Ultimo aggiornamento 08/01/2022
Prot. n, 555-DOC/SMPD/ 5825\21
Decreto-legge 26 novembre 2021, n. 172, recante «Misure urgenti per il contenimento dell’epidemia da Covid-19 e per lo svolgimento in sicurezza delle attività economiche e sociali». Obbligo vaccinale per il personale della Polizia di Stato. Indicazioni in materia di protezione dei dati personali.
Si fa riferimento alla circolare 333-A di protocollo n. 0021554, del 10 dicembre 2021, a firma del Signor Capo della Polizia – Direttore Generale della Pubblica Sicurezza, concernente le disposizioni applicative per la verifica dell’adempimento dell’obbligo vaccinale da parte del personale della Polizia di Stato,
Al riguardo — a integrazione di quanto disposto da detta circolare — si forniscono di seguito ulteriori indicazioni in materia di protezione dei dati personali.
L’utilizzo delle «informazioni necessarie» riguardanti il personale sottoposto alle verifiche dell’adempimento dell’obbligo vaccinale, costituisce un’operazione di «trattamento di dati personali», rientrante nell’ambito di applicazione del regolamento (UE) 2016/679, del 27 aprile 2016 (GDPR), e del Codice in materia di protezione dei dati personali, di cui al d.lgs.
30 giugno 2003, n. 196 (Codice privacy).
Il «titolare del trattamento» (art. 4, par. 1, n. 7 e art. 24 GDPR) é il Ministero dell’interno – Dipartimento della pubblica sicurezza, inteso nel complesso delle sue articolazioni organizzative, di livello centrale e periferico. Per quanto concerne la figura del «responsabile della protezione dei dati» (art. 37 GDPR) occorre invece fare riferimento a quella istituita nell’ambito del Ministero dell’interno.
I dipendenti che, in relazione alle mansioni loro affidate, “trattano” i dati personali devono essere “autorizzati” al trattamento con provvedimento formale del responsabile della struttura in cui presta servizio il personale (0 suo delegato), dopo essere stati “istruiti” in ordine alle operazioni da compiere (art. 4, par. 1, n. 10, e art. 37 GDPR, art. 2-quaterdecies Codice privacy). Allo specifico riguardo, si evidenzia la necessita di limitare a quanto “strettamente necessario” il numero dei dipendenti “autorizzati” a trattare i dati personali in parola.
Il principio della «/imitazione della conservazione» — per il quale i dati personali devono essere «conservali … per un arco di tempo non superiore al conseguimento delle finalita per le quali sono trattati» (art. 5, par 1, lett. e, GDPR) impone, poi, di definire un termine per la cancellazione del dato personale. Nel caso di specie, la documentazione strettamente correlata con l’emergenza epidemiologica da COVID-19 (come le certificazioni vaccinali o |’attestato di vaccinazione omessa o differita) non dovrebbe essere conservata oltre il permanere della situazione emergenziale. Di contro, la documentazione correlata con la fase di accertamento dell’ inosservanza dell’ obbligo vaccinale e sospensione dal servizio — strumentale alla gestione del rapporto lavorativo — dovrebbe essere conservata coerentemente con i tempi previsti dalle disposizioni sullo scarto dei documenti d’archivio.
Si richiama, ancora, la necessita di adottare in generale le «misure tecniche e organizzative» idonee a garantire un livello di sicurezza adeguato al rischio di «violazione dei dati personali», come la distruzione, la perdita, la modifica, l’accesso o la divulgazione non autorizzati dei dati trattati (art. 4. par. 1, n. 12 e art. 32 GDPR).
Si evidenzia, infine, che il personale sottoposto a verifica deve essere opportunamente informato sul trattamento dei propri dati personali con specifica informativa (conforme al modello delineato dall’art 13 del GDPR, del quale si allega uno schema), la quale sara portata a conoscenza di tutti i dipendenti attraverso la pubblicazione sul portale DoppiaVela.
