Obbligare gli studenti delle scuole medie, superiori e università a fornire una certificazione di vaccinazione non obbligatoria per iscriversi ai corsi viola la privacy: questo è il principio stabilito dal Garante della privacy nel provvedimento n. 476 del 2 agosto 2024, con cui ha formalmente avvertito la Regione Puglia di non proseguire con la legge regionale n. 22 del 30 maggio 2024, che prevede limitazioni all'accesso scolastico basate sullo stato di vaccinazione contro il Papilloma virus (HPV). L'avvertimento ha riguardato anche le autorità sanitarie, le scuole e le università coinvolte, che devono considerarsi tutte informate.
Certificati vaccinali per vaccini non obbligatori: il caso
La questione è emersa dopo l'approvazione del disegno di legge da parte del consiglio regionale pugliese il 21 maggio 2024. Il 28 maggio 2024, il Garante ha avviato un'istruttoria specifica, anticipando l'azione del Governo e della Corte Costituzionale, poiché il Consiglio dei Ministri ha deciso di impugnare la legge pugliese davanti alla Corte.
Con il provvedimento n. 476/2024, il Garante ha concluso il proprio procedimento con un avvertimento ufficiale alla Regione Puglia e agli altri enti coinvolti. Questo avvertimento è previsto dal GDPR (Regolamento Ue sulla privacy n. 2016/679) e rappresenta un potere correttivo del Garante. Viene emesso quando un trattamento dei dati da parte di un ente (in questo caso, la Regione Puglia, l’ASL, scuole e università) rischia di violare la privacy. L’avvertimento è quindi una fase preliminare rispetto a una possibile sanzione che potrebbe arrivare fino a 20 milioni di euro, se l'avviso non viene rispettato.
Questo non è il primo avvertimento del Garante su questioni delicate, come dimostra l’ammonimento dato al Governo riguardo al green pass durante la pandemia di Covid.
Le violazioni della Puglia secondo il Garante della Privacy
La legge pugliese prevede che per l'iscrizione a percorsi educativi nella fascia di età 11-25 anni, inclusa l’università, sia necessaria una certificazione di vaccinazione contro l'HPV, o un certificato dell’ASL che attesti la somministrazione, l’avvio del programma di vaccinazione, o il rifiuto del vaccino. In alternativa, l’ASL potrebbe rilasciare una certificazione che attesti solo l’avvenuto colloquio informativo sui benefici del vaccino.
Il Garante ha identificato due violazioni della normativa sulla privacy nella legge pugliese. Primo, la privacy non può essere regolata tramite una legge regionale, ma richiede una legge statale. La raccolta di dati personali e sanitari da parte delle scuole e la richiesta di documentazione da studenti e famiglie possono avvenire solo se stabilito da una legge nazionale. La legge regionale non può imporre tali condizioni per l'accesso all'istruzione, trattandosi di una materia riservata alla legislazione statale.
Secondo, il principio di "minimizzazione" del GDPR richiede che i dati raccolti siano strettamente necessari per raggiungere gli scopi dichiarati. La legge pugliese punta a promuovere la vaccinazione attraverso una vasta raccolta di informazioni, ma il Garante ritiene che tale raccolta sia eccessiva rispetto agli obiettivi. L’informazione può essere veicolata tramite metodi meno invasivi, come incontri e distribuzione di materiale informativo nelle scuole.
Infine, il Garante considera superfluo l’esito del procedimento del Governo davanti alla Corte Costituzionale: indipendentemente dalla decisione della Consulta, i trattamenti di dati previsti dalla legge regionale non rispettano i principi di necessità e proporzionalità del GDPR.
Il Sottosegretario alla Salute Marcello Amato ha, quindi, reagito annunciando che il Governo italiano avrebbe impugnato la legge regionale pugliese n.22 sull’obbligo da parte dei cittadini dagli 11 ai 25 anni di comunicare di aver eseguito o rifiutato il vaccino contro il papilloma virus.
Leggi anche
La scuola può chiedere solo i certificati per i vaccini obbligatori
Il Garante della Privacy chiarisce che, secondo le norme vigenti (d.l. 7 giugno 2017, n. 73 e legge 31 luglio 2017, n. 119), le vaccinazioni obbligatorie per l'iscrizione ai servizi educativi e scolastici non includono il vaccino contro il papilloma virus (HPV). Pertanto, i dirigenti scolastici possono richiedere solo la certificazione delle vaccinazioni obbligatorie specificate dalla legge o la documentazione riguardante esoneri e differimenti, ma non possono chiedere prove relative alla vaccinazione anti-HPV per l'iscrizione alle scuole o ai corsi universitari.
Inoltre, la normativa sulla protezione dei dati personali richiede che le informazioni siano trattate in modo lecito e trasparente. Il trattamento dei dati sanitari, inclusi quelli relativi alle vaccinazioni, è soggetto a restrizioni e deve rispettare specifiche condizioni legali.
Il Garante della Privacy ha sollevato preoccupazioni riguardo all'art. 4-bis della legge regionale n. 1/2024 della Regione Puglia, evidenziando due principali criticità:
- Base giuridica inadeguata:
- Competenza Statale: il Garante sottolinea che le normative relative alla limitazione dei diritti fondamentali e al trattamento dei dati personali, inclusi quelli sanitari, rientrano nella competenza esclusiva dello stato, non delle regioni. La legge regionale in questione, che prevede la raccolta di dati sulla vaccinazione anti-HPV per l'iscrizione scolastica, potrebbe essere in conflitto con le norme statali e costituzionali;
- Principi di proporzionalità e ragionevolezza: la legge regionale potrebbe violare il principio di proporzionalità, poiché l'acquisizione di dati particolari (anche definiti dati sensibili) non è supportata da una norma statale uniforme. Inoltre, potrebbe limitare i diritti e le libertà individuali senza una base giuridica adeguata.
- Principi di trattamento dei dati:
- Minimizzazione dei dati: la raccolta generalizzata di informazioni relative alla vaccinazione anti-HPV da parte delle autorità scolastiche potrebbe non rispettare il principio di minimizzazione dei dati, che richiede che le informazioni raccolte siano limitate a quanto necessario per le finalità dichiarate.
- Disparità e discriminazione: la raccolta di dati potrebbe creare disparità tra gli studenti e rischia di avere effetti discriminatori. Il Garante suggerisce che l'informazione e la sensibilizzazione sui benefici della vaccinazione possano essere promosse attraverso metodi meno invasivi, come incontri informativi, senza raccogliere dati personali particolari.
La legge regionale potrebbe non essere conforme ai principi di protezione dei dati e alla normativa statale e il Garante suggerisce di adottare misure alternative che rispettino meglio i diritti individuali.