Le disposizioni contenute nell’Ordinanza n. 75/2021 della regione Sicilia, relative al trattamento dei dati sullo stato vaccinale dei dipendenti, violano la normativa in materia di Privacy.
Privacy – Ordinanza Regione Sicilia: violazione disposizioni Reg UE
L’Autorità Garante per la privacy, con il Provvedimento n. 273 del 22 luglio 2021, ha informato la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo in materia di privacy (Reg. UE n. 2016/679).
In particolare, con tale ordinanza tutti i dipendenti a contatto diretto con l’utenza sono stati “formalmente invitati” a ricevere la vaccinazione e, in assenza, sono stati assegnati ad altra mansione.
Sul punto, l’Autorità Garante ha rilevato, in via preliminare, che l’individuazione dell’avvenuta vaccinazione quale condizione per esercitare diritti e libertà individuali o accedere agli ambienti di lavoro, non può essere prevista da un’ordinanza regionale.
La competenza sull’introduzione di misure di sanità pubblica che implichino il trattamento di dati personali ricade, infatti, nelle materie assoggettate alla riserva di legge statale e, pertanto, deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dall’art. 6, par. 3, del Reg. UE 2016/679[1], previa acquisizione del parere dell’Autorità.
Con tale ordinanza sono stati, inoltre, previsti trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.
L’Autorità ha, inoltre, rilevato che il trattamento di dati relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le stesse mansioni sull’intero territorio nazionale.
Inoltre, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche ed organizzative, può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti, determinando possibili conseguenze discriminatorie in ambito lavorativo.
Il Garante, in considerazione delle gravi violazioni riscontrate, ha comunicato alla Regione Sicilia e a tutti i soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa in materia di privacy.
Il provvedimento adottato a tal fine dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezione dei dati personali.
Per quanto non riportato nella presente si rimanda al testo del citato provvedimento.
[1] La base su cui si fonda il trattamento dei dati, necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (paragrafo 1, lettere c) ed e)), deve essere stabilita: dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