INFORMAZIONE DI CUI ALL’ART. 13 DEL REGOLAMENTO (UE) 2016/679, DEL 27 APRILE 2016 (GDPR), AL PERSONALE DELLA POLIZIA DI STATO SOTTOPOSTO ALLA VERIFICA DELL’ADEMPIMENTO DELL’OBBLIGO VACCINALE PREVISTO PER LA PREVENZIONE DELL’INFEZIONE DA SARS-COV-2
Con la presente informativa s‘intende fornire al personale della Polizia di Stato da sottoporre alla verifica dell’obbligo vaccinale da parte dei responsabili delle strutture in cui presta servizio — in base a quanto disposto dall’art. 4-ter del decreto-legge 1° aprile 2021, n. 44, inserito dal decreto legge 26 novembre 2021, n. 172 — le informazioni relative al trattamento dei dati personali che lo riguarda, effettuato per la necessita di accertarne la regolare posizione e gestire le eventuali successive fasi di accertamento dell’inosservanza dell’obbligo vaccinale e sospensione dall’attività lavorativa.
IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO
Il titolare del trattamento dei dati personali é il Ministero dell’interno – Dipartimento della pubblica sicurezza.
Per le articolazioni centrali del Dipartimento della pubblica sicurezza || “contatto” del titolare é la Segreteria del Dipartimento:
- indirizzo: Piazza del Viminale 1, 00184 Roma
- recapito telefonico: centralino 06 4651
- e-mail: sicurezzadati.dipps@poliziadistato.it
- posta elettronica certificata:dipps.555doc@pecps.interno. it
Per le articolazioni periferiche della Polizia di Stato il “contatto” del titolare é !’Ufficio del responsabile della struttura in cui presta servizio il personale.
DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI
Il punto di contatto é I’Ufficio del Responsabile della protezione dei dati del Ministero dell‘interno.
- indirizzo: Piazza del Viminale n. 1, 00184 Roma
- recapito telefonico: 06 46539557 – centralino 06 4651
- e-mail: responsabileprotezionedati@interno. it
- posta elettronica certificata: rdp@pec.interno.it
FINALITÀ DEL TRATTAMENTO E BASE GIURIDICA DEL TRATTAMENTO
I dati personali sono acquisiti al momento della presentazione del dipendente per lo svolgimento dell’attività lavorativa, mediante il controllo delle certificazioni verdi COVID19, oppure attraverso Il’accesso ad apposita piattaforma informatica di interoperabilità con sistemi informativi NoiPA/INPS. Sono, inoltre, ottenuti con la presentazione o trasmissione della documentazione in ottemperanza agli gli inviti formulati nel caso in cui il dipendente non abbia adempiuto all’obbligo vaccinale, non risulti aver presentato la richiesta di vaccinazione, oppure abbia presentato la documentazione attestante la richiesta di vaccinazione.
Il trattamento dei dati personali é limitato a quanto «necessario per adempiere un obbligo legale al quale é soggetto il titolare del trattamento» (art. 6, par. 1, lett. c, del GDPR) e, relativamente alle «categorie particolari di dati personali» di cui all’art. 9 del GDPR (c.d. “dati sensibili”), a quanto «necessario per motivi di interesse pubblico rilevante sulla base del diritto…» (art. 9, par. 2, lett. g, del GDPR). I trattamenti trovano poi base giuridica nelle disposizioni legislative e regolamentari in materia di obbligo vaccinale e di verifica delle certificazioni verdi COVID-19.
Il trattamento @ effettuato al fine di verificare la regolare posizione del personale dipendente e gestire le eventuali successive fasi di accertamento dell‘inosservanza dell’obbligo vaccinale e sospensione dall’attività lavorativa.
Ii trattamento puo riguardare anche le «categorie particolari di dati personali» di cui all’art.
9 del GDPR (c.d. dati sensibili, con particolare riferimento a quelli inerenti alla salute).
I dati personali sono trattati:
- dai dipendenti cui é affidato il compito di verificare le certificazioni verdi COVID-19 utilizzando |’applicazione per dispositivi mobili “VerificaC19”;
- dai dipendenti abilitati ad accedere alla piattaforma informatica NoiPA/INPS;
- dai dipendenti incaricati della gestione degli adempimenti d’ufficio connessi con le fasi di accertamento dell’inosservanza dell‘obbligo vaccinale e sospensione dall‘attività lavorativa.
