure la legittimita' delle
decisioni assunte dal datore di lavoro in conseguenza di tali
trattamenti, e' subordinata all'esistenza, oggettivamente
verificabile, di un nesso diretto tra il requisito professionale e lo
svolgimento dell'attivita' lavorativa (dovendo questo consistere in
un «requisito essenziale e determinante» per lo svolgimento
dell'attivita' lavorativa ed essere «necessario, a causa
dell'importanza dell'attivita' professionale di cui trattasi»; punto
55). In ogni caso, «il principio della parita' di trattamento in
materia di occupazione e di condizioni di lavoro [..] trova la sua
fonte in diversi atti internazionali e nelle tradizioni
costituzionali comuni agli Stati membri, ma ha il solo obiettivo di
stabilire, in queste stesse materie, un quadro generale per la lotta
alle discriminazioni fondate su diversi motivi, tra i quali la
religione o le convinzioni personali» (cfr. Corte di giustizia,
sentenza del 17 aprile 2018, Egenberger, C-414/16).
Con specifico riguardo al trattamento dei dati della stato
vaccinale, peraltro, la normativa europea in materia di
certificazioni vaccinali stabilisce che «e' necessario evitare la
discriminazione diretta o indiretta di persone che non sono
vaccinate, per esempio per motivi medici, perche' non rientrano nel
gruppo di destinatari per cui il vaccino anti COVID-19 e' attualmente
somministrato o consentito, come i bambini, o perche' non hanno
ancora avuto l'opportunita' di essere vaccinate o hanno scelto di non
essere vaccinate» (cfr. considerando 36 del regolamento (UE) 2021/953
del Parlamento europeo e del Consiglio, del 14 giugno 2021).
Alla luce delle considerazioni che precedono eventuali trattamenti
di dati personali posti in essere dai soggetti a vario titolo
indicati dall'ordinanza presidenziale n. 75 del 7 luglio 2021, come
integrata dalla circolare interpretativa del 13 luglio 2021,
risultano privi di idonea base giuridica in violazione dell'art. 5,
6, 9, del regolamento e 2-ter e 2-sexies del Codice).
2. I principi applicabili al trattamento dei dati personali.
In via preliminare, si rappresenta che il trattamento di dati
personali previsto dalla predetta ordinanza persegue una pluralita'
di finalita', non sempre chiaramente individuate, che si fondano su
differenti presupposti di legittimita' e che sono perseguibili da
parte di distinti titolari del trattamento.
Seppur non chiaramente individuate dalla regione nel corso
dell'istruttoria, dalla documentazione in atti si evince infatti che
il trattamento che si intende porre in essere mira a perseguire
diversi interessi e a tutelare beni giuridici distinti (es. adozione
di misure di sanita' pubblica; finalita' statistiche e ricognitive
nonche' di verifica della esatta percentuale, nell'ambito del target
in esame, del numero dei dipendenti; sicurezza sul lavoro).
Al riguardo, infatti, la disciplina in materia di protezione dei
dati personali individua specifiche e autonome eccezioni al generale
divieto di trattamento dei dati appartenenti alle categorie
particolari, tra i quali si configurano quelli sulla salute,
distinguendo anche con riguardo ai diversi presupposti di liceita', i
trattamenti necessari per finalita' di salute pubblica (art. 9,
paragrafo 2, lettera i), del regolamento), di medicina preventiva e
del lavoro (art. 9, paragrafi 2, lettera h), e 3, del regolamento) e
di ricerca scientifica a fini statistici (art. 9, paragrafo 2,
lettera j), del regolamento).
Nel quadro dall'ordinamento vigente, anche nel contesto
eccezionale, legato all'emergenza, occorre infatti che ciascuno dei
soggetti chiamati a perseguire le predette finalita' operi
nell'ambito e nei limiti previsti dalla rispettiva disciplina
applicabile, che ne costituisce la base giuridica, evitando la
confusione di ruoli che puo' dare luogo a trattamenti illeciti di
dati personali e che potrebbe determinare effetti lesivi dei diritti
e delle liberta' degli interessati.
