Quando il Governo ha adottato il d.l. 52/2021, che recava, tra l’altro, previsioni in materia di “passaporto vaccinale”, il Garante privacy ha adottato un “Provvedimento di avvertimento”.
Detto “avvertimento” lamentava la mancata consultazione del Garante (In via preliminare, si rileva che, in violazione dell’art. 36, par. 4, del Regolamento, il decreto legge del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato) e concludeva affermando che “il predetto decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies)”
Già si rileva l’anomalia di un “avvertimento” indirizzato anche al Governo da parte di un’altra istituzione. Certo l’art. 58 del GDPR prevede il potere del Garante di rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento dei dati personali, ma, ovviamente, tale potere attiene non alla fase di predisposizione delle regole, ma alla fase di rispetto delle regole stabilite dall’autorità legislativa.
Il Garante avrebbe potuto essere audito nella fase dell’iter parlamentare della legge di conversione del decreto legge, come peraltro avviene di solito, anche se nel corso di questa pandemia a volte è stato coinvolto prima dell’adozione dei decreti legge. Ben avrebbe potuto/dovuto il Garante chiedere un’audizione in Parlamento o depositare le proprie osservazioni, in modo da poter correggere il testo del decreto legge, ma ha scelto la strada dell’”avvertimento” che lascia a dir poco perplessi.
In questi giorni, inoltre, il Garante ha pure pubblicato sul proprio sito un nuovo documento in materia di vaccinazioni, dal titolo “Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale” che reca indicazioni generali sul ruolo del medico competente in materia di igiene e sicurezza sul luogo di lavoro nel trattamento dei dati personali dei lavoratori.
Già che il Garante privacy approfondisca il “ruolo del medico competente” in materia di sicurezza dei lavoratori, sembra fuori luogo.
Ma vediamo nel merito. In tale documento il Garante riprende le posizioni (correttissime) espresse già in passato in materia di obbligo vaccinale e privacy dei lavoratori, sottolineando che il datore di lavoro non può, secondo la normativa sulla sicurezza dei lavoratori, conoscere i dati sulla salute dei lavoratori, dati che devono essere nella sfera conoscitiva del solo medico competente.
Infatti conclude: “In tale quadro, il datore di lavoro non può acquisire, neanche con il consenso del dipendente o tramite il medico competente, i nominativi del personale vaccinato o la copia delle certificazioni vaccinali (cfr. FAQ 1 e 2 sul “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo”, doc. web n. 9543615). Ciò anche per l’impossibilità di considerare il consenso dei dipendenti, una valida condizione di liceità per il trattamento dei dati personali in ambito lavorativo, specie quando il datore di lavoro sia un’autorità pubblica (considerando 43 del Regolamento), e per le specifiche disposizioni nazionali che vietano al datore di trattare dati “non pertinenti” e “non attinenti alla valutazione dell’attitudine professionale del lavoratore” (cfr., art.113 del Codice).”
Tutto corretto, se non fosse che il d.l. 44/2021 con l’art. 4 ha introdotto la previsione di obblighi vaccinali per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario, affermando che “la vaccinazione costituisce requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative rese dai soggetti obbligati”. Quindi, secondo la nuova disposizione, l’obbligo vaccinale non attiene più alla sfera della sicurezza dei lavoratori, ma ai requisiti richiesti ai sanitari per esercitare la propria professione, al pari della laurea e dell’iscrizione all’ordine.
Ma vi è di più: il medesimo articolo stabilisce che siano le Regioni e le Aziende Sanitarie a vigilare su tale obbligo, prescrivendo che “le regioni e le province autonome, per il tramite dei servizi informativi vaccinali, verificano lo stato vaccinale di ciascuno dei soggetti rientranti negli elenchi. Quando dai sistemi informativi vaccinali a disposizione della regione e della provincia autonoma non risulta l’effettuazione della vaccinazione anti SARS-CoV-2 ….la regione o la provincia autonoma, …. segnala immediatamente all’azienda sanitaria locale di residenza i nominativi dei soggetti che non risultano vaccinati. Ricevuta la segnalazione di cui al comma 4, l’azienda sanitaria locale di residenza invita l’interessato a produrre, entro cinque giorni dalla ricezione dell’invito, la documentazione comprovante l’effettuazione della vaccinazione, ..”
Quindi il Garante erra, a parere dello scrivente, a mettere sullo stesso piano ogni datore di lavoro, pubblico o privato, soprattutto senza differenziare lo specifico obbligo dei sanitari, per i quali sia la Regione sia l’Azienda sanitaria sono legittimati, da specifica disposizione di legge, a trattare i dati del personale vaccinato e a fare rispettare tale disposizione.
Non si comprende, altrimenti, come potrebbe l’Azienda sanitaria, e ancor di più la Regione, verificare e imporre l’obbligo della vaccinazione, senza la quale un sanitario non è legittimato dall’ordinamento ad esercitare la propria professione, se non conoscendo i dati del personale sanitario vaccinato e non vaccinato.
Sembra, più che altro, una contrapposizione che ha poco di “istituzionale”, ma quasi un atteggiamento stizzito di chi non è stato interpellato per primo, di chi è stato dimenticato, e ora sta emanando una serie di documenti e provvedimenti in modo quasi convulso.
Si auspica, soprattutto in questo periodo, che ognuno torni a giocare il proprio ruolo nel già complesso scacchiere istituzionale.