Tali soggetti agiscono sotto I’autorita del titolare del trattamento (Ministero dell’interno Dipartimento della pubblica sicurezza) e sono autorizzati allo svolgimento delle operazioni di trattamento solo dopo aver ricevuto le necessarie istruzioni al riguardo.
I dati personali saranno trattati sia con l’ausilio di strumenti informatici sia manualmente e destinati ad essere raccolti in archivi informatici e cartacei.
Il trattamento dei dati personali, ai fini della tutela dei diritti e delle liberta degli interessati, sara effettuato mettendo in atto le misure tecniche e organizzative adeguate per garantire il rispetto dei principi di liceita, correttezza e trasparenza, di limitazione della finalita, di minimizzazione dei dati, di esattezza, di limitazione della conservazione e d’integrita e riservatezza, nonché delle regole in materia di protezione dei dati personali, previste dal GDPR e dal d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
PERIODO DI CONSERVAZIONE DEI DATI PERSONALI
I dati personali relativi al personale – in applicazione del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e, del GDPR — sono conservati per un arco di tempo non superiore a quello necessario per il conseguimento delle sopra individuate finalità.
In particolare, la documentazione strettamente correlata con |l’emergenza epidemiologica da COVID 19 (come le certificazioni vaccinali o |’attestato di vaccinazione omessa o differita) &@ conservata sino al permanere della situazione emergenziale. La documentazione correlata con la fase di accertamento dell’inosservanza dell’obbligo vaccinale e conseguente sospensione dal servizio — necessaria alla gestione del rapporto lavorativo – @ conservata coerentemente con i tempi di conservazione previsti dalle disposizioni sullo scarto dei documenti d’archivio.
DIRITTI DELL’INTERESSATO
Il personale, in qualità di interessato al trattamento dei dati personali che lo riguardano, é titolare dei seguenti diritti, che potranno essere esercitati presentando istanza, anche mediante mezzi elettronici, al “punto di contatto” del titolare del trattamento.
Diritto di accesso dell’interessato, ai sensi dell’art. 15 del GDPR
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere ‘accesso ai dati personali e alle informazioni sul trattamento.
Diritto di rettifica, ai sensi dell’art. 16 del GDPR
L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano. Ha, altresi, il diritto di ottenere |’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Diritto di cancellazione, ai sensi dell’art. 17 del RGPD
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, nei sequenti casi:
- i dati personali non sono pid necessari rispetto alle finalita per le quali sono stati raccolti o altrimenti trattati;
- l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, del GDPR e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone ai trattamento ai sensi dell’articolo 21, paragrafo 2 del GDPR;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione ovvero da una legge o da un regolamento.
Diritto di limitazione del trattamento, ai sensi dell’art. 18 del GDPR
L’interessato ha i! diritto di ottenere dal titolare del trattamento la limitazione del trattamento dei dati personali alla loro conservazione, nei segquenti casi:
l’interessato contesta l’esattezza dei dati personali, per il periodo necessario a! titolare del trattamento per verificare l’esattezza di tali dati personali; – il trattamento @ illecito e l‘interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
benché il titolare del trattamento non ne abbia pil: bisogno ai fini del trattamento, i dati personali sono necessari all‘interessato per |l’accertamento, |’esercizio o la difesa di un diritto in sede giudiziaria;
l’interessato si @ opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, del GDPR, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Diritto di opposizione, ai sensi dell’art. 21 del GDPR
L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, effettuato per la necessita di dare esecuzione a un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri di cui é investito il titolare del trattamento (ai sensi dell’art. 6, par. 1, lett.
e od f, del GDPR).
DIRITTO DI PROPORRE RECLAMO AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, AI SENSI DELL’ART. 77 DEL GDPR
Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, |’interessato che ritenga che il trattamento che lo riguarda violi il GDPR ha il diritto di proporre reclamo al Garante per la protezione dei dati personali, di cui all’art. 153 del d.lgs. 30 giugno 2003, n. 19 (“Codice in materia di protezione dei dati personali”).
