g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Regione Veneto - 6 ottobre 2022 [9830178]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9830178]

Ordinanza ingiunzione nei confronti di Regione Veneto - 6 ottobre 2022*
*
Il provvedimento è stato impugnato innanzi al Tribunale di Venezia; il Tribunale ha disposto in via cautelare la sospensione dell’efficacia esecutiva del provvedimento.

Registro dei provvedimenti
n. 320 del 6 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Premessa.

Sulla base di decine di reclami e segnalazioni da parte di interessati (per lo più personale medico e infermieristico impiegato in strutture sanitarie della Regione Veneto) e sulla base di quesiti formulati da parte di medici competenti operanti presso le aziende sanitarie regionali – è stata avviata un’istruttoria al fine di verificare la conformità alla disciplina in materia di protezione dei dati personali di taluni trattamenti effettuati dalla Regione Veneto in occasione delle procedure finalizzate all’accertamento del requisito professionale della vaccinazione anti SARS-CoV-2 per gli operatori sanitari (art. 4 d. l. n. 44 del 1° aprile 2021 nel testo anteriore alle modifiche apportate dal d.l. 26 novembre 2021, n. 172).

In particolare, con nota regionale del 21.04.2021 (prot.reg. n. 182866), indirizzata alle Aziende sanitarie regionali, la Regione dava conto di aver tempestivamente avviato “il procedimento disciplinato dal d.l. n 44/2021 mediante trasmissione alle aziende territorialmente competente degli elenchi degli operatori sanitari/operatori di interesse sanitario ivi residenti che non sono risultati vaccinati alla data del 1 5/04/2021” precisando che “analogamente alle modalità già percorse tali elenchi saranno resi disponibili al Medico Competente di ciascuna Azienda mediante l'accesso ad un elenco protetto da password”. Con la medesima nota si chiedeva altresì alle Aziende di fornire i recapiti di ciascun Servizio del Medico Competente/Servizio di Medicina Preventiva e veniva trasmesso un modello di invito alla vaccinazione, con la preghiera di una celere trasmissione al personale interessato.

2. L’attività istruttoria.

In riscontro alle richieste di informazioni dell’Ufficio, la Regione Veneto con nota del 17 agosto 21 e con nota integrativa del 3 novembre 2021 ha dichiarato che:

“Limitatamente ai lavoratori delle Aziende del Servizio Sanitario Regionali, in assoluta buona fede e cercando di perseguire allo stesso tempo l'obiettivo di tutelare la salute pubblica, di mantenere condizioni di sicurezza nell'erogazione delle prestazioni di cura e assistenza e di tutelare il diritto alla riservatezza dei dati personali dei soggetti interessati, è stata avviata una iniziativa parallela, e in alcun modo sostitutiva di quella ordinaria (disciplinata dal D.L. n. 44/2021), finalizzata esclusivamente al rinforzo dell'invito alla vaccinazione dei soggetti impiegati in ciascuna Azienda del Servizio Sanitario Regionale” (nota 17 agosto 2021, cit.);

“gli elenchi dei soggetti risultati non vaccinati a seguito della verifica effettuata ai sensi del citato art. 4, comma 4, sono stati trasmessi alle singole Aziende di appartenenza, non al Datore di Lavoro, ma alla figura espressamente preposta a trattare gli aspetti di carattere sanitario dei lavoratori, da individuarsi nel Medico Competente” (nota 17 agosto 2021, cit.);

“le indicazioni diffuse a livello regionale, con l'obiettivo di promuovere l'omogeneità delle determinazioni assunte dalla singole Aziende del Servizio Sanitario Regionale, prevedevano che il Medico Competente trasmettesse eventualmente le informazioni circa lo stato vaccinale dei lavoratori contenute nelle cartelle sanitarie e di rischio istituite per ciascun lavoratore non al rispettivo Datore di Lavoro, ma all'Azienda Sanitaria Locale di riferimento, ossia al soggetto già legittimato a ricevere tali informazioni, anche ai sensi del D.L. 44/2021”(nota 17 agosto 2021, cit.);

“Il D.L. n. 44 […] è stato pubblicato in G.U. ed entrato in vigore nella stessa data. Tale norma e, in particolare, le previsioni di cui all'art. 4 della stessa, hanno comportato il coinvolgimento di numerosi attori (regione, aziende sanitarie pubbliche, strutture sanitarie private, ordini professionali) doverosamente chiamati a interagire in una sequenza procedimentale assai incalzante e innovativa. Ciò in pieno contesto emergenziale, a ridosso delle festività pasquali, in assenza di disposizioni applicative univoche e in un momento storico molto difficile e intenso per tutte le istituzioni”;

in tale quadro “la Regione […] ha agito con ogni possibile sollecitudine nella consapevolezza della priorità del presidio della salute. Ciò in un momento in cui la stessa era già oggetto, da parte di altri organismi di controllo, di gravose attività di indagine sull'effettiva tempestività ed efficacia dell'azione di garanzia della protezione della popolazione e degli operatori sanitari dalla diffusione del contagio; la regione era, altresì, esposta su più fronti di allarme sociale derivante, da un lato, dall'attenzione dei media sui dati quotidiani riferiti alla numerosità dei contagi ed ai decessi causati da Covid 19 anche tra operatori sanitari e, dall'altro lato, da plurime fonti di contestazione sull'obbligatorietà dei vaccini”;

“l'articolo 4 del D.L. 44/2021 è stato oggetto di successive integrazioni […che hanno determinato] incertezza del quadro normativo di riferimento, [quali in particolare] la circolare del Ministero della Salute (del 4.08.2021, prot. 10035309), avente ad oggetto le "Certificazioni di esenzione alla vaccinazione anti-COVID-19", la cui efficacia è stata poi prorogata al 30.11.2021 dalla successiva circolare del 25/09/2021 (prot. n.43366) e la modifica introdotta dall'art. 2 del D.L. 10 settembre 2021 n. 122 che ha esteso l'obbligo vaccinale anche a tutti i lavoratori impiegati in strutture residenziali, socioassistenziali e socio-sanitarie”;

“lo scopo delle indicazioni regionali nella vicenda in questione è stato quello di dare immediata attuazione [a tali norme] e di promuovere uniformità nelle procedure da seguire […] nel solco del ruolo più ampio di questa amministrazione tenuta alla garanzia dell'omogeneità dei livelli essenziali di assistenza (LEA) in tutto il territorio regionale”;

