Con provvedimento del 22 luglio 2021 (doc. web 9683814), il Garante della privacy ha chiarito che le certificazioni attestanti l'avvenuta vaccinazione o l'avvenuta guarigione da Covid-19 o l'esito negativo di un test antigenico o molecolare non sono di per sé considerate come una condizione necessaria per consentire l'accesso a luoghi o servizi o per l'instaurazione o l'individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell'ambito dell'adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2(cfr. Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il "Parere sul DPCM di attuazione della piattaforma nazionale DGC per l'emissione, il rilascio e la verifica del Green Pass"). E ciò in considerazione del fatto che ove dette certificazioni fossero ritenute un condizione necessaria, comporterebbero una limitazione dei diritti e delle libertà fondamentali. Limitazioni, queste, che concernendo il trattamento di dati personali, rientrano nelle materie assoggettate alla riserva di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull'EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021). In punto, la stessa Corte Costituzionale ha recentemente evidenziato che "la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell'art. 117, secondo comma, lettera q), Cost." (Ordinanza della n. 4/21).
Con l'ovvia conseguenza che le Regioni non potranno adottare ulteriori misure di limitazione dei diritti delle libertà fondamentali che implicano il trattamento di dati personali riguardanti lo stato vaccinale, senza che esse siano state previste dalla legge statale. Stesso discorso va fatto con riguardo alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni maggiormente esposte al rischio contagio, come ad esempio le professioni sanitarie. In punto, il Garante della privacy ritiene necessario che la questione deve essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n.3 in materia di "Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo" www.gpdp.it - doc. web n.9543615). E ciò nell'ottica della certezza del diritto e del principio di non discriminazione. Proprio in forza di tale orientamento, è stato emanato il decreto legge del 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021, recante misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici), il cui articolo 4 ha previsto che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce "requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative".
Per le altre categorie di lavoratori, si deve ricorrere alla disciplina di protezione dei dati, alla disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice), nonché alle disposizioni emanate nel contesto dell'emergenza epidemiologica in corso. In virtù di questo contesto normativo, il datore di lavoro non potrà trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l'intenzione di aderire o meno alla campagna vaccinale). Egli, infatti, potrà utilizzare i dati dei dipendenti inerenti alla vaccinazione solo per il tramite del medico competente e, quindi nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituiscono la base giuridica (d.lgs. 9 aprile 2008 n. 81; Provvedimento del 13 maggio 2021 - documento di indirizzo "Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali", doc. web n. 9585300 e documento "Protezione dei dati - Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale", doc. web n. 9585367).
Maggiori informazioni sono reperibili su https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9683814.