L'analisi

La privacy in pandemia è un diritto fluido: i dubbi sugli interventi del Garante

Il diritto alla privacy durante la pandemia è oggetto di trattative politiche che ne degradano la forza: l’audizione del Garante sull’introduzione del Super Green Pass ne è un esempio. Dalla didattica a distanza alle ricette mediche, tutti i nodi da marzo 2020

21 Gen 2022
Luca Sanna

Avvocato, Studium Cives

Didattica a distanza, Green Pass e Super Green Pass: la privacy in pandemia sembra essere un diritto fluido. Gli ultimi interventi del Garante per la protezione dei dati personali evidenziano in maniera marcata come i diritti costituzionali di “nuova creazione” siano tutelati in maniera arbitraria e a volte nebulosa.

Troppi problemi privacy per il green pass al lavoro: ecco le modifiche urgenti

Privacy in pandemia: un diritto oggetto di compromessi

Durante il periodo pandemico, gli interventi del Garante della privacy, a volte tra loro contrastanti, hanno generato aspettative che non sempre sono state rispettate.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

L’audizione istituzionale del 7 dicembre scorso ha visto l’Autorità Garante per la protezione dei dati personali esprimere i propri dubbi in merito all’introduzione del super Green Pass.

In particolare, il Garante della privacy ha inteso evidenziare il proficuo dialogo con il Legislatore in merito “all’equilibrio sostenibile raggiunto tra i vari interessi in gioco (segnatamente: sanità pubblica, autodeterminazione terapeutica, riservatezza), garantendo che le misure di contenimento dei contagi (e le certificazioni verdi in primo luogo) non degenerassero in strumenti di sorveglianza di massa[1]”.

Allo stesso tempo, l’Autorità Garante ha espresso dubbi sulla possibilità, inserita all’interno del testo normativo, di procedere con la consegna del Green Pass dei dipendenti al proprio datore di lavoro in quanto “La prevista ostensione (e consegna) del certificato verde a un soggetto, quale il datore di lavoro, al quale dovrebbe essere preclusa la conoscenza di condizioni soggettive peculiari dei lavoratori come la situazione clinica e convinzioni personali, pare infatti poco compatibile con le garanzie sancite sia dalla disciplina di protezione dati, sia dalla normativa giuslavoristica (artt.. 88 Reg. Ue 2016/679; 113 d.lgs. 196 del 2003; 5 e 8 l. n. 300 del 1970; 10 d.lgs. n. 276 del 2003).”

Ebbene, questo morbido intervento è farcito di espressioni verbali (“pare” – ndr) che certamente non aiutano a fare chiarezza sul tema e che lasciano sempre la porta aperta a diverse interpretazioni.

Tale atteggiamento appare, mi si perdoni il termine, in linea con tutti gli interventi leggeri del Garante durante il periodo pandemico, che di fatto hanno relegato il diritto alla riservatezza ad una sorta di gonfalone da esporre durante gli incontri istituzionali, senza in verità, alcun tipo di conseguenza in caso di vilipendio.

Se il diritto alla riservatezza rappresenta davvero l’espressione di libertà costituzionali da garantire all’individuo, non si comprende per quale ragione tale diritto debba in qualche modo essere oggetto di compromessi e trattative di natura politica che ne degradano la forza e l’impatto sulla società.

Privacy in pandemia: tutti gli interventi del Garante

Il primo intervento del Garante durante il Covid, frutto di tale politica del compromesso, risale al marzo 2020 e attiene alla didattica a distanza.

All’interno delle linee guida, era dato leggersi come “qualora il registro elettronico non consentisse videolezioni o altre forme di interazione tra i docenti e gli studenti, potrebbe essere sufficiente – per non dover designare ulteriori responsabili del trattamento – utilizzare servizi on line accessibili al pubblico e forniti direttamente agli utenti, con funzionalità di videoconferenza ad accesso riservato”.

In questo caso, il fornitore della piattaforma sarebbe stato esonerato dalla ricezione di una nomina ai sensi dell’art. 28 del GDPR, in quanto il servizio sarebbe stato rivolto direttamente agli utenti.

Ebbene, lo scrivente è stato interessato in un caso da uno studente che non voleva utilizzare il servizio scelto dall’istituto scolastico e, essendo il trattamento basato sul libero consenso, avrebbe potuto esprimere il proprio diniego. Tale elemento non è stato preso in considerazione.

Ricette mediche a distanza

Sulle ricette per posta elettronica, sul sito del Garante si legge che “Il Garante ha espresso parere favorevole sullo schema di decreto del Ministero dell’Economia e delle Finanze, secondo cui l’assistito che abbia ricevuto dal medico gli estremi della ricetta per posta elettronica, via sms o telefonicamente, può comunicarla, con le stesse modalità, alla farmacia. Lo schema di decreto prevede inoltre che, nel periodo emergenziale, l’assistito possa delegare il medico a inviare la ricetta direttamente alla farmacia, tramite posta elettronica o attraverso lo stesso sistema che genera la ricetta. Allo stato lo schema di decreto sottoposto al parere del Garante non è stato ancora adottato dal Mef.” [2]

Allo stato degli atti, sul sito del Garante non appare esserci ulteriore indicazione.

