Vaccini per gli over 50 e gestione degli studenti. I dubbi del Garante privacy

Dal 1° febbraio sono iniziati i controlli dell’adempimento dell’obbligo vaccinale per gli over 50, che da oggi devono anche esibire il super green pass per accedere ai luoghi di lavoro. In occasione della conversione in legge del decreto che ha sancito tale obbligo, lo scorso 10 febbraio si è tenuta alla Camera l’audizione del presidente del Garante per la protezione dei dati personali, Pasquale Stanzione. Il Garante ha svolto alcune considerazioni sul ruolo dell’Agenzia delle entrate – riscossione (Ader) nella procedura di accertamento della violazione dell’obbligo, nonché sulla differenziazione del regime didattico tra studenti vaccinati o guariti e quelli che non lo sono. Il ruolo dell’Agenzia Il procedimento di accertamento della violazione dell’obbligo vaccinale è molto macchinoso. Il ministero della Salute, avvalendosi di Ader, lo avvia mediante una comunicazione ai soggetti che risultano inadempienti. Tali soggetti, entro dieci giorni, possono inviare all’Azienda sanitaria locale (Asl) l’eventuale certificazione comprovante il differimento o l’esenzione dall’obbligo vaccinale, ovvero altra ragione che non consente di assolvervi, dandone comunicazione anche all’Ader. L’Asl, dopo aver vagliato tali certificazioni, trasmette all’Ader un’attestazione relativa all’insussistenza dell’obbligo vaccinale o all’impossibilità di adempiervi, per coloro che ne hanno fornito prova effettiva. A tutti gli altri, invece tenuti all’obbligo, l’Ader notifica un avviso di addebito, che ha valore di titolo esecutivo. L’ Ader non dovrebbe mai venire a conoscenza delle ragioni che esonerano un soggetto dall’obbligo vaccinale. Tuttavia – afferma il Garante – affinché ciò sia davvero garantito, «sarebbe opportuno escludere espressamente che l’attestazione dell’Asl all’Ader contenga informazioni idonee a rivelare lo stato di salute dell’interessato». La “normalità” fa paura se il futuro ci lascia indietro Ciò dovrebbe valere anche per la comunicazione con cui il destinatario della contestazione dà notizia all’Ader di aver trasmesso all’Asl prova dell’esclusione dell’obbligo. Secondo il Garante, il legislatore dovrebbe riflettere sul ruolo assunto dall’Agenzia: ruolo «non pienamente giustificabile» anzitutto in termini di protezione dati. Infatti, se Ader, come agente della riscossione, è competente rispetto alla fase successiva all’avviso di addebito – dice il Garante - «meno giustificabile» appare il suo intervento nella fase antecedente, quella della mera contestazione, che riguarda solo l’Asl e il cittadino. Invece, la partecipazione dell’Agenzia in tale fase la coinvolge pure in un trattamento di dati “sensibili” che «rischia di risultare eccedente», poiché può comportare l’acquisizione della «disponibilità di dati relativi alla condizione vaccinale». Pertanto, al fine di garantire l’effettivo rispetto del principio di minimizzazione nel trattamento di dati “sensibili” – suggerisce il Garante – si potrebbe limitare l’intervento dell’Agenzia alle sole fasi successive all’avviso di addebito. «Solo a partire da quel momento, infatti, il coinvolgimento di AdER può ritenersi pienamente legittimato dal perseguimento di finalità istituzionalmente proprie dell’ente». Studenti vaccinati e non Il Garante ha poi affrontato il tema dei dati inerenti alla situazione vaccinale degli studenti, relativamente alle norme che, con modalità diverse a seconda del livello di scuola, prevedono l’autosorveglianza, con didattica in presenza per coloro che dimostrino di avere concluso il ciclo vaccinale primario o di essere guariti da meno di 120 giorni oppure di avere effettuato la dose di richiamo; invece, la didattica digitale integrata per gli altri studenti, non vaccinati o non guariti in tali termini. La disciplina, fondata sulla «esigenza di limitare al minimo indispensabile il diritto alla fruizione della didattica in presenza», fa sì che le istituzioni scolastiche vengano a conoscenza della condizione di vaccinazione o guarigione degli studenti. Il parlamento deve valutare che ciò rispetti il principio di proporzionalità sancito in via generale dalla Carta dei diritti fondamentali dell’Unione europea, declinato in termini di “minimizzazione” dal Regolamento europeo per la protezione dei dati personali (Gdpr) secondo cui «le deroghe e le restrizioni alla tutela dei dati personali» devono intervenire «entro i limiti dello stretto necessario»; e ribadito dalla Corte costituzionale, come scelta della «misura meno restrittiva dei diritti che si fronteggiano», con «adeguata giustificazione» alla «compressione della tutela dei dati personali». La “normalità” fa paura se il futuro ci lascia indietro Tuttavia, prima ancora della proporzionalità della disciplina sotto il profilo privacy, il Garante invita il legislatore a valutare «il profilo della ragionevolezza della differenziazione nel diritto di fruizione dell’attività didattica in presenza, in ragione della condizione immunitaria (o presunta tale) dello studente». Il legislatore deve riflettere, in particolare, sul «complesso bilanciamento» tra il diritto all’istruzione, quale «strumento per il pieno sviluppo della persona umana e del progresso sociale», il diritto alla salute quale «fondamentale diritto dell'individuo e interesse della collettività» e il diritto alla protezione dei dati personali. Va infatti «evitato ogni tipo di discriminazione, sia pur indiretta, peraltro nei confronti dei soggetti, quali i minori, cui l’ordinamento accorda una tutela rafforzata». Soggetti che possono frequentare o meno la scuola in presenza per scelte rimesse non ad essi stessi, ma all’esercente la responsabilità genitoriale. In conclusione, se il trattamento dei dati “sensibili” degli studenti è funzionale all’applicazione di un regime didattico differenziato, «è sulla ragionevolezza di tale differenziazione che il legislatore deve interrogarsi».