Pertanto l'ordinanza n. 75 del 7 luglio 2021 non individua in modo
corretto le distinte finalita' del trattamento perseguite, i titolari
del trattamento legittimati a perseguirle, i diversi presupposti di
liceita' su cui debbono fondarsi i trattamenti, nonche' le misure
volte ad assicurare il rispetto dei principi di protezione dei dati
con particolare riferimento a quello di liceita', correttezza e
trasparenza e di protezione dei dati fin dalla progettazione e per
impostazione predefinita (articoli 5 e 25 del regolamento).
3. Trattamenti dei dati per finalita' di sicurezza dei luoghi di
lavoro.
Alla luce delle precisazioni fornite dalla regione (nota del
[omissis], cit.), con la circolare successivamente emanata al fine di
precisare e chiarire il portato dell'ordinanza n. 75, e' stato
previsto, a tutela degli interessati, il coinvolgimento del medico
competente nel trattamento dei dati.
In particolare, «all'esito della ricognizione del numero dei
dipendenti degli enti pubblici non ancora sottoposti a vaccinazione»
le aziende devono rivolgere «- per il tramite dei datori di lavoro e,
piu' in particolare, del medico competente - un "invito" a sottoporsi
alla vaccinazione da rivolgere a tutto il personale dipendente».
Successivamente «i lavoratori che all'esito dell'invito sopra
menzionato si presenteranno spontaneamente dinanzi al medico
competente verranno sottoposti ad apposita visita di idoneita', da
svolgersi nelle forme e secondo le modalita' previste dalla normativa
vigente in materia di sicurezza e salute sui luoghi di lavoro nonche'
dei provvedimenti recentemente adottati in materia dal garante per la
protezione dei dati personali, che si concludera' nella stesura e nel
giudizio finale (di idoneita' o di inidoneita') circa lo svolgimento
della specifica mansione a cui il lavoratore ê assegnato». A propria
volta «il datore di lavoro, ricevuto il suddetto giudizio, attuera'
le misure indicate dal medico competente nei casi di giudizio di
parziale o temporanea inidoneita' alla mansione cui e' adibito il
lavoratore (cfr. artt. 41, 42 e 279 del d.lgs. n. 81/2008 e ss.mm
ii.). Inoltre e' prevista l'adozione di «determinazioni
consequenziali in ordine all'eventuale assegnazione del lavoratore ad
altra mansione per effetto dell'accertata inidoneita' siccome
discendente dall'omessa effettuazione del vaccino verranno adottate
nel rispetto della normativa e della contrattazione collettiva di
riferimento» (cfr. circolare cit. p. 3; sul punto l'ordinanza, art.
3, comma 2, dispone infatti che «per l'ipotesi di indisponibilita' o
di rifiuto di sottoposizione a vaccinazione, il datore di lavoro
pubblico provvede, nei modi e termini previsti dal CCNL di categoria,
ad individuare per l'interessato una differente assegnazione
lavorativa, ove possibile, che non implichi il contatto diretto del
lavoratore con l'utenza esterna»).
In proposito si osserva che la finalita' di sicurezza e salute sui
luoghi di lavoro afferisce, tipicamente, all'adempimento degli
obblighi in materia di «diritto del lavoro», che legittimano il
trattamento di dati personali dei dipendenti da parte del datore di
lavoro (articoli 5, 6, paragrafo 1, lettera c), 9, paragrafo 2,
lettera b), e 88 del regolamento) e del medico competente (art. 9,
paragrafi 2, lettera h), e 3, del regolamento; cfr. anche art.
2-sexies, comma 2, lettera u), del Codice), ciascuno nell'ambito dei
differenti compiti ed entro i precisi limiti fissati dalla legge.
Cio' anche nel quadro delle disposizioni nazionali piu' specifiche e
di maggior tutela che garantiscono la dignita' e la liberta' del
dipendente nel contesto lavorativo (articoli 88 del regolamento e 113
del Codice; cfr., con riguardo al l tradizionale riparto di
competenze tra il medico competente e il datore di lavoro,
«Protezione dei dati: il ruolo del "medico competente" in materia di
sicurezza sul luogo di lavoro, anche con riferimento al contesto
emergenziale», doc. web n. 9585367).
In tale quadro, le finalita' e le operazioni del trattamento che
devono essere poste in essere dal medico competente sono determinate
esclusivamente dalla legge. In particolare le norme nazionali di
settore in materia di tutela della salute e di sicurezza dei luoghi
lavoro assegnano specifici compiti e responsabilita' al medico
competente e costituiscono la base giuridica dei relativi trattamenti
dei dati personali di cui specificano anche le modalita' (decreto
legislativo n. 81/2008).
