g-docweb-display Portlet

Audizione del Garante per la protezione dei dati personali nell'ambito dell'esame del disegno di legge di conversione in legge del decreto-legge n. 1 del 2022: Misure urgenti per fronteggiare l'emergenza COVID-19, in particolare nei luoghi di lavoro, nelle scuole e negli istituti della formazione superiore (C. 3434 Governo)

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Audizione del Garante per la protezione dei dati personali nell'ambito dell'esame del disegno di legge di conversione in legge del decreto-legge n. 1 del 2022: Misure urgenti per fronteggiare l'emergenza COVID-19, in particolare nei luoghi di lavoro, nelle scuole e negli istituti della formazione superiore (C. 3434 Governo)

Camera dei Deputati - Commissione XII Affari sociali

(10 febbraio 2022)

- IL VIDEO DELL'AUDIZIONE

Ringrazio la Commissione per quest’occasione di confronto, che risulterà certamente proficua nel delineare il miglior bilanciamento tra privacy ed esigenze di sanità pubblica, come proficuo è stato il dialogo costante tra Camere, Garante e Governo sulle norme di contrasto della pandemia e, in particolare, sul tema del green pass.

Relativamente al provvedimento in conversione, le norme maggiormente rilevanti per la protezione dati sono quelle sull’accertamento dell’inadempimento dell’obbligo di vaccinazione e sul trattamento dei dati sulla condizione vaccinale o di avvenuta guarigione degli studenti ai fini della loro ammissione a scuola, in presenza di due casi di positività (di cui, rispettivamente, all’art. 1, c.1, cpv. 4-sexies e 4 del decreto-legge, benché abrogato dal d.l. 5/22, che pur ne ha valorizzato la ratio). Non si esaminerà, in questa sede, la questione dell’ampliamento dell’ambito applicativo dell’obbligo di possesso del green pass quale requisito per l’accesso a determinati luoghi o la fruizione di determinati servizi (art.3), cui ben possono estendersi le considerazioni già svolte in plurime audizioni dinanzi alla 1^ Commissione del Senato, in relazione ai vari decreti-legge intervenuti in materia.

Riguardo alla disciplina dell’accertamento dell’inosservanza dell’obbligo vaccinale (oggetto di reclami al Garante ma anche di atti di sindacato ispettivo parlamentare) va considerata con attenzione la complessiva architettura (mutuata peraltro dal sistema greco) del trattamento dei dati personali a tal fine funzionale. La competenza ad irrogare la sanzione amministrativa per la relativa violazione è, infatti, attribuita al Ministero della salute, che la esercita mediante l’ente pubblico economico Agenzia delle entrate-Riscossione, avvalendosi anche degli elenchi dei soggetti inadempienti all’obbligo vaccinale, trasmessi all’Agenzia dallo stesso Dicastero e formati anche acquisendo i dati resi disponibili dal Sistema Tessera Sanitaria.

Il decreto-legge autorizza dunque, espressamente, il trattamento delle informazioni su base individuale relative alla vaccinazione - acquisite tramite l'Anagrafe nazionale vaccini – e alle esenzioni, in base alle relative certificazioni digitali. Nei dieci giorni successivi alla comunicazione dell’avvio del procedimento sanzionatorio da parte del Ministero della salute, che si avvale a tal fine dell’Agenzia delle entrate-Riscossione, i destinatari possono comunicare all’azienda sanitaria locale competente per territorio l’eventuale certificazione relativa al differimento o all’esenzione dall’obbligo vaccinale, ovvero altra ragione di assoluta e oggettiva impossibilità. L’asl territorialmente competente trasmette all’Agenzia delle entrate-Riscossione, entro dieci giorni dalla ricezione della comunicazione dei destinatari, previo eventuale contraddittorio con gli stessi, un’attestazione relativa all'insussistenza dell’obbligo vaccinale o all’impossibilità di adempiervi o viceversa all’assenza di tali presupposti. Laddove non sia confermata l’insussistenza dell’obbligo vaccinale o l’impossibilità di adempiervi, Agenzia delle entrate-Riscossione provvede, in deroga alla disciplina della l. 689 del 1981, notificando un avviso di addebito che ha valore di titolo esecutivo.

