Obbligo vaccinale per il personale di Polizia, il Cosap rileva violazione della privacy e promuove inibitoria al Garante

Con riferimento alla Circolare N. 333 a firma "Giannini" ed in ordine alle modalità di acquisizione dei dati tracciate dalla stessa circolare, (in cui si legge: "Ai sensi del comma 3 dell'art. 4-ter, a partire dal 15 dicembre 2021 i responsabili delle strutture devono verificare immediatamente l'adempimento dell'obbligo vaccinale da parte dei dipendenti della Polizia di Stato, acquisendo le informazioni necessarie; Il giorno 15 dicembre 2021 il personale tutto - anche se assente per legittimi motivi sempre che non rientri nelle categorie escluse indicate nel paragrafo 4 - dovrà produrre al responsabile della propria struttura la documentazione attestante l'adempimento dell'obbligo vaccinale o la restante documentazione elencata nel paragrafo successivo; in mancanza, nei confronti del personale sarà rivolto l'invito di cui all'art. 4-ter, comma 3, secondo la procedura e le modalità di notifica indicate nel paragrafo seguente. Al contempo, si rappresenta che sono in corso interlocuzioni, non ancora definitesi in ogni aspetto, con i competenti soggetti istituzionali diversi dal Dipartimento della pubblica sicurezza, volte a verificare le modalità di acquisizione di dette informazioni tramite sistemi informativi automatizzati. Ove le stesse dovessero andare a buon fine, con conseguente agevolazione dello svolgimento delle verifiche, ne sarà data immediata comunicazione con ulteriori istruzioni di dettagli"), il Coordinamento sindacale Appartenenti Polizia "Cosap", nella persona del suo legale rappresentante p.t. Sergio Scalzo rappresentato dall'avvocato Luigi Doria, si è formalmente rivolto al Garante della Privacy formulando una istanza di accesso agli atti Circolare obbligo vaccinale, una inibitoria indirizzata al Garante della Privacy in riferimento alla suddetta circolare e, contestualmente, la notifica violazione norme sul trattamento dei dati. 

Nell'atto, si dice:

"Nel Codice in materia di protezione dei dati personali, sono individuate delle regole specifiche per i soggetti pubblici (ad esclusione degli enti pubblici economici): all’art.18 è stabilito che “qualunque trattamento dei dati da parte dei soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali” e che nel “trattare i dati il soggetto pubblico osserva i presupposti ed i limiti stabiliti” dal codice.

Funzione istituzionale del Corpo di PS non è certamente il censimento di neroniana memoria dei vaccinati e dei non vaccinati, dunque operano in aperta violazione dei limiti di legge. I soggetti pubblici, fatta eccezione per le istituzioni che operano in ambito sanitario, “non devono richiedere il consenso dell’interessato” (art.18 co4) e possono trattare dati diversi da quelli sensibili e giudiziali, “anche in mancanza di una norma di legge o di regolamento” che preveda il trattamento (art.19 co1). I dati sanitari costituiscono dati sensibili. Il regolamento europeo stabilisce un generale divieto di trattamenti dei dati relativi alla salute, divieto che non si applica se sono utilizzati esclusivamente per finalità connesse alla salute (finalità di cura), per la supervisione del Sistema Sanitario Nazionale (finalità di governo) e per la ricerca nel pubblico interesse (se effettuata in base a norme di legge o regolamento e previa valutazione di impatto).

L’articolo 9, par. 2, lett h), specifica l'esenzione relativamente al trattamento dei dati per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”.

Una volta che il cittadino ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi. I dati però possono essere trattati per le finalità di cui al 9.2.h se "sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti" (art. 9.3).

In tutti gli altri casi il trattamento necessita di una base giuridica, che spesso viene individuata nel consenso. In particolare se si utilizzano App per finalità differenti dalla telemedicina, se i dati vengono comunicati anche a terzi non professionisti soggetti a. segreto professionale, se i dati vengono utilizzati a fini promozionali. L’acquisizione dei dati sensibili non potrà che avvenire sulla base di una illecita prorogatio della già definita e chiusa parentesi temporale di cui alla legge 77/2020 di conversione del dl 34/2020.

