g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Napoli Corpo di Polizia Municipale - 26 maggio 2022 [9788986]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9788986]

Ordinanza ingiunzione nei confronti di Comune di Napoli Corpo di Polizia Municipale - 26 maggio 2022

Registro dei provvedimenti
n. 195 del 26 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Premessa.

Un’organizzazione sindacale ha segnalato che, in data XX, sarebbe stato effettuato l’invio, dall’indirizzo di posta elettronica istituzionale dell’ufficio del personale del Corpo di Polizia locale del Comune di Napoli, di una comunicazione, indirizzata a strutture e articolazioni amministrative interne all’ente, cui era allegato l’elenco dei nominativi, recapiti, codice fiscale e dati di contatto dei dipendenti aderenti a un programma di “screening anti Covid” con l’indicazione del giorno e dell’orario in cui ciascuno avrebbe dovuto recarsi presso l’Azienda sanitaria competente per l’effettuazione del tampone Covid-19.

2. L’attività istruttoria.

In riscontro alle specifiche richieste dell’Ufficio il Comune ha dichiarato che (cfr. nota del XX)

“in considerazione delle attività di frontline che vedono Ufficiali ed agenti del Corpo impiegati quotidianamente per i controlli dovuti all'emergenza sanitaria da Covid 19, e quindi soggetti potenzialmente esposti al contagio, al fine di tutelare gli operatori tutti, nonché l' esecuzione di un compito di interesse pubblico […] ha proceduto, anche su pressanti richieste dei rappresentanti dei lavoratori, a richiedere alla Direzione della ASL Napoli Centro competente, apposito screening sanitario per i suddetti dipendenti”;

in questo contesto sarebbe stato disposto “un interpello inviato a tutte le dipendenze con richiesta di informazioni identificative e di sottoposizione qualora si volesse aderire esplicitamente, su base volontaria, a tale screening quali: nome, cognome, residenza, indirizzo e cellulare, da parte dei dipendenti interessati”;

“tanto così come stabilito al punto 10 delle faq del Garante per la Protezione dei Dati Personali ed inerenti al trattamento dei dati nel contesto sanitario con particolare riferimento all' ambito dell'emergenza sanitaria”;

“le unità operative raccoglievano i dati aggiornati richiesti con la compilazione, su base volontaria, del relativo modulo per ogni singolo appartenente alla propria unità operativa trasmettendo il tutto all'Ufficio Personale di questo Servizio. Le suddette richieste di adesione con il relativo elenco, contenenti esclusivamente i dati sopraindicati e non quindi informazioni sanitarie […], venivano inoltrate, come da accordo, all'Ufficio competente dell'ASL NA 1 che ne avevano necessità per organizzare l'attività di screening […] in un momento peraltro estremamente complesso per l'evoluzione in atto per la pandemia e poi per il diretto riscontro agli interessati, tramite procedura informatica”;

“ricevuta la conferma da parte del Servizio Sanitario, questo Dipartimento di Sicurezza procedeva ad informare le dipendenti Unità Operative di Polizia Locale a cui appartenevano gli operatori aderenti, dell'attuazione dello screening con data e orario in cui gli stessi dovevano sottoporsi al test anti covid, il tutto si precisa ancora una volta su base volontaria e dopo la compilazione di apposito modello di adesione sottoscritto dagli stessi e trasmesso […] al Comando Generale”;

“l'ASL comunicava in modo del tutto riservato, tramite messaggistica, all'utenza indicata dal dipendente interessato l'esito del test […] l'utenza telefonica era stata acquisita all'atto della manifestazione della volontarietà dell'adesione e gli operatori erano consapevoli che sarebbe stata utilizzata dalla ASL per le finalità di cui sopra garantendo, in tal modo, la massima discrezione circa l'esito dello screening”;

“si è trattato della trasmissione dei soli dati identificativi dei dipendenti de quo esclusivamente all'ASL competente, per la programmazione delle attività di screening nonché di comunicazione di servizio ai reparti dipendenti di appartenenza degli operatori che volontariamente hanno deciso di aderire, e per le sole attività logistiche/organizzative che hanno consentito, a centinaia di agenti ed ufficiali, di fruire di una siffatta opportunità gratuita che ha permesso di conoscere maggiormente la situazione del contagio e di limitare la diffusione nel Corpo, in un momento estremamente delicato”.

