Il Garante della privacy si esprime sul d.d.l. di conversione in legge del D.L. 1/2022, recante misure urgenti per fronteggiare l'emergenza COVID-19, in particolare nei luoghi di lavoro, nelle scuole e negli istituti della formazione superiore

Il Garante della privacy è stato interpellato per esprimersi sul disegno di legge di conversione in legge del D.L. del 7 gennaio 2022, n. 1, recante “Misure urgenti per fronteggiare l'emergenza COVID-19, in particolare nei luoghi di lavoro, nelle scuole e negli istituti della formazione superiore”. 


Tale audizione è risultata alquanto importante, in quanto ha permesso un dialogo costruttivo per cercare di bilanciare la tutela dei dati personali con le esigenze della sanità pubblica. 


Ad assumere maggior interesse per il Garante sono l’articolo 1, comma 1, art. 4-sexies, il cui primo comma prevede che “In caso di inosservanza dell'obbligo vaccinale di cui all'articolo 4-quater, si applica la sanzione amministrativa pecuniaria di euro cento in uno dei seguenti casi: a) soggetti che alla data del 1° febbraio 2022 non abbiano iniziato il ciclo vaccinale primario; b) soggetti che a decorrere dal 1° febbraio 2022 non abbiano effettuato la dose di completamento del ciclo vaccinale primario nel rispetto delle indicazioni e nei termini previsti con circolare del Ministero della salute; c) soggetti che a decorrere dal 1° febbraio 2022 non abbiano effettuato la dose di richiamo successiva al ciclo vaccinale primario entro i termini di validità delle certificazioni verdi COVID-19”, e l’articolo 4 (ora abrogato dall’articolo 6, comma 6, del D.L. 4 febbraio 2022, n. 5, che ha introdotto una disciplina più elastica), in cui si prevedeva l’applicazione di alcune misure per gestire i contatti stretti con soggetti confermati positivi all'infezione da SARS-CoV-2 nel sistema educativo, scolastico e formativo. 


Tra esse, in particolare, si prevedeva, in presenza di un caso di positività nella stessa sezione o gruppo classe, l’applicazione alla medesima sezione o al medesimo gruppo classe della sospensione delle relative attività per una durata di dieci giorni; nelle scuole primarie: in presenza di un caso di positività nella classe, la sorveglianza della medesima classe con test antigenico rapido o molecolare da svolgersi al momento di conoscenza del caso di positività e da ripetersi dopo cinque giorni; mentre, in presenza di almeno due casi di positività nella classe, la didattica a distanza (DAD) alla medesima classe per la durata di dieci giorni; nelle scuole secondarie di primo grado, nonché nelle scuole secondarie di secondo grado e nel sistema di istruzione e formazione professionale: con un caso di positività nella classe, l'autosorveglianza, con l'utilizzo di mascherine di tipo FFP2 e con didattica in presenza; con due casi di positività nella classe, per coloro che dimostrino di avere concluso il ciclo vaccinale primario o di essere guariti da meno di centoventi giorni oppure di avere effettuato la dose di richiamo, l'autosorveglianza, con l'utilizzo di mascherine di tipo FFP2 e con didattica in presenza (per gli altri soggetti, non vaccinati o non guariti nei termini summenzionati, la didattica  digitale integrata per la durata di dieci giorni); mentre, in presenza di almeno tre casi di positività nella classe, la didattica a distanza per la durata di dieci giorni.


Con riguardo al primo articolo citato, dato che per poter attuare le misure sopra menzionate il Ministero della salute si avvale dell’Agenzia delle entrate-Riscossione, il Garante ha ritenuto necessario, da una parte, che i dati di cui l’Agenzia venga in possesso non contengano informazioni idonee a rivelare lo stato di salute dell’interessato, nonché dati ulteriori rispetto a quelli relativi all’insussistenza dell’obbligo vaccinale o all’impossibilità di adempiervi (uniche eccezioni che escludono il procedimento sanzionatorio), e dall’altra, che siano individuate le misure tecniche e organizzative, utili ad evitare un eventuale data breach, che le Asl devono osservare nel comunicare all’Agenzia delle entrare-Riscossione le eventuali ragioni di esenzione dall’obbligo vaccinale pervenute dall’interessato.  


Il Garante, inoltre, solleva alcune perplessità con riguardo al ruolo dell’anzidetta Agenzia nella fase di avvio del procedimento sanzionatorio. Infatti, osserva come le funzioni assegnate dalla legge a detto ente, se risultano pienamente giustificare la fase della riscossione, male si conciliano con la fase che precede quest’ultima. In tal modo, prosegue il Garante, detta Agenzia «acquisisce la disponibilità di dati relativi alla condizione vaccinale anche di soggetti (coloro che dimostreranno, in contraddittorio con l’Asl, la propria situazione clinica di esenzione) ai quali invece non potrebbe accedere se venisse coinvolta nella sola fase successiva all’avviso di addebito, previa selezione dei soli soggetti effettivamente inadempienti». 


Quanto al secondo articolo sopra ricordato, il Garante osserva che detta norma presuppone che la scuola sia a conoscenza dello stato di vaccinazione e di guarigione dei propri studenti, così da stabilire la misura didattica più appropriata. Ciò, ai fini di legittimità, richiede di essere interpretato in virtù dei principi di proporzionalità e di minimizzazione dei dati, i quali comportano che le deroghe e le restrizioni alla tutela di siffatti dati devono essere limitate allo stretto necessario. Tuttavia, il Garante ritiene innanzitutto fondamentale che il Legislatore si pronunci sulla ragionevolezza di tali misure. Soltanto in un secondo momento, infatti, ci si può soffermare su aspetti attinenti al “come” di detta disposizione, così interessando altresì il lato della privacy.


Federico Votta - Legalassociati Milano

Back