GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 22 luglio 2021 

Avvertimento  alla  Regione   Sicilia   in   merito   all'uso   delle
certificazioni verdi COVID-19. (Provvedimento n. 273). (21A06013) 
(GU n.246 del 14-10-2021)

 
                    IL GARANTE PER LA PROTEZIONE 
                         DEI DATI PERSONALI 
 
  Nella riunione odierna, alla  quale  hanno  preso  parte  il  prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra  Cerrina  Feroni,
vicepresidente, il dott. Agostino  Ghiglia  e  l'avv.  Guido  Scorza,
componenti, e il cons. Fabio Mattei, segretario generale; 
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016, relativo alla protezione delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la direttiva  95/46/CE,
«Regolamento  generale  sulla  protezione  dei  dati»  (di   seguito,
«Regolamento»); 
  Visto il decreto  legislativo  30  giugno  2003,  n.  196,  recante
«Codice  in  materia  di  protezione  dei  dati  personali»,  recante
disposizioni  per   l'adeguamento   dell'ordinamento   nazionale   al
regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativo alla protezione delle  persone  fisiche  con
riguardo al trattamento  dei  dati  personali,  nonche'  alla  libera
circolazione di tali dati e che  abroga  la  direttiva  95/46/CE  (di
seguito «Codice»); 
  Visto il decreto legislativo 9 aprile 2008, n. 81,  in  materia  di
tutela della salute e della sicurezza nei luoghi di lavoro; 
  Visto il protocollo condiviso di aggiornamento delle misure per  il
contrasto   e   il   contenimento   della   diffusione   del    virus
SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha
aggiornato il protocollo del 24 aprile 2020; 
  Visto il decreto-legge 22  aprile  2021,  n.  52,  recante  «Misure
urgenti per la graduale ripresa delle attivita' economiche e  sociali
nel  rispetto  delle  esigenze  di  contenimento   della   diffusione
dell'epidemia da COVID-19»; 
  Visto il decreto del Presidente del Consiglio dei ministri  del  17
giugno 2021  «Disposizioni  attuative  dell'art.  9,  comma  10,  del
decreto-legge 22 aprile 2021, n. 52, recante Misure  urgenti  per  la
graduale ripresa delle attivita' economiche e  sociali  nel  rispetto
delle esigenze di  contenimento  della  diffusione  dell'epidemia  da
COVID-19»; 
  Visto il regolamento n. 1/2019  concernente  le  procedure  interne
aventi rilevanza esterna, finalizzate allo svolgimento dei compiti  e
all'esercizio dei poteri demandati al Garante per la  protezione  dei
dati personali, approvato con deliberazione del n. 98  del  4  aprile
2019, pubblicato nella Gazzetta Ufficiale della  Repubblica  italiana
n. 106 dell'8 maggio 2019 e in www.gpdp.it - doc. web n. 9107633  (di
seguito «Regolamento del garante n. 1/2019»); 
  Vista la documentazione in atti; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell'art.   15   del    regolamento    del    garante    n.    1/2000
sull'organizzazione e il funzionamento dell'ufficio del  garante  per
la protezione dei dati personali, doc. web n. 1098801; 
  Relatore il prof. Pasquale Stanzione; 
 
                              Premesso 
 
  Con l'ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione
Siciliana ha introdotto sul territorio  regionale  «Ulteriori  misure
per l'emergenza epidemiologica da COVID-19», «al fine  di  conseguire
celermente nel territorio della Regione  Siciliana  uno  standard  di
vaccinazione non inferiore alla quota percentuale dell'80% per  tutti
i target anagrafici individuati a livello nazionale» e «tenuto  conto
del rischio di diffusione del virus nella variante  comunemente  nota
come "Delta"». 
  Nella predetta ordinanza, il  Presidente  della  Regione  Siciliana
prevede  che  sia  disposta,  una  «ricognizione  del  personale  non
vaccinato operante nelle  pubbliche  amministrazioni  e  preposto  ai
servizi di pubblica utilita' e ai  servizi  essenziali  di  cui  alla
legge n.  146  del  12  giugno  1990»,  disponendo,  in  particolare,
all'art. 3 che: 
    «le AA.SS.PP. provvedono, mediante apposito  interpello  a  tutti
gli enti pubblici operanti nel territorio  della  Regione  Siciliana,
alla ricognizione aggiornata del numero dei  dipendenti  che  non  si
sono ancora sottoposti alla vaccinazione» (comma 1); 
    «all'esito  di  tale  ricognizione   [...]   tutti   coloro   che
nell'esercizio dei propri compiti d'ufficio si trovino ad  instaurare
contatti diretti con il pubblico vengono formalmente invitati, per il
tramite dei datori di lavoro, a ricevere la vaccinazione» (comma 2); 
    «per l'ipotesi di indisponibilita' o di rifiuto di sottoposizione
a vaccinazione, il datore di lavoro pubblico  provvede,  nei  modi  e
termini  previsti  dal  CCNL  di  categoria,   ad   individuare   per
l'interessato una differente assegnazione lavorativa, ove  possibile,
che non implichi il contatto  diretto  del  lavoratore  con  l'utenza
esterna» (comma 2); 
    analoga  attivita'  ricognitiva  debba  essere  effettuata   «con
riferimento al personale preposto ai servizi di pubblica  utilita'  e
ai servizi essenziali di cui alla legge n. 146 del  12  giugno  1990,
nonche' agli autotrasportatori  e  al  personale  delle  imprese  che
assicurano la continuita' della filiera agro-alimentare e sanitaria e
agli equipaggi dei mezzi di trasporto» (comma 1). 