Con nota del XX l’Ufficio, sulla base degli elementi acquisiti, delle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune , ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6, par. 1, lett. c) e e), 9, par. 2, lett. b), 88 del Regolamento, nonché, con specifico riguardo al trattamento dei dati relativi all’adesione o meno di ciascun dipendente alla campagna di screening, dell’art. 113 del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX il Comune ha presentato la propria memoria difensiva, dichiarando, in particolare, che:

“nel generale quadro emergenziale mai affrontato in precedenza dal nostro Paese […e] nel pieno della seconda ondata della pandemia -che in Campania è stata più drammatica della prima- il prezzo che stavano pagando gli operatori del corpo della polizia Locale di Napoli era molto alto”;

“il Comando ha operato con senso di responsabilità ed attenzione con due specifiche finalità di salvaguardia per la salute pubblica: 1) tutelare i dipendenti del Corpo e le loro famiglie dal contagio; 2) tutelare tanti cittadini che per i controlli venivano a contatto ogni giorno con gli operatori della Polizia Locale […]”;

“è emersa la necessità - in un momento in cui le Autorità sanitarie si stavano organizzando ma non erano ancora pronte- di operare in sinergia con la Direzione della ASL NA 1 per far sottoporre gli operatori che volontariamente intendevano farlo- ad accertamenti sul contagio”;

“all'epoca dei fatti contestati […] non era ancora attiva alcuna piattaforma gestita dalla Asl che consentisse l’accesso diretto ed autonomo dei dipendenti. […] Nella circostanza, quindi, non si trattava dl verificare "casi sospetti', ma di consentire uno screening volontario tra gli interessati, per cui risultava indispensabile - a dire della Direzione della ASL - la raccolta delle informazioni da fornire alla Struttura della ASL […] degli appartenenti alle forze dell'ordine […]

l’amministrazione avrebbe quindi rappresentato l’”interfaccia per la promozione dell'iniziativa con due finalità: l) individuare coloro che appartenendo alla Polizia Locale di Napoli, erano interessati all'iniziativa in modo volontario; 2) avere un recapito certo e riservato degli stessi e da loro liberamente indicato, dove poter comunicare gli esiti, per coloro che autonomamente si sarebbero poi sottoposti allo screening”;

“per tale ragione, nell'interesse pubblico e al fine di salvaguardare sia il personale dipendente che l‘utenza, si è acconsentito a fungere da interfaccia tra i dipendenti liberamente aderenti all'iniziativa e la Asl”;

“i dati forniti risultavano necessari per la ASL NA 1 ai fini dell'esatta identificazione del dipendente che si era dichiarato interessato, come soggetto appartenente al Corpo della Polizia Locale di Napoli […]”;

gli interessati “con la manifestazione della volontarietà e la trascrizione dei dati che hanno liberamente comunicato all'Ufficio del Comando che gestisce i dati sensibili, […], erano perfettamente consapevoli che tali riferimenti personali sarebbero stati poi riservatamente trasmessi ed utilizzati dalla Asl”;

“il Comando ha ritenuto che fosse stata implicitamente […] autorizzata la trasmissione dei dati tra gli Uffici interni del Corpo e poi alla ASL”;

“il Comando, comunque, non […] ha avuto contezza di alcun dato sanitario né di chi dopo aver manifestato l’interesse si sia poi effettivamente sottoposto all'esame […] Tantomeno poteva essere a conoscenza poi degli esiti dei tamponi”;