“le indicazioni regionali contenevano indirizzi generali con apporto collaborativo volto a uniformare per quanto possibile la programmazione delle attività richieste e si sono rivelate strumento utile ad agevolare le Aulss negli adempimenti cui erano tenute, pur non rivestendo carattere cogente né vincolante […]”; “infatti, le Aulss hanno autonomamente vagliato ed interpretato le indicazioni regionali circa la loro attuabilità ed adattabilità concreta all'organizzazione delle singole realtà aziendali, ciascuna secondo un proprio orientamento”;

“Il ruolo attivo del medico competente nella vaccinazione dei soggetti a rischio per esposizione professionale è descritto, oltre che nel D. Lgs. 81/2008 (all'art. 279), anche nel "Piano Nazionale Prevenzione Vaccinale 2017-2019 (PNPV)", approvato in Conferenza Stato-Regioni il 19.01.2017 e prorogato al 31.12.2021 in considerazione delle condizioni eccezionali provocate dalla pandemia di COVID-19; Con particolare riferimento alla campagna di vaccinazione anti-COVID 19, il ruolo attivo del medico competente è previsto espressamente nelle "Raccomandazioni ad interim sui gruppi target della vaccinazione anti-SARS-CoV-2/COVID-19" di cui al decreto del Ministro della Salute del 12.03.2021 e del successivo documento recante "Indicazioni ad interim per la vaccinazione antiSARS-CoV-2/COVID-19 nei luoghi di lavoro", approvato da Ministero della Salute, Ministero del Lavoro e delle Politiche Sociali, Struttura di supporto alle attività del Commissario straordinario per emergenza COVID-19 e per l'esecuzione della campagna vaccinale nazionale, INAIL e Conferenza delle regioni e delle province autonome”;

per tali ragioni si è “ritenuto pertanto di individuare nella figura del medico competente il soggetto già preposto alla gestione degli aspetti di carattere sanitario dei lavoratori, proprio come principale elemento di garanzia e di tutela della sicurezza dei dati personali degli operatori sanitari dipendenti dell'Aulss all'interno del proprio ambiente di lavoro”;

“tale ruolo è stato ritenuto conforme alle competenze ed alle responsabilità che la norma a tutela della salute e sicurezza dei lavoratori (D. Lgs. n. 81/2008) assegna al medico competente nell'ambito della prevenzione dai rischi di natura professionale, compreso il contagio da agenti biologici (tra cui SARS-CoV-2), anche in ottemperanza al Documento del 13 maggio 2021 "Protezione dei dati — il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche in riferimento al contesto emergenziale [9585300] " del GPDP”;

con la nota in questione la Regione “dava indicazioni anche circa il coinvolgimento della figura del medico competente esclusivamente per le Aziende del Servizio Sanitario Regionale del Veneto, nella duplice veste derivante dalle previsioni del D.L. 44/21 di aziende accertatrici competenti per residenza degli operatori sanitari e di aziende tenute alla sospensione degli operatori sanitari non vaccinati sine titulo in qualità di datori di lavoro” comunicando “che gli elenchi degli operatori sanitari dipendenti di ciascuna Azienda Sanitaria non vaccinati sarebbero stati resi disponibili ai rispettivi medici competenti mediante l'accesso ad un elenco protetto da password a soli fini acceleratori degli adempimenti già di competenza degli stessi alla luce della vigente normativa (non va dimenticato infatti che tali dati erano già noti al medico competente, in virtù dell'articolo 279 del D.Lgs 81/2008)”;

“il collegamento per l'accesso all'elenco di operatori dipendenti di ciascuna Azienda Sanitaria è stato trasmesso all'indirizzo di posta elettronica istituzionale di ciascun medico competente (non ad indirizzi generici di servizio, ma all'indirizzo nominativo di ciascun medico competente come fornito da ciascuna Azienda Sanitaria). La password per l'accesso a tale elenco non è stata trasmessa contestualmente al collegamento fornito per l'accesso ma è stata comunicata attraverso un canale separato. Ciò allo scopo di scongiurare ogni possibile rischio di data breach, sin dalla definizione astratta dell'iter del trattamento […] Al riguardo va infatti precisato che sono stati messi a disposizione solo i seguenti dati: codice fiscale - cognome - nome - data di nascita - sesso e non dati relativi alla salute, come si evince dal fac-simile trasmesso ai medici competenti”;

“la vaccinazione è una prestazione sanitaria, tuttavia l'esser stato sottoposto o meno alla stessa senza alcun' altra informazione aggiuntiva di contesto non sembra potersi ritenere in sé un dato relativo alla salute dell'interessato”;

in ogni caso “alla luce di tali esiti e delle riflessioni suggerite dalle richieste [del Garante], la regione ha trasmesso a tutte le Aulss del Veneto una comunicazione (prot. n. 360812 del 12.08.21, allegata sub 2) al fine di sollevare prudenzialmente il medico competente - per il caso costui abbia effettivamente aderito all'indicazione - dal presidiare tale attività atteso che l'indicazione regionale era da interpretare quale presidio teso a propiziare l'adesione alla vaccinazione";

“L'intento delle iniziative regionali citate è stato, dunque, quello di promuovere l'attività di "bonario convincimento" degli operatori sanitari (non ancora vaccinati) all'adesione all'obbligo di cui al D.L. n. 44/2021 (adempimenti correlati all'esitazione vaccinale), rafforzando così l'invito alla vaccinazione dei soli lavoratori in servizio presso le Aziende Sanitarie del Servizio Sanitario Regionale del Veneto […e] a scongiurare il rischio che la "mancata adesione" al predetto obbligo e la conseguente sospensione del personale sanitario "non aderente", determinassero per alcuni reparti o servizi ospedalieri una grave carenza di personale, con disservizi a discapito dei livelli di assistenza per gli utenti/cittadini ed un aggravamento dei carichi di lavoro per il personale sanitario "aderente"”;

“la trasmissione da parte della regione Veneto degli elenchi di operatori sanitari in servizio presso le Aziende Sanitarie del Servizio Sanitario Regionale ai soli medici competenti è avvenuta per adempiere ad un compito proprio della regione, svolto nel pubblico interesse e per l'esercizio di pubblici poteri ad essa attribuiti, come sopra descritto, con le garanzie tecniche ritenute necessarie ed adeguate a tutelare la sicurezza dei dati personali ed evitare data breach”.