  A  seguito  di  richiesta  di  informazioni  da  parte  di   questa
Autorita', con nota prot. n.  [omissis]  del  [omissis],  la  Regione
Siciliana ha specificato che: 
    «l'Ordinanza contingibile e urgente del 7 luglio 2021, n.  75  e'
stata emanata  dal  Presidente  della  regione  sia  in  qualita'  di
Autorita' sanitaria regionale - ai sensi della legge n.  8233/1978  -
sia come soggetto attuatore delle misure emergenziali  connesse  allo
stato di emergenza dichiarato dal  Consiglio  dei  ministri  relativo
alla pandemia da COVID-19 (Ordinanza del Capo della protezione civile
n. 630/2020)»; 
    «si tratta, quindi, dell'esercizio  di  poteri  riconosciuti  per
legge e volti ad intervenire con urgenza per contrastare  l'evolversi
(e, oggi, l'acuirsi) della  pandemia.  Impregiudicate,  pertanto,  le
specifiche disposizioni  contenute  nelle  rispettive  discipline  di
settore, le attivita' giuridiche e materiali (incluse quelle relative
al trattamento di dati) che il  provvedimento  richiede  ai  soggetti
rientranti nella propria  sfera  applicativa  sono  strumentali  alle
finalita' istituzionali perseguite dal Presidente, ossia la tutela di
un diritto  costituzionalmente  rilevante  quale  e'  la  salute  dei
siciliani»; 
    «le disposizioni contenute nella ordinanza n. 75  del  Presidente
della  regione,  volte  a  tutelare   la   salute   pubblica,   siano
assolutamente legittime e, certamente, non siano volte a  violare  le
norme in materia di protezione dei dati personali» e «come emerge dal
tenore letterale dell'articolo 3 dell'ordinanza, oggetto di  verifica
non e' la individuazione dei nominativi dei lavoratori  pubblici  non
ancora vaccinati,  bensi'  la  indicazione  del  "numero"  dei  detti
dipendenti»; 
    «l'attivita' di indagine,  utile  ai  fini  della  programmazione
della futura gestione sanitaria della pandemia e della organizzazione
dei presidi di prevenzione su tutto  il  territorio  regionale,  deve
avvenite in anonimato. Cio', e' chiaro, garantisce sia  i  dipendenti
sia l'attivita' pubblica volta a gestire l'emergenza sanitaria»; 
    «la corretta interpretazione della  Ordinanza,  avvalorata  dalla
[successiva] circolare interpretativa, [che prevede il coinvolgimento
del  medico  competente...]  elimina  in  radice  il   problema   del
trattamento di un dato sensibile riferito ad una determinata  persona
fisica che, potenzialmente, potrebbe reputarsi leso»; 
    «puo' osservarsi come spetti sempre e solo al medico  competente,
nel rispetto della  vigente  normativa,  valutare  le  condizioni  di
salute del dipendente e,  eventualmente,  comunicarle  al  datore  di
lavoro Per assumere le necessarie determinazioni  (nel  rispetto  del
CCNL e  delle  leggi  di  settore).  Si  pensi,  a  titolo  meramente
esemplificativo,  alle   c.d.   fragilita'   gia'   evidenziate   per
individuare i soggetti con priorita' in sede di vaccinazione  e  che,
ove presenti in lavoratori  non  vaccinati,  a  giudizio  del  medico
competente potrebbero senza dubbio aumentare il rischio di salute dei
medesimi ove svolgano mansioni a contatto con il pubblico»; 
    «si vuole, cioe', tutelare la salute del lavoratore  in  funzione
della concreta attivita' svolta la cui valutazione compete  sempre  e
solo al medico competente [...]. E giova chiarire ulteriormente come,
stante l'anonimato del dato, il datore di lavoro senza  la  specifica
richiesta del medico competente (che valuta in concreto le condizioni
di  salute  del  dipendente)  non  potrebbe  certamente   intervenire
mancando proprio la conoscenza dei lavoratori non vaccinati»; 
    «nella prudente ponderazione degli interessi (la salute pubblica,
la sicurezza dei lavoratori e la protezione  dei  dati),  quindi,  si
ritiene che non potrebbe certamente escludersi che uno degli elementi
incidenti oggi in modo significativo sulla salute dei dipendenti  sia
proprio il rischio del contagio»; 
    «la decisione del medico, del resto, non  sarebbe  certamente  (e
non potrebbe esserlo, stante l'anonimato  del  dato)  la  conseguenza
della  ricognizione  dei  dipendenti  vaccinati,  bensi'  frutto   di
eventuale visita - come  avviene  per  verificare  la  sicurezza  dei
lavoratori - e valutazioni  specifiche  delle  condizioni  di  salute
rispetto alle mansioni ricoperte»; 
    «in sintesi, dunque, non vi sarebbe alcun pregiudizio  o  intento
"punitivo" per il dipendente non vaccinato ne', certamente,  potrebbe
mai  ritenersi  una  volonta'  discriminatoria.  E'   tuttavia   vero
(drammaticamente lo ricordano le migliaia di morti) che  la  pandemia
richiede misure urgenti e straordinarie affinche' venga preservata la
salute di tutti (lavoratori e non)». 
  Piu' nel dettaglio con riguardo alla circolare (prot. [omissis] del
13  luglio  2021)  interpretativa  e  attuativa  dell'ordinanza   del
Presidente  della  regione  n.  75  del  7  luglio  2021,   a   firma
dell'assessore regionale per la salute e del dirigente  generale  del
Dipartimento   regionale   attivita'   sanitarie    e    osservatorio
epidemiologico, indirizzata ai  rappresentati  legali  delle  aziende
sanitarie  provinciali  del  SSR,   adottata   successivamente   alla
richiesta di elementi dell'Autorita', emerge che: 
    «la suddetta rilevazione dovra' avvenire  in  prima  istanza  per
finalita' statistiche e ricognitive nonche' di verifica della  esatta
percentuale,  nell'ambito  del  target  in  esame,  del  numero   dei
dipendenti che non si sono  ancora  sottoposti  a  vaccinazione  (non
essendo pertanto richiesta, allo stato,  indicazione  nominativa  dei
dipendenti interessati dalla ricognizione medesima)»; 
    «si raccomanda alle AA SS PP. in indirizzo di garantire, all'atto
di instaurare la necessaria  interlocuzione  con  gli  enti  pubblici
datoriali, l'anonimato del personale dipendente (ad esempio  mediante
_invio  di  questionari  da  compilare  in   forma   anonima)   senza
contestualmente procedere all'acquisizione di dati sensibili»; 
    «ulteriore attivita' demandata alle aziende sanitarie provinciali
all'esito della ricognizione del numero  dei  dipendenti  degli  enti
pubblici   non   ancora   sottoposti    a    vaccinazione    consiste
nell'effettuazione - per il tramite dei datori di lavoro e,  piu'  in
particolare, del medico competente - di un "invito" a sottoporsi alla
vaccinazione  da  rivolgere  a  tutto  il  personale  dipendente,   a
prescindere quindi dal possesso  o  meno  dello  status  di  soggetto
vaccinato»; 
    «i lavoratori  che  all'esito  dell'invito  sopra  menzionato  si
presenteranno spontaneamente dinanzi al  medico  competente  verranno
sottoposti ad apposita visita di idoneita', da svolgersi nelle  forme
e secondo le modalita' previste dalla normativa vigente in materia di
sicurezza e salute sui luoghi di  lavoro  nonche'  dei  provvedimenti
recentemente adottati in materia dal garante per  la  protezione  dei
dati personali, che si  concludera'  nella  stesura  e  nel  giudizio
finale (di idoneita' o di inidoneita')  circa  lo  svolgimento  della
specifica mansione a cui il lavoratore e' assegnato»; 
    «il datore di lavoro, ricevuto il suddetto giudizio, attuera'  le
misure indicate  dal  medico  competente  nei  casi  di  giudizio  di
parziale o temporanea inidoneita' alla mansione  cui  e'  adibito  il
lavoratore (cfr. articoli 41, 42  e  279  del decreto  legislativo n.
81/2008 e successive modifiche ed integrazioni)»; 
  «le   determinazioni   conseguenziali   in   ordine   all'eventuale
assegnazione  del  lavoratore   ad   altra   mansione   per   effetto
dell'accertata   inidoneita'    siccome    discendente    dall'omessa
effettuazione del vaccino, infine,  verranno  adottate  nel  rispetto
della normativa e della contrattazione collettiva di riferimento». 