Ad ogni modo, si deve evidenziare come le valutazioni del Garante in ambito medico non abbiano rilevato l’assenza del Ministero della Salute all’interno del processo decisionale. Appare “ictu oculi” come le categorie di dati da proteggere poco attengono alle competenze del Ministero dell’Economia e delle Finanze, e allo stesso tempo come un cotal decreto ministeriale necessitasse di una base legislativa che potesse tenere conto del digital divide particolarmente evidente in considerazione della platea e degli attori coinvolti.

Piano vaccinale e vaccinazioni nel luogo di lavoro

Il Garante ha successivamente espresso le proprie linee guida in merito al piano vaccinale e alla possibilità per i datori di lavoro di offrire il servizio di vaccinazione in loco.

Nel Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali” (allegato al provvedimento n. 198 del 13 maggio 2021), viene stabilito come “il datore di lavoro, attraverso le competenti funzioni interne, potrà fornire al professionista sanitario indicazioni e criteri in ordine alle modalità di programmazione delle sedute vaccinali, senza però trattare dati personali relativi alle adesioni di lavoratrici e lavoratori identificati o identificabili”.

Nel successivo paragrafo, però, tale prescrizione appare subito smentita con una eccezione di carattere generale, laddove è dato leggersi: “Resta salvo che ove dall’attestazione prodotta dal dipendente sia possibile risalire al tipo di prestazione sanitaria da questo ricevuta, il datore di lavoro, salva la conservazione del documento in base agli obblighi di legge, dovrà astenersi dall’utilizzare tali informazioni per altre finalità nel rispetto dei principi di protezione dei dati (v. tra gli altri, il principio di limitazione della finalità di cui all’art. 5, par. 1, lett. b), del Regolamento) e non potrà chiedere al dipendente conferma dell’avvenuta vaccinazione o chiedere l’esibizione del certificato vaccinale.”

Anche in questo caso, evidentemente, un trattamento esiste: la conservazione della certificazione medica. Sul punto, si comprende l’equilibrio e la fune sulla quale camminava il Garante, ma, si chiede lo scrivente, non sarebbe stato meglio semplicemente sospendere le guarentigie costituzionali piuttosto che elaborare un provvedimento contraddittorio e di difficile lettura?

Green Pass e Super Green Pass

Sul Green Pass e sul Super Green Pass, la politica del compromesso sulla privacy ha raggiunto un livello davvero difficile da contemperare. È la stessa audizione del Garante del 7 dicembre del 2021 a certificarne le difficoltà, laddove nell’incipit l’Autorità cerca di giustificare le proprie scelte in aderenza ai trattati e principi europei sul trattamento dei dati personali, con un esercizio retorico che si concretizza in una sorta di “excusatio non petita” preventiva.

Per tale ragione, tutti gli osservatori sono molto critici sul contegno dell’Autorità, che di fatto ha generato moltissime problematiche da parte di tutti gli operatori. Basti riflettere sulla circostanza che ciò che era impedito il 15 ottobre con l’introduzione del Green Pass per ragioni di tutela dell’individuo, in merito alla consegna e all’ostensione del certificato verde al datore di lavoro, dopo solo 45 giorni appare superato con l’introduzione del Super Green Pass.

Allo stesso modo appare davvero difficile oggi credere che con l’introduzione del Super Green Pass non si possa risalire allo stato di salute degli interessati e alla loro condizione di vaccinati o non vaccinati.

Conclusioni: se l’emergenza limita la privacy occorre essere chiari

Nel sec. XVI, Sant’Ignazio ha scritto una serie di regole contenute nel libro del esercizi spirituali oggi seguiti dall’ordine gesuitico.

Tra queste regole, vi è il principio del doppio discernimento: al fine di valutare l’adeguatezza di una scelta, anche legislativa, non si dovrebbe tenere in considerazione il male minore. In altri termini, se tra il bene e il male esistono una serie di step intermedi, il riferimento, in merito alla tutela di un principio che si pretende essere costituzionale, non dovrebbe mai essere il compromesso.

Non si tratta di una opinione di merito, come potrebbe sembrare, bensì del metodo: se il diritto alla riservatezza deve degradare in un periodo di emergenza, sarebbe sufficiente ritirare lo stendardo per un periodo limitato, esponendo le ragioni di diritto sottese alla degradazione o alla limitazione del diritto stesso, così come avviene laddove il diritto alla riservatezza viene in contrasto con il principio di trasparenza o con il diritto di cronaca.

____________________________________________

Note

  1. Memoria pubblicata sul sito istituzionale, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9725434
  2. https://www.garanteprivacy.it/temi/coronavirus/faq (domanda numero 7)

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4