Con nota del 13 gennaio 2022, l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla Regione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che la sistematica e generalizzata messa a disposizione dei medici competenti operanti presso le aziende sanitarie regionali degli elenchi di tutto il personale sanitario che all’epoca dei fatti non risultava vaccinato, ha dato luogo a una “comunicazione” di dati personali non prevista dalla legge - né da quella di settore relativa alle verifiche della vaccinazione quale requisito professionale (art. 4 d.l. n. 44/2021), né da quella in materia di sicurezza dei luoghi di lavoro (d.lg.s n. 81/2008) -  e dunque in assenza di un’idonea base giuridica, in violazione degli articoli 5, par. 1, lett. a), 6 e 9 del Regolamento e degli artt. 2-ter e 2 sexies del Codice, nel testo anteriore alle modifiche di cui al d.l. n.139/2021.

Con nota del 18 febbraio 2022, la Regione ha fatto pervenire le proprie memorie difensive, precisando, tra l’altro, che:

“la condotta si è consumata in un'unica comunicazione mai più reiterata […ed] è stata inviata ai medici competenti delle aziende pubbliche del Sistema sanitario regionale (SSR) per la mera informazione di dati, ad essi conoscibili se non già conosciuti, riferiti ai soli professionisti ed operatori sanitari collaboratori delle medesime Aziende sanitarie pubbliche in cui il medico competente operava”;

“l'invio è stato effettuato con modalità tali da rendere "sicura" la trasmissione: l'elenco dei dipendenti dell'azienda sanitaria pubblica di pertinenza di ciascun medico competente è stato trasmesso alla casella di posta elettronica individuale di ciascun medico come fornito dalle aziende -non a quello del protocollo o della struttura del medico competente- e la password per l’accesso è stata trasmessa con un canale separato”;

“la potenziale utilizzabilità dei dati trasmessi è stata subito interrotta dopo la richiesta di chiarimenti dell'Autorità, come confermano la nota del 27 luglio 2021 a firma del Direttore dell'Area Sanità e Sociale prot. 334644 e con comunicazione in data 12 agosto 2021 prot. 360812”;

“il presupposto del coinvolgimento del medico competente delle Aziende ed Enti del Servizio Sanitario Regionale non era, nelle intenzioni perseguite dalla Regione, riferito alla procedura di accertamento della violazione dell'obbligo di cui all'art. 4 comma 5 DL 44/2021, bensì voluto per la partecipazione del medico competente al procedimento di vaccinazione. In particolare, diretto alla promozione della vaccinazione presso tutti i professionisti e operatori sanitari per i quali l'art. 4, comma I, del dl 44/2021 aveva introdotto l'obbligo vaccinale”;

“l'iniziativa […è ] stata posta in essere in un periodo di massima concitazione  per la necessità di dare immediate risposte alle pressanti istanze delle autorità e degli utenti, di salvaguardare la salute e la vita delle persone innanzitutto nei luoghi di cura e assistenza; ciò in un momento in cui non vi erano ancora indicazioni chiare delle autorità governative e centrali dello Stato circa le modalità di trattamento e di comunicazione di dati tra i soggetti operanti nell'ambito sanitario durante l'emergenza determinata dal diffondersi del COVID-19”;

“la situazione anche nella Regione Veneto, in aprile 2021, era molto complessa e fortemente problematica: il numero totale degli operatori sanitari risultati non vaccinati (sia nel settore pubblico che privato) nella Regione (dopo l'incrocio dei dati in base al comma 4 dell'art. 4 del DL 44/2021 e i cui nominativi sono stati inviati alle ULSS di competenza) era di 61.443 unità (doc.2 e 2bis). In particolare, tra questi, il numero degli operatori sanitari operanti nelle sole Aziende ed Enti del Servizio Sanitario Regionale che risultavano non vaccinati alla data del 1.4.2021 era di 12.580 (doc.2)”;

“E, quindi, apparso fin da subito necessario per la Regione adoperarsi per dare pieno compimento, anche sotto il profilo della vaccinazione dei sanitari che qui interessa, al Piano Strategico nazionale dei vaccini per la prevenzione delle infezioni da SARS-CoV-2 (allora nella versione del 12.12.2020) adottato con Ordinanza del 2 gennaio 2021 del Ministero della Salute (doc. 3), successivamente integrato con le "Raccomandazioni ad interim sui gruppi target della vaccinazione anti SARS-CoV-2/COVID-19, adottato con Decreto del 12 marzo 2021 del Ministro della Salute”;

“Ciò si evidenzia per sottolineare come la Regione Veneto abbia sempre operato in buona fede, in una situazione di gravissima emergenza sanitaria per il pieno assolvimento dei compiti ad essa attribuiti e sempre con la massima attenzione alla tutela dei dati come previsto nel Regolamento (UE) 2016/679 e nel Codice come modificato dal d.lgs 101/2018”;

“La prima preoccupazione della Regione Veneto era di promuovere sensibilmente la vaccinazione (comma 1 art. 4 DL 44/2021) tra i sanitari delle proprie strutture […per] assicurare la presenza di sanitari nelle strutture pubbliche già in affanno per i numeri dei contagi e dei ricoveri […e] limitare numero di accertamenti che le Aziende sanitarie locali accertatrici avrebbero dovuto avviare con procedimento dei commi 5 e 6 dell'art. 4 […le] Aziende Sanitarie Locali di residenza degli operatori sanitari, intese quali Autorità sanitaria,  avrebbero dovuto inviare oltre 60.000 comunicazioni agli operatori, effettuare 60.000 accertamenti in ordine alla rilevanza dei dati che gli interessati avrebbero inviato per chiedere l'esonero o per giustificare la mancata vaccinazione. Un tale carico di lavoro non poteva essere tollerato dal sistema regionale che ha, è bene dirlo, comunque fortemente sofferto, nonostante tutte le azioni di supporto poste in essere dalla Regione”;

“in questo quadro di drammatica complessità che deve essere collocata la comunicazione che il Garante censura (nota prot. Reg. n. 182866 del 21.4.2021, ripresa dalla successiva nota prot. Reg. 238822 del 25.5.2021): tali note, sicuramente non del tutto chiare nella loro formulazione, avevano, nelle intenzioni della Regione, come unica finalità quella di stimolare, anche tramite i medici competenti, gli operatori sanitari alla vaccinazione, vista in quel momento come unica via di uscita non solo per il sistema sanitario, ma anche per la tutela del singolo, dei pazienti e di tutti gli utenti a contatto con il sistema sanitario”;

“il medico competente, pertanto, nelle intenzioni della Regione Veneto non doveva essere coinvolto nella procedura relativa alle verifiche della violazione degli obblighi vaccinali prevista dall'art. 4 co 5 e 6 d.l. n. 44/2021, quanto, invece, nella procedura di vaccinazione la cui organizzazione era, per legge, in capo alla Regione”;

