Effettuare i controlli nel pieno rispetto dei principi sulla privacy
La normativa privacy, nel corso dell’ultimo biennio, si è dovuta confrontare con le difficili situazioni create dall’emergenza sanitaria e con le scelte del legislatore che hanno imposto l’adozione di provvedimenti in cui si è dovuto trovare il bilanciamento tra l’interesse pubblico perseguito e l’interesse individuale alla riservatezza.
L’ultimo intervento del legislatore è rappresentato dall’introduzione dell’obbligo di certificazione verde per la partecipazione ed accesso dapprima a determinati eventi o luoghi (D.L. 52/2021 convertito nella L. 87/2021) poi progressivamente esteso a molteplici attività fino, dal 15 ottobre, ai luoghi di lavoro.
È evidente il potenziale rilievo di questa misura dal punto di vista della legislazione in materia di riservatezza dei dati. Non può sfuggire, infatti, come i dati inerenti allo stato vaccinale facciano parte di una delle sfere più intime e delicate della vita delle persone, rappresentato dalla salute. Non è stato, quindi, un caso che tali provvedimenti siano stati attentamente esaminati dal Garante della privacy, che ha segnalato come un trattamento effettuato in modo non corretto di queste informazioni possa determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone, che potrebbero tradursi in discriminazioni, violazioni e compressioni illegittime di libertà costituzionali.
Questi sono i motivi per i quali diventa indispensabile che la gestione dei controlli delle certificazioni vaccinali venga integrata nell’ambito delle procedure che fanno parte del Modello Organizzativo Privacy che ogni azienda ha adottato.
Ciò comporta che la pianificazione di questa delicata attività debba avvenire nel rispetto dei principi fondamentali sanciti dal Regolamento Europeo 16/679 e dal Codice italiano della privacy, quali:
- il principio di trasparenza che comporta l’obbligo di preventiva consegna di specifica informativa a tutti gli interessati, anche sulle caratteristiche di quest’ultimo trattamento delle informazioni che li riguardano, in conformità ai contenuti dell’art. 13 del suddetto Regolamento
- il principio di minimizzazione che vieta la raccolta dei dati che emergano dai certificati vaccinali, in qualsivoglia forma, inibendo la possibilità di farne copie cartacee o digitali o di istituire registri in cui annotare le scadenze, limitandosi ad eseguirne il controllo di validità istantaneo, su base giornaliera, attraverso l’apposita App, resa disponibile dalle Autorità governative
- il principio della privacy by design, che richiede che l’eventuale scelta dell’impresa di adottare soluzioni tecnologiche alternative alla App VerificaC19, per automatizzare ed accelerare il controllo, sia valutata con attenzione, accertandosi che le caratteristiche del sistema impiegato siano conformi a quanto previsto dalla normativa del Regolamento Europeo (per es. non consentano di memorizzare i dati, ma nemmeno combinino le informazioni rilevate con altre ricavabili dai marcatempo, piuttosto che dagli scanner per la rilevazione della temperatura) e, conseguentemente, di provvedere alla valutazione dei rischi ed eventualmente alla valutazione di impatto (DPIA);
- il principio di “rendicontazione” (accountability), che richiede di aggiornare il Registro del trattamento del titolare, annotando anche le caratteristiche di questa nuova attività
- la designazione del personale deputato al controllo della certificazione, che assumerà, dal punto di vista privacy, il ruolo di “designato”, ai sensi degli artt. 2 quaterdecies Codice privacy e dell’art. 29 del GDPR e dovrà essere preventivamente formato ed istruito.