g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda per la tutela della salute - ATS Sardegna - 24 novembre 2022 [9838010]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9838010]

Ordinanza ingiunzione nei confronti di Azienda per la tutela della salute - ATS Sardegna - 24 novembre 2022

Registro dei provvedimenti
n. 384 del 24 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento, un dipendente dell’Azienda per la tutela della salute - ATS Sardegna (di seguito, l’”Azienda”), in servizio come Dirigente Medico, iscritto all’Ordine dei medici e degli odontoiatri della Provincia di Cagliari, ha rappresentato che, in data XX, l’Azienda (Dipartimento di Prevenzione Zona Sud) gli avrebbe notificato un atto di accertamento e comunicazione dell’assenza del requisito vaccinale ai sensi dell’art. 4, comma 6, del d.l. 1° aprile 2021, n. 44 (nel testo all’epoca vigente), non recante né numero di protocollo né data.

Inoltre, gli sarebbe stata notificata anche la determinazione datoriale conseguente all’accertata assenza del requisito vaccinale, con la quale veniva disposta la sospensione dal servizio, vista la comunicazione con la quale il Dipartimento di Prevenzione Zona Sud della medesima Azienda aveva dato formale comunicazione di quanto accertato.

Il reclamante ha lamentato, in particolare, che, contrariamente a quanto previsto dall’art. 4, comma 6, del predetto decreto, l’Azienda avrebbe inviato all’ordine professionale di appartenenza “copia integrale dell’Atto di accertamento di inosservanza dell’obbligo vaccinale e relativa Determinazione di sospensione […], atti da cui è evincibile lo stato vaccinale dell’interessato”.

2. L’attività istruttoria.

Dall’esame della documentazione allegata dal reclamante è emerso che l’Azienda, non già in qualità di ente accertatore (funzione svolta dal Dipartimento di Prevenzione), ma qualificandosi espressamente quale datore di lavoro, avrebbe inviato una nota della Direzione Generale (prot. n. XX del XX) sia all’interessato sia all’Ordine professionale di appartenenza dello stesso, comunicando l’accertata insussistenza del requisito vaccinale, ai fini delle conseguenti annotazioni sull’albo professionale e dando, altresì, conto anche della conseguente sospensione dal servizio e dalla retribuzione, stante l’impossibilità di adibire l’interessato ad altre mansioni.

In riscontro a una richiesta d’informazioni dell’Autorità (nota prot. XX del XX), l’Azienda, con nota prot. n. XX del XX, ha dichiarato, in particolare, che:

“la ATS è stata istituita, con decorrenza primo XX, ad opera della Legge Regionale n. XX, attraverso l’incorporazione nella preesistente ASL di Sassari delle restanti sette Aziende Sanitarie Locali della Sardegna. La ATS Sardegna risultava ripartita (in corrispondenza delle otto ASL estinte) in otto Aree Socio Sanitarie Locali, prive di personalità giuridica ma dotate di autonomia organizzativa e operativa, con ambito territoriale coincidente con quello delle preesistenti AA.SS.LL. e medesima sede”;

“[…] la ATS Sardegna è stata commissariata, a far data dal XX”;

“[…] al tempo della fattispecie contestata l’interessato reclamante prestava servizio presso [l’Azienda] […] avendo pertanto [la ATS Sardegna] – in maniera coincidente – tanto la qualifica giuridica di ente tenuto ex lege a procedere all’accertamento della mancata vaccinazione, quanto quella di datore di lavoro, sempre nei confronti del reclamante; ed essendo quindi ininfluente – si ritiene – la qualificazione giuridica assunta (ente accertatore/datore di lavoro) assunta all’atto della comunicazione contestate”;