“la Regione svolge funzioni di programmazione, indirizzo, controllo, nonché di coordinamento nei confronti delle Aziende Sanitarie e, per tale specifica finalità di cui è titolare ha assunto iniziative nella programmazione delle azioni dirette a combattere la pandemia e, più specificamente, nella gestione del piano vaccinale generale e nel processo di attuazione del piano di vaccinazione obbligatoria dei professionisti e degli operatori sanitari e socio sanitari del Servizio Sanitario Regionale”;

“Proprio nella titolarità di tale trattamento e, con i compiti di coordinamento, programmazione, indirizzo di sua competenza, la Regione Veneto, prendendo a riferimento il "Piano strategico nazionale dei vaccini per la prevenzione delle infezioni da SARS-CoV-2 " del 12.12.2020 (cfr. doc. 3), aveva approvato le"Linee di azione per la predisposizione del Piano Regionale Vaccini Anti Covid" (decreto 140 del 17.12.2020, doc. 11). E, in data 22.12.2020, con DGR 1801, aveva approvato le "Linee di indirizzo per l'organizzazione del Piano di Vaccinazione anti COVID-19" (doc. 12); disposizioni tutte che fin da subito hanno coinvolto il medico competente nei processi di attuazione dei piani di vaccinazione […] anche nelle "Indicazioni ad interim per la vaccinazione anti-SARS-C0V-2/COVID-19 nei luoghi di lavoro (8 aprile 2021, doc. 13), che la "vaccinazione" (anche se affidata al medico competente ove presente/disponibile o ad altri sanitari convenzionati con il Datore di Lavoro) rappresenta un'iniziativa di sanità pubblica, finalizzata alla tutela della salute della collettività e non attiene strettamente alla prevenzione nei luoghi di lavoro" il cui coordinamento era in capo alla Regione (e al "sistema unico" da essa coordinato)”.

“Nel decreto regionale di approvazione delle "Linee di azione per la predisposizione del Piano Regionale Vaccini Anti Covid" a pagina 1 dell'allegato, al punto 3, il medico competente è inserito nel coordinamento per la vaccinazione (doc. I l). Con la successiva delibera (doc. 12) la Regione, nello specificare che il 'coordinamento delle attività a livello territoriale (programmazione, distribuzione, somministrazione e tracciamento, formazione del personale, chiamata attiva) relative alla campagna di vaccinazione contro SARS-CoV-2 sono affidate ai Servizi di Igiene e Sanità Pubblica dei Dipartimenti di Prevenzione" (doc. 12, p.3) sottolinea la necessità del "coinvolgimento di diverse figure professionali anche non coinvolte normalmente nell'attività vaccinale" tra cui i medici competenti (doc. 12 p. 6) e ha, quindi, coinvolto il medico competente a pieno titolo nel piano di vaccinazione anti-COVID19 dei dipendenti delle aziende sanitarie”;

“Per svolgere la campagna vaccinale contro il COVID-19 nel più breve tempo possibile la Regione ha, quindi, coinvolto nel processo di vaccinazione anche (e non solo) i Medici Competenti dei Servizi Pubblici Essenziali "in sinergia con il Servizi di Igiene e Sanità Pubblica dei Dipartimenti di Prevenzione nel ruolo di coordinamento"”;

“il medico competente poteva a pieno titolo entrare nel percorso della vaccinazione: tale figura, infatti, per formazione e struttura poteva garantire il corretto svolgimento delle operazioni sanitarie e pure la riservatezza delle informazioni conosciute all'interno dell'ambiente di lavoro, come peraltro anche successivamente indicato dall'Autorità nel documento del 13 maggio 2021 "Protezione dei dati il ruolo del medico competente in materia di sicurezza sul luogo di lavoro" (doc web 9585300)”;

“Per lo svolgimento della vaccinazione anti SARS-CoV-2, infatti, il medico compente ha ricevuto specifiche indicazioni provenienti dal percorso formativo obbligatorio per partecipare al processo di vaccinazione antiCOVID-19” e da ciò si deduce “una funzionalità organizzativa del medico competente per il processo di vaccinazione (intesa come iniziativa di sanità pubblica, finalizzata alla tutela della salute della collettività) […in questo caso ] quale soggetto "autorizzato" (perché in quasi tutte le aziende il medico competente è anche dipendente) o "designato" dalla Regione, in quanto destinatario di specifiche funzioni per il processo di vaccinazione determinate della Regione Veneto”[…] anche ai sensi dell'art. 2 quaterdecies D. Lgs. 101/2018 dalla Regione […] designazione [che…] (nel periodo emergenziale) [poteva essere] conferita oralmente come indicato al comma 4 dell'art. 17 bis del DL 18/2020 (l'art. 17 bis comma 4 DL 18/2020”; pertanto tale messa a disposizione a soggetti autorizzati/designati non integra una comunicazione e non è quindi illecita, posto che i dati sono stati messi a disposizione ai medici competenti vaccinatori delle aziende sanitarie, nell'ambito del SSR nel quale la Regione Veneto esercita una funzione di programmazione e di governo”;

infatti “la Regione, per la trasmissione dei dati dei non vaccinati ai propri designati per la finalità di curare la vaccinazione, non ha seguito i canali ordinari di comunicazione con il medico competente per le finalità del D.Lgs. 81/08, ma ha espressamente chiesto (cfr. nota 21.4.2021, doc. 4) ai direttori delle aziende pubbliche ove le vaccinazioni venivano realizzate, di indicare lo specifico indirizzo mail di ciascun medico competente per la messa a disposizione di tali elenchi per tale specifica finalità (evitando così la mail del protocollo o. quella assegnata all 'ufficio del medico competente”;

“l'interesse pubblico è individuato dal combinato disposto dell'art. 9 paragrafo l, lettera g) del Regolamento, e dell'art 2 sexies comma 2, lettera u) del Codice ("compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché' compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica”);

“non si è trattato dunque di una sistematica e generalizzata messa a disposizione degli elenchi di tutto il personale sanitario quanto di un'unica messa a disposizione a soggetti autorizzati. perché coinvolti nel processo di vaccinazione dei sanitari operanti nella azienda sanitaria di appartenenza”;
In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 29 aprile 2022, la Regione ha dichiarato, in particolare, che:

“la comunicazione dei dati personali oggetto di reclamo è stata effettuata anche ai medici competenti delle aziende sanitarie nell’ambito del noto contesto emergenziale legato alla pandemia da SARS-CoV-2, avendo la Regione dovuto fare valutazioni e scelte molto delicate, in tempi assai ristretti, cercando di contemperare i diversi interessi in gioco e salvaguardare la salute pubblica”;

