Green pass e privacy, definirlo tema caldo non gli rende minimamente giustizia. Da più parti si sono alzati cori scandalizzati, alcuni hanno addirittura presentato dei ricorsi al Tar, il mondo della politica è in costante subbuglio e ha improvvisamente scoperto un tema di cui occuparsi, la privacy. Molti stanno definendo l’uso (e sopratutto la richiesta di mostrare) del Green pass una misura liberticida. Sopratutto adesso che il Decreto legge 127/2021 è stato approvato, firmato dal Presidente della Repubblica e pubblicato sulla Gazzetta Ufficiale.

Premessa

Non è questa la sede per un approfondimento politico. Noi siamo un’azienda di compliance e come tale ci limitiamo a un’analisi tecnica della materia dicendo se sia o meno lecito agire in un certo modo. Abbiamo sicuramente le nostre opinioni personali, ma riteniamo che mestiere del tecnico della compliance non sia dare un parere che esuli da ciò che la legge richiede al cliente, ma porlo al sicuro dalle sanzioni. Pertanto qui non troverete alcuna polemica politica.

Libertà! Libertà!

Questo è il grido che pare levarsi dai protestanti anti Green pass. Quindi si starebbe sostenendo che la richiesta di mostrare il certificato leda la libertà del singolo e da molte parti si leva anche l’ipotesi di violazione della privacy dei soggetti interessati.

Le domande da porci sono più di una e tutte parimenti importanti.

Domanda 1. Trattamento?

Sembrerebbe una scemenza, ma domandarsi se sia un trattamento (ai sensi del GDPR) il controllo del Green pass non è così sciocco. Il Garante ha più volte sottolineato come non sia lecito archiviare date di scadenza e simili, ma che si debba solo usare l’apposita app (che potete scaricare per iOS o Android) che una volta inquadrato il QR code mostra tre dati: validità dello stesso, nome del soggetto (così non potete prestarlo a vostra cugina che non potrà chiamarsi Filiberto, sembra ironia ma è successo).

Domanda 2. Legittimo?

Sotto questo profilo il quadro normativo parrebbe confuso, tuttavia a chi si occupa di GDPR appare tutt’altro che oscuro. Cosa dobbiamo verificare in prima istanza? Che il trattamento in questione non violi i principi del GDPR (liceità, correttezza, trasparenza, esattezza, limitazione delle finalità e dell’arco temporale, minimizzazione, integrità) sanciti dall’articolo 5. Analizziamo i più utili alla nostra analisi.

Liceità

il trattamento è lecito ai sensi dell’articolo 6 del GDPR più precisamente al paragrafo 1 punto e):

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

ma anche (a mio avviso) stesso articolo paragrafo 1 punto c)

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

L’obbligo legale è il Decreto Legge 127, che investe il Titolare del trattamento dell’esercizio di pubblici poteri (la richiesta di vedere il certificato), esattamente come se un poliziotto per strada vi fermasse e vi chiedesse i documenti. Nessuno griderebbe alla violazione della privacy o delle libertà personali.

Limitazione delle finalità e arco temporale

Il trattamento ha una finalità limitatissima e un’estensione limitata nel tempo fintantoché dura lo stato di emergenza e poi cesserà.

Minimizzazione

Il trattamento tratta come abbiamo detto pochissimi dati personali, giusto nome cognome e data di nascita. Niente altro non viene fuori se siete vaccinati o avete fatto la malattia.

Domanda 3. Abbiamo adempimenti?

A mio avviso è probabile, ma qui adotto il metro della cautela e dico meglio aspettare che il Garante dica la sua e poi ci adegueremo al suo dettato. Facilmente dovremo aggiornare un po’ di documentazione: dal registro dei trattamenti a qualche informativa a qualche nomina, come nel caso della misurazione della temperatura probabilmente diremo ai soggetti interessati che non memorizzeremo niente.

Domanda 4. Lesione della libertà?

Qui si rischia di deragliare rispetto al tema della privacy. Nel senso che si entra in un agone più ampio e complesso e che non ha strettamente a che fare con la privacy, ma come detto prima parliamo di un’operazione legale, lecita, trasparente e corretta per cui (e qui mi sbilancio un filo) la vedo dura parlare di misure liberticide.

Gli incauti acquisti su Telegram

Come abbiamo segnalato in questo recente articolo, molta della criminalità si è spostata su Telegram e vende e compra un po’ di tutto in barba alla legge. Tra gli acquisti incauti, a dir poco, vi sono stati i falsi Green pass. Chiaramente si tratta di azioni illegali, sia da parte di chi vende che di chi compra. Ricordiamo così di passaggio ma ci torneremo assai presto approfonditamente, che molto spesso le attività di questo genere vanno a finanziare il riciclaggio di denaro di discutibile pulizia e le attività terroristiche. Stiamo quindi parlando di illeciti penali. Quindi molto attenzione prima di fare gesti eclatanti, ma che possono poi costarci cari.

Concludendo

Tirando le somme Green pass e privacy sono due termini associabili con serenità perché il primo non turba la seconda, non viene compiuto alcun atto illecito da parte del datore di lavoro che, a partire dal 15 ottobre dovrà chiederlo (a campione ricordiamolo).

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.