“solo 866 [dipendenti] hanno manifestato interesse compilando il modulo che autorizzava la trasmissione dei dati a fronte delle oltre 1500 unità in servizio all'epoca nel Corpo della Polizia Locale di Napoli. E solo i dati di coloro che hanno compilato i moduli sono stati trattati”;

“tutti i dati dalla raccolta alla trasmissione alla ASL sono stati trattati solo dagli appositi Uffici interni della Polizia Locale e da personale opportunamente formato in materia”;

“l'unica notizia che perveniva al Comando, veniva comunicata direttamente dal dipendente che, qualora risultava positivo, veniva collocato in "malattia" dall' Autorità sanitaria. Questa comunicazione, prevista per legge, consentiva al Comando di effettuare la segnalazione all'INAIL e la sanificazione dei locali e dei mezzi […]

“non si riesce ad immaginare con le informazioni e gli strumenti disponibili all' epoca da questo Comando una modalità diversa e più sicura rispetto a quella che è stata [adottata]. Peraltro nessuna indicazione, circolare e/o chiarimento è arrivato nel senso in quel periodo al Comando, circa la modalità più consona di gestire quelle informazioni sia da Strutture interne che esterne all' Ente […] D'altronde la stessa faq del Garante che è stata pubblicata ed a cui viene fatto cenno, nel contesto sanitario nell'ambito della emergenza, non dettava prescrizioni capillari e vincolanti […] limitandosi a e raccomandare che la partecipazione della platea interessata ai test aderisse solo su base volontaria”;

“all'epoca dei fatti in contestazione, vale la pena evidenziare che non era stata ancora attivata dalle autorità sanitarie e/o dall'Ente, alcuna attività di screening per le forze dell'ordine e forti erano le tensioni e le pressioni dei lavoratori, dei loro rappresentanti sindacali e dei loro Rappresentanti dei Lavoratori per la Sicurezza (RLS), per la preoccupazione di contagio per loro stessi e le loro famiglie, connessa all' impiego per strada a contatto con la cittadinanza, che poteva sfociare in azioni di protesta”;

“non risultano peraltro essersi manifestati danni causati dalla procedura seguita […] di converso sono stati molti gli apprezzamenti per l’iniziativa, pervenuti da alcune, tra le più importanti Organizzazioni sindacali dei lavoratori e dagli stessi operatori”;

“non vi è stato più necessità di attuare una procedura analoga, per le circostanze sopra illustrate. Anzi in forza della comunicazione del Garante, in analoghe circostanze future, anche in presenza delle drammatiche situazioni vissute, il Comando si atterrà pedissequamente a quanto venuto a conoscenza”.

In data XX si è, inoltre, svolta l’audizione richiesta, ai sensi dell’art. 166, comma 6, del Codice, in occasione della quale il Comune ha confermato -integrando le proprie dichiarazioni in data XX , quanto già dichiarato in sede di memorie difensive, rappresentando, tra l’altro, che:

“il Comune di Napoli, il cui Comando costituisce specifica articolazione […essendo] il personale di polizia municipale […] assunto dal Comune, si trova in una […] condizione di predissesto […e] sarebbe pesantemente colpito in caso di una sanzione amministrativa;

successivamente ai fatti oggetto dell’istruttoria “sono state seguite nuove procedure che corrispondono alle indicazioni del Garante […]. Nella procedura attualmente seguita i dati non sono trattati dal Comando che si è impegnato solo a dare solo comunicazione dell’iniziativa e gli agenti che hanno aderito alla campagna di screening, hanno interloquito e comunicato i propri dati direttamente con il personale dell’autorità sanitaria. Ciò è stato necessario – considerata la crescita dei contagi – nel rispetto delle indicazioni del Garante a riprova della buona fede del Comando che ha immediatamente recepito ed attuato le indicazioni che ha ricevuto che seguirà sempre per il futuro”;