“[…] [il] D.L. n. 44/2021, art. 4, comma 6) fondava l’obbligo di comunicazione, anche all’Ordine di appartenenza, quale adempimento di obbligo di legge al quale era soggetto il titolare del trattamento, e pertanto costituiva base giuridica del trattamento effettuato, assorbente in ordine alle restanti ulteriori ipotesi autorizzatorie di cui all’art. 6 del [Regolamento] […]”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo), invitando la predetta Azienda a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
Solo con nota prot. n. XX del XX, l’Azienda ha fatto pervenire la propria memoria difensiva, dichiarando, in particolare, che:

“con la Legge Regionale della Sardegna n. 24/2020 si è stabilita l’estinzione della ATS Sardegna e la reistituzione, a decorrere dal primo XX, delle otto Aziende Socio-sanitarie Locali precedentemente estinte, nonché dell’istituzione dell'ARES - Azienda Regionale della Salute, con ruolo di affiancamento, quale agenzia di servizi alle suddette reistituite Aziende”;

“con la Legge Regionale della Sardegna n. 17/2021, si è stabilito all’art. 34, comma 1, lett. b), che "Contestualmente all'istituzione di ARES, nell'interesse della Regione e su indicazione dell'Assessorato regionale competente in materia di sanità, è istituita la Gestione regionale sanitaria liquidatoria, dotata di personalità giuridica e di autonomia patrimoniale ed economica, competente per la liquidazione di tutte le posizioni attive e passive e di tutte le cause pendenti, dalla data di costituzione dell'Azienda per la tutela della salute (ATS) e di quelle facenti in precedenza capo alle soppresse unità sanitarie locali e alle soppresse aziende sanitarie”;

“con riferimento alle doglianze del reclamante, si evidenzia che l’art. 4, comma 6, del D.L. n. 44/2021 (disciplina peraltro sostituita radicalmente ad opera del D.L. n. 173/2021) prevedeva che l’ente accertatore - ATS Sardegna, a quel tempo - dell’ingiustificato inadempimento dell’obbligo vaccinale da parte degli esercenti le professioni sanitarie (nel caso specifico coincidente con il datore di lavoro del dipendente), desse, del relativo “atto di accertamento”, “immediata comunicazione scritta all’interessato, al datore di lavoro e all’Ordine Professionale di appartenenza””:

“così risulta essersi proceduto, in adempimento alle suddette prescrizioni di legge, a mezzo di riservata nota […] avente sostanza dispositiva, indirizzata esclusivamente all’interessato ed all’Ordine professionale di appartenenza dello stesso; atto che in quanto proveniente, come sopra detto, da Ente avente entrambe le qualifiche di ente accertatore e datore di lavoro, ha contenuto anche le determinazioni in ordine al rapporto di lavoro del dipendente”;

“tale coincidenza di ruoli, si ribadisce, ha determinato nel suddetto “atto di accertamento” la dovuta contestualità, accanto alla dichiarazione accertativa dell’inadempimento dell’obbligo vaccinale, altresì delle determinazioni in merito alla posizione lavorativa del dipendente; con atto, si evidenzia, di natura riservata comunicato - in applicazione del dettato normativo allora vigente, costituente quindi base giuridica del trattamento dei dati - ad altro ente di diritto pubblico, deputato alla tutela degli interessi della categoria rappresentata, e in quanto tale posto sotto la vigilanza del Ministero della Salute”.

3. Esito dell’attività istruttoria.

I soggetti pubblici possono trattare dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), nonché art. 9, par. 2, lett. g), del Regolamento e 2-ter e 2-sexies del Codice). Sotto altro profilo, il datore di lavoro può trattare i dati personali dei lavoratori se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti da leggi, regolamenti e dalla normativa di settore (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4; 88 del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139; nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari, v. artt. 9 del Regolamento e 2-sexies del Codice).