“In tale difficile contesto, caratterizzato peraltro da un’elevata complessità normativa e dall’assenza di un quadro attuativo uniforme, i soggetti istituzionali coinvolti erano esposti al rischio di commettere errori”;

“Le aziende sanitarie del territorio dovevano seguire circa 60.000 procedure per l’accertamento dell’assolvimento degli obblighi vaccinali da parte del personale sanitario. Pertanto, la Direzione Generale ha cercato di sollecitare i professionisti a vaccinarsi, al fine di ridurre la mole di lavoro in carico agli Uffici delle aziende sanitarie territoriali in relazione ai casi di mancato assolvimento dell’obbligo, consentendo alle stesse di potersi dedicare alla cura dei pazienti”;

“In particolare, la Regione ha pensato di coinvolgere, tra gli altri, anche i medici competenti, in qualità di vaccinatori sul territorio della Regione Veneto, in quanto professionisti più adatti, per professionalità e per abitudine a trattare i dati sulla salute, a conseguire l’obiettivo di aumentare il tasso di vaccinazione tra i medici e tutti gli operatori sanitari coinvolti”;

“Si è trattato, pertanto, di un’azione preventiva finalizzata ad incentivare i medici e gli operatori sanitari a vaccinarsi, che rientra tra le competenze della Regione. Non era quindi intenzione della Regione coinvolgere i medici competenti nelle procedure di cui al d.lgs. 44/2021 ai fini dell’accertamento dell’obbligo vaccinale. La Regione ha invece coinvolto i medici competenti, in quanto soggetti d’importanza cruciale ai fini del successo della campagna di vaccinazione, solo per avere il loro supporto nel tentativo di convincere i medici e gli operatori sanitari riluttanti a effettuare la vaccinazione da SARS-CoV-2, lasciando intatte tutte le competenze delle aziende sanitarie locali in merito agli obblighi e alle procedure disciplinate dal predetto d.lgs. 44/2021. Tali aziende hanno, infatti, avviato autonomamente i procedimenti di propria competenza, così come previsto dalla legge”;

“La Regione ha ritenuto che i medici competenti costituissero un’importante risorsa ai fini del successo della campagna vaccinale e che gli stessi fossero in una posizione ideale per approcciare gli interessati e spiegare loro le ragioni per le quali la vaccinazione si rendeva necessaria e opportuna per salvaguardare la salute individuale e pubblica”;

“La comunicazione ai medici competenti è in ogni caso avvenuta adottando idonee garanzie di sicurezza a tutela dei dati personali (password comunicata con un canale separato) e nessun altro soggetto è venuto a conoscenza dei dati”;

“Sulla base della consapevolezza acquisita rispetto ai fatti di cui trattasi e preso atto delle contestazioni oggetto del procedimento avviato dal Garante, la Regione ha assunto iniziative per cercare, in futuro, di assicurare per quanto possibile il rispetto della normativa in materia di protezione dei dati anche in casi di emergenza (attività istruttorie e formative a cura del Responsabile della protezione dei dati della Regione)”.

Con successiva nota integrativa del 13 maggio 2022 la Regione ha fornito ulteriori elementi di precisazione, rappresentando che:

- “La comunicazione dei dati personali oggetto di reclamo è stata effettuata anche ai medici competenti delle aziende sanitarie coinvolti nel piano di vaccinazione nazionale e regionale, nell'ambito del noto contesto emergenziale legato alla pandemia da SRAS-Cov-2, avendo la Regione dovuto fare valutazioni e scelte molto delicate, in tempi assai ristretti, cercando di contemperare i diversi interessi in gioco e salvaguardare la salute pubblica. In tale difficile contesto, caratterizzato peraltro da un 'elevata complessità normativa e dall'assenza di un quadro normativo uniforme, i soggetti istituzionali coinvolti erano esposti al rischio di commettere errori”;

- “In particolare, la Regione ha pensato di coinvolgere, tra gli altri, anche i medici competenti, in qualità di vaccinatori nelle aziende ULSS della Regione Veneto, in quanto professionisti più adatti, per professionalità e per abitudine a trattare i dati sulla salute, a conseguire l'obiettivo di aumentare il tasso di vaccinazione tra i medici e tutti gli operatori sanitari coinvolti”.

3. Esito dell’attività istruttoria. La normativa applicabile.

Ai fini del rispetto della normativa in materia di protezione dei dati personali assume, anzitutto, rilievo identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi in qualità di autorizzati (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).

Nel sistema del Regolamento, il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” (accountability; art. 5, par. 2 e 24 del Regolamento) sui trattamenti posti in essere, anche quando questi siano effettuati da altri soggetti “per suo conto”, sulla base di un contratto o di altro atto giuridico stipulato per iscritto che costituisce l’istruzione documentata da parte del titolare anche al fine di determinare l’ambito delle rispettive responsabilità (cons. 81, artt. 4, punto 8) e 28 del Regolamento).

In tale quadro il titolare è pertanto il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento dei dati, assume le decisioni di fondo relative a finalità e modalità di un trattamento sulla base di uno o più presupposti di liceità (artt. 6 e 9 del Regolamento) e nel rispetto dei principi in materia di protezione dei dati (art. 5 del Regolamento) avvalendosi di personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).

I soggetti pubblici possono trattare dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, paragrafo 1 del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), nonché art. 9, par.2, lett. g) del Regolamento e 2-ter e 2 -sexies del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, di seguito, il “Codice”).

L’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (v. art. 6, par. 2, del Regolamento e art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, applicabile al caso di specie).

3.1. La comunicazione di dati personali degli operatori sanitari non vaccinati

In via preliminare occorre tener conto del particolare contesto che fa da scenario ai fatti in questione a seguito della previsione della vaccinazione anti SARS-CoV-2 quale “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative” per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario per effetto dell’art. 4 del d.l. 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 - Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici) al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza del lavoro e nell'erogazione delle prestazioni di cura e assistenza (requisito poi esteso fino al 31 dicembre 2022, v. art. 4 del d.l. 44/2021, così come modificato dall’art. 8 comma 2 del d.l. 24 marzo 2022, n. 24).

In merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, lo stesso Garante aveva ritenuto necessario, nella prospettiva di certezza del diritto e del principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n.3 in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it - doc. web n. 9543615).

