A seguito dell’introduzione dell’art. 9-ter del D.L. 52/2021, introdotto dal D.L. 111/2021, che, come noto, ha previsto l’obbligo per tutto il personale scolastico di possedere la certificazione verde Covid-19, fino al termine oggi stabilito di cessazione dello stato di emergenza (31 dicembre 2021), con conseguenze in capo sia al personale sprovvisto (assenza ingiustificata e sospensione del rapporto di lavoro dal quinto giorno di assenza), che ai Dirigenti scolastici in sede di controllo, è emerso anche il tema della riservatezza dei dati.
Occorre ricordare, preliminarmente, che l’argomento è ad oggi ancora dibattuto, in particolar modo per quanto riguarda la gestione dei dati del personale, e che il decreto legge, ex se, potrà essere oggetto di modifiche in sede di conversione.
Può risultare utile comunque analizzare l’orientamento del Garante per la riservatezza dei dati, che sul tema del trattamento delle informazioni relative allo stato vaccinale dei lavoratori, e di quanti frequentino gli uffici pubblici, ha di recente avuto modo di pronunciarsi.
È utile tuttavia rammentare, in attesa di maggiori chiarimenti, che:
- il trattamento di dati attinenti alla salute è regolato dall’art. 9 GDPR (Regolamento UE 679/2016) che prevede cautele rafforzate per tali dati, principalmente consenso dell’interessato e fondamento nel diritto dell’Unione o nazionale;
- ogni qualvolta la Costituzione dispone che la materia sia regolata dalla legge, in caso di limitazioni di diritti, si intende la legge ordinaria, ovvero leggi e atti aventi forza di legge (decreti legge – decreti legislativi);
- a norma dell’art. 49 del D.P.R. 445/2000, «I certificati medici, sanitari, veterinari, di origine, di conformità CE, di marchi o brevetti non possono essere sostituiti da altro documento, salvo diverse disposizioni della normativa di settore»;
- il TAR Lazio, con il decreto n. 4453 del 23-24/08/2021, ha dichiarato l’inammissibilità del ricorso per annullamento, previa sospensione dell’efficacia, della disposizione, perché l’ordinamento non consente l’impugnazione diretta di atti aventi forza di legge, fissando la trattazione per il 6 ottobre 2021.
Trattamento dei dati dei lavoratori relativamente allo stato vaccinale
Con l’Ordinanza n. 75 del 7/07/2021, il Presidente della Regione Sicilia aveva disposto che gli organi sanitari provvedessero alla ricognizione del personale di tutti gli enti pubblici, ad esito della quale i dipendenti a contatto diretto con il pubblico per compiti d’ufficio fossero invitati ad effettuare la vaccinazione; in caso di indisponibilità o rifiuto, l’Ordinanza prevedeva la possibilità per il datore di lavoro di individuare una differente attività lavorativa che non implicasse il contatto con l’utenza.
Il provvedimento regionale è stato oggetto di analisi del Garante per la riservatezza dei dati, che ha “avvisato” la Regione e tutti i soggetti coinvolti della possibile violazione delle norme recate dal Regolamento Europeo di cui al GDPR 679/2016, e del Codice Privacy (D.Lgs. 196/2003).
L’ordinanza infatti, a parere del Garante, prevede trattamenti dei dati relativi allo stato vaccinale, con ciò determinando limitazioni dei diritti e delle libertà individuali che possono essere disposte solo con norme di rango primario (ovvero leggi e atti aventi forza di legge), previo parere dell’Autorità.
La Corte Costituzionale ha recentemente evidenziato che «la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.» (Ordinanza 4/2021).
Il Garante aveva inoltre fatto emergere le possibili conseguenze discriminatorie per i lavoratori, stante il divieto per i datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e la vita privata dei dipendenti.
