Trattamento dei dati di green pass – la soluzione del doppio binario
Si fa sempre più insistente la richiesta di esaminare e di risolvere utilmente la problematica occasionata dal trattamento dei dati di Green Pass in esito alla pubblicazione del Decreto Legge 21 settembre 2021 n.127 “Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening”.
Negli ultimi giorni, infatti, sono state emesse circolari e note esplicative da parte di vari soggetti (Confindustria, Associazioni varie, primari studi legali), le quali riporterebbero l’esistenza di un presunto divieto assoluto di memorizzazione dei dati di Green Pass.
Tale presunto divieto, tuttavia, scaturisce, ad avviso di chi scrive, in primo luogo da uno scorretto inquadramento del diritto alla riservatezza dei dati di Green Pass in termini di “diritto indisponibile”.
In secondo luogo, sempre ad avviso di chi scrive, tale presunto divieto scaturisce, altresì, da un difetto di coordinamento sistematico tra il comma 5 dell’art.13 del DPCM del 17 giugno 2021 in base al quale “L'attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell'intestatario in qualunque forma” e la normativa in materia di protezione dei dati personali, nonché, inoltre, da un errata interpretazione delle parole dell’Avv. Guido Scorza, componente del Garante per la Protezione dei Dati Personali il quale, esprimendosi sulla prassi dei centri sportivi di richiedere la memorizzazione del Green Pass quale condizione per la frequentazione dei centri stessi, ha recentemente dichiarato che, così operando, la “palestra, centro sportivo o qualsiasi analogo soggetto, non ha titolo per acquisire la data di scadenza del Green Pass e conservare gli altri dati personali contenuti nel medesimo documento”.
Tale presunto divieto, com’era prevedibile, ha gettato nello sconforto tanto imprenditori che gran parte dei soggetti interessati, apparentemente condannati ad ingenti perdite di tempo conseguenti al controllo reiterato dei certificati e, nello specifico del contesto lavorativo, anche a tutti i disguidi organizzativi derivanti dall’impossibilità di pianificare le trasferte internazionali dei lavoratori senza sapere se il loro Green Pass si basi su di una sola dose di vaccino, ciclo completo, tampone o guarigione, informazioni necessarie per la prenotazione degli eventuali tamponi di andata e di ritorno e per la gestione delle eventuali quarantene.
Tuttavia, ad avviso della scrivente, il divieto assoluto di conservazione dei dati di Green Pass è soltanto apparente e ciò può essere dimostrato tramite l’analisi del contesto logico-giuridico in cui è stato emanato il DPCM del 17 giugno 2021 e tramite un’interpretazione privacy orientata delle parole dell’Avv. Guido Scorza: “non ha titolo”.
Partendo proprio da tali ultime parole, “non ha titolo”, si ricorda infatti che l’art.6 del GDPR elenca dalla lettera “a” alla lettera “f” tutte le possibili basi giuridiche per un legittimo trattamento di dati personali, cioè il “titolo” per il loro trattamento.
Con l’intervento in merito alla prassi (senza dubbio illegittima) dei centri sportivi di acquisire tout court la memorizzazione dei dati dei Green Pass dei clienti, l’Avv. Guido Scorza si è espresso correttamente ove si consideri che, a ragion veduta, siffatta modalità di trattamento di dati (peraltro quasi sempre accompagnata dalla mancanza di qualsiasi informativa) non poggia su alcuna delle basi giuridiche di cui all’art.6 GDPR (in particolare, non poggia sul consenso dell’interessato e nemmeno sul legittimo interesse del Titolare del trattamento) e nemmeno su alcuna delle basi giuridiche di cui all’art.9 GDPR, qualora volessimo inquadrare i dati di Green Pass tra i c.d. dati “particolari”.
Ciò nondimeno, in relazione alla fattispecie ad esame, ferme le necessarie garanzie di tutela in termini di prevenzione di possibili discriminazioni, non si comprende per quale motivo ai soggetti interessati dovrebbe essere impedito di disporre liberamente dei propri dati di Green Pass e di opporsi, per l’effetto, alla perdita di tempo e dai disguidi derivanti dal reiterato (a volte anche più volte al giorno) controllo real-time del Green Pass.
La questione, come sempre in materia di protezione dei dati personali, va risolta, ad avviso di chi scrive, in termini di bilanciamento degli interessi in gioco e, di conseguenza, sul piano concreto, mediante la predisposizione di un semplice doppio binario di trattamento dei dati prevendendo, al contempo, sia la garanzia della possibilità di controllo real-time del Green Pass e sia, per chi lo desidera, la possibilità di sottrarsi a tale modalità di controllo acconsentendo, previa idonea informativa, alla conservazione dei dati di scadenza del Green Pass fino alla scadenza del Green Pass stesso e per la specifica finalità dell’accesso.
Negli stessi termini, alla luce di quanto sopra esposto, dovrebbe essere interpretato il senso del comma 5 dell’art.13 del DPCM del 17 giugno 2021 in virtù del quale “L'attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell'intestatario in qualunque forma”, laddove si consideri che con tale disposto si è soltanto inteso tutelare il diritto (disponibile) alla riservatezza dei dati di Green Pass dei soggetti interessati e laddove si consideri che la detta disposizione pare riferirsi esclusivamente alla finalità della verifica in senso stretto.
Per le medesime argomentazioni di cui sopra, la soluzione del doppio binario di trattamento dei dati di Green Pass si presta ad essere profittevolmente utilizzata anche nello specifico ambito dell’accesso ai luoghi di lavoro, soprattutto considerato il fatto che tale doppio binario è in grado di proteggere il lavoratore, quale soggetto “vulnerabile”, da indebite pressioni del datore di lavoro circa il rilascio del suo consenso informato al trattamento dei dati di Green Pass per l’accesso.
Quanto, invece, alla necessità delle imprese di organizzare le trasferte dei lavoratori, la base giuridica del trattamento (il “titolo” per il trattamento) è costituita, ad avviso di chi scrive, sia dalla necessità di eseguire il contratto di lavoro (art.6.1 lett. b GDPR) che dal legittimo interesse del Titolare (art.6 lett. f GDPR) laddove si consideri che, in assenza di informazioni circa l’intervenuta vaccinazione o meno dei lavoratori (una dose o doppio ciclo o nessuna), diventa impossibile per il datore di lavoro organizzare le trasferte internazionali ed il rientro in sede dei propri collaboratori in termini di prenotazione degli eventuali tamponi e di gestione delle possibili prescritte quarantene (si precisa che, laddove si volessero inquadrare tali dati come dati “particolari”, allora la base giuridica potrebbe essere costituita dall’art.9.1 lett b GDPR). Per tali specifiche finalità, pertanto, si ritiene necessaria, ma sufficiente, la sola comunicazione dell’informativa ai sensi dell’art.13 GDPR.
Ci si auspica un intervento chiarificatore del Garante in senso conforme alla soluzione del doppio binario di trattamento come sopra suggerito.
Avv. Monica Lippa