“nel periodo a cui si riferiscono i fatti oggetto dell’istruttoria il Corpo di Polizia Locale è stato al centro di una serie di attività legate al proprio ruolo su precise indicazioni del Prefetto e del Ministero dell’Interno e le iniziative assunte dal Comandante sono state volte ad assicurare la sicurezza degli agenti e dei luoghi di lavoro nonché la tutela della salute pubblica della cittadinanza che veniva sistematicamente a contatto con gli operatori”;

“nella compagine degli agenti assegnati al comando ad oggi risultano otto deceduti e centinaia di dipendenti risultati positivi al Covid. Tutte le iniziative sono state ispirate sulla base dei doveri della Costituzione che incombono sull’ente e sul datore di lavoro (ad es. art. 54 C)” e comunque “quanto verificatosi e oggetto dell’istruttoria è avvenuto in una sola circostanza”;

“i dipendenti che hanno aderito all’iniziativa hanno personalmente compilato un modulo conferendo i propri dati di contatto al fine di agevolare le attività di programmazione e gli adempimenti dell’ASL”;

“a differenza di ciò che accade normalmente con riguardo agli screening di prevenzione, nel periodo in questione, in relazione al contesto epidemiologico dell’epoca, l’amministrazione ha agito sulla base delle indicazioni della ASL posto che solo successivamente è stata attivata la piattaforma dedicata”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Con riguardo alle categorie particolari di dati personali, e tra questi i dati relativi alla salute (ossia quelli “attinenti alla salute fisica o mentale  di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, art. 4, par. 1, n. 15, del Regolamento) il trattamento - di regola vietato - è consentito al datore di lavoro per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento).

Il trattamento dei dati personali in ambito lavorativo deve avvenire nel rispetto anche delle norme preesistenti che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro per evitare possibili effetti discriminatori per gli interessati (art. 88 del Regolamento e artt. 113 e 114 del Codice). Fin dal 1970, al datore di lavoro, pubblico e privato, è fatto divieto di acquisire (e comunque “trattare”) informazioni che “non [siano] rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (v. art. 8 della l. 20 maggio 1970, n. 300 e art. 10 del d.lgs. 10 settembre 2003, n. 276). L’art. 113 del Codice rinvia a tali diposizioni di settore e, pertanto, tenuto anche conto dell’art. 88, par. 2, del Regolamento, l’osservanza degli artt. 8 della l. 20 maggio 1970, n. 300 e dell’art. 10 del d.lgs. n. 297/2003, costituisce una condizione di liceità del trattamento (artt. 5, par.1, lett. a), 6 e 88 del Regolamento), la cui violazione - analogamente alle specifiche situazioni di trattamento del capo IX del Regolamento – comporta l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale autorizzato e istruito in merito all’accesso e al trattamento dei dati (artt. 4, punto 10, 29, e 32, par. 4, del Regolamento).

3.1. Il trattamento di dati personali dei dipendenti relativi all’adesione alla campagna di screening anti Covid19

Dalla documentazione in atti e come confermato dal titolare del trattamento, risulta che, per il tramite dei Comandanti di reparto, è stato effettuato un interpello volto ad acquisire i dati di contatto dei singoli dipendenti (quali, nome, cognome, residenza, indirizzo, numero cellulare nonché numero di matricola e codice fiscale del dipendente, v. doc. allegata alla segnalazione, in atti), nonché l’informazione circa la volontà di ciascuno di aderire all’iniziativa di screening presso l’azienda sanitaria competente (cfr. nota del XX e relativo allegato 1). Successivamente, sulla base delle adesioni ricevute, sarebbero stati ulteriormente trattati i dati personali degli operatori di Polizia locale mediante l’invio, dall’indirizzo posta elettronica dell’ufficio preposto alla gestione del personale, ad altre strutture e articolazioni amministrative, dell’elenco dei nominativi, codice fiscale, recapiti e altri dati di contatto dei dipendenti aderenti alla campagna di prevenzione, con l’indicazione del giorno e dell’orario in cui ciascun dipendente avrebbe dovuto sottoporsi all’effettuazione del tampone presso la Azienda sanitaria di riferimento.

