La pandemia di Covid-19 è un’interessante opportunità di studio per valutare i casi di applicazione (o non applicazione) della normativa privacy o più specificatamente del GDPR, ad esempio parlando di Green Pass e delle procedure di verifica della certificazione verde: sono infatti frequenti gli errati richiami a questo regolamento anche quando il GDPR proprio non ha ragione di essere citato.
Iniziamo con un breve ripasso su quella che è la normativa privacy vigente a livello europeo.
Indice degli argomenti
La normativa privacy vigente
Oltre al già citato Regolamento (UE) 2016/679, il regolamento generale sulla protezione dei dati o GDPR per intenderci, esistono altre normative.
In particolare, la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio recepita in Italia dal D.lgs. 18 maggio 2018, n. 51.
C’è poi il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE.
Ed infine, quantomeno a livello comunitario, la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), recepita in Italia dal D.lgs. 196/03.
Oltre alle normative europee, in Italia abbiamo il sopra citato D.lgs. 196/03, oltre ai numerosi atti dell’Autorità Garante per la protezione dei dati personali.
Alcuni richiami alla normativa privacy sono inoltre contenuti in altre normative.
Ovviamente, i singoli Stati dell’UE ed altri Stati nel mondo hanno loro normative privacy che è necessario conoscere allorquando vi siano dei trattamenti che li coinvolgono.
Da ultimo, anche se non hanno carattere prettamente normativo, vanno considerate le Linee guida WP29 – EDPB.
Un quadro molto articolato e complesso che, per quanto riguarda la gestione della materia attinente alla Covid-19, può vedere coinvolta in particolare, oltre al GDPR, il D.lgs. 18 maggio 2018, n. 51.
Green pass venduti su Telegram, tutto sulla truffa dell’estate
Verifica Green Pass, alla luce della normativa vigente
Prendiamo ora in considerazione il Green Pass e in particolare le verifiche ad esso collegate così come rappresentate in particolare dal d.P.C.M. del 17 giugno 2021.
Queste si dividono in 2 fasi distinte:
- la verifica della validità del Green Pass attraverso l’App VerificaC19, utilizzabile su uno smartphone, che può operare tranquillamente offline in quanto, si dichiara, non trasmette alcun dato;
- la verifica dei documenti di identità del soggetto possessore del Green Pass.
Partiamo da questo secondo aspetto e consideriamolo, ai fini di questa analisi, separato dal contesto.
Il trattamento dati nel controllo dei documenti
Il controllo di un documento finalizzato alla sola identificazione del soggetto che lo possiede (non quindi finalizzato anche alla verifica della veridicità del documento stesso) viene svolta da parte dei verificatori senza alcun utilizzo di strumenti automatizzati, né si procede alla raccolta o altro trattamento di dati personali.
In effetti, l’unico trattamento che viene effettuato è la consultazione dei dati presenti sul documento.
Quindi, in realtà, sia ai sensi del GDPR, sia ai sensi del D.lgs. 18 maggio 2018, n. 51., tale trattamento è al di fuori del loro campo di applicazione.
In altre parole, è del tutto inutile porsi problemi di rispetto della normativa privacy, in quanto questa non si applica.
Infatti, per quanto attiene il GDPR, l’ Articolo 2 Ambito di applicazione materiale recita:
1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Nessuna delle fattispecie elencate dall’art. 2.1 viene soddisfatta se ci si limita a consultare un documento e quindi non si rientra nel campo di applicazione del GDPR.
Analoga è la formulazione per l’art. 1 comma 2 del D.lgs. 18 maggio 2018, n. 51, qualora applicabile al caso in questione:
2. Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.
Il trattamento dati nella verifica Green Pass
L’analisi di questi articoli porta ad effettuare anche un’altra considerazione ancor più significativa.
La tutela prevista dalle sopra citate normative è operativa per il Green Pass in quanto per il controllo del documento viene utilizzata un’app.