L'Agenzia delle entrate è, dunque, stata individuata come soggetto di cui il Ministero si avvale ai fini accertativi rendendole disponibile l'elenco dei soggetti inadempienti, ma non le ragioni dell'esenzione, che in caso di opposizione di eccezioni alla contestazione devono essere fatti valere all'Asl, di modo che sia poi questa a confermare ad AdER la sola condizione di inadempimento o meno. Quest’ultimo elemento è desumibile dal dettato normativo, nella misura in cui esso circoscrive in tali termini, al comma 5, l’oggetto della comunicazione dell’Asl all’AdER.

In ogni caso, al fine di garantire che effettivamente il flusso informativo sia limitato nei termini su esposti, sarebbe opportuno escludere espressamente che l’attestazione dell’Asl all’AdER contenga informazioni idonee a rivelare lo stato di salute dell’interessato e, in senso più ampio, dati ulteriori rispetto alla sola insussistenza dell’obbligo vaccinale o all’impossibilità di adempiervi.

Per altro verso, andrebbe escluso espressamente che, ai fini della notizia da fornire all'AdER circa la comunicazione all’Asl di cui al comma 4, secondo periodo, si debbano fornire informazioni relative al differimento o all'esenzione dall'obbligo vaccinale, ovvero ad altra ragione di assoluta e oggettiva impossibilità.

Inoltre, al fine di garantire l’osservanza del principio di integrità e riservatezza di cui all’art. 5, p. 1, lett.f), Reg. Ue 2016/679, andrebbero individuate (anche nell’ambito di provvedimenti attuativi) le  misure tecniche e organizzative che le Asl devono osservare ai fini delle comunicazioni di cui ai commi 4 e 5, per garantire la sicurezza dei dati trattati e prevenire esfiltrazioni, accessi abusivi ecc.

Andrebbe, peraltro, chiarito, eventualmente anche nello stesso decreto-legge, che il ruolo assunto da AdER nel flusso informativo in esame, ai fini privacy, è qualificabile come proprio del responsabile del trattamento, il cui titolare (per il quale AdER opera) è il Ministero della salute.

Tali integrazioni (da operare all’interno del testo ovvero in un’eventuale sede attuativa, contemplata anche dagli emendamenti) contribuirebbero a rafforzare le garanzie di sicurezza del trattamento, presidiandolo con misure idonee ad evitare accessi indebiti ai dati.

Vi è, tuttavia, un aspetto su cui è opportuna una riflessione ulteriore (e preliminare), ovvero il ruolo dell’AdER all’interno del procedimento sanzionatorio, non pienamente giustificabile (anzitutto in termini di protezione dati) nello stesso modo rispetto a ciascuna fase del procedimento stesso.

Se, infatti, il ruolo dell’AdER come agente della riscossione è comprensibile rispetto alla fase successiva all’avviso di addebito, che ha per espressa previsione valore di titolo esecutivo, meno giustificabile appare rispetto alla fase antecedente, della mera contestazione. Essa è infatti suscettibile di svilupparsi in un contraddittorio tra Asl e cittadino, rispetto al quale AdER è estranea per funzione istituzionale e previsione normativa e, nonostante tale estraneità, quest’ente è comunque coinvolto in un trattamento di dati “sensibili” che, in ragione di ciò, rischia di risultare eccedente. In virtù del suo coinvolgimento in fasi così iniziali del procedimento, infatti, AdER acquisisce la disponibilità di dati relativi alla condizione vaccinale anche di soggetti (coloro che dimostreranno, in contraddittorio con l’Asl, la propria situazione clinica di esenzione) ai quali invece non potrebbe accedere se venisse coinvolta nella sola fase successiva all’avviso di addebito,previa selezione dei soli soggetti effettivamente inadempienti .