Il professionista sanitario deve trattare i dati in modo autonomo,
nel rispetto della disciplina di protezione dei dati e dei principi
che regolano l'attivita' diagnostica, delle regole di deontologia
professionale, con particolare riguardo al segreto. Per tali ragioni
nello svolgimento di tali compiti che la legge gli attribuisce in via
esclusiva, in particolare l'attivita' di sorveglianza sanitaria dei
singoli lavoratori, il medico competente e', per legge, l'unico
legittimato a trattare in piena autonomia e competenza tecnica i dati
personali di natura sanitaria indispensabili per lo svolgimento della
funzione di protezione della salute e sicurezza dei luoghi di lavoro.
Ne' le sue valutazioni possono, per definizione, risentire o essere
condizionate da terzi ovvero dalle scelte organizzative e gestionali
dell'ente/datore di lavoro (ancorche' in quella struttura
organizzativa tale figura sia funzionalmente inserita), rispetto al
quale deve, al contrario, mantenere autonomia e terzieta' (art. 39
del decreto legislativo n. 81/2008).
In tale contesto, quindi, il trattamento dei dati personali anche
relativi alla vaccinazione dei dipendenti, come precisato in recenti
occasioni dal garante, puo' certamente essere effettuato dal solo del
medico competente (art. 9, paragrafi 2, lettera h), e 3. del
regolamento; cfr. anche art. 2-sexies, comma 2, lettera u), del
Codice), stante gli specifici limiti per il trattamento di tali dati
da parte del datore di lavoro, ma cio' deve comunque avvenire nei
limiti e alle condizioni stabilite dalla richiamata disciplina di
settore in materia di sicurezza sul lavoro.
In base a tale quadro normativo, il medico competente nell'ambito
dei compiti di sorveglianza sanitaria che la legge gli attribuisce in
via esclusiva (il medico «programma e effettuata la sorveglianza
sanitaria»; «la sorveglianza sanitaria e' effettuata dal medico
competente»), e' l'unico soggetto legittimato a trattare i dati
relativi alla salute dei lavoratori e a verificare l'idoneita' alla
«mansione specifica» (articoli 25, 39, comma 5, e 41, comma 4, del
decreto legislativo n. 81/2008), potendo, «in funzione della
valutazione del rischio» e delle «condizioni di salute» dei
lavoratori, ovvero su richiesta del lavoratore in presenza di proprie
specifiche o sopravvenute condizioni di salute, stabilire caso per
caso se ricorrono i presupposti e la necessita' di sottoporre i
lavoratori a ulteriori visite straordinarie e/o a indagini
diagnostiche (art. 41, commi 2 e 4, decreto legislativo n. 81/2008).
Cio' in quanto il medico, anche nel periodo emergenziale in corso,
non tratta i dati per conto o in base alle istruzioni e indicazioni
di altri soggetti (enti pubblici, autorita' sanitarie, datori di
lavoro) ma in qualita' di titolare del trattamento (articoli 4, n. 7,
e 24 del regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of
controller and processor in the GDPR), nel quadro di specifiche
diposizioni di legge finalizzate anzitutto al perseguimento della
tutela della salute nei luoghi di lavoro e della collettivita' (cfr.,
v., in particolare Protocollo condiviso di regolamentazione delle
misure per il contrasto e il contenimento della diffusione del virus
COVID-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020,
aggiornato il 6 aprile 2021 il cui contenuto e' vincolante per i
datori di lavoro pubblici e privati; circolare del Ministero della
salute del 29 aprile 2020, n. 0014915, recante «Indicazioni operative
relative alle attivita' del medico competente nel contesto delle
misure per il contrasto e il contenimento della diffusione del virus
SARS-CoV-2 negli ambienti di lavoro e nella collettivita'»).