Se il controllo fosse solo manuale ci troveremmo esattamente nella situazione prima descritta per quanto attiene il documento di identità.
Quindi attenzione; la tutela prevista dalla normativa privacy è attiva non in quanto si trattano dati particolari, ma perché viene effettuata una verifica di validità utilizzando uno strumento automatizzato che oltretutto, oltre a validare il documento, visualizza anche alcuni dati personali.
Gli adempimenti per i gestori di bar e ristoranti
Appurato, quindi, che ci troviamo di fronte a un trattamento di dati personali, quali sono in linea teorica gli adempimenti che deve mettere in atto un titolare del trattamento (cioè, ad esempio, il gestore di un ristorante)?
Prima di tutto rilasciare un’informativa.
Anche in questo caso, però, potremmo ipotizzare una semplificazione per il titolare del trattamento.
Il perché e il come i dati vengono trattati è in realtà ampiamente noto a tutti i soggetti che si recano, ad esempio, ad un ristorante.
Quindi il titolare del trattamento potrà avvalersi della semplificazione prevista dal comma 4 dell’Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, che recita:
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.
Le informazioni non note a priori da parte degli interessati potrebbero essere, ad esempio, quali siano i suoi diritti, o la denominazione esatta del Titolare e dei suoi recapiti.
Al riguardo sarebbe pertanto sufficiente esporre una breve informativa, ben visibile, prima dell’area in cui avvengono i controlli.
Ma l’informativa è solo uno degli adempimenti; trattandosi di un nuovo trattamento lo stesso va inserito nel registro delle attività di trattamento, devono essere effettuate le analisi dei rischi ai sensi degli artt. 24, 25 e 32, devono essere date istruzioni ai soggetti autorizzati al trattamento e, probabilmente, vista la numerosità dei soggetti coinvolti ed al trattamento di dati particolari, sarebbe opportuno effettuare una DPIA.
Trattamento dati sanitari da parte del datore di lavoro
Affrontiamo ora un altro tema spinoso e cioè il trattamento dei dati sanitari da parte del datore di lavoro.
È possibile effettuare il controllo della disponibilità del Green Pass?
Non formuliamo una risposta, ma ci limitiamo a osservare che tale attività, solitamente non consentita, presenta diverse eccezioni e questo in quanto anche tale eventualità è lecita, se prescritta da una normativa.
Al riguardo l’Autorità Garante nelle sue “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” elenca diversi casi nei quali è consentito al datore di lavoro l’accesso alle diagnosi dei dipendenti:
Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all’Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).
In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro.
Le Linee guida proseguono:
“6.4. Altre informazioni relative alla salute.
A tali fattispecie devono essere aggiunti altri casi nei quali può, parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap…”.
Verifica Green Pass per chi entra in casa nostra
Da ultimo affrontiamo ad un’altra casistica, non espressamente prevista dalla normativa, ma che può interessare tutti noi.
È evidente che ci sentiremmo più sicuri se il nostro idraulico o elettricista o chiunque acceda alla nostra abitazione per le ragioni più diverse disponesse di un Green pass.
Ma possiamo chiederlo?
Come detto sopra, la normativa non lo prevede, ma di fatto non lo vieta; sta alla controparte decidere se rispondere o meno alla nostra richiesta.
Per quanto attiene gli aspetti privacy, anche in questo caso il problema non sussiste; siamo fuori del campo di applicazione del GDPR.
Infatti l’art. 2 – Ambito di applicazione materiale del GDPR recita al comma 2:
2. Il presente regolamento non si applica ai trattamenti di dati personali:
…
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
Quindi se il nostro interlocutore invoca la privacy per non rispondere alla nostra richiesta potete subito smentirlo; tuttavia è comunque un suo diritto non rispondere.
Conclusioni
In conclusione, quindi, prima di invocare la normativa privacy (in assoluto la normativa più invasiva della nostra vita lavorativa e privata), verifichiamo se effettivamente la stessa possa essere applicata.