Contrariamente a quanto sostenuto nelle memorie difensive in merito all’assenza di specifiche indicazioni sulle corrette modalità per il trattamento dei dati personali nella prima fase della emergenza epidemiologica da SARS-CoV-2, si fa presente che invece il Garante - considerato il susseguirsi in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, di interventi normativi e conseguenti atti di indirizzo emanati dalle istituzioni competenti - è intervenuto in numerose occasioni al fine di fornire indicazioni e chiarimenti, anche ai datori di lavoro, per prevenire trattamenti di dati personali non conformi alla disciplina di protezione dei dati personali, facendo leva sui compiti di sensibilizzazione e promozione della cultura della protezione dei dati attribuiti dal Regolamento (promuovendo “la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti”, v. 57, par. 1, lett. b) e d), del Regolamento, e dell’art. 154-bis, comma 1, lett. a), del Codice).

Ciò tenuto conto, in particolare, dei maggiori rischi per gli interessati nel contesto lavorativo (con riguardo alla “vulnerabilità” degli interessati nel contesto lavorativo, cfr. artt. 35 e 88, par. 2, del Regolamento e “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017).

Fin dalle prime settimane dell’emergenza, infatti, il Garante ha invitato i datori di lavoro al rigoroso rispetto delle norme emanate nel contesto dell’emergenza epidemiologica, nonché delle disposizioni nazionali più specifiche e di maggior garanzia previste in ambito lavorativo (art. 88 Regolamento e 113 Codice cfr. Corte di Giustizia dell’Unione Europea Grande Sezione, sentenza 11 settembre 2018, causa C-68/17) e dunque a non intraprendere “iniziative autonome che preved[essero] la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti” (cfr.,“Coronavirus: Garante Privacy, no a iniziative "fai da te" nella raccolta dei dati”, comunicato del 2 marzo 2020, doc. web n. 9282117).

Anche nell’eccezionale situazione emergenziale, tenuto conto delle problematiche derivanti dalle pressanti esigenze di tutela della sicurezza dei luoghi di lavoro e dai connessi trattamenti di dati personali, il Garante ha richiamato l’attenzione dei titolari del trattamento, datori di lavoro, ad operare nell’ambito e nei limiti previsti dalla disciplina applicabile, che costituisce la base giuridica dei relativi trattamenti (artt. 5, 6, 9, par. 2 lett. b) e 88 del Regolamento), evitando di porre in essere iniziative non previste dalla legge che, in talune circostanze, possono porsi in contrasto anche con le predette disposizioni nazionali che vietano al datore di lavoro di trattare informazioni non attinenti all’attività lavorativa, con possibili effetti lesivi per gli interessati nel contesto lavorativo e professionale.

In tale quadro, in assenza di espresse previsioni normative, non è pertanto consentito al datore di lavoro raccogliere, direttamente dagli interessati e con il consenso degli stessi, informazioni relative alla sfera privata o alle convinzioni personali dei lavoratori, ivi compresa l’intenzione o meno di aderire ad una campagna di screening. Ciò anche per l’impossibilità di considerare il consenso dei dipendenti una valida condizione di liceità per il trattamento dei dati personali in ambito lavorativo, tenuto conto dello squilibrio nel rapporto con il titolare, specie quando il datore di lavoro sia un’autorità pubblica (cons. 43 del Regolamento) e in ragione delle richiamate disposizioni nazionali che vietano il trattamento di dati non rilevanti rispetto all’attività lavorativa (art. 88 del Regolamento e art. 113 del Codice; v. anche art. 5, l. 20 maggio 1970, n. 300).