Per tali ragioni la previsione attraverso l'ordinanza presidenziale
in esame di dar corso a una ricognizione generalizzata del numero di
dipendenti non vaccinati e l'indiscriminata effettuazione di visite
straordinarie in favore di tutti i dipendenti che si presentino
«spontaneamente» dinanzi al medico competente dopo essere stati
«formalmente invitati per il tramite dei datori di lavoro a ricevere
la vaccinazione» (art. 3 ordinanza cit.; ovvero dai datori di lavoro
«per il tramite del medico competente» cfr. circolare, cit.), e
dunque a prescindere dalle specifiche valutazioni del professionista
sulla base del documento di valutazione dei rischi e di eventuali
peculiari o sopravvenute condizioni di salute del singolo lavoratore,
non risulta conforme al quadro normativo sopra descritto (art. 41 del
decreto legislativo n. 81/2008).
Non sussistono, inoltre, i presupposti per un ricorso in modo
generalizzato e preventivo alla sorveglianza sanitaria eccezionale
prevista nel periodo dell'emergenza con esclusivo riguardo ai
lavoratori «fragili» in quanto esposti a maggiori rischi, individuati
dalle norme di settore nell'eta' o in pregressi o sopravvenuti stati
morbosi (cfr., art. 83 del decreto-Legge 19 maggio 2020, n. 34,
convertito con modificazioni dalla legge 17 luglio 2020, n. 77; v.
anche circolare Ministero del lavoro e delle politiche sociali e del
Ministero della salute n. 28877 del 4 settembre 2020-DGPREDGPRE-P -
Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai
lavoratori «fragili»).
In ogni caso, come chiarito dal garante, il medico che nell'ambito
della sorveglianza sanitaria venga a conoscenza di dati relativi alla
avvenuta o meno vaccinazione dei dipendenti puo', considerata la
specificita' del contesto lavorativo, delle condizioni cliniche del
singolo lavoratore nonche' delle indicazioni fornite dalle autorita'
sanitarie anche in merito alla efficacia e affidabilita'
medico-scientifica del vaccino, valutare «se del caso, tenerne conto
in sede di valutazione dell'idoneita' alla mansione specifica» del
singolo lavoratore (cfr., FAQ in materia di «Trattamento di dati
relativi alla vaccinazione anti COVID-19 nel contesto lavorativo»
www.gpdp.it - doc. web n. 9543615).
Anche con riguardo a tale profilo, la procedura introdotta dalla
regione con la predetta ordinanza che prevede che l'adozione di
«determinazioni consequenziali in ordine all'eventuale assegnazione
del lavoratore ad altra mansione per effetto dell'accertata
inidoneita' siccome discendente dall'omessa effettuazione del
vaccino» (cfr. circolare p. 3; e ordinanza), non appare conforme al
quadro normativo in materia di protezione dei dati, alla disciplina
in materia di sicurezza dei luoghi di lavoro nonche' alle
disposizioni introdotte nel periodo dell'emergenza epidemiologica in
corso, comportando trattamenti in violazione degli articoli 5, 6, 9
del regolamento e 2-ter e 2-sexies del Codice.
4. I trattamenti di dati da parte dei datori di lavoro.
L'ordinanza n. 75, anche a seguito delle precisazioni effettuate
con la successiva circolare, non chiarisce inoltre il ruolo e le
finalita' del trattamento dei dati effettuati dal datore di lavoro,
prevedendo che le aziende sanitarie pongano in essere un interpello
nei confronti di tutti gli enti pubblici operanti nel territorio
della Regione Siciliana funzionale alla «ricognizione aggiornata del
numero dei dipendenti che non si sono ancora sottoposti alla
vaccinazione» e che tale attivita' di indagine, «utile ai fini della
programmazione della futura gestione sanitaria della pandemia e della
organizzazione dei presidi di prevenzione su tutto il territorio
regionale», debba avvenire assicurando la «gestione anonima» dei dati
(cfr. nota del 14 luglio cit.).
Tuttavia ne' l'ordinanza ne' la circolare chiariscono quali
specifiche misure tecniche e organizzative debbano essere adottate
affinche', in ragione della particolare delicatezza delle
informazioni trattate e degli elevati rischi e delle possibili
conseguenze, anche indirette, per gli interessati nel contesto
lavorativo e professionale (cfr., con riguardo alla «vulnerabilita'»
degli interessati nel contesto lavorativo, cfr. articoli 35 e 88,
paragrafo 2, del regolamento e «Linee guida concernenti la
valutazione di impatto sulla protezione dei dati nonche' i criteri
per stabilire se un trattamento "possa presentare un rischio elevato"
ai sensi del regolamento 2016/679», WP 248 del 4 aprile 2017), le
aziende sanitarie e i datori di lavoro possano assicurare in tutte le
fasi del trattamento e fin dal momento «la necessaria interlocuzione
con gli enti pubblici datoriali, l'anonimato del personale
dipendente», essendo particolarmente generico il mero riferimento in
via esemplificativa all'«_invio di questionari da compilare in forma
anonima» (cfr. circolare, cit.).
