Il Garante della Protezione dei Dati Personali (nel testo,
“Garante”, “Autorità” o “Authority”) con provvedimento del
13 dicembre 2021 ha fornito un parere in via d’urgenza, così come previsto dal
Regolamento 1/2000 (sull’organizzazione e il funzionamento dell’ufficio del
Garante per la protezione dei dati personale), volto a permettere
l’applicazione di alcune disposizioni del D.L. 26 novembre 2021, n. 172,
inerenti alle certificazioni verdi Covid-19 e agli obblighi vaccinali imposti
ad alcune categorie di lavoratori.
I temi su cui il Garante è stato chiamato a pronunciarsi
riguardano:
a) il trattamento dei dati personali per
finalità di verifica del rispetto dell’obbligo vaccinale per alcune categorie
di lavoratori, stante la previsione da parte del citato D.L. 172/2021
dell’estensione a partire dal 15 dicembre 2021 dell’obbligo vaccinale per il
personale:
- scolastico (più precisamente,
del personale scolastico del sistema nazionale di istruzione, delle scuole non
paritarie, dei servizi educativi per l'infanzia di cui all'articolo 2 del
decreto legislativo 13 aprile 2017, n. 65, dei centri provinciali per
l'istruzione degli adulti, dei sistemi regionali di istruzione e formazione
professionale e dei sistemi regionali che realizzano i percorsi di istruzione e
formazione tecnica superiore);
- del comparto
difesa, sicurezza e soccorso pubblico, della polizia locale e degli organismi
di cui alla L. 124/2007;
- delle strutture sanitarie di cui
all’articolo 8-ter del D. Lgs. 502/1992 (ossia le strutture che erogano
prestazioni in regime di ricovero ospedaliero a ciclo continuativo o diurno per
acuti, quelle che erogano prestazioni di assistenza specialistica in regime
ambulatoriale, ivi comprese quelle riabilitative, di diagnostica strumentale e
di laboratorio, nonché le strutture sanitarie e sociosanitarie che erogano
prestazioni in regime residenziale, a ciclo continuativo o diurno);
- degli istituti penitenziari.
In tale contesto il Garante osserva in via generale che il trattamento dei dati personali in ambito lavorativo deve avvenire nel rispetto della normativa in materia di protezione dei dati, della disciplina nazionale di settore ma anche delle norme preesistenti che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento), e in particolare le norme che stabiliscono il divieto per il datore di lavoro di acquisire o comunque “trattare” dati relativi alla salute o alla sfera privata e alle convinzioni personali che non siano attinenti alla valutazione dell’attitudine professionale del lavoratore.
Laddove sussista una specifica normativa richiedente
determinati requisiti per l’esercizio da parte di particolari categorie di
lavoratori delle proprie mansioni, non opera il limite per il datore di lavoro
di trattare i dati personali relativi alla vaccinazione anti-SARS-CoV-2 dei
dipendenti e di far derivare conseguenze, positive o negative, in ragione della
scelta del lavoratore in ordine all’adesione o meno alla campagna vaccinale;
b) il trattamento dei dati personali per finalità di verifica delle certificazioni verdi Covid-19 di avvenuta vaccinazione o guarigione (cd. “super green pass”), nel cui ambito il Garante evidenzia la necessità che l’app VerificaC19 preveda elementi grafici idonei a permettere la distinzione delle due modalità di verifica (di “base” o “rafforzata – super green pass”);
c) l’istituto della revoca delle certificazioni veri Covid-19 nelle ipotesi di sopraggiunta positività di un interessato che ha completato il ciclo vaccinale e di generazione o di acquisizione fraudolenta delle stesse, con riferimento al quale l’Authority ha già chiarito in precedenza che risulta proporzionale la misura di acquisizione da parte della PN-DGC dei dati relativi alla positività di un interessato munito di certificazione verde al fine di permetterne la revoca. Ciò infatti risponde all’esigenza, più volte manifestata dal Garante, di assicurare l’efficacia dal punto di vista epidemiologico della certificazione, garantendo l’esattezza e l’aggiornamento dei dati personali;
d) il trattamento dei dati personali legati alla consegna della certificazione verde Covid-19 al datore di lavoro, per cui l’Autorità, stante la presenza nella certificazione verde Covid-19 e nel QR code di numerosi dati personali e particolari degli interessati, tra cui quelli attinenti alla motivazione del rilascio della certificazione verde (vaccinazione, guarigione, tampone con esito negativo), evidenzia i rischi che la consegna del certificato verde al datore di lavoro pone rispetto alle garanzie della disciplina di protezione dati.
In ogni caso, tale trattamento deve essere “limitato alla
sola finalità di verifica della perdurante validità della certificazione nel
rispetto del principio di limitazione della finalità del trattamento (art. 5,
par. 1, lett. b) del Regolamento), (…), ed essere effettuato adottando misure
tecniche e organizzative per assicurare l’integrità e la riservatezza dei dati”;
e) le certificazioni digitali di esenzione dalla vaccinazione anti Covid-19, con riguardo alle quali il Garante considera essenziale consentire ai soggetti beneficiari delle stesse di “presentare un documento digitale dotato di QR Code che, attraverso l’uso dei sistemi di verifica previsti dalla normativa vigente, riveli le medesime informazioni delle certificazioni verdi covid-19, ovvero quelle relative all’autenticità, alla validità e all’integrità della certificazione e alle generalità dell’interessato, senza che siano anche visibili le informazioni che ne hanno determinato l’emissione”;
f) le modalità di recupero delle certificazioni verdi Covid-19, relativamente alle quali l’Autorità ritiene necessario individuare, prima ancora di autorizzare, i soggetti rientranti nella categoria di “operatore di interesse sanitario”, come tali abilitati al recupero delle certificazioni dietro richiesta dell’interessato;
g) l’app VerificaC19, che secondo il Garante necessita di essere modificata in modo da non mostrare al verificatore particolari diciture (es. “Certificazione valida solo in Italia” o “Certificazione non ancora valida”) o colori (schermata azzurra), che risultino idonei a rivelare la sussistenza di una particolare condizione alla base del rilascio della certificazione (es. prima dose vaccinale);
h) l’aggiornamento della valutazione di impatto sulla protezione dei dati, considerato dalla Authority essenziale, dati gli evidenti rischi connessi ai trattamenti fino a qui elencati (che riguardano infatti dati personali e particolari – nello specifico, attinenti alla salute – su larga scala).
Federico Votta - Legalassociati Milano