Per tali ragioni il Garante ha ritenuto necessario pubblicare sul proprio sito istituzionale, fin dal 4 maggio 2020, aggiornandole successivamente, le risposte ad alcune domande frequenti (Faq) in materia di “Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria” (doc web n. 9337010), con principi che sono stati confermati, anche a fronte dell’evoluzione del quadro normativo legato all’emergenza, in numerosi provvedimenti e documenti di indirizzo a carattere generale (v. in particolare, il documento di indirizzo “Protezione dei dati - Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367; con riguardo al tema della vaccinazione dei lavoratori provvedimento n. 198 del 13 maggio 2021 - Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, doc. web n. 9585300, e FAQ in materia di Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo, doc. web n. 9543615).

In tale quadro, il Garante ha fornito indicazioni in merito al corretto trattamento dei dati personali ai datori di lavoro e alle strutture sanitarie nell’ambito delle rispettive competenze con specifico riferimento alle campagne di screening (cfr. FAQ Trattamento dei dati nel contesto lavorativo pubblico e privato e nell’ambito dell’emergenza sanitaria, spec. n. 7 e FAQ Trattamento dei dati nel contesto sanitario nell’ambito dell’emergenza sanitaria, spec. n. 10, doc web n. 9337010), ricordando che i lavoratori possono liberamente aderire a tali iniziative avviate dalle autorità sanitarie competenti a livello regionale (in particolare, i dipartimenti di prevenzione delle aziende sanitarie, artt. 7 e ss., d.lgs. n. 502/92) e, spesso rivolte alle categorie di soggetti che presentano un maggiore rischio di contagio e di diffusione del virus, quali, come in questo caso, le forze di polizia locale.

Nel solco dei precedenti del Garante in materia, si fa presente che l’adesione alle campagne di screening è facoltativa. Il dipartimento di prevenzione può raggiungere le categorie di interessati con diverse modalità, anche tramite i datori di lavoro che vengono coinvolti dal dipartimento di prevenzione locale per veicolare l’invito di adesione alla campagna tra i propri dipendenti. La titolarità del trattamento effettuato nell’ambito dello screening resta sempre in capo alla struttura sanitaria che lo promuove, nello svolgimento dei propri compiti di istituzionali, e che pertanto è l’unica legittimata a raccogliere le adesioni e a comunicare i risultati agli interessati (cfr., art. 9, par. lett. h) e lett. i) del Regolamento) con riguardo alle finalità di diagnosi e cura dell’interessato e per disporre, se del caso, le misure di contenimento epidemiologico previste dalla normativa d’urgenza in vigore (es. isolamento domiciliare, nonché per finalità di sanità pubblica da parte del dipartimento di prevenzione regionale; cfr. art. 3, comma 6, d.P.C.M. 8 marzo 2020, Circolare n. 5443 del Ministero della salute del 22 febbraio 2020; cfr., relazione annuale del Garante per l’anno 2005, p. 33 e, da ultimo, provv. n. 400 dell’11 novembre 2021, doc web n. 9726426).

In tale quadro il datore di lavoro deve quindi limitarsi a svolgere un ruolo di promozione, supporto, e di intermediazione tra la struttura sanitaria e il dipendente, senza procedere alla raccolta di dati personali, quali, ad esempio, i nominativi dei dipendenti che intendano aderire allo screening (cfr. FAQ n. 7, Trattamento dei dati nel contesto lavorativo pubblico e privato e nell’ambito dell’emergenza sanitaria cit.), stante, come detto, lo specifico divieto per il datore di lavoro di trattare dati non pertinenti rispetto all’attività lavorativa (cfr., art.113 del Codice).

Diversamente nel caso di specie, come risulta dalla documentazione in atti, sono stati effettuati da parte dell’amministrazione, datore di lavoro, numerosi trattamenti di dati personali connessi alla predetta campagna di screening, dalla raccolta delle adesioni, all’invio all’azienda sanitaria dei dati identificativi e di contatto degli interessati, alla trasmissione alle unità operative, a cui appartenevano i lavoratori aderenti, dei predetti dati nonché della data e dell’orario in cui ciascun dipendente avrebbe dovuto sottoporsi al test anti Covid presso l’azienda sanitaria competente.