Pertanto, al fine di garantire l’effettivo rispetto del principio di minimizzazione nel trattamento di dati, quali quelli in esame, soggetti a tutela rafforzata ed evitare, così, il coinvolgimento di AdER in fasi prodromiche a quelle riscossive di sua propria attribuzione, si potrebbe limitarne la competenza alle sole fasi successive all’avviso di addebito. Solo a partire da quel momento, infatti, il coinvolgimento di AdER può ritenersi pienamente legittimato dal perseguimento di finalità istituzionalmente proprie dell’ente.  Le peculiarità del procedimento sanzionatorio in questione che- derogando alla l. 689, sottende una significativa concentrazione delle sue varie fasi  - non possono, infatti, legittimare l’attribuzione ad AdER di competenze ulteriori rispetto a quelle, di natura essenzialmente riscossiva, da esercitarsi a partire dalla notifica dell’avviso di addebito.

Per quanto concerne la differenziazione del regime didattico in ragione della condizione vaccinale o di guarigione degli studenti, rileva anzitutto la disposizione di cui all’art.4, c.1, lett. c), n. 2, la cui ratio va tuttavia riferita ormai all’art. 6 d.l. 5/22, trasfuso in emendamento al presente provvedimento. Secondo tali previsioni, con determinati casi di positività (due per l’art. 4 dl 1/22 per le scuole secondarie; a partire da cinque per le primarie e da due per le secondarie secondo l’art. 6 d.l. 5/22), nelle classi delle scuole indicate, per coloro che diano dimostrazione di avere concluso il ciclo vaccinale primario o di essere guariti da meno di 120 giorni oppure di avere effettuato la dose di richiamo, si applica l'autosorveglianza, con didattica in presenza. Gli altri studenti, non vaccinati o non guariti nei termini suddetti, si avvalgono invece della didattica digitale integrata per dieci giorni.

Tale previsione (descritta come funzionale alla garanzia del diritto alla fruizione del diritto all’istruzione in presenza in tutti i casi nei quali il rischio di contagio, attivo e passivo, sia ridotto per pregressa immunizzazione, da vaccino o malattia) riflette il diverso regime sanitario cui ciascuna tipologia di studente è soggetto secondo la nuova normativa, ovvero autosorveglianza per vaccinati e guariti e quarantena per chi non versi in tali condizioni, pur con la facoltà per gli studenti esenti di svolgere l’attività scolastica in presenza, qualora lo desiderino.

Tale disciplina sottende, naturalmente, la conoscenza da parte delle istituzioni scolastiche della condizione di vaccinazione o guarigione recente degli studenti da ammettere a scuola in presenza.

Il relativo trattamento di dati personali, appartenenti alle categorie particolari cui l’ordinamento accorda una tutela rafforzata, può ritenersi funzionale all’esigenza di garantire la didattica in presenza in condizioni di ridotto rischio epidemico, naturalmente in quanto e nella misura in cui sia limitato (come dev’essere) alla raccolta dei soli dati indispensabili alla verifica delle condizioni per la permanenza a scuola.

Il parametro da considerare ai fini della legittimità di tale previsione è quel principio di proporzionalità sancito in via generale dall’art. 52 CDFUE per le limitazioni dei diritti fondamentali e declinato in termini di minimizzazione dall’art. 5, p.1, lett.c), Reg. Ue 2016/679, secondo cui “le deroghe e le restrizioni alla tutela dei dati personali” devono intervenire “entro i limiti dello stretto necessario (CGUE sent. Tele 2 Watson, 21.12.2016, cause riunite C 203/15 e C 698/15; sentenze del 16 dicembre 2008, Satakunnan Markkinapörssi e Satamedia, C 73/07, EU:C:2008:727, punto 56; del 9 novembre 2010, Volker und Markus Schecke e Eifert, C 92/09 e C 93/09, EU:C:2010:662, punto 77; Digital Rights, punto 52, nonché del 6 ottobre 2015, Schrems, C 362/14, EU:C:2015:650, punto 92). In senso analogo, del resto, la Corte costituzionale ha ricordato come il principio di proporzionalità imponga di prevedere «oneri non sproporzionati rispetto ai fini perseguiti» e scegliere la «misura meno restrittiva dei diritti che si fronteggiano», «senza che la compressione della tutela dei dati personali risulti priva di adeguata giustificazione, in contrasto con il principio di proporzionalità» (sent. n. 20 del 2019, punti nn. 5 e 6).