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Riguardo ai trattamenti di dati personali relativi alla vaccinazione anti SARS-CoV-2, il legislatore - con l’art. 4 del d.l. 1° aprile 2021, n. 44, convertito in legge 28 maggio 2021, n. 76 – aveva stabilito che la vaccinazione costituisce “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative” per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario espressamente indicati dalla legge (tale requisito professionale non è più richiesto per il predetto personale a decorrere dal 1° novembre 2022, per effetto del d.l. 31 ottobre 2022, n. 162).

L’art. 4, comma 6, nel testo vigente al tempo dei fatti oggetto di reclamo, prevedeva che “decorsi i termini per l'attestazione dell'adempimento dell'obbligo vaccinale […], l'azienda sanitaria locale competente accerta l'inosservanza dell'obbligo vaccinale e, previa acquisizione delle ulteriori eventuali informazioni presso le autorità competenti, ne dà immediata comunicazione scritta all'interessato, al datore di lavoro e all'Ordine professionale di appartenenza. L'adozione dell'atto di accertamento da parte dell'azienda sanitaria locale determina la sospensione dal diritto di svolgere prestazioni o mansioni che implicano contatti interpersonali o comportano, in qualsiasi altra forma, il rischio di diffusione del contagio da SARS-CoV-2”.

Nel premettere che il quadro normativo sopra richiamato era stato successivamente riformato dal legislatore (v. art. 4, comma 4, del d.l. 1° aprile 2021, n. 44, come sostituito dall'art. 1, comma 1, lett. b), del d.l. 26 novembre 2021, n. 172, che prevedeva un diverso procedimento di verifica del requisito vaccinale da parte degli Ordini professionali per il tramite delle rispettive Federazioni nazionali), si evidenzia che i vari soggetti coinvolti (datori di lavoro, regioni, aziende sanitarie, ordini professionali), nell’effettuare i trattamenti in questione (che trovano la propria base giuridica nella predetta disposizione normativa) erano tenuti ad assicurare il rispetto dei principi di protezione dei dati (art. 5 del Regolamento) nonché, a trattare i dati mediante il personale autorizzato e debitamente istruito in merito all’accesso ai dati (artt. 5 e 4, par. 10, 29, 32, par. 4, del Regolamento), tenuto altresì conto della particolare delicatezza degli stessi (art. 9, parr. 2 e 4, nonché art. 4, punto 15, e cons. 35 del Regolamento).

In tale quadro, le aziende sanitarie, in base alla normativa vigente al tempo dei fatti oggetto di reclamo, potevano trattare i dati personali sia in qualità di ente che procedeva all’accertamento della mancata vaccinazione (sulla base del criterio della competenza territoriale legato alla residenza degli interessati, cfr. art. 4, comma 5, d.l. n. 44/2021) sia in qualità di datori di lavoro del personale sanitario interessato (cfr. art. 4, commi 6-10, d.l n. 44/2021).

Tali ruoli potevano, talvolta, essere coincidenti (ad esempio nell’ipotesi, non infrequente, del dipendente di una azienda sanitaria che sia anche quella territorialmente competente in base alla residenza dello stesso, circostanza che sembra ricorrere nel caso di specie). In tali casi, nel rispetto dei principi generali del trattamento (art. 5, 24 e 25 del Regolamento), si rendeva necessario adottare specifiche misure tecniche e organizzative volte ad assicurare che i dati fossero trattati per le sole finalità per le quali erano stati raccolti, avendo cura di tenere distinte, anche sotto il profilo organizzativo, le finalità del trattamento perseguite in qualità di datore di lavoro da quelle relative alla funzione di accertamento della mancata vaccinazione.