 
                               Osserva 
 
  Per i  profili  di  competenza  dell'Autorita'  si  rileva  in  via
preliminare  che  il  garante  ha  recentemente   chiarito   che   le
certificazioni   attestanti   l'avvenuta   vaccinazione    (e,    non
diversamente la guarigione da COVID-19, o l'esito negativo di un test
antigenico o molecolare) non possano essere ritenute  una  condizione
necessaria  per  consentire  l'accesso  a  luoghi  o  servizi  o  per
l'instaurazione o l'individuazione delle modalita' di svolgimento  di
rapporti giuridici se non nei limiti in cui cio' e' previsto  da  una
norma di rango primario, nell'ambito dell'adozione  delle  misure  di
sanita' pubblica necessarie per il contenimento del virus  SARS-CoV-2
(cfr. provvedimento n. 229 del 9 giugno 2021, doc.  web  n.  9668064,
recante il «Parere sul DPCM di attuazione della piattaforma nazionale
DGC per l'emissione, il rilascio e la verifica del Green pass»). 
  L'Autorita' ha infatti piu' volte ribadito come  la  competenza  in
merito all'introduzione di misure di limitazione dei diritti e  delle
liberta' fondamentali che implichino il trattamento di dati personali
ricade nelle materie  assoggettate  alla  riserva  di  legge  statale
(articoli 6, paragrafo 2, e 9 del  regolamento  e  articoli  2-ter  e
2-sexies del Codice in materia  di  protezione  dei  dati  personali,
considerando n. 37 del  regolamento  del  Parlamento  europeo  e  del
Consiglio sull'EU digital  COVID  certificate,  approvata  nella  sua
formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021). 
  Come evidenziato anche dal Presidente del garante  nella  audizione
informale alla Camera del 6 maggio  2021,  in  generale,  la  materia
risulta essere assoggettata alla  riserva  di  legge  statale  (Corte
costituzionale, sentenza n. 5/2018 sulle condizioni  di  legittimita'
dell'obbligo vaccinale, nonche', sulla riserva di  legge  statale  in
materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina
del 12 dicembre 2020;  Corte  costituzionale,  sentenza  n.  271/2005
sulla  riserva  di  legge  statale  sulla  protezione   dati;   Corte
costituzionale, sentenza n. 37/2021). Al riguardo, nel  provvedimento
di avvertimento del n. 207 del 25 maggio  2021  nei  confronti  della
Regione Campania (doc  web  n.  9590466)  il  Presidente  ha  infatti
rappresentato che la Corte costituzionale ha recentemente evidenziato
che  «la  pandemia  in  corso  ha  richiesto  e  richiede  interventi
rientranti  nella  materia   della   profilassi   internazionale   di
competenza esclusiva dello Stato  ai  sensi  dell'art.  117,  secondo
comma, lettera q), Cost.» (Ordinanza della n. 4/2021). 
  Il garante ha pertanto  reso  parere  favorevole  sullo  schema  di
decreto di attuazione della  disciplina  in  tema  di  certificazioni
verdi  a  condizione  che,  in  sede  di  conversione  in  legge  del
decreto-legge 22 aprile 2021, n. 52 («Misure urgenti per la  graduale
ripresa delle attivita'  economiche  e  sociali  nel  rispetto  delle
esigenze  di   contenimento   della   diffusione   dell'epidemia   da
COVID-19»),  fossero,  tra  l'altro,   specificamente   definite   le
finalita' del trattamento e fosse introdotta  una  riserva  di  legge
statale per l'utilizzo delle certificazioni per attestare  l'avvenuta
vaccinazione o guarigione da COVID-19, o l'esito negativo di un  test
antigenico o molecolare. Al riguardo, si rappresenta che, in sede  di
conversione  in  legge  del  decreto-legge  n.  52/2021,   e'   stata
modificata la disciplina sulle certificazioni verdi prevedendo che le
stesse possono essere utilizzate esclusivamente ai fini di  cui  agli
articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4,  7,  comma
2, e 8-bis, comma 2, della legge n. 87/2021 (art.  9,  comma  10-bis,
legge n. 87/2021). 
  Con  specifico  riguardo  al  contesto  lavorativo,   il   predetto
decreto-legge n. 52/2021, convertito  nella  legge  n.  87/2021,  nel
prevedere specifiche misure atte a ridurre il rischio di contagio  in
ambienti  in  cui  svolge  anche  l'attivita'  lavorativa,   non   ha
introdotto quella relativa al possesso di  un  attestato  comprovante
l'avvenuta vaccinazione o  il  risultato  negativo  di  un  test  per
COVID-19 (cfr. articoli 3, 3-bis, 4, 4-bis, 5, 5-bis, 6, 6-bis, 7, 8,
8-bis, 8-ter, legge n. 87/2021). 
  Anche in merito alla possibilita'  di  introdurre  la  vaccinazione
anti SARS-CoV-2, quale requisito per lo  svolgimento  di  particolari
professioni o mansioni, con particolare riguardo all'esposizione a un
maggior rischio di contagio nel contesto  sanitario,  l'Autorita'  ha
ritenuto necessario, nella prospettiva di certezza del diritto e  nel
principio di non  discriminazione,  che  la  materia  dovesse  essere
oggetto di una regolazione uniforme con legge nazionale, nel rispetto
del principio di proporzionalita' (art. 6, paragrafo 3,  lettera  b),
del regolamento) e del principio di ragionevolezza  (art.  3  Cost.),
tenendo conto della specifica situazione sanitaria ed  epidemiologica
in atto e delle evidenze scientifiche (cfr. FAQ n. 3  in  materia  di
«Trattamento di dati relativi alla  vaccinazione  anti  COVID-19  nel
contesto lavorativo» www.gpdp.it - doc. web n. 9543615). 
  Il legislatore  e',  dunque,  successivamente  intervenuto  con  il
decreto-legge del 1° aprile 2021, n. 44 (convertito in  legge  n.  76
del 28 maggio 2021 - Misure urgenti per il contenimento dell'epidemia
da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia
e di concorsi pubblici), il cui art. 4 ha previsto che, limitatamente
agli esercenti le professioni sanitarie e agli operatori di interesse
sanitario, la vaccinazione  anti  SARS-CoV-2  costituisce  «requisito
essenziale per l'esercizio della professione  e  per  lo  svolgimento
delle prestazioni lavorative». 
  In tale  quadro,  con  riguardo  a  tutte  le  altre  categorie  di
lavoratori, nel rispetto della disciplina  di  protezione  dei  dati,
della disciplina nazionale di settore e delle norme piu' specifiche e
di maggior tutela che garantiscono la dignita' e  la  liberta'  degli
interessati sui luoghi di lavoro (art. 88 del regolamento e  113  del
Codice)  nonche'  di  quelle  emanate  nel  contesto   dell'emergenza
epidemiologica in corso, il datore di lavoro non puo' trattare i dati
relativi   alla   vaccinazione   dei   propri   dipendenti   (inclusa
l'intenzione  di  aderire  o  meno  alla  campagna  vaccinale).  Come
recentemente  ribadito  dal  Garante  anche  con   provvedimenti   di
carattere generale e documenti di indirizzo, eventuali trattamenti di
dati personali inerenti alla vaccinazione  di  dipendenti  sono  allo
stato consentiti, nel contesto lavorativo, per il tramite del  medico
competente, nei limiti e alle condizioni previste dalle  disposizioni
vigenti in materia di salute e sicurezza sui luoghi di lavoro che  ne
costituisco la base giuridica (decreto legislativo 9 aprile 2008,  n.