Da sottolineare che il provvedimento di avvertimento del Garante è il n. 273 del 22/07/2021, quindi antecedente all’introduzione dell’art. 9-ter sopra scritto, avvenuto con il D.L. 111 del 6/08/2021; il decreto legge è fonte del diritto di rango primario, pur se efficace salvo conversione in legge, e quali siano gli impatti sulla normativa a tutela della riservatezza dei dati è argomento di discussione di queste concitate ore.
Con specifico riguardo al trattamento dei dati della stato vaccinale, peraltro, la normativa europea in materia di certificazioni vaccinali stabilisce che «è necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perché non rientrano nel gruppo di destinatari per cui il vaccino anti Covid-19 è attualmente somministrato o consentito, come i bambini, o perché non hanno ancora avuto l’opportunità di essere vaccinate o hanno scelto di non essere vaccinate (cfr. considerando 36 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14/06/2021)».
Accesso del personale esterno e obbligo di esibizione del Green Pass
Successivamente all’introduzione delle disposizioni di cui al richiamato art. 9-ter, e in relazione ad una ulteriore Ordinanza della Regione Sicilia, n. 84 del 13/08/2021, il Garante per la riservatezza dei dati è ulteriormente intervenuto per chiedere chiarimenti.
Con l’Ordinanza n. 84, art. 5 (provvedimento, si precisa, poi sospeso a seguito della circolare del Dipartimento regionale della Protezione Civile n. 2 del 16/08/2021), il Presidente della Regione Sicilia aveva infatti disposto che gli utenti sprovvisti di certificazione verde non potessero accedere agli uffici pubblici (o uffici privati preposti ad attività amministrative) potendo usufruire dei servizi esclusivamente da remoto e prescrivendo l’interdizione dall’accesso agli uffici pubblici.
Nei confronti di questa disposizione, che avrebbe implicato una gestione dei dati riferiti alle scelte dei cittadini relativamente al proprio stato vaccinale, il Garante ha rammentato, ad oggi pare solo con richiesta di informazioni, come «Le misure di sanità pubblica che implichino il trattamento di dati personali [...] ricadono nelle materie assoggettate alla riserva di legge statale e, pertanto, non possono essere introdotte con un’ordinanza regionale, ma solo attraverso una disposizione di rango primario, previo parere del Garante» e che «Non risulta, inoltre, che i più recenti interventi normativi in tema di certificazioni verdi abbiano imposto l’esibizione di tali documenti per l’accesso dell’utenza agli uffici pubblici o similari, per cui il loro utilizzo per finalità ulteriori e con modalità difformi rispetto a quanto previsto dalla legge statale creerebbe una evidente disparità di trattamento a livello territoriale».
Non risultano ad oggi, a brevissimo decorso temporale da questo intervento, misure normative che comportino obbligo di esibizione del Green Pass per accedere agli uffici pubblici, compresi gli Istituti scolastici che, nel rispetto delle disposizioni ancora in essere per il contenimento della pandemia, non potranno utilizzare questo requisito per disciplinare l’accesso del personale esterno. Nel frattempo, con la circolare n. 2/2021 l’art. 5 dell’Ordinanza predetta è stato sospeso, proprio in attesa delle necessarie interlocuzioni con il Garante Privacy.
La situazione ad oggi per l’accesso del personale scolastico
Proprio in prossimità dell’inizio dell’anno scolastico, con provvedimento n. 306 del 31/08/2021, il Garante ha espresso parere favorevole sullo schema del DPCM che introduce modalità semplificate di verifica delle certificazioni verdi del personale scolastico.
Riportiamo estratto del comunicato stampa: «In particolare, le Istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione SIDI e la Piattaforma nazionale DGC – il mero possesso della certificazione verde Covid-19 da parte del personale, trattando esclusivamente i dati necessari. Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia».
Nell’attesa del DPCM, il Garante quindi indica il via libera al trattamento dei dati del personale, nelle modalità indicate nel provvedimento, da coniugarsi con le disposizioni normative.