Per quanto il titolare abbia dichiarato che i trattamenti effettuati siano stati dettati dall’esigenza di tutelare la salute degli operatori di polizia municipale, che in ragione dei compiti e delle mansioni svolte risultavano maggiormente esposti al rischio di contagio (“assicurare la sicurezza degli agenti e dei luoghi di lavoro”, cfr., quanto da ultimo ribadito in sede di audizione) tali trattamenti non risultano però previsti dalle disposizioni di settore in materia di tutela della salute e di sicurezza dei luoghi lavoro di cui al d.lgs. 9 aprile 2008 n. 81 né dal quadro regolatorio legato al contenimento della diffusione del contagio all’epoca vigente (cfr. Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” di cui all’allegato 6 del D.P.C.M. 26 aprile 2020 e analoghi protocolli per le attività pubbliche non differibili e i servizi pubblici essenziali; v. anche art. 2 e Allegato 12 del D.P.C.M. del 13 ottobre 2020; v., anche il successivo Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021), trattandosi, come chiarito, di attività riconducibili ai compiti dei dipartimenti di prevenzione delle aziende sanitarie.

Anche il consenso dei dipendenti, pure richiamato nelle memorie, non può essere invocato quale presupposto di liceità, atteso che come noto il consenso dell’interessato non può, di regola, costituire un valido presupposto di liceità per il trattamento dei dati personali quando sussista “un evidente squilibrio tra l’interessato e il titolare” (cfr. considerando 43 del Regolamento), circostanza che ricorre in particolare nel contesto lavorativo (cfr., Comitato per la protezione dei dati, Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020, par.3.1.1.; v. anche Parere 2/2017 sul trattamento dei dati sul posto di lavoro, adottato dal Gruppo di lavoro art. 29 adottato l’8 giugno 2017, WP 249).

Né, la circostanza che le operazioni di trattamento siano state poste in essere, nell’ambito dell’organizzazione del titolare, da personale autorizzato a trattare dati personali dei dipendenti, può essere considerato sufficiente a colmare il difetto di base giuridica dell’originaria raccolta.

Da ultimo, occorre considerare che la raccolta di dati effettuata dal Comune ha avuto ad oggetto i “dati identificativi e di contatto dei dipendenti” che avevano aderito all’iniziativa di prevenzione per la trasmissione all’azienda sanitaria competente e che la successiva “comunicazione  […] ai reparti dipendenti di appartenenza degli operatori” includeva la data e l’orario per l’effettuazione del test, ma che solamente “l'ASL comunicava in modo del tutto riservato […]all'utenza indicata dal dipendente interessato l'esito del test”. Stando a quanto dichiarato, inoltre, eventuali trattamenti di dati relativi alla salute sono stati effettuati dall’amministrazione solo in presenza di una riscontrata positività del lavoratore in adempimento dei compiti e degli adempimenti che la legge attribuisce, in tali casi, al datore di lavoro e nel quadro delle specifiche misure di prevenzione e contenimento del contagio previste dal quadro normativo legato all’emergenza epidemiologica (“l'unica notizia che perveniva al Comando, veniva comunicata direttamente dal dipendente che, qualora [fosse risultato] positivo, veniva collocato in "malattia" dall'Autorità sanitaria […anche al fine di] effettuare la segnalazione all'INAIL e la sanificazione dei locali e dei mezzi”; cfr. art. 55 e ss. d.lgs. n. 165/2001; art. 20 d.lgs. 81/2008; v. anche, il citato, Protocollo condiviso, nel testo vigente all’epoca dei fatti). Per tali ragioni si deve concludere, quindi, che il trattamento oggetto del presente procedimento non abbia avuto ad oggetto dati relativi alla salute dei dipendenti (ragione per cui si ritiene di procedere all’archiviazione del relativo profilo di contestazione).