81; Provvedimento  del  13  maggio  2021  -  documento  di  indirizzo
«Vaccinazione nei luoghi  di  lavoro:  indicazioni  generali  per  il
trattamento dei dati personali», doc.  web  n.  9585300  e  documento
«Protezione dei dati - Il ruolo del medico competente in  materia  di
sicurezza sul luogo di lavoro,  anche  con  riferimento  al  contesto
emergenziale», doc. web n. 9585367). 
  Alla luce delle  considerazioni  preliminari  sopra  riportate,  si
ritiene  pertanto  che  le  disposizioni  di  cui  all'ordinanza  del
Presidente  della  Regione  Siciliana  del  7  luglio  2021,  n.  75,
presentino le seguenti criticita': 
1. Inidoneita' della base giuridica. 
  In via preliminare, si rileva che l'individuazione  della  avvenuta
vaccinazione quale  condizione  per  esercitare  diritti  e  liberta'
individuali o accedere agli  ambienti  di  lavoro,  non  puo'  essere
prevista  da  un'ordinanza   regionale,   in   quanto,   come   sopra
evidenziato, la competenza circa l'introduzione di misure di  sanita'
pubblica che implichino il trattamento di dati personali ricade nelle
materie assoggettate alla riserva di legge statale  e  pertanto  deve
avvenire attraverso una disposizione  che  abbia  le  caratteristiche
richieste dal regolamento (art. 6,  paragrafo  3,  del  regolamento),
previa acquisizione del parere dell'Autorita'. 
  In particolare, la predetta ordinanza presidenziale, pur alla  luce
delle precisazioni contenute nella circolare del 13 luglio, prot.  n.
[omissis], nel prevedere la generalizzata ricognizione del  personale
degli enti  pubblici  e  di  altri  lavoratori  non  vaccinati  e  la
conseguente assegnazione a differenti mansioni che non implichino  il
contatto con l'utenza esterna (cfr. art. 3, comma 2, cit.), introduce
trattamenti di dati  personali  relativi  allo  stato  vaccinale  dei
dipendenti che comportano limitazioni dei diritti  e  delle  liberta'
individuali, allo stato non previsti da alcuna disposizione di  legge
statale (cfr.,  Corte  costituzionale,  sentenza  n.  271/2005  sulla
riserva di legge statale sulla protezione dati; Corte costituzionale,
sentenza n. 37/2021). 
  A  tale  riguardo  si  rappresenta  che  l'Ufficio,  ancorche'   in
relazione all'uso delle certificazioni verdi, e piu' in generale  dei
certificati  vaccinali,  per  finalita'  ulteriori  e  con  modalita'
difformi  rispetto  a  quelle  espressamente  previste  dalla   legge
nazionale, ha ribadito alle regioni e alla Conferenza delle regioni e
delle province autonome la necessita' di soprassedere dall'adottare o
dal dare attuazione  ad  iniziative  territoriali  (provvedimento  di
limitazione  definitiva  in  merito  ai  trattamenti  previsti  dalla
Provincia autonoma di Bolzano in tema  di  certificazione  verde  per
COVID-19 - 18 giugno 2021, doc.  web  n.  9671917;  provvedimento  di
avvertimento  alla  Regione  Campania   in   merito   all'uso   delle
certificazioni verdi COVID-19 -  del  25  maggio  2021,  doc  web  n.
9590466).  Cio'  in  considerazione   del   fatto   che   l'ordinanza
presidenziale  di  una  regione  o  di  una  provincia  autonoma   (e
analogamente anche una circolare interpretativa) non rappresenta  una
valida base giuridica,  alla  luce  delle  caratteristiche  richieste
dalla disciplina  di  protezione  dei  dati  (qualita'  della  fonte,
contenuti necessari, rispetto del principio di proporzionalita')  per
introdurre limitazioni ai diritti e  alle  liberta'  individuali  che
implichino il trattamento di dati  personali,  in  quanto  disciplina
profili che ricadono nelle materie assoggettate alla riserva di legge
statale (art. 6, paragrafi 2 e 3, del regolamento e 2-ter e  2-sexies
del Codice). 
  Peraltro l'ordinanza n. 75 della  Regione  Siciliana  prevede  che,
«tutti coloro che nell'esercizio  dei  propri  compiti  d'ufficio  si
trovino ad  instaurare  contatti  diretti  con  il  pubblico  vengono
formalmente invitati, per il tramite dei datori di lavoro, a ricevere
la vaccinazione» e  che  «per  l'ipotesi  di  indisponibilita'  o  di
rifiuto  di  sottoposizione  a  vaccinazione,  il  datore  di  lavoro
pubblico provvede, nei modi e termini previsti dal CCNL di categoria,
ad  individuare  per  l'interessato   una   differente   assegnazione
lavorativa, ove possibile, che non implichi il contatto  diretto  del
lavoratore con l'utenza esterna» (comma 2). Tale  circostanza,  anche
alla luce delle successive precisazioni effettuate con  la  circolare
interpretativa  sopra  richiamata  che  prevede  «l'assegnazione  del
lavoratore ad altra mansione per effetto  dell'accertata  inidoneita'
siccome discendente  dall'omessa  effettuazione  del  vaccino»  (cfr.
circolare p. 3), introduce in realta' un requisito per lo svolgimento
di determinate mansioni (quelle che implicano  «il  contatto  diretto
del lavoratore  con  l'utenza  esterna»)  su  base  regionale  e  non
previsto  dalla  legge  nazionale,  generando   una   disparita'   di
trattamento rispetto al personale che  svolge  le  medesime  mansioni
sull'intero territorio nazionale. 
  Come messo in evidenza anche  dalla  Corte  di  giustizia  «l'esame
della liceita'  dei  requisiti  [per  lo  svolgimento  dell'attivita'
lavorativa] e della verifica del permanere  nel  tempo  dei  medesimi
[...deve essere] effettuato [...] rispetto al diritto nazionale  [...
e  non  puo'  essere]  sottratto  a  un   controllo   giurisdizionale
effettivo»  (v.,  in  tal  senso,  sentenza  del  17   aprile   2018,
Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58) atteso  che  la
previsione  di  un  requisito  per  lo   svolgimento   dell'attivita'
lavorativa da cui far derivare una differenza di trattamento  per  il
prestatore di lavoro (quale, come, nel caso di specie, l'adibizione a
mansioni  differenti)  deve   costituire   «requisito   professionale
essenziale, legittimo e giustificato» rispetto  alla  «natura»  delle
attivita' di cui trattasi e al «contesto» in cui vengono espletate le
sue mansioni. 