Non e', inoltre, specificato con quali modalita' e garanzie il
datore di lavoro possa acquisire nell'ambito della propria struttura
organizzativa il solo dato numerico relativo ai dipendenti non
vaccinati, con la conseguenza che le decisioni e le scelte
organizzative e tecniche in proposito - che possono comportare
trattamenti di dati personali non conformi alla disciplina di
protezione dei dati e/o incidere anche sul livello di sicurezza e
integrita' dei dati trattati (art. 5, paragrafo 1, lettera f), e 32
del regolamento) - siano rimesse alle valutazioni di volta in volta,
assunte da singoli datori di lavoro.
Si aggiunga, peraltro, che la prospettata raccolta e comunicazione
di dati numerici e non nominativi da parte dei datori di lavoro puo',
specie nei contesti lavorativi di piccole dimensioni, consentire di
identificare, anche indirettamente, gli interessati, anche in ragione
della disponibilita' di ulteriori informazioni, quali il profilo
professionale, l'unita' produttiva e il comprensorio territoriale.
I datori di lavoro posso legittimamente trattare i dati personali,
anche relativi a categorie particolari di dati (cfr. art. 9,
paragrafo 1, del regolamento), dei dipendenti se il trattamento e'
necessario per la gestione del rapporto di lavoro e per adempiere a
specifici obblighi o compiti previsti dalla normativa nazionale e
comunitaria (articoli 6, paragrafo 1, lettera c), 9, paragrafi 2,
lettera b), e 4, e 88 del regolamento). Ad eccezione, pertanto, di
quanto previsto per la vaccinazione quale requisito professionale per
il personale sanitario, il trattamento da parte del datore di lavoro
di dati relativi allo stato vaccinale dei dipendenti non e' previsto
da alcuna disposizione di legge (articoli 5, paragrafo 1, lettera a),
nonche' 9, paragrafo 2, lettera b), del regolamento).
Pertanto, nell'ambito delle procedure previste dalla predetta
ordinanza, il trattamento da parte dei datori di lavoro di
informazioni, che consentano anche indirettamente l'identificazione
degli interessati, possono determinare trattamenti di dati personali
privi di idonea base giuridica e porsi in contrasto, in talune
circostanze, con le disposizioni dell'ordinamento che vietano al
datore di lavoro di conoscere informazioni attinenti alla salute e
alla sfera privata del lavoratore (art. 88 del regolamento, art. 113
del Codice in relazione all'art. 8 della legge 20 maggio 1970, n. 300
e all'art. 10 del decreto legislativo 10 settembre 2003, n. 276; cfr.
Corte di giustizia, Grande Sezione, sentenza 11 settembre 2018, causa
C-68/17).
Tali norme, volte a prevenire effetti discriminatori nel contesto
lavorativo, costituiscono nell'ordinamento interno quelle
disposizioni piu' specifiche e di maggiore garanzia di cui all'art.
88 del regolamento la cui osservanza costituisce una condizione di
liceita' del trattamento e la cui violazione - analogamente alle
specifiche situazioni di trattamento del capo IX del regolamento -
determina anche l'applicazione di sanzioni amministrative pecuniarie
ai sensi dell'art. 83, paragrafo 5, lettera d), del regolamento
(cfr., da ultimo, con specifico riguardo alla violazione dell'art.
113 del Codice nell'ambito lavorativo pubblico, provv. n. 190 del 13
maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della
Corte europea dei diritti dell'uomo, nel caso Antovic e Mirković v.
Montenegro, Application n. 70838/13 del 28 novembre 2017, che ha
stabilito che il rispetto della «vita privata» deve essere esteso
anche ai luoghi di lavoro pubblici, richiamando il rispetto delle
garanzie previste dalla legge nazionale applicabile).
Ritenuto
alla luce delle rilevanti criticita' sopra illustrate, che quanto
previsto dall'ordinanza presidenziale della Regione Siciliana n. 75
del 7 luglio 2021, come integrata dalla circolare interpretativa del
13 luglio 2021, non risulta conforme alla disciplina in materia di
protezione dei dati personali in quanto:
individua misure per la prevenzione e gestione dell'emergenza
epidemiologica da COVID-19 che prevedono il trattamento di
informazioni personali, relative alla salute degli interessati, e
incidono sui diritti e liberta' degli stessi che possono essere
introdotte solo da una norma del diritto dell'Unione o nazionale di
rango primario che abbia le caratteristiche richieste dal regolamento
e previa acquisizione del parere dell'Autorita';
introduce trattamenti preventivi e generalizzati di dati relativi
allo stato vaccinale dei dipendenti, non previsti da alcuna
disposizione di legge statale e comunque non conformi alle
disposizioni di settore, in violazione dei principi di protezione dei
dati e senza prevedere misure adeguate a garantire la protezione dei
dati in ogni fase del trattamento (artt. 5, 6, 9, 25 e 32 del
regolamento e articoli 2-ter e 2-sexies del Codice);
introduce trattamenti che, in assenza di specifiche e adeguate
misure tecniche e organizzative, possono comportare la violazione da
parte dei datori di lavoro della disciplina nazionale piu' specifiche
e di maggiore garanzia a tutela della dignita' degli interessati nei
luoghi di lavoro (art. 88 del regolamento, art. 113 del Codice in
riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e all'art.
10 del decreto legislativo 10 settembre 2003, n. 276).
Considerato che il regolamento attribuisce al garante, tra gli
altri, il potere di rivolgere avvertimenti al titolare o al
responsabile del trattamento sul fatto che i trattamenti previsti
possono verosimilmente violare le disposizioni del regolamento (art.
58, paragrafo 2, lettera a)) e che ricorre l'esigenza di intervenire
tempestivamente al fine di tutelare i diritti e le liberta' degli
interessati prima che le richiamate violazioni producano effetti.
Considerato quindi che risulta necessario avvertire la Regione
Siciliana e tutti gli altri soggetti pubblici e privati coinvolti
(aziende sanitarie provinciali, datori di lavoro, medici competenti)
del fatto che i trattamenti di dati personali di cui all'ordinanza n.
75 del 7 luglio 2021 del Presidente della Regione Siciliana, in
assenza di interventi correttivi, possono violare le disposizioni in
materia di protezione dei dati personali di cui agli articoli 5, 6,
9, 25, 32 e 88 del regolamento e 2-ter, 2-sexies e 113 del Codice in
riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e all'art.
10 del decreto legislativo 10 settembre 2003, n. 276).
Ritenuto inoltre di comunicare il presente provvedimento al
Presidente del Consiglio dei ministri e alla Conferenza delle regioni
e delle province autonome, per le valutazioni di competenza anche al
fine di segnalare alle regioni e alle Province autonome il necessario
rispetto delle disposizioni in materia di protezioni dei dati
personali.
Tutto cio' premesso, il garante
a) ai sensi dell'art. 58, par 2, lettera a), del regolamento
avverte la Regione Siciliana (C.F. 80012000826) e tutti i soggetti
pubblici e privati coinvolti (aziende sanitarie provinciali, datori
di lavoro, medici competenti) che i trattamenti di dati personali
effettuati in attuazione dell'ordinanza n. 75 del 7 luglio 2021 del
Presidente della Regione Siciliana, sulla base delle motivazioni
espresse in premessa, possono violare le disposizioni in materia di
protezione dei dati personali di cui agli articoli 5, 6, 9, 25, 32 e
88 del regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento
all'art. 8 della legge 20 maggio 1970, n. 300 e all'art. 10 del
decreto legislativo 10 settembre 2003, n. 276.
b) trasmette copia del presente provvedimento al Presidente del
Consiglio dei ministri e alla Conferenza delle regioni e delle
province autonome per le valutazioni di competenza;
c) ai sensi dell'art. 154-bis, comma 3, del Codice, dispone la
pubblicazione del presente provvedimento nella Gazzetta Ufficiale
della Repubblica italiana.
Roma, 22 luglio 2021
Il Presidente e relatore: Stanzione
Il segretario generale: Mattei