In base alla richiamata disciplina di settore, solo a seguito di puntuali verifiche - e nei soli confronti degli interessati rispetto ai quali fosse stata accertata in concreto l’assenza del predetto requisito professionale (es. trovando applicazione le ipotesi di esclusione espressamente previste dalla legge, art. 4, comma 2, cit.) - “l'azienda sanitaria locale competente accerta[va] l'inosservanza dell'obbligo vaccinale e […] ne da[va] immediata comunicazione scritta all'interessato, al datore di lavoro, e all'Ordine professionale di appartenenza” (art. 4, comma 6 del d.l. n. 44/2021). Tale quadro non prevedeva, invece, che il datore di lavoro dovesse comunicare all’Ordine professionale di appartenenza i provvedimenti datoriali adottati a seguito dell’atto di accertamento, da parte dell’azienda sanitaria locale, dell’insussistenza del requisito vaccinale. Spettava, infatti, unicamente all’azienda sanitaria locale, in qualità di ente accertatore del predetto requisito, comunicare all’Ordine professionale, come pure al datore di lavoro e all’interessato, la sospensione dal diritto di svolgere prestazioni o mansioni che implicassero rischio di contagio (comma 7 dell’art. 4), ai fini dell’adozione, da parte di ciascuno, dei provvedimenti di competenza (quali l’adibizione a mansioni alternative, ovvero la sospensione dal lavoro, da parte del datore di lavoro; le annotazioni sull’albo professionale da parte dell’Ordine).

Nel sistema del Regolamento e del Codice tali norme di settore costituiscono la base giuridica per le operazioni di trattamento necessarie alle verifiche della sussistenza (o meno) del requisito professionale, perimetrando, in modo uniforme a livello nazionale, l’ambito del trattamento consentito a ciascuno dei soggetti istituzionali coinvolti nel processo di verifica (v. i numerosi provvedimenti del Garante nel periodo emergenziale e, in particolare, i pareri resi sulle disposizioni di attuazione del predetto quadro, tra cui, in particolare, provv. 13 dicembre 2021, n. 430, doc. web n. 9727220). Come tradizionalmente affermato dal Garante, in particolare in un contesto lavorativo altrettanto delicato come quello del trasporto aereo di passeggeri, i trattamenti effettuati per finalità di accertamento dei requisiti per l’accesso e lo svolgimento di talune professioni previsti da specifiche disposizioni di legge devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste da tale cornice di riferimento (v. provv. 27 aprile 2016, n. 194 , doc. web n. 5149198).

Nel caso di specie, con nota prot. n. XX del XX, indirizzata al reclamante e all’Ordine dei Medici Chirurghi e Odontoiatri della Provincia di Cagliari, l’Azienda, avendo preso atto della comunicazione con la quale il proprio Dipartimento di Prevenzione “ha dato formale comunicazione [al Commissario Straordinario dell’Azienda] nella sua qualità di datore di lavoro, dell’intervenuto accertamento dell’inosservanza da parte del [reclamante], in servizio presso ATS Sardegna […], degli obblighi vaccinali […]”, ha reso edotto il predetto Ordine di circostanze afferenti al rapporto di lavoro.

In particolare, la predetta nota riportava:

la circostanza che “[…] non è possibile adibire [il reclamante] a mansioni, anche inferiori, diverse da quelle esercitate e che non implichino contatti interpersonali o non comportino, in qualsiasi altra forma, il rischio di diffusione del contagio da SARS-CoV-2”;

le mansioni all’epoca svolte dal reclamante;

la circostanza che “decorso il termine di 5 giorni dal ricevimento della presente, [il reclamante] è sospes[o] dal servizio, fino all’assolvimento dell’obbligo vaccinale o, in mancanza fino al completamento del piano vaccinale nazionale e comunque non oltre il 31 dicembre 2021”;

il fatto “che, per l’intera durata della sospensione […] all’interessato non sono dovuti la retribuzione né altro compenso o emolumento […]”.

In base al quadro normativo sopra richiamato, come vigente al tempo in cui sono occorsi i fatti oggetto di reclamo, l’Azienda - in qualità di ente che procedeva all’accertamento dell’insussistenza del requisito vaccinale e non invece nella veste di datore di lavoro – avrebbe dovuto comunicare all’Ordine professionale esclusivamente l’esito dell’accertamento in questione.

L’Azienda, in veste di datore di lavoro, ha, invece, comunicato all’Ordine dei Medici Chirurghi e Odontoiatri della Provincia di Cagliari i provvedimenti adottati nell’ambito del rapporto di lavoro in conseguenza dell’accertamento effettuato dal Dipartimento di Prevenzione, nonché altre informazioni relative al rapporto di lavoro (mansione svolta dal reclamante; circostanza che lo stesso non potesse essere impiegato ad altre mansioni; possibile sospensione dell’interessato dal servizio senza retribuzione), di cui l’Ordine, in virtù del richiamato quadro normativo, non era legittimato a venire a conoscenza. L’Ordine, infatti, in base al predetto quadro normativo, poteva conoscere, e quindi trattare, ai fini delle dovute annotazioni sull’albo professionale, solo l’informazione relativa all’insussistenza del requisito vaccinale, con conseguente sospensione ex lege dell’interessato dall’esercizio della professione medica (e non anche l’informazione relativa alla sospensione dal servizio, ipotesi solo eventuale in ragione della possibilità per il professionista di essere adibito a mansioni alternative, sulla base delle valutazioni del datore di lavoro).

La comunicazione dei dati personali in questione è, pertanto, avvenuta in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. art. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

Sebbene la definizione di “dati relativi alla salute” (art. 4, par. 1, n. 15) includa anche la prestazione di servizi sanitari, deve, nel caso di specie, osservarsi che, contrariamente a quanto sostenuto dal reclamante, l’informazione sulla mancata vaccinazione anti Covid-19, senza specifici riferimenti alle ragioni di esenzione o differimento (connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti), non costituisce di per sé un dato personale sulla salute dell’interessato. Per tali ragioni, si ritiene che la comunicazione oggetto di reclamo non abbia avuto ad oggetto dati personali relativi alla salute dell’interessato.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, per aver comunicato dati personali del reclamante a un soggetto terzo in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta ha avuto ad oggetto la comunicazione di dati personali attinenti a vicende connesse al rapporto di lavoro, nonostante i numerosi precedenti in materia e, più in generale, le indicazioni rese dal Garante a tutti i soggetti pubblici con le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" (provv. n. 23 del 14 giugno 2007, doc. web n. 1417809).

Di contro, si è tenuta in considerazione la circostanza che la condotta dell’Azienda ha avuto luogo nel contesto emergenziale dovuto alla pandemia da SARS-CoV-2, in cui la stessa, come altre Amministrazioni, ha dovuto assumere decisioni complesse in temi rapidi, a fronte di un quadro normativo dell’emergenza particolarmente complesso e in continua evoluzione (peraltro, il requisito professionale della vaccinazione non è più richiesto per il personale sanitario a decorrere dal 1° novembre 2022, per effetto del d.l. 31 ottobre 2022, n. 16). Si è, altresì, considerato che alcuni dei dati personali oggetto di comunicazione (circostanza che l’interessato non potesse essere adibito ad altre mansioni; possibile sospensione dal servizio senza retribuzione) riguardano eventualità comunque astrattamente contemplate dal quadro normativo di settore sopra richiamato in caso di insussistenza del requisito vaccinale e, in quanto tali, quantomeno prospettabili da parte di chiunque fosse a conoscenza dell’intervenuta sospensione del reclamante. Si è poi tenuto conto che la violazione ha riguardato un solo interessato e non ha avuto ad oggetto la violazione di dati personali relativi a categorie particolari. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che la comunicazione in questione ha avuto ad oggetto dati personali relativi al rapporto di lavoro dell’interessato, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda per violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Gestione Regionale Sanitaria Liquidatoria dell’Azienda per la tutela della salute - ATS Sardegna, con sede legale in Via Enrico Costa n. 57 - 07100 Sassari (SS), C.F. 92005870909, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Gestione Regionale Sanitaria Liquidatoria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei