Liberi di conquistare la Libertà …Ogni giorno…

Pinterest LinkedIn Tumblr +

La verifica del c.d. «green pass» deve rispettare il regolamento UE 679/ 2016 (GDPR).

Chiunque intenda procedere alla verifica del c.d. «green pass», dunque, deve essere espressamente nominato dal Titolare del trattamento (Ministero della Salute) e deve osservare l’art. 29 GDPR (il responsabile del trattamento dei dati, o chiunque agisca sotto la sua autorità, e che abbia accesso ai dati personali, deve essere istruito dal titolare del trattamento), l’art. 32 GDPR, paragrafo 4 (chiunque agisca sotto l’autorità del titolare e abbia accesso ai dati personali, non deve trattare tali dati se non è istruito in tal senso dal titolare del trattamento) e l’art. 39 GDPR (Il Data Protection Officer deve curare la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo).

Gli artt. 9-bis (e successivi) del DL n. 52/21 del 22 aprile 2021, convertito con modificazioni in L. n. 87/21 del 17 giugno 2021, affidano all’esercente attività commerciale l’onere di verificare nei confronti dei clienti e/o dipendenti le validità delle certificazioni COVID-19, o dei rispettivi certificati equipollenti (art. 3 comma VIII del Regolamento UE 953-2021 e art. 9, comma 10, del DL 52/21); tale obbligo si fonda sulla asserita necessità di “prevenire la diffusione dell’infezione da SARS-Cov2”.

Il c.d. «green pass» può ottenersi per inoculazione del trattamento genico sperimentale “anti COVID-19”, o avvenuta guarigione o effettuazione di test antigenico rapido, e quindi costituisce certificato sanitario a tutti gli effetti.

Attualmente, sono stati istituiti tre diversi tipi di certificazione verde (normale, rafforzata e booster) e ciò costringerebbe, comunque, a violare la riservatezza dei dati sanitari della clientela e/o dei lavoratori.

Naturalmente l’esercente commerciale, o altri soggetti previsti, o anche l’agente accertatore, non devono incorrere nel rischio di violazione della Costituzione della Repubblica italiana o di violazione di legge, di regolamenti comunitari o di trattati internazionali. In particolare deve porsi nel rispetto del Regolamento UE 2016/679, e comunque nel rispetto del principio di non discriminazione previsto dai trattati internazionali (in particolare, Dichiarazione Universale dei diritti dell’Uomo, Patto dei diritti civili e politici di New York ed altre), dai regolamenti UE 2000/78, 2021/953 e 2021/954 e della Carta fondamentale dei diritti dell’Unione europea, e della Costituzione della Repubblica italiana (artt. 1, 4, 13, 16, 28, 35, 54 e 41 Cost.).

Il Regolamento UE 2016/679 impone all’esercente commerciale di avere apposita delega formale e nominativa in qualità di Responsabile del trattamento dati, nonché formazione al trattamento dei dati specifici (artt. 28, 29 e 32), nonché di fornire l’informativa ex art. 12, avente il contenuto previsto dagli artt. 13 e 14, e le comunicazioni di cui agli artt. da 15 a 22 e art. 34 del GDPR (regolamento UE 2016/679) relative al trattamento dei dati, con particolare riferimento alla necessità di documentare il consenso informato del titolare della certificazione COVID-19.

E naturalmente, come previsto dal comma 3 dell’art. 13 DPCM 16 giugno 2021, come integrato dall’art. 1 lett. o) DPCM 12 ottobre 2021, se già prima era previsto che “sono incaricati con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” i delegati dei i soggetti titolari delle strutture ricettive e dei pubblici esercizi” (lett. c), “il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attivita” (lett. d), “i vettori aerei, marittimi e terrestri” (lett. e), “i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali, in qualita’ di visitatori, sia prescritto il possesso di certificazione verde COVID-19” (lett. f), “i dirigenti scolastici e i responsabili dei servizi educativi dell’infanzia nonché delle scuole paritarie, delle università e delle Istituzioni di alta formazione artistica musicale e coreutica”(lett. g), “i datori di lavoro pubblici o privati, … relativamente alla verifica ….in ambito lavorativo con riferimento al personale e ai soggetti terzi che accedono al luogo di lavoro per ragioni diverse dalla semplice fruizione dei servizi all’utenza e i responsabili della sicurezza delle strutture in cui si svolge l’attività giudiziaria o i loro delegati relativamente ai magistrati” (lett. h).

Al fine della più completa lettura della normativa, si ricostruisce il quadro coordinato degli artt. 13 e 15 del DPCM 17 dicembre 2021 coordinato, come modificati ed integrati ad opera dei successivi DPCM 10 settembre 2021, DPCM 12 ottobre 2021 e 17 dicembre 2021:

Il DPCM 17 dicembre 2021 detta condizioni ancora più stringenti rispetto a quelle previste dal GDPR, come evidenziato, in quanto l’art. 1, comma 7, lettera h) ha integrato l’art. 15 del DPCM 16 giugno 2021, introducendo il comma 10 dell’art. 15, laddove prevede che “Tutti i soggetti preposti alla verifica del possesso delle certificazioni verdi