Sotto questo profilo, l’esigenza di limitare al minimo indispensabile il diritto alla fruizione della didattica in presenza (sancita come modalità ordinaria di svolgimento dell’istruzione dall’art. 1, co. 1, primo periodo, del d.l. 111/2021, convertito, con modificazioni, dalla l. 133 del 2021) può rappresentare, almeno in astratto- laddove naturalmente il legislatore confermi la valutazione del Governo-  quella giustificazione per il trattamento dei dati sulla condizione vaccinale o di guarigione degli studenti, richiesta dalla Consulta ai fini della valutazione della ragionevolezza e proporzionalità della limitazione di diritti fondamentali, quale è il diritto alla protezione dei dati. Ma ciò, naturalmente, se e nella misura in cui il legislatore riterrà proporzionata (e dunque ragionevole e, anche, per ciò, legittima) la differenziazione, a monte, del regime didattico cui sono soggetti gli studenti, in ragione della condizione vaccinale o di guarigione, generalmente frutto (almeno la prima) di scelte rimesse non al minore, ma all’esercente la responsabilità genitoriale. Prima ancora di valutarne la proporzionalità sotto il profilo privacy, la disciplina in esame va analizzata da un punto di vista più complessivo, in ordine alla ragionevolezza della differenziazione nel diritto di fruizione dell’attività didattica nella sua modalità ordinaria (ovvero in presenza), in ragione della condizione immunitaria (o presunta tale) dello studente.

La norma sottende infatti un complesso bilanciamento - su cui il legislatore dovrà riflettere –tra il “diritto all'istruzione”, concepito dagli artt. 33 e 34 Cost. quale strumento per il pieno sviluppo della persona umana e del progresso sociale, il “diritto alla salute” quale fondamentale diritto dell'individuo e interesse della collettività e, appunto, il diritto alla protezione dei dati personali.(1)

Se, dunque, il trattamento dei dati “sensibili” degli studenti è funzionale all’applicazione di un regime didattico differenziato- a sua volta corrispondente alla distinzione nel regime sanitario, tra quarantena e autosorveglianza, fondata sulla condizione vaccinale degli studenti- è sulla ragionevolezza di tale differenziazione che il legislatore deve interrogarsi. Va infatti evitato ogni tipo di discriminazione, sia pur indiretta, peraltro nei confronti dei soggetti, quali i minori, cui l’ordinamento accorda una tutela rafforzata. Da questa scelta di fondo dipende anche la legittimità, nell’an, del conseguente trattamento dei dati personali degli studenti.

Una volta chiarito questo aspetto, l’analisi si sposta sul quomodo, dovendo garantirsi che i dati , peraltro “sensibili” degli studenti siano trattati nella misura strettamente indispensabile alla verifica della sussistenza delle condizioni per l’ammissione a scuola in presenza. A tal fine, preferibilmente nello stesso decreto-legge o, altrimenti, in provvedimenti attuativi cui si decida di rinviare (non essendo tali misure contemplate dalla nota operativa congiunta del Ministero dell’istruzione e del Ministero della salute dell’8 gennaio 2022), andrebbe previsto che la verifica del possesso dei requisiti per l’accesso sia effettuata:

-  per il solo periodo di sorveglianza previsto dalla legge (dieci giorni), nei confronti dei soli studenti i quali fruiscano della didattica in presenza e a questo esclusivo fine;

- secondo modalità che assicurino la sicurezza e l’integrità dei dati, escludendo comunque l’acquisizione preventiva della relativa documentazione che deve avvenire solo al ricorrere dei presupposti normativi (due casi di positività) ed all’atto del controllo;

- nel caso di esibizione del green pass, utilizzando esclusivamente l’App di verifica C-19 (modalità rafforzata), come del resto prevede l’art. 6 del d.l. 5/22 (e, già prima, l’art. 30, c.1, d.l. 4/22, oggi abrogato), autorizzandone l’uso anche nelle more dell'aggiornamento del dPCM di cui all'articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, convertito, con modificazioni, dalla legge 17 giugno 2021, n. 87;

- da parte personale autorizzato ai sensi dell’articolo 2-quaterdecies d.lgs. 196/2003 e debitamente istruito allo scopo;

- escludendo la conservazione della documentazione (ivi inclusa quella di esenzione da vaccinazione e quella relativa all’esito del test, secondo le previsioni di cui all’art. 6 dl. 5/22 ) e, naturalmente, ogni ipotesi di comunicazione indebita o diffusione dei relativi dati personali.

Con tali integrazioni, si potrebbe garantire in maniera più certa la minimizzazione del trattamento e del suo impatto sulla riservatezza individuale, circoscrivendo il flusso informativo entro i limiti strettamente indispensabili a garantire la didattica in presenza.

Un’ultima notazione su alcuni degli emendamenti proposti, che rappresentano anche l’occasione per un’utile riflessione sulla funzione consultiva del Garante sugli atti normativi di rango primario.    Molte proposte emendative demandano la disciplina di dettaglio di alcune delle misure previste dal decreto-legge a provvedimenti attuativi, da emanare previo parere del Garante. Si tratta di una soluzione senza dubbia corretta, non solo per l’esigenza di una fonte subordinata cui demandare, pur nel rispetto dell’art. 15, c.3, l. 400/1988, la previsione di misure attuative per le quali la norma primaria sarebbe in larga misura eccedente, ma anche per la necessità di acquisire il parere dell’Autorità su decreti, aventi o meno natura regolamentare, che incidano comunque sulla garanzia del diritto alla protezione dei dati personali.

L’obbligo di consultazione del Garante in questi casi (estesi alla normazione primaria dall’art. 36, p.4, del Reg. Ue 2016/679) deriva infatti dalla stessa disciplina europea e, anche laddove non espressamente previsto dalla norma interna, trova applicazione per l’effetto diretto della previsione regolamentare unionale.

Peraltro, la prassi ormai costante della consultazione del Garante anche e soprattutto in sede di conversione, rappresenta una garanzia importante.

Essa ha anche potuto dimostrare quanto questo passaggio, tutt’altro che burocratico, sia invece un presupposto essenziale per il corretto bilanciamento sotteso alle varie e sempre più numerose norme che prevedano trattamenti di dati personali. E la sensibilità sottesa a questa, come ad ogni altra richiesta di audizione anche su decreti-legge, non può che essere da noi vivamente apprezzata.

Vi ringrazio.

_______

(1) Queste considerazioni, già riferibili al dl 1/22, possono come detto estendersi alla previsione di cui all’art. 6, c.1, lett.b), n.1, e lett.c), n.2, d.l. 5/22,  che nell’abrogare l’art. 4 del provvedimento in esame prevede l’applicazione del regime didattico differenziato in ragione della condizione immunitaria (da vaccino o guarigione) degli studenti. Il citato art.6, peraltro, ammette come già rilevato, alla didattica in presenza, anche gli esenti da vaccinazione, sulla base di richiesta dei genitori o, se maggiorenni, degli studenti stessi, al fine evidentemente di limitare il più possibile la dad e favorire la didattica in presenza.