Indi, la raccolta dei dati sensibili deve essere espressamente prevista e autorizzata da fonte legislativa e per un periodo determinato, giammai in via retroattiva da un emanando DPCM come previsto dalla normativa di cui in epigrafe. Peraltro, principio di proporzionalità si riscontra nella recente sentenza n. 20 del 2019 con cui la Corte costituzionale, proprio con riferimento al diritto alla protezione dei dati personali nel bilanciamento, in questo caso, con il principio di trasparenza amministrativa, ha dichiarato incompatibile con i principi di ragionevolezza e proporzionalità gli obblighi di pubblicità reddituale e patrimoniale indifferenziatamente previsti, per tutti i dirigenti pubblici, dalla disciplina vigente. In tale sede, la Corte ha confermato come “deroghe e limitazioni alla tutela della riservatezza [dei] dati devono operare nei limiti dello stretto necessario, essendo indispensabile identificare le misure che incidano nella minor misura possibile sul diritto fondamentale, pur contribuendo al raggiungimento dei legittimi obiettivi sottesi alla raccolta e al trattamento dei dati”.

In passato, con riguardo al <>, il Garante censurava <<l'astratta, generalizzata e indifferenziata presunzione di sussistenza, per tutte le amministrazioni pubbliche, di fattori di rischio tali da far ritenere quello biometrico l'unico sistema in grado di assicurare il rispetto dell'orario di lavoro non appare compatibile con il principio di proporzionalità.>> Cfr sentenza n. 20 del 2019 con cui la Corte costituzionale, proprio con riferimento al diritto alla protezione dei dati personali nel bilanciamento, in questo caso, con il principio di trasparenza amministrativa, ha dichiarato incompatibile con i principi di ragionevolezza e proporzionalità gli obblighi di pubblicità reddituale e patrimoniale indifferenziatamente previsti, per tutti i dirigenti pubblici, dalla disciplina vigente.

Va ancora premesso che il trattamento di dati che non necessita di consenso dell’interessato è solo quello strettamente necessario alla realizzazione delle specifiche “finalità di cura” previste dal G.D.P.R. Pertanto, non rientrano nell’ipotesi descritta (e, quindi, richiedono il consenso esplicito), i trattamenti di dati: a) connessi all’utilizzo di “App” mediche; b) preordinati alla fidelizzazione della clientela (effettuati dalle farmacie attraverso programmi di accumulo punti); c) effettuati da strutture sanitarie private per finalità promozionali o commerciali (es. promozioni su programmi di screening, fornitura di servizi ammnistrativi, come quelli alberghieri di degenza); d) effettuati da professionisti sanitari per finalità commerciali o elettorali; e) effettuati attraverso il Fascicolo sanitario elettronico previsto dall’art. 12 del d.l. 18 ottobre 2012, n. 179.

Il super green pass, come il green pass, sono sussumibili nella categoria di cui alla lett a), ed il suo utilizzo soggiace al consenso dell’interessato. Tutto ciò premesso, il Sindacato – a mezzo del sottoscritto difensore Avv. Luigi Doria CHIEDE Di conoscere Ai sensi dell’art 14 Regolamento del 27/04/2016 - N. 679 a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante (com’è noto, la figura del “Responsabile della Protezione dei Dati” dovrebbe costituire, nelle intenzioni del legislatore europeo, una misura volta a facilitare l’osservanza della disciplina in materia. La nomina del R.P.D. è obbligatoria per le autorità e per gli organismi pubblici); I soggetti che per legge possono trattare dati sanitari sono: - esercenti una professione sanitaria; - organismi sanitari pubblici. Gli esercenti una professione sanitaria, in base alle leggi vigenti (l. 24/2017), sono: - farmacista ex d.lgs. 258/1991; - medico chirurgo ex d.lgs. 368/1999; - odontoiatra ex l.409/1985; - veterinario ex l. 750/1984; - psicologo ex l. 56/1989; - infermiere ex l. 905/1980; - ostetrico ex l. 296/1985; - infermiere pediatrico ex d.l. 70/1997; - ottico optometrista ex Regio decreto 31 maggio 1928, n. 1334, art. 12, e successive modifiche; - esercente professioni sanitarie riabilitative.