Il legislatore ha, quindi, introdotto un complesso sistema di verifica del requisito professionale per tali categorie di lavoratori – successivamente riformato dall'art. 1, comma 1, lett. b), del d.l. 26 novembre 2021, n. 172 -, che coinvolge diversi soggetti istituzionali, e prevede flussi di dati tra di essi (datori di lavoro, regioni, aziende sanitarie, ordini professionali), nonché le conseguenze, anche in termini di sospensione dall’esercizio della professione e dall’eventuale rapporto di lavoro, per il lavoratore sprovvisto del predetto requisito.

I trattamenti di dati personali necessari alle verifiche del predetto requisito professionale, pertanto, devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste da tale cornice legislativa di riferimento che ne costituisce la base giuridica e perimetra, in modo uniforme a livello nazionale, l’ambito del trattamento consentito a ciascuno dei predetti soggetti (artt. 5 e 6, par. 2, lett. b) e g), del Regolamento e art. 2-sexies del Codice; come messo in luce in numerosi provvedimenti del Garante nel periodo emergenziale e, in particolare nei pareri resi sulle successive disposizioni di attuazione del predetto quadro v., tra i tanti, provv. 13 dicembre 2021, n. 430, doc. web n. 9727220).

In particolare il predetto art. 4, nel testo anteriore alle modifiche del d. l. 26 novembre 2021, n. 172, applicabile al caso di specie, prevedeva la trasmissione da parte di ciascun Ordine professionale, dell'elenco degli iscritti - con l'indicazione del luogo di rispettiva residenza - alla regione o alla provincia autonoma di rispettiva competenza, al fine della verifica “per il tramite dei servizi informativi vaccinali” dello stato vaccinale di ciascun soggetto rientrante nell’elenco.  Ugualmente l’art. 4 stabiliva che ciascun datore di lavoro trasmettesse l’elenco dei propri dipendenti con la qualifica di operatore sanitario, con l’indicazione del luogo di residenza, alla regione e alla provincia autonoma di rispettiva competenza. Successivamente la regione o la provincia, nel rispetto delle disposizioni in materia di protezione dei dati personali, segnalavano immediatamente all’azienda sanitaria locale di residenza i nominativi dei soggetti che non risultavano vaccinati. A questo punto l’azienda sanitaria locale di residenza, a seguito di puntuali verifiche e nei soli confronti degli interessati rispetto ai quali era stata accertata in concreto l’assenza del predetto requisito professionale, ne dava immediata comunicazione all’interessato, al datore di lavoro e all’Ordine professionale di appartenenza determinando, con l’adozione dell’atto di accertamento, la sospensione dall’attività lavorativa dell’interessato. Infine l’Ordine professionale di appartenenza comunicava immediatamente la sospensione anche al datore di lavoro (cfr. art. 4, commi 5 e 6).

Era stabilito, quindi, che ogni regione o provincia autonoma per il tramite dei servizi informativi vaccinali verificasse lo stato vaccinale di ciascuno degli interessati (sulla base di nominativi trasmessi rispettivamente dagli ordini professionali territorialmente competenti e da eventuali datori di lavoro) e - nei casi in cui “non risultasse l’effettuazione della vaccinazione o la presentazione della richiesta di vaccinazione” - segnalasse “all’azienda sanitaria locale di residenza i nominativi dei soggetti che non risultano vaccinati” per l’avvio dello specifico procedimento in contradittorio con l’interessato (cfr., art. 4 del dl n. 44/2021 nel testo antecedente alle modifiche apportate intervenute con il dl n. 172/2021, applicabile al caso di specie).

Tale quadro normativo non prevedeva all’epoca cui si riferiscono i trattamenti in questione, né prevede oggi a seguito delle modifiche intervenute con il d.l. n. 172/2021 e del d.l. n. 24/2022, che i trattamenti di dati del personale sanitario, ai fini dell’accertamento della sussistenza del predetto requisito vaccinale, fossero effettuati anche dal medico competente, rimettendo tale compito in via esclusiva all’Azienda Sanitaria territorialmente competente.

Occorre preliminarmente evidenziare che, in base alle disposizioni contenute nel Regolamento, un’eventuale scelta organizzativa della singola Azienda o della Regione, titolari del trattamento, di delegare compiti propri a un diverso soggetto (nel caso di specie al medico competente), avrebbe richiesto, in base alla disciplina di protezione dei dati personale, che il relativo rapporto (di designazione a responsabile del trattamento) fosse regolato da un contratto o da altro atto giuridico a sensi dell’art. 28 del Regolamento (v. anche considerando 81 e art. 4, punto 8 del Regolamento). Nel caso di specie, quindi, risulta accertato che la Regione ha trasmesso gli elenchi degli operatori sanitari che non risultavano vaccinati (riportanti per ciascun interessato i seguenti dati: codice fiscale - cognome - nome - data di nascita – sesso), non solo alle aziende sanitarie territorialmente competenti per l’avvio dei rispettivi procedimenti di accertamento della sussistenza del requisito, come espressamente previsto dalla richiamata disposizione di settore, bensì anche ai medici competenti operanti presso le stesse (che agivano in qualità di autonomi titolari del trattamento rispetto alla Regione).

La Regione ha illustrato le specifiche valutazioni effettuate nel delicato periodo di riferimento– a fronte di un quadro normativo di recente adozione e in assenza di specifiche disposizioni di attuazione –in merito al coinvolgimento della figura del medico competente, ritenuto utile per accelerare il processo di vaccinazione e “come principale elemento di garanzia e di tutela della sicurezza dei dati personali degli operatori sanitari dipendenti dell'Aulss all'interno del proprio ambiente di lavoro”, sul presupposto della conformità dei trattamenti effettuati alle norme di settore in materia di salute dei lavoratori e sicurezza dei luoghi di lavoro (D. Lgs. n. 81/2008).

Al riguardo si osserva che, seppure con riferimento ad un diverso contesto lavorativo, il Garante ha evidenziato che la finalità di accertamento dei requisiti per l’accesso e lo svolgimento di talune professioni previsti da specifiche disposizioni di settore deve comunque essere mantenuta distinta dalla diversa e più generale (ancorché connessa) finalità di tutela della salute e sicurezza dei luoghi di lavoro (cfr., sul punto, provv. 27 aprile 2016, doc web. n. 5149198, in relazione al trattamento di dati sanitari del personale navigante da parte del medico competente del vettore aereo).