Tanto premesso, quanto rappresentato nel corso dell’istruttoria non può ritenersi sufficiente ad escludere la responsabilità del Comune nel caso di specie e pertanto si ritiene che, sebbene lo stesso abbia agito anche sulla base delle indicazioni fornite dall’autorità sanitaria, la raccolta e il successivo trattamento dei dati personali dei dipendenti che avevano aderito all’iniziativa di prevenzione, sia avvenuto in assenza di base giuridica e in violazione degli artt. 5, par. 1, lett. a), 6, 88 del Regolamento, nonché artt. 2-ter e 113 del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione e indicative della piena collaborazione del titolare del trattamento al fine di attenuare i rischi del trattamento, rispetto alla situazione presente all’atto dell’avvio dell’istruttoria, non consentono tuttavia di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano quindi insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato in quanto avvenuto in violazione degli artt. 5, par. 1, lett. a), 6, 88 del Regolamento, nonché dell’art. 113 del Codice.

La violazione delle predette disposizioni rende inoltre applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento.

In tale quadro, considerando che la condotta ha esaurito i suoi effetti, non ricorrono invece i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione sono stati considerati la natura, l’oggetto e la finalità del trattamento, le dimensioni del Comune, nonché il numero degli interessati coinvolti e la delicatezza dei dati personali raccolti dal datore di lavoro, in quanto relativi ad un numero comunque considerevole di operatori di polizia locale aderenti all’iniziativa di prevenzione (“866 [dipendenti] hanno manifestato interesse compilando il modulo”).

Di contro, è stato considerato che il trattamento, stando a quanto dichiarato nel corso dell’istruttoria, è stato effettuato in tale unica occasione e in un momento particolarmente critico dell’emergenza epidemiologica con l’intento di facilitare l’adesione alla campagna di screening da parte di dipendenti che, in ragione delle mansioni svolte, risultavano particolarmente esposti al contagio; che il trattamento è comunque avvenuto nell’erroneo convincimento di poter legittimamente “operare nell'interesse pubblico e al fine di salvaguardare sia il personale dipendente che l‘utenza”. Ai fini della complessiva commisurazione della sanzione si è considerato che il titolare ha collaborato nel corso dell’istruttoria provvedendo ad adottare nuove procedure e misure organizzative da seguire in occasione di eventuali campagne di screening rivolte ai propri dipendenti, nel rispetto del quadro normativo applicabile e in coerenza con le indicazioni del Garante. E’ stato inoltre considerato quanto dichiarato in relazione alle difficoltà finanziarie dell’Ente e che altre violazioni a questo imputabili, come anteriormente accertate, non possono essere considerate quali precedenti specifici “relativamente allo stesso oggetto” (art. 83, par. 2, lett. i) del Regolamento) rispetto alla condotta in esame, la quale si riferisce a trattamenti per finalità eterogenee.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a), 6, 88 del Regolamento, nonché dell’art. 113 del Codice.

Tenuto conto della particolare delicatezza dei dati personali oggetto di trattamento, con  particolare riferimento all’informazione relativa all’adesione dei singoli dipendenti allo screening, e tenuto conto dei potenziali rischi, anche indiretti, per interessati nel contesto lavorativo, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Comune di Napoli - Corpo di Polizia Municipale per la violazione degli artt. 5, par. 1, lett. a), 6, 88 del Regolamento, nonché dell’art. 113 del Codice nei termini di cui in motivazione;

ORDINA

al Comune di Napoli Corpo di Polizia Municipale, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Municipio, Palazzo San Giacomo, Napoli, CF 80014890638, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Napoli Corpo di Polizia Municipale di pagare la somma di euro 12.000,00 (dodicimila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Mattei