Sono esclusi l'operatore di interesse sanitario (l. 403/1971 e l. 43/2006) e altri ausiliari delle professioni sanitarie (massaggiatore, odontotecnico, puericultrice), poiché svolgono un’attività che ha rilevanza sanitaria, oppure di affiancamento, ma non costituisce essa stessa attività sanitaria. Altri soggetti, ovviamente, dovranno effettuare il trattamento quali autorizzati del titolare oppure su diversa base giuridica (consenso). b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) le categorie di dati personali in questione;

CHIEDE INOLTRE Di conoscere a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; c) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; d) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca; e) il diritto di proporre reclamo a un'autorità di controllo; f) la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico; g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

A mente del comma 3: <<3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2: a) entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati; b) nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; oppure c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.>> § § § Non disponendo il Ministero dell’Interno, per sua stessa ammissione (cfr circolare CircolareDAP_dl172 Min Giustizia allegata in calce) di propria banca dati, ed avendo dichiarato nella circolare medesima di voler avvalersi (dei dati in possesso) dell’Istituto previdenziale, in attesa dell’emanando DPCM, rappresenta che la portabilità dei dati è un diritto dell’interessato e non del titolare del trattamento, in ossequio all’art 20 Regolamento del 27/04/2016 - N. 679. Il Ministero ha apertamente dichiarato di disattendere – presuntivamente su base involontaria – l’art 20 citato mercé la circolare citata. Si rammenta che non v’è norma che preveda l’obbligo di prestare il consenso al trattamento dei dati, né consta disposizione che ne commini sanzioni. § § § Notifica della violazione dei dati personali all'autorità di controllo. Ex art 33 Regolamento del 27/04/2016 - N. 679, ai fini della notifica della violazione al Garante della privacy, si evidenzia: ferma la descrizione delle violazioni anzidette, che il Sindacato conta un considerevole numero di iscritti su tutto il territorio nazionale; che il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni, ai sensi della lett. b art 33 reg cit., sono inesistenti e che tale inesistenza è deducibile per tabulas dalla stessa lettera della circolare; che, ai sensi della lett. c art 33 cit., l’attuazione della circolare in calce arrechi nocumento alla dignità dei lavoratori e generi chiare e ingiustificate discriminazioni: un’interpretazione di natura coercitiva e discriminatoria rispetto all’attribuzione prevista nei casi di sospensione per condanne penali o disciplinari.

Ci si troverebbe, pertanto, nel paradosso per cui, il dipendente sospeso per comportamenti che si presumono gravi percepiscano, giustamente, la forma indennitaria dell’assegno alimentare e dello stipendio nella misura del 50%, mentre coloro che pur non avendo adottato alcun comportamento illegittimo, ma anzi abbiano esercitato propri diritti costituzionali, si trovino privi di alcun sostentamento. Col presente atto, Il Sindacato dimette, altresì’, al Garante in indirizzo, FORMALE RECLAMO - Con riferimento alla Circolare obbligo vaccinale ps “N. 333-Al numero del protocollo - OGGETTO: Decreto-legge 26 novembre 2021, n. 172. Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali. Obbligo vaccinale per il personale della Polizia di Stato - Disposizioni applicative.” - con riferimento ancora al relativo firmatario della circolare anzidetta ex art. 77 del Regolamento (Ue) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento: di assumere nei confronti del presunto titolare del trattamento così come desumibile dalla Circolare obbligo vaccinale ps “N. 333-Al numero del protocollo - OGGETTO: Decreto-legge 26 novembre 2021, n. 172. Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali. Obbligo vaccinale per il personale della Polizia di Stato - Disposizioni applicative.”, ogni opportuno provvedimento e, in particolare: a) rivolgere a questi o al responsabile del trattamento avvertimenti o ammonimenti sul fatto che detti trattamenti possono verosimilmente violare, ovvero abbiano violato, le disposizioni vigenti in materia; b) ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento, ove previsto; c) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento. Tanto, in ragione della consumazione dell’infrazione a far data dal dì 15 del mese in corso". 

CLICCA QUI