  Pertanto,  la  valutazione  della  liceita'  del   trattamento   di
informazioni afferenti alla salute, vita privata e  alle  convinzioni
personali, anche sotto il  profilo  del  rispetto  del  principio  di
finalita' e proporzionalita', cosi' come pure la  legittimita'  delle
decisioni assunte  dal  datore  di  lavoro  in  conseguenza  di  tali
trattamenti,    e'    subordinata    all'esistenza,    oggettivamente
verificabile, di un nesso diretto tra il requisito professionale e lo
svolgimento dell'attivita' lavorativa (dovendo questo  consistere  in
un  «requisito  essenziale  e  determinante»   per   lo   svolgimento
dell'attivita'   lavorativa   ed   essere   «necessario,   a    causa
dell'importanza dell'attivita' professionale di cui trattasi»;  punto
55). In ogni caso, «il principio  della  parita'  di  trattamento  in
materia di occupazione e di condizioni di lavoro [..]  trova  la  sua
fonte   in   diversi   atti   internazionali   e   nelle   tradizioni
costituzionali comuni agli Stati membri, ma ha il solo  obiettivo  di
stabilire, in queste stesse materie, un quadro generale per la  lotta
alle discriminazioni fondate  su  diversi  motivi,  tra  i  quali  la
religione o le  convinzioni  personali»  (cfr.  Corte  di  giustizia,
sentenza del 17 aprile 2018, Egenberger, C-414/16). 
  Con  specifico  riguardo  al  trattamento  dei  dati  della   stato
vaccinale,   peraltro,   la   normativa   europea   in   materia   di
certificazioni vaccinali stabilisce che  «e'  necessario  evitare  la
discriminazione  diretta  o  indiretta  di  persone  che   non   sono
vaccinate, per esempio per motivi medici, perche' non  rientrano  nel
gruppo di destinatari per cui il vaccino anti COVID-19 e' attualmente
somministrato o consentito, come  i  bambini,  o  perche'  non  hanno
ancora avuto l'opportunita' di essere vaccinate o hanno scelto di non
essere vaccinate» (cfr. considerando 36 del regolamento (UE) 2021/953
del Parlamento europeo e del Consiglio, del 14 giugno 2021). 
  Alla luce delle considerazioni che precedono eventuali  trattamenti
di dati personali  posti  in  essere  dai  soggetti  a  vario  titolo
indicati dall'ordinanza presidenziale n. 75 del 7 luglio  2021,  come
integrata  dalla  circolare  interpretativa  del  13   luglio   2021,
risultano privi di idonea base giuridica in violazione  dell'art.  5,
6, 9, del regolamento e 2-ter e 2-sexies del Codice). 
2. I principi applicabili al trattamento dei dati personali. 
  In via preliminare, si  rappresenta  che  il  trattamento  di  dati
personali previsto dalla predetta ordinanza persegue  una  pluralita'
di finalita', non sempre chiaramente individuate, che si  fondano  su
differenti presupposti di legittimita' e  che  sono  perseguibili  da
parte di distinti titolari del trattamento. 
  Seppur  non  chiaramente  individuate  dalla  regione   nel   corso
dell'istruttoria, dalla documentazione in atti si evince infatti  che
il trattamento che si intende  porre  in  essere  mira  a  perseguire
diversi interessi e a tutelare beni giuridici distinti (es.  adozione
di misure di sanita' pubblica; finalita'  statistiche  e  ricognitive
nonche' di verifica della esatta percentuale, nell'ambito del  target
in esame, del numero dei dipendenti; sicurezza sul lavoro). 
  Al riguardo, infatti, la disciplina in materia  di  protezione  dei
dati personali individua specifiche e autonome eccezioni al  generale
divieto  di  trattamento  dei  dati   appartenenti   alle   categorie
particolari,  tra  i  quali  si  configurano  quelli  sulla   salute,
distinguendo anche con riguardo ai diversi presupposti di liceita', i
trattamenti necessari per  finalita'  di  salute  pubblica  (art.  9,
paragrafo 2, lettera i), del regolamento), di medicina  preventiva  e
del lavoro (art. 9, paragrafi 2, lettera h), e 3, del regolamento)  e
di ricerca scientifica  a  fini  statistici  (art.  9,  paragrafo  2,
lettera j), del regolamento). 
  Nel   quadro   dall'ordinamento   vigente,   anche   nel   contesto
eccezionale, legato all'emergenza, occorre infatti che  ciascuno  dei
soggetti  chiamati  a  perseguire   le   predette   finalita'   operi
nell'ambito  e  nei  limiti  previsti  dalla  rispettiva   disciplina
applicabile, che  ne  costituisce  la  base  giuridica,  evitando  la
confusione di ruoli che puo' dare luogo  a  trattamenti  illeciti  di
dati personali e che potrebbe determinare effetti lesivi dei  diritti
e delle liberta' degli interessati. 
  Pertanto l'ordinanza n. 75 del 7 luglio 2021 non individua in  modo
corretto le distinte finalita' del trattamento perseguite, i titolari
del trattamento legittimati a perseguirle, i diversi  presupposti  di
liceita' su cui debbono fondarsi i  trattamenti,  nonche'  le  misure
volte ad assicurare il rispetto dei principi di protezione  dei  dati
con particolare riferimento  a  quello  di  liceita',  correttezza  e
trasparenza e di protezione dei dati fin dalla  progettazione  e  per
impostazione predefinita (articoli 5 e 25 del regolamento). 
3. Trattamenti dei dati per finalita'  di  sicurezza  dei  luoghi  di
lavoro. 
  Alla luce  delle  precisazioni  fornite  dalla  regione  (nota  del
[omissis], cit.), con la circolare successivamente emanata al fine di
precisare e chiarire  il  portato  dell'ordinanza  n.  75,  e'  stato
previsto, a tutela degli interessati, il  coinvolgimento  del  medico
competente nel trattamento dei dati. 
  In  particolare,  «all'esito  della  ricognizione  del  numero  dei
dipendenti degli enti pubblici non ancora sottoposti a  vaccinazione»
le aziende devono rivolgere «- per il tramite dei datori di lavoro e,
piu' in particolare, del medico competente - un "invito" a sottoporsi
alla vaccinazione da rivolgere  a  tutto  il  personale  dipendente».
Successivamente  «i  lavoratori  che  all'esito   dell'invito   sopra
menzionato  si  presenteranno  spontaneamente   dinanzi   al   medico
competente verranno sottoposti ad apposita visita  di  idoneita',  da
svolgersi nelle forme e secondo le modalita' previste dalla normativa
vigente in materia di sicurezza e salute sui luoghi di lavoro nonche'
dei provvedimenti recentemente adottati in materia dal garante per la
protezione dei dati personali, che si concludera' nella stesura e nel
giudizio finale (di idoneita' o di inidoneita') circa lo  svolgimento
della specifica mansione a cui il lavoratore ê assegnato». A  propria
volta «il datore di lavoro, ricevuto il suddetto  giudizio,  attuera'
le misure indicate dal medico competente  nei  casi  di  giudizio  di
parziale o temporanea inidoneita' alla mansione  cui  e'  adibito  il
lavoratore (cfr. artt. 41, 42 e 279 del d.lgs.  n.  81/2008  e  ss.mm
ii.).   Inoltre   e'   prevista   l'adozione    di    «determinazioni
consequenziali in ordine all'eventuale assegnazione del lavoratore ad
altra  mansione  per  effetto  dell'accertata   inidoneita'   siccome
discendente dall'omessa effettuazione del vaccino  verranno  adottate
nel rispetto della normativa e  della  contrattazione  collettiva  di
riferimento» (cfr. circolare cit. p. 3; sul punto  l'ordinanza,  art.
3, comma 2, dispone infatti che «per l'ipotesi di indisponibilita'  o
di rifiuto di sottoposizione a  vaccinazione,  il  datore  di  lavoro
pubblico provvede, nei modi e termini previsti dal CCNL di categoria,
ad  individuare  per  l'interessato   una   differente   assegnazione
lavorativa, ove possibile, che non implichi il contatto  diretto  del
lavoratore con l'utenza esterna»). 
  In proposito si osserva che la finalita' di sicurezza e salute  sui
luoghi  di  lavoro  afferisce,  tipicamente,  all'adempimento   degli
obblighi in materia di  «diritto  del  lavoro»,  che  legittimano  il
trattamento di dati personali dei dipendenti da parte del  datore  di
lavoro (articoli 5, 6, paragrafo  1,  lettera  c),  9,  paragrafo  2,
lettera b), e 88 del regolamento) e del medico  competente  (art.  9,
paragrafi 2, lettera h),  e  3,  del  regolamento;  cfr.  anche  art.
2-sexies, comma 2, lettera u), del Codice), ciascuno nell'ambito  dei
differenti compiti ed entro i precisi  limiti  fissati  dalla  legge.
Cio' anche nel quadro delle disposizioni nazionali piu' specifiche  e
di maggior tutela che garantiscono la  dignita'  e  la  liberta'  del
dipendente nel contesto lavorativo (articoli 88 del regolamento e 113
del  Codice;  cfr.,  con  riguardo  al  l  tradizionale  riparto   di
competenze  tra  il  medico  competente  e  il  datore   di   lavoro,
«Protezione dei dati: il ruolo del "medico competente" in materia  di
sicurezza sul luogo di lavoro,  anche  con  riferimento  al  contesto
emergenziale», doc. web n. 9585367). 
  In tale quadro, le finalita' e le operazioni  del  trattamento  che
devono essere poste in essere dal medico competente sono  determinate
esclusivamente dalla legge. In  particolare  le  norme  nazionali  di
settore in materia di tutela della salute e di sicurezza  dei  luoghi
lavoro  assegnano  specifici  compiti  e  responsabilita'  al  medico
competente e costituiscono la base giuridica dei relativi trattamenti
dei dati personali di cui specificano  anche  le  modalita'  (decreto
legislativo n. 81/2008). 
  Il professionista sanitario deve trattare i dati in modo  autonomo,
nel rispetto della disciplina di protezione dei dati e  dei  principi
che regolano l'attivita' diagnostica,  delle  regole  di  deontologia
professionale, con particolare riguardo al segreto. Per tali  ragioni
nello svolgimento di tali compiti che la legge gli attribuisce in via
esclusiva, in particolare l'attivita' di sorveglianza  sanitaria  dei
singoli lavoratori, il  medico  competente  e',  per  legge,  l'unico
legittimato a trattare in piena autonomia e competenza tecnica i dati
personali di natura sanitaria indispensabili per lo svolgimento della
funzione di protezione della salute e sicurezza dei luoghi di lavoro.
Ne' le sue valutazioni possono, per definizione, risentire  o  essere
condizionate da terzi ovvero dalle scelte organizzative e  gestionali
dell'ente/datore   di   lavoro   (ancorche'   in   quella   struttura
organizzativa tale figura sia funzionalmente inserita),  rispetto  al
quale deve, al contrario, mantenere autonomia e  terzieta'  (art.  39
del decreto legislativo n. 81/2008). 
  In tale contesto, quindi, il trattamento dei dati  personali  anche
relativi alla vaccinazione dei dipendenti, come precisato in  recenti
occasioni dal garante, puo' certamente essere effettuato dal solo del
medico competente  (art.  9,  paragrafi  2,  lettera  h),  e  3.  del
regolamento; cfr. anche art.  2-sexies,  comma  2,  lettera  u),  del
Codice), stante gli specifici limiti per il trattamento di tali  dati
da parte del datore di lavoro, ma cio'  deve  comunque  avvenire  nei
limiti e alle condizioni stabilite  dalla  richiamata  disciplina  di
settore in materia di sicurezza sul lavoro. 
  In base a tale quadro normativo, il medico  competente  nell'ambito
dei compiti di sorveglianza sanitaria che la legge gli attribuisce in
via esclusiva (il medico  «programma  e  effettuata  la  sorveglianza
sanitaria»; «la  sorveglianza  sanitaria  e'  effettuata  dal  medico
competente»), e' l'unico  soggetto  legittimato  a  trattare  i  dati
relativi alla salute dei lavoratori e a verificare  l'idoneita'  alla
«mansione specifica» (articoli 25, 39, comma 5, e 41,  comma  4,  del
decreto  legislativo  n.  81/2008),  potendo,  «in   funzione   della
valutazione  del  rischio»  e  delle  «condizioni  di   salute»   dei
lavoratori, ovvero su richiesta del lavoratore in presenza di proprie
specifiche o sopravvenute condizioni di salute,  stabilire  caso  per
caso se ricorrono i presupposti  e  la  necessita'  di  sottoporre  i
lavoratori  a  ulteriori  visite   straordinarie   e/o   a   indagini
diagnostiche (art. 41, commi 2 e 4, decreto legislativo n. 81/2008). 
  Cio' in quanto il medico, anche nel periodo emergenziale in  corso,
non tratta i dati per conto o in base alle istruzioni  e  indicazioni
di altri soggetti (enti  pubblici,  autorita'  sanitarie,  datori  di
lavoro) ma in qualita' di titolare del trattamento (articoli 4, n. 7,
e 24 del regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of
controller and processor in  the  GDPR),  nel  quadro  di  specifiche
diposizioni di legge finalizzate  anzitutto  al  perseguimento  della
tutela della salute nei luoghi di lavoro e della collettivita' (cfr.,
v., in particolare Protocollo  condiviso  di  regolamentazione  delle
misure per il contrasto e il contenimento della diffusione del  virus
COVID-19 negli ambienti di lavoro sottoscritto  il  24  aprile  2020,
aggiornato il 6 aprile 2021 il cui  contenuto  e'  vincolante  per  i
datori di lavoro pubblici e privati; circolare  del  Ministero  della
salute del 29 aprile 2020, n. 0014915, recante «Indicazioni operative
relative alle attivita' del  medico  competente  nel  contesto  delle
misure per il contrasto e il contenimento della diffusione del  virus
SARS-CoV-2 negli ambienti di lavoro e nella collettivita'»). 
  Per tali ragioni la previsione attraverso l'ordinanza presidenziale
in esame di dar corso a una ricognizione generalizzata del numero  di
dipendenti non vaccinati e l'indiscriminata effettuazione  di  visite
straordinarie in favore di  tutti  i  dipendenti  che  si  presentino
«spontaneamente» dinanzi  al  medico  competente  dopo  essere  stati
«formalmente invitati per il tramite dei datori di lavoro a  ricevere
la vaccinazione» (art. 3 ordinanza cit.; ovvero dai datori di  lavoro
«per il tramite del  medico  competente»  cfr.  circolare,  cit.),  e
dunque a prescindere dalle specifiche valutazioni del  professionista
sulla base del documento di valutazione dei  rischi  e  di  eventuali
peculiari o sopravvenute condizioni di salute del singolo lavoratore,
non risulta conforme al quadro normativo sopra descritto (art. 41 del
decreto legislativo n. 81/2008). 
  Non sussistono, inoltre, i  presupposti  per  un  ricorso  in  modo
generalizzato e preventivo alla  sorveglianza  sanitaria  eccezionale
prevista  nel  periodo  dell'emergenza  con  esclusivo  riguardo   ai
lavoratori «fragili» in quanto esposti a maggiori rischi, individuati
dalle norme di settore nell'eta' o in pregressi o sopravvenuti  stati
morbosi (cfr., art. 83 del  decreto-Legge  19  maggio  2020,  n.  34,
convertito con modificazioni dalla legge 17 luglio 2020,  n.  77;  v.
anche circolare Ministero del lavoro e delle politiche sociali e  del
Ministero della salute n. 28877 del 4 settembre  2020-DGPREDGPRE-P  -
Aggiornamenti  e  chiarimenti  con  riguardo  alle  lavoratici  e  ai
lavoratori «fragili»). 
  In ogni caso, come chiarito dal garante, il medico che  nell'ambito
della sorveglianza sanitaria venga a conoscenza di dati relativi alla
avvenuta o meno vaccinazione  dei  dipendenti  puo',  considerata  la
specificita' del contesto lavorativo, delle condizioni  cliniche  del
singolo lavoratore nonche' delle indicazioni fornite dalle  autorita'
sanitarie  anche   in   merito   alla   efficacia   e   affidabilita'
medico-scientifica del vaccino, valutare «se del caso, tenerne  conto
in sede di valutazione dell'idoneita' alla  mansione  specifica»  del
singolo lavoratore (cfr., FAQ in  materia  di  «Trattamento  di  dati
relativi alla vaccinazione anti  COVID-19  nel  contesto  lavorativo»
www.gpdp.it - doc. web n. 9543615). 
  Anche con riguardo a tale profilo, la  procedura  introdotta  dalla
regione con la predetta  ordinanza  che  prevede  che  l'adozione  di
«determinazioni consequenziali in ordine  all'eventuale  assegnazione
del  lavoratore  ad  altra  mansione   per   effetto   dell'accertata
inidoneita'  siccome  discendente   dall'omessa   effettuazione   del
vaccino» (cfr. circolare p. 3; e ordinanza), non appare  conforme  al
quadro normativo in materia di protezione dei dati,  alla  disciplina
in  materia  di  sicurezza  dei  luoghi  di   lavoro   nonche'   alle
disposizioni introdotte nel periodo dell'emergenza epidemiologica  in
corso, comportando trattamenti in violazione degli articoli 5,  6,  9
del regolamento e 2-ter e 2-sexies del Codice. 
4. I trattamenti di dati da parte dei datori di lavoro. 
  L'ordinanza n. 75, anche a seguito  delle  precisazioni  effettuate
con la successiva circolare, non chiarisce  inoltre  il  ruolo  e  le
finalita' del trattamento dei dati effettuati dal datore  di  lavoro,
prevedendo che le aziende sanitarie pongano in essere  un  interpello
nei confronti di tutti gli  enti  pubblici  operanti  nel  territorio
della Regione Siciliana funzionale alla «ricognizione aggiornata  del
numero  dei  dipendenti  che  non  si  sono  ancora  sottoposti  alla
vaccinazione» e che tale attivita' di indagine, «utile ai fini  della
programmazione della futura gestione sanitaria della pandemia e della
organizzazione dei presidi di  prevenzione  su  tutto  il  territorio
regionale», debba avvenire assicurando la «gestione anonima» dei dati
(cfr. nota del 14 luglio cit.). 
  Tuttavia  ne'  l'ordinanza  ne'  la  circolare  chiariscono   quali
specifiche misure tecniche e organizzative  debbano  essere  adottate
affinche',   in   ragione   della   particolare   delicatezza   delle
informazioni trattate  e  degli  elevati  rischi  e  delle  possibili
conseguenze,  anche  indirette,  per  gli  interessati  nel  contesto
lavorativo e professionale (cfr., con riguardo alla  «vulnerabilita'»
degli interessati nel contesto lavorativo, cfr.  articoli  35  e  88,
paragrafo  2,  del  regolamento  e  «Linee   guida   concernenti   la
valutazione di impatto sulla protezione dei dati  nonche'  i  criteri
per stabilire se un trattamento "possa presentare un rischio elevato"
ai sensi del regolamento 2016/679», WP 248 del  4  aprile  2017),  le
aziende sanitarie e i datori di lavoro possano assicurare in tutte le
fasi del trattamento e fin dal momento «la necessaria  interlocuzione
con  gli  enti  pubblici   datoriali,   l'anonimato   del   personale
dipendente», essendo particolarmente generico il mero riferimento  in
via esemplificativa all'«_invio di questionari da compilare in  forma
anonima» (cfr. circolare, cit.). 
  Non e', inoltre, specificato con  quali  modalita'  e  garanzie  il
datore di lavoro possa acquisire nell'ambito della propria  struttura
organizzativa il  solo  dato  numerico  relativo  ai  dipendenti  non
vaccinati,  con  la  conseguenza  che  le  decisioni  e   le   scelte
organizzative e  tecniche  in  proposito  -  che  possono  comportare
trattamenti  di  dati  personali  non  conformi  alla  disciplina  di
protezione dei dati e/o incidere anche sul  livello  di  sicurezza  e
integrita' dei dati trattati (art. 5, paragrafo 1, lettera f),  e  32
del regolamento) - siano rimesse alle valutazioni di volta in  volta,
assunte da singoli datori di lavoro. 
  Si aggiunga, peraltro, che la prospettata raccolta e  comunicazione
di dati numerici e non nominativi da parte dei datori di lavoro puo',
specie nei contesti lavorativi di piccole dimensioni,  consentire  di
identificare, anche indirettamente, gli interessati, anche in ragione
della disponibilita' di  ulteriori  informazioni,  quali  il  profilo
professionale, l'unita' produttiva e il comprensorio territoriale. 
  I datori di lavoro posso legittimamente trattare i dati  personali,
anche  relativi  a  categorie  particolari  di  dati  (cfr.  art.  9,
paragrafo 1, del regolamento), dei dipendenti se  il  trattamento  e'
necessario per la gestione del rapporto di lavoro e per  adempiere  a
specifici obblighi o compiti previsti  dalla  normativa  nazionale  e
comunitaria (articoli 6, paragrafo 1, lettera  c),  9,  paragrafi  2,
lettera b), e 4, e 88 del regolamento). Ad  eccezione,  pertanto,  di
quanto previsto per la vaccinazione quale requisito professionale per
il personale sanitario, il trattamento da parte del datore di  lavoro
di dati relativi allo stato vaccinale dei dipendenti non e'  previsto
da alcuna disposizione di legge (articoli 5, paragrafo 1, lettera a),
nonche' 9, paragrafo 2, lettera b), del regolamento). 
  Pertanto,  nell'ambito  delle  procedure  previste  dalla  predetta
ordinanza,  il  trattamento  da  parte  dei  datori  di   lavoro   di
informazioni, che consentano anche  indirettamente  l'identificazione
degli interessati, possono determinare trattamenti di dati  personali
privi di idonea base  giuridica  e  porsi  in  contrasto,  in  talune
circostanze, con le  disposizioni  dell'ordinamento  che  vietano  al
datore di lavoro di conoscere informazioni attinenti  alla  salute  e
alla sfera privata del lavoratore (art. 88 del regolamento, art.  113
del Codice in relazione all'art. 8 della legge 20 maggio 1970, n. 300
e all'art. 10 del decreto legislativo 10 settembre 2003, n. 276; cfr.
Corte di giustizia, Grande Sezione, sentenza 11 settembre 2018, causa
C-68/17). 
  Tali norme, volte a prevenire effetti discriminatori  nel  contesto
lavorativo,    costituiscono    nell'ordinamento    interno    quelle
disposizioni piu' specifiche e di maggiore garanzia di  cui  all'art.
88 del regolamento la cui osservanza costituisce  una  condizione  di
liceita' del trattamento e la  cui  violazione  -  analogamente  alle
specifiche situazioni di trattamento del capo IX  del  regolamento  -
determina anche l'applicazione di sanzioni amministrative  pecuniarie
ai sensi dell'art. 83,  paragrafo  5,  lettera  d),  del  regolamento
(cfr., da ultimo, con specifico riguardo  alla  violazione  dell'art.
113 del Codice nell'ambito lavorativo pubblico, provv. n. 190 del  13
maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della
Corte europea dei diritti dell'uomo, nel caso Antovic e  Mirković  v.
Montenegro, Application n. 70838/13 del  28  novembre  2017,  che  ha
stabilito che il rispetto della «vita  privata»  deve  essere  esteso
anche ai luoghi di lavoro pubblici,  richiamando  il  rispetto  delle
garanzie previste dalla legge nazionale applicabile). 
 
                              Ritenuto 
 
  alla luce delle rilevanti criticita' sopra illustrate,  che  quanto
previsto dall'ordinanza presidenziale della Regione Siciliana  n.  75
del 7 luglio 2021, come integrata dalla circolare interpretativa  del
13 luglio 2021, non risulta conforme alla disciplina  in  materia  di
protezione dei dati personali in quanto: 
    individua misure per la  prevenzione  e  gestione  dell'emergenza
epidemiologica  da  COVID-19  che   prevedono   il   trattamento   di
informazioni personali, relative alla  salute  degli  interessati,  e
incidono sui diritti e  liberta'  degli  stessi  che  possono  essere
introdotte solo da una norma del diritto dell'Unione o  nazionale  di
rango primario che abbia le caratteristiche richieste dal regolamento
e previa acquisizione del parere dell'Autorita'; 
    introduce trattamenti preventivi e generalizzati di dati relativi
allo  stato  vaccinale  dei  dipendenti,  non  previsti   da   alcuna
disposizione  di  legge  statale  e  comunque   non   conformi   alle
disposizioni di settore, in violazione dei principi di protezione dei
dati e senza prevedere misure adeguate a garantire la protezione  dei
dati in ogni fase del trattamento  (artt.  5,  6,  9,  25  e  32  del
regolamento e articoli 2-ter e 2-sexies del Codice); 
    introduce trattamenti che, in assenza di  specifiche  e  adeguate
misure tecniche e organizzative, possono comportare la violazione  da
parte dei datori di lavoro della disciplina nazionale piu' specifiche
e di maggiore garanzia a tutela della dignita' degli interessati  nei
luoghi di lavoro (art. 88 del regolamento, art.  113  del  Codice  in
riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e  all'art.
10 del decreto legislativo 10 settembre 2003, n. 276). 
  Considerato che il regolamento  attribuisce  al  garante,  tra  gli
altri,  il  potere  di  rivolgere  avvertimenti  al  titolare  o   al
responsabile del trattamento sul fatto  che  i  trattamenti  previsti
possono verosimilmente violare le disposizioni del regolamento  (art.
58, paragrafo 2, lettera a)) e che ricorre l'esigenza di  intervenire
tempestivamente al fine di tutelare i diritti  e  le  liberta'  degli
interessati prima che le richiamate violazioni producano effetti. 
  Considerato quindi che  risulta  necessario  avvertire  la  Regione
Siciliana e tutti gli altri soggetti  pubblici  e  privati  coinvolti
(aziende sanitarie provinciali, datori di lavoro, medici  competenti)
del fatto che i trattamenti di dati personali di cui all'ordinanza n.
75 del 7 luglio 2021  del  Presidente  della  Regione  Siciliana,  in
assenza di interventi correttivi, possono violare le disposizioni  in
materia di protezione dei dati personali di cui agli articoli  5,  6,
9, 25, 32 e 88 del regolamento e 2-ter, 2-sexies e 113 del Codice  in
riferimento all'art. 8 della legge 20 maggio 1970, n. 300 e  all'art.
10 del decreto legislativo 10 settembre 2003, n. 276). 
  Ritenuto  inoltre  di  comunicare  il  presente  provvedimento   al
Presidente del Consiglio dei ministri e alla Conferenza delle regioni
e delle province autonome, per le valutazioni di competenza anche  al
fine di segnalare alle regioni e alle Province autonome il necessario
rispetto  delle  disposizioni  in  materia  di  protezioni  dei  dati
personali. 
 
                   Tutto cio' premesso, il garante 
 
    a) ai sensi dell'art. 58, par  2,  lettera  a),  del  regolamento
avverte la Regione Siciliana (C.F. 80012000826) e  tutti  i  soggetti
pubblici e privati coinvolti (aziende sanitarie  provinciali,  datori
di lavoro, medici competenti) che i  trattamenti  di  dati  personali
effettuati in attuazione dell'ordinanza n. 75 del 7 luglio  2021  del
Presidente della Regione  Siciliana,  sulla  base  delle  motivazioni
espresse in premessa, possono violare le disposizioni in  materia  di
protezione dei dati personali di cui agli articoli 5, 6, 9, 25, 32  e
88 del regolamento e 2-ter, 2-sexies e 113 del Codice in  riferimento
all'art. 8 della legge 20 maggio 1970,  n.  300  e  all'art.  10  del
decreto legislativo 10 settembre 2003, n. 276. 
    b) trasmette copia del presente provvedimento al  Presidente  del
Consiglio dei ministri  e  alla  Conferenza  delle  regioni  e  delle
province autonome per le valutazioni di competenza; 
    c) ai sensi dell'art. 154-bis, comma 3, del  Codice,  dispone  la
pubblicazione del presente  provvedimento  nella  Gazzetta  Ufficiale
della Repubblica italiana. 
      Roma, 22 luglio 2021 
 
                                  Il Presidente e relatore: Stanzione 
Il segretario generale: Mattei