Nel perseguimento della finalità di tutela e sicurezza nei luoghi di lavoro, il medico competente opera in base allo specifico quadro normativo di settore in qualità di autonomo titolare del trattamento e anche nel periodo emergenziale, non tratta i dati per conto o in base alle istruzioni e indicazioni di altri soggetti (enti pubblici, autorità sanitarie, datori di lavoro), ma in qualità di titolare del trattamento (sul punto (cfr., documento di indirizzo “Il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc web n. 9585367 e provv. del 22 luglio 2021, doc. web n.9683814).

In tale quadro, le finalità e le operazioni del trattamento che devono essere poste in essere dal medico competente sono determinate esclusivamente dalla legge.

Sebbene quindi, come chiarito in diverse occasioni dal Garante, il medico competente nell’ambito dello svolgimento dei propri compiti in materia possa legittimamente venire a conoscenza di informazioni e dati personali anche relativi alla avvenuta o meno vaccinazione dei dipendenti (art. 9, parr. 2, lett. h), e 3. del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), ciò deve comunque avvenire nei limiti e alle condizioni stabilite dalla legge, in particolare nell’ambito dello svolgimento dei propri compiti di sorveglianza sanitaria (artt. 41, commi 2 e 4 e 279 d.lgs. 81/2008; v., in particolare, FAQ in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it - doc. web n. 9543615; cfr., documento di indirizzo “Il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc web n. 9585367, cit. ; provv del 22 luglio 2021, doc. web n.9683814.cit.).

Contrariamente a quanto dichiarato dalla Regione, la legittimazione dell’avvenuta comunicazione in favore del medico competente non può pertanto risiedere nel fatto che i dati personali fossero da questo “conoscibili se non già conosciuti” ad altro fine (e “riferiti ai soli professionisti ed operatori sanitari collaboratori delle medesime Aziende sanitarie pubbliche in cui il medico competente operava”), trovando tale eventuale conoscibilità fondamento nello svolgimento dei compiti che la legge (e non indicazioni e circolari regionali) gli attribuisce in via esclusiva per la predetta finalità di sicurezza dei luoghi di lavoro. In proposito, peraltro, la stessa Regione, che in ogni caso non ha operato in qualità di datore di lavoro degli interessati, ha da ultimo evidenziato che “per la trasmissione dei dati dei non vaccinati […] non ha seguito i canali ordinari di comunicazione con il medico competente per le finalità del D.Lgs. 81/08”, confermando l’estraneità del trattamento posto in essere rispetto al richiamato quadro normativo a tutela della salute e sicurezza del lavoro.

Nelle memorie difensive e nel corso dell’audizione, la Regione ha inteso ulteriormente precisare  che la richiamata nota regionale contenente le indicazioni per le aziende sanitarie non aveva lo scopo di coinvolgere il medico competente nella procedura di verifica del requisito professionale degli interessati, essendo rimasto tale compito in via esclusiva alle Aziende Sanitarie territorialmente competente, ma che, invece, la predetta trasmissione di dati fosse giustificata dal “coinvolgimento del medico competente nella procedura di vaccinazione la cui organizzazione era, per legge, in capo alla Regione”.

Al riguardo occorre evidenziare che gli elenchi di dati personali trasmessi dalla Regione si riferivano a personale che dalla consultazione dell’anagrafe vaccinale all’epoca effettuata non risultava aver aderito alla campagna vaccinale. Tale platea di soggetti poteva dunque essere certamente ancora oggetto di una campagna di sensibilizzazione, ma non coincideva con la platea dei destinatari dell’erogazione della prestazione sanitaria nel processo di somministrazione della vaccinazione. Tanto, in ragione della distinzione, sul piano cronologico e funzionale, della fase di promozione e sensibilizzazione degli interessati – per definizione antecedente all’eventuale adesione alla campagna vaccinale - da quella relativa al concreto processo di vaccinazione che, invece, presuppone l’adesione dell’interessato, e consiste nella effettiva somministrazione delle dosi vaccinali.

In tale fase, l’eventuale coinvolgimento del medico competente in qualità di professionista sanitario vaccinatore sarebbe avvenuto, non già nell’ambito dello svolgimento da parte dello stesso dell’attività medico legale e dei compiti da questo tipicamente svolti in materia di sicurezza e salute dei luoghi di lavoro, ma in quanto operatore autorizzato (medico vaccinatore) nello svolgimento dell’attività sanitaria e di medicina preventiva, ossia dell’erogazione della prestazione sanitaria (anche nel solco delle indicazioni del Ministero della salute richiamate dalla Regione nel corso dell’istruttoria).

Non può pertanto essere ritenuto condivisibile quanto dichiarato dalla Regione al fine di giustificare la predetta comunicazione degli elenchi degli operatori sanitari non vaccinati ai medici competenti delle relative strutture sanitarie regionali di appartenenza, sul mero presupposto che “il medico competente poteva a pieno titolo entrare nel percorso della vaccinazione: tale figura, infatti, per formazione e struttura poteva garantire il corretto svolgimento delle operazioni sanitarie e pure la riservatezza delle informazioni conosciute all'interno dell'ambiente di lavoro” e che la trasmissione avrebbe dato luogo a una messa a disposizione a soggetti autorizzati.

Al riguardo si ricorda che, anche nell’eccezionale contesto emergenziale, il Garante ha sempre richiamato l’attenzione dei titolari del trattamento ad operare nell’ambito e nei limiti previsti dalla disciplina applicabile, che costituisce la base giuridica dei relativi trattamenti di dati personali (artt. 5, 6, 9, del Regolamento), ciò anche con riguardo a ciascuno dei soggetti istituzionali coinvolti nella realizzazione e gestione del piano vaccinale, evitando di porre in essere iniziative non previste dalla legge o la confusione dei rispettivi ruoli che, in talune circostanze, possono comportare comunicazioni illecite di dati e, talvolta, possibili effetti lesivi per gli interessati, specie in contesti particolarmente delicati come quello lavorativo e professionale.

Né può infine ritersi sufficiente, ai fini di escludere la responsabilità della Regione nel caso di specie, quanto rappresentato in ordine agli accorgimenti tecnici adottati al fine di mettere in campo “modalità di trasmissione sicura” dei dati. Pur prendendo atto dell’attenzione manifestata sotto il profilo della sicurezza del trattamento, si sottolinea che la soluzione adottata risponde tuttavia a una scelta “progettuale” del titolare che, al momento di determinare i mezzi del trattamento, adotta le misure tecniche e organizzative adeguate al rischio anche in attuazione del principio di minimizzazione dei dati oggetto di trattamento (cfr. artt. 5, par. 1, lett. c), 24 e 25 del Regolamento), restando però, in ogni caso, necessaria la preliminare verifica in ordine alla ricorrenza dei presupposti di liceità del trattamento che, nel caso di specie, non è risultata rinvenuta.

In ogni caso, la rappresenta esigenza di accelerare il processo di vaccinazione dei professionisti sanitari nel territorio regionale – stante anche l’elevato tasso di operatori sanitari all’epoca non vaccinati – e la sensibilizzazione del personale sanitario operante sul territorio regionale, pur rientrando tra i compiti di indirizzo e coordinamento che il quadro normativo di settore assegna alle regioni, è stata alla base dell’avvio di una procedura parallela a quella prevista dalla legge e che non trova legittimazione nel quadro normativo vigente.

Tali esigenze - anche nella prospettiva di ridurre e snellire le procedure amministrative in capo ai competenti uffici delle aziende sanitarie in qualità di enti accertatori - avrebbero, peraltro, potuto essere parimenti perseguite attraverso campagne di informazione e sensibilizzazione del personale presso le singole aziende sanitarie, se del caso con l’ausilio dei medici competenti, senza tuttavia ricorrere alla comunicazione di dati personali, non prevista dalla legge, operata dalla Regione in favore dei medici competenti mediante l’avvenuta trasmissione degli elenchi degli operatori sanitari per i quali non risultava l’avvenuta vaccinazione.

Si prende inoltre atto di quanto dichiarato dalla Regione, in merito alla natura non vincolante delle indicazioni generali contenute nella predetta nota regionale, sebbene adottate nell’intento di garantire l’immediata applicazione in modo uniforme sul territorio regionale delle norme che avevano introdotto il requisito vaccinale, ragione per cui, come confermato all’esito delle istruttorie avviate parallelamente nei confronti di talune aziende sanitarie, le stesse non hanno comunque dato seguito alle indicazioni ricevute dalla Regione, né risultano altrimenti effettuati trattamenti di dati personali non conformi al quadro normativo vigente.

Tanto premesso, quanto rappresentato nel corso dell’istruttoria non può ritenersi sufficiente ad escludere la responsabilità della Regione nel caso di specie e pertanto si ritiene che, la sistematica e generalizzata messa a disposizione dei medici competenti operanti presso le aziende sanitarie regionali degli elenchi di tutto il personale sanitario che all’epoca dei fatti non risultava vaccinato, pur non riguardando dati relativi alla salute (ragione per cui si procede all’archiviazione del relativo profilo di contestazione), ha comunque dato luogo a una comunicazione di dati personali non prevista dalla legge, in violazione degli articoli 5, par. 1, lett. a) e 6, del Regolamento e degli artt. 2-ter del Codice (nel testo anteriore alle modifiche di cui al d.l. n.139/2021).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Regione negli scritti difensivi – della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice – seppure meritevoli di considerazione e indicative della piena collaborazione del responsabile del trattamento al fine di attenuare i rischi del trattamento, rispetto alla situazione presente all’atto dell’avvio dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano quindi insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione in assenza di un’idonea base giuridica, in violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice.

Resta salvo quanto previsto dall’art. 2-decies del Codice in ordine all’inutilizzabilità dei dati personali oggetto di comunicazione, salvo quanto previsto dall’articolo 160-bis del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando che la condotta ha esaurito i suoi effetti, non ricorrono invece i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione, sono stati considerati la natura, l’oggetto e la finalità del trattamento nonché il numero particolarmente elevato degli interessati (contenendo gli elenchi trasmessi i nominativi e altri dati personali di circa 12.580 sanitari pubblici non vaccinati alla data del 1° aprile 2021).

Di contro, è stato considerata la delicatezza del contesto emergenziale in cui si sono verificati i fatti in questione. In particolare sono state tenute in conto le difficoltà incontrate in sede applicativa per effetto dell’entrata in vigore delle disposizioni che avevano introdotto per gli operatori sanitari il requisito professionale della vaccinazione anti Covid mediante un complesso sistema di verifica in assenza di disposizioni di attuazione a livello nazionale. L’incertezza del quadro giuridico di rifermento, stando a quanto dichiarato, avrebbe indotto l’Ente ad assumere l’iniziativa in questione a livello regionale, interpretando erroneamente il ruolo del medico competente ai fini della protezione dei dati e confidando, erroneamente, nella legittimità della trasmissione dei dati. E’ stato altresì considerato che la Regione ha operato in buona fede, al solo fine di supportare le proprie aziende sanitarie in un momento particolarmente complicato e al fine di sensibilizzare gli interessati ad aderire alla vaccinazione, in un settore già pesantemente colpito da decessi tra il personale sanitario. La Regione ha collaborato nel corso dell’istruttoria anche al fine di ridurre le conseguenze dell’avvenuta comunicazione di dati, intervento fin dalla prima richiesta di chiarimenti da parte dell'Autorità per modificare le precedenti indicazioni operative (cfr., note regionali del 27.7.2021 e del 12.8.2021, in atti). La Regione non ha ricevuto altre contestazioni o precedenti provvedimenti di cui all’art. 58 del Regolamento specificamente riferite allo stesso oggetto (art. 83, par. 2, lett. i) del Regolamento) rispetto alla condotta in esame.

In ragione dei suddetti elementi, valutati nel loro complesso, si determina l’ammontare della sanzione pecuniaria, nella misura di euro 100.000,00 (centomila) per la violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice, atteso che, in relazione al caso specifico, la sanzione risulta effettiva, proporzionata e dissuasiva (art. 83, par. 1, del Regolamento).

Tenuto conto del numero elevato di interessati coinvolti (personale medico, infermieristico e altri operatori del settore sanitario) e la vulnerabilità degli stessi nel proprio contesto lavorativo, e stante, più in generale, i maggiori rischi di circolazione indebita di informazioni personali in tale contesto per effetto di trattamenti e comunicazioni di dati al di fuori dei casi previsti dalla legge, con eventuale esposizione degli interessati a conseguenze, sul piano relazionale e professionale, ulteriori da quelle già espressamente stabilite dalle norme di settore, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato Regione Veneto, con sede legale in Palazzo Balbi - Dorsoduro, 3901,30123 Venezia, P.Iva: 02392630279, per la violazione degli artt. 5 e 6 del Regolamento nonché dell’art. 2-ter del Codice nei termini di cui in motivazione;

ORDINA

a Regione Veneto in persona del legale rappresentante pro-tempore, con sede legale in Palazzo Balbi - Dorsoduro, 3901, 30123 Venezia, C.F. 80007580279, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a Regione Veneto di pagare la somma di euro 100.000,00 (centomila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei