Preavviso di accertamento dell’obbligo vaccinale anti-SARS-CoV-2 per gli over 50 ex art. 4sexies, comma 4, d.l. 44/2021 come introdotto dal d.l. 01/2022: profili di illegittimità.

Cosa prevede l’art. 4Sexies, comma 4, d.l. 44/2021? In cosa consiste la comunicazione di avvio del procedimento sanzionatorio in riferimento agli obblighi vaccinali a carico degli ultracinquantenni? Che natura ha questa comunicazione? È autonomamente impugnabile o, comunque, può essere contestata? Quali sono i profili di illegittimità che possono essere sollevati?

In questi giorni è stata disposta dall’Agenzia Entrate Riscossioni la notifica dei preavvisi di accertamento ex art. 4sexies, comma 4, d.l. 44/2021 come introdotto dal d.l. 01/2022.

Com’è noto, con il d.l. 01/2022 citato l’obbligo per le vaccinazioni connesse all’emergenza COVID-19 era stato esteso anche ai soggetti che, ad una certa data, avessero compiuto il 50° anno di età.

Tale obbligo, dapprima, è stato esteso anche al rapporto di lavoro con l’introduzione del c.d. Super green pass.

Ai fini dell’accesso sul luogo di lavoro, si ricorda, per i soggetti residenti in Italia ultracinquantenni era stato introdotto l’obbligo di possesso ed esibizione della certificazione verde c.d. rafforzata in quanto ottenuta per guarigione da COVID-19 o a seguito di completamento del ciclo vaccinale comprensivo delle dose di richiamo previste, ai sensi del d.l. 52/2021.

Per approfondimenti vedasi questo articolo.

A partire dal 01 aprile 2022 è venuto meno l’obbligo di possesso del green pass rafforzato, secondo quanto previsto dal d.l. 24/2022.

Per approfondimenti sulla questione vedasi questo articolo e, in riferimento specifico al comparto istruzione, questo articolo.

Lo stesso d.l. 24/2022, peraltro, presenta profili di ambiguità già nel preambolo.

Si riscontrano, infatti, riferimenti espliciti ad una non meglio precisata “esigenza di superare lo stato di emergenza” mediante misure finalizzate alla “progressiva ripresa di tutte le attività in via ordinaria”.

Nel contempo, tuttavia, si dichiara formalmente “la cessazione dello stato di emergenza”, pur persistendo in riferimento, evidentemente, ad un tempo futuro non identificato, “esigenze di contrasto del diffondersi della pandemia da COVID-19”.

Il d.l. 24/2022, pertanto, come ormai anche il d.l. 01/2022 parrebbero aver perso quei requisiti di necessità ed urgenza che dovrebbero giustificare l’intervento del potere esecutivo in sostituzione del potere legislativo.

Vedasi in proposito le perplessità che sta sollevando, da ultimo, la giurisprudenza di merito.

Se già questa circostanza genera ingombranti dubbi in ordine al fondamento costituzionale dei decreti in esame, ancor più foriero di dubbi è l’ulteriore fatto per cui, pur avendo eliminato l’obbligo di certificazione verde per qualsiasi luogo a partire dal 01 maggio 2022, sia stata conservata la sanzionabilità di un comportamento evidentemente ormai privo di rilevanza ai fini della tutela della sicurezza pubblica.

Trattasi, ad ogni buon conto, di argomentazioni meglio spendibili in sede giudiziaria, qualora si ritenga opportuno sollevare questioni di legittimità costituzionale o di inapplicabilità delle norme nazionali per contrasto con il regolamento UE 679/2016 (GDPR Privacy).

In questa sede si rilevi, superficialmente, quanto dispone il GDPR citato all’art. 9, par.1 e par. 2, lett. i).

In particolare in quest’ultimo si legge che il divieto generalizzato di trattamento dei dati sulla salute è derogato nell’ipotesi in cui sia “necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

Al di la della questione inerente l’obbligo di “segreto professionale” che potrà meglio essere approfondita in seguito, nella fattispecie sanzionata non paiono più sussistere i “motivi di interesse pubblico”, soprattutto tra quelli esplicitamente citati dalla norma europea.

In questa sede si intende vagliare la sussistenza di eventuali argomentazioni spendibili nell’immediato nei confronti delle amministrazioni procedenti, onde ottenere un intervento in autotutela di annullamento del preavviso e conseguente archiviazione del procedimento sanzionatorio.

È, peraltro, preliminarmente utile conoscere i meccanismi intimi dello specifico procedimento sanzionatorio previsto dal d.l. 44/2021, anche in conseguenza della sua atipicità rispetto alle norme generali in tema di sanzioni amministrative.

Indice.

1. Cosa prevede l’art. 4Sexies d.l. 44/2021 in ordine al procedimento sanzionatorio degli over 50?
2. Avvio del procedimento sanzionatorio e formazione degli elenchi dei soggetti inadempienti.
3. Notifica del preavviso di accertamento.
4. Ruolo eventuale della ASL.
5. Problematiche in rapporto alla normativa sulla privacy.
6. Frizioni con il GDPR privacy.
7. Titolare del trattamento.
8. Responsabile del trattamento.
9. Decreto capienze.
10. Nomina del responsabile del trattamento.
11. Disapplicazione dell’atto amministrativo non conforme a regolamento comunitario: irrilevanza.
12. Consenso informato.
13. Conclusioni.

1 – Cosa prevede l’art. 4Sexies d.l. 44/2021 in ordine al procedimento sanzionatorio degli over 50?

L’art. 4 sexies scandisce un procedimento sanzionatorio in più fasi tra le seguenti:

• Avvio del procedimento mediante trasmissione, da parte del Ministero della Salute all’Agenzia Entrate Riscossioni, degli elenchi dei soggetti non vaccinati;
• notifiva, sempre da parte del Ministero per tramite dell’AER, dell’avvio del procedimento sanzionatorio, con indicazione di un termine di 10 giorni all’interessato per comunicare alla ASL competente eventuali motivi di esenzione, differimento o altra impossibilità oggettiva;
• attestazione, da parte della ASL competente per territorio, della insussistenza dell’obbligo o della impossibilità ad adempiervi da comunicarsi all’AER entro 10 giorni dalla comunicazione di cui al punto precedente e previo, eventuale, esperimento di un contraddittorio con l’interessato;
• notifica, da parte dell’AER ed in assenza dell’attestazione di cui al punto precedente, dell’avviso di addebito immediatamente esecutivo con il quale si irroga la sanzione di euro 100.

2 – Avvio del procedimento sanzionatorio e formazione degli elenchi dei soggetti inadempienti.

L’avvio del procedimento sanzionatorio avviene mediante la trasmissione all’AER degli elenchi dei soggetti inadempienti predisposti dal Ministero della Salute.

La predisposizione di tali elenchi avviene tramite l’incrocio dei dati presenti nel fascicolo sanitario elettronico ed eventualmente nell’anagrafe vaccinale con il sistema tessera sanitaria.

Per approfondimenti sul sistema tessera sanitaria e sulle modalità dell’accertamento si rimanda a questo articolo.

Di talchè i dati sulla salute dell’interessato vengono trasferiti dal Ministero della Salute,in quanto titolare degli stessi, all’AER che, tramite i propri funzionari amministrativi, formula e notifica il preavviso di accertamento.

3 – Notifica del preavviso di accertamento.

Una volta entrata in possesso dei dati sulla salute dell’interessato, quantunque dati sanitari sensibili, l’AER notifica il preavviso con cui informa sulle seguenti circostanze:

• la sussistenza di un procedimento sanzionatorio a carico dell’interessato;
• la possibilità di comunicare cause di esenzione, differimento o cause ostative di varia natura alla ASL territorialmente competente.

Il preavviso di accertamento ha natura di atto endoprocedimentale.

Esso non comporta, ancora, l’irrogazione di alcuna sanzione che sarà comminata con il provvedimento conclusivo.

La notifica del preavviso di accertamento non implica, nemmeno, il maturare di alcun termine decadenziale ai fini impugnatori.

4 – Ruolo eventuale della ASL.

Com’è evidente, in tutto questo procedimento sanzionatorio il ruolo della ASL è meramente marginale ed eventuale.

Se, infatti, l’interessato non comunica alcunché in riferimento alla propria situazione personale, la ASL potrebbe non fornire risposta all’AER.

La circostanza desta perplessità in considerazione del fatto che la normativa sugli obblighi vaccinali in età pediatrica, il d.l. 73/2017, demanda correttamente la competenza di gestione dell’intero procedimento sanzionatorio alla ASL.

5 – Problematiche in rapporto alla normativa sulla privacy.

Questo dettaglio non è di poco conto per un duplice ordine di ragioni.

La ASL gestisce i dati sanitari sensibili dell’interessato in quanto cittadino italiano inserito nel Sistema Sanitario Nazionale.

Essa è già autorizzata al trattamento di tali dati come responsabile.

Inoltre la ASL ha personale dotato dei requisiti richiesti dal GDPR privacy citato sopra.

6 – Frizioni con il GDPR privacy: obbligo di osservanza del segreto professionale del responsabile.

Un primo punto di frizione del d.l. 01/2022, e il relativo procedimento sanzionatorio per gli obblighi vaccinali a carico degli over 50, con il GDPR privacy risiede proprio nel fatto che i funzionari AER non sono dotati dei requisiti ivi previsti.

Nello specifico, il requisito fondamentale per rendere lecito il trattamento dei dati sulla salute è l’assoggettamento del funzionario agente all’obbligo del segreto professionale.

Sicuramente il personale sanitario è, per contratto oltre che per obblighi di appartenenza al proprio ordine professionale, sottoposto a tale obbligo.

Non altrettanto può dirsi per il personale (amministrativo) dell’AER.

7 – Titolare del trattamento.

