Con Provvedimento del 22 luglio 2021 [9683814] – Registro dei provvedimenti n. 273 del 22 luglio 2021, il Garante per la Protezione dei Dati Personali ha avvertito Regione Siciliana e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.
Il Presidente della Regione Siciliana con l’ordinanza n. 75 del 7 luglio 2021 aveva introdotto sul territorio regionale “Ulteriori misure per l’emergenza epidemiologica da Covid-19”, “al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” e “tenuto conto del rischio di diffusione del virus nella variante comunemente nota come Delta”.
Nella predetta ordinanza, il Presidente della Regione Siciliana prevedeva che fosse disposta una “ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990”, mediante apposito interpello a tutti gli Enti pubblici operanti nel territorio della Regione Siciliana.
La ricognizione serviva per stilare il numero dei dipendenti che non si erano ancora sottoposti alla vaccinazione e nel caso fossero addetti ad instaurare contatti diretti con il pubblico, invitarli formalmente, per il tramite dei datori di lavoro, a ricevere la vaccinazione.
L’ordinanza prevedeva poi che per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico avrebbe dovuto provvedere, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna.
Secondo il Presidente della Regione, la corretta interpretazione della Ordinanza (emanata dal Presidente della Regione sia in qualità di Autorità sanitaria regionale – ai sensi della legge n. 833/1978 – sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei Ministri relativo alla pandemia da Covid-19 – Ordinanza del Capo della Protezione civile n. 630/2020), avvalorata dalla successiva Circolare interpretativa, che prevedeva il coinvolgimento del medico competente, eliminava in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso.
L’Autorità Garante, nonostante le precisazioni della Ragione Sicilia, osservava che “le certificazioni attestanti l’avvenuta vaccinazione (e, non diversamente la guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2 (cfr. Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il “Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass”)”.
L’Autorità ha infatti più volte ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale.
Anche in merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, l’Autorità ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b) del Regolamento), e del principio di ragionevolezza (art. 3 Cost.).
Considerato tutto ciò l’Autorità ha sottolineato ancora una volta che eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti, nel contesto lavorativo, per il tramite del medico competente, nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituisco la base giuridica (d.lgs. 9 aprile 2008 n. 81; Provvedimento del Garante per la Protezione dei Dati Personali del 13 maggio 2021).
Alla luce delle criticità illustrate, il Garante per la Protezione dei Dati Personali ha ritenuto che l’ordinanza presidenziale della Regione Siciliana n. 75 del 7 luglio 2021 non risulta conforme alla disciplina in materia di protezione dei dati personali e ha avvertito la stessa Regione e tutti i soggetti pubblici e privati coinvolti che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.