Sembrerebbe, perciò, ravvisarsi la violazione dell’art. 24, par. 1. GDPR privacy secondo cui:

“tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

In questo caso parrebbe che il titolare del trattamento, cioè nel caso di specie il Ministero della Salute, stia ponendo in essere un traffico di dati sulla salute difforme dalle prescrizioni di cui al GDPR privacy e, correlativamente, di cui al codice della privacy che ne richiama pedissequamente le disposizioni.

8 – Responsabile del trattamento.

Parimenti, per quanto riguarda l’AER che, come si è detto, non sembra possedere i requisiti previsti dal GDPR privacy sui soggetti che possono essere autorizzati al trattamento dei dati sulla salute.

Dispone, al riguardo, l’art. 28, par. 1: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Per ulteriori approfondimenti vedasi questo articolo e questo articolo.

9 – Decreto capienze.

Né vale, al riguardo, opporre le modifiche di cui al decreto legge 139/2021, il c.d. “decreto capienze” su cui ci si era già soffermati in questo articolo.

Come a suo tempo osservato, infatti, sebbene il predetto decreto abbia introdotto una legittimazione della pubblica amministrazione ad un trattamento generalizzato dei dati personali dei cittadini, non risultano abrogate né variate le norme sul generale divieto di trattamento dei dati sulla salute.

Tali norme sono, tutt’ora, pienamente in vigore.

10 – Nomina del responsabile del trattamento.

Ad abundantiam, non paiono rispettati le modalità di nomina dell’AER come responsabile del trattamento dei dati sulla salute.

Nello specifico, non sembra rispettata la prescrizione di cui all’art. 37 GDPR privacy.

Non vi è traccia, in proposito, dell’assolvimento dell’obbligo di comunicazione del nominativo del responsabile al Garante della privacy.

Peraltro sono, all’uopo, predisposti moduli e procedure telematiche specifici per la nomina e comunicazione del responsabile, dai quali non si può prescindere poiché costituenti modalità obbligatorie.

Vedasi in proposito le stesse indicazioni fornite dal Garante della privacy il cui link è reperibile nella nuova pagina dedicata a “risorse e utilità”.

11 – Disapplicazione dell’atto amministrativo non conforme a regolamento comunitario: irrilevanza.

Non occorre scomodare il principio di disapplicazione dell’atto normativo contrario a regolamento europeo.

Come si è detto, le norme contenute nel GDPR privacy sono tutte richiamate integralmente dal codice per la protezione dei dati personali.

Peraltro, sebbene fino a poco tempo fa la giurisprudenza maggioritaria propendesse per un obbligo di disapplicazione a carico anche della Pubblica Amministrazione, una recente sentenza del TAR Lecce ha messo in dubbio tale orientamento.

La sentenza n° 1321/2020 TAR Lecce è reperibile sul sito di Giustizia Amministrativa il cui link è riportato sempre sulla pagina di questo blog “risorse e utilità”.

12 – Consenso informato.

In considerazione, infine, dell’attuale remissione alla Corte Costituzionale e delle perplessità sollevate in ambito giurisprudenziale in ordine agli effetti dei farmaci utilizzati come vaccinazioni anti SARS-CoV-2, è possibile eccepire, infine, l’impossibilità di rendere il consenso informato, con conseguente violazione dell’art. 1, 219/2017.

Essa si configurerebbe come una impossibilità oggettiva attualmente non superabile se non a seguito, quantomeno, della pronuncia da parte della Consulta.

Ci si riferisce, in particolare, all’ordinanza del CGARS riportata qui.

Per approfondimenti sul consenso informato si rimanda a questo articolo.

Si ricordi, peraltro, l’orientamento di giurisprudenza costituzionale attualmente consolidato in tema di legittimità delle imposizioni vaccinali come approfondito qui.

13 – Conclusioni.

Il preavviso di accertamento notificato dall’AER in riferimento alle sanzioni previste per gli obblighi vaccinali dei soggetti ultracinquantenni, in quanto mero atto endoprocedimentale, può semplicemente essere ignorato in attesa, eventualmente, che sia notificato l’avviso di addebito immediatamente esecutivo impugnabile.

È, tuttavia, possibile trasmettere una contestazione scritta di tale avviso, unitamente alla richiesta di annullamento in autotutela dello stesso e conseguente archiviazione del procedimento sanzionatorio.

Siffatta contestazione può riguardare le violazioni di legge considerate nel corso della trattazione, anche se potrebbe essere improbabile che il Ministero della Salute e, per esso, l’AER prendano per buone tali motivazioni e accolgano la richiesta, stante la perseveranza nel voler imporre gli obblighi vaccinali anti COVID-19.

Essa potrebbe, però, rivelarsi utile qualora si ritenesse di agire in sede giudiziaria per il risarcimento del danno conseguente alla violazione della normativa sulla privacy.

Ad ogni buon conto, la mancata contestazione del preavviso non implica alcuna conseguenza preclusiva potendosi, successivamente, impugnare l’avviso di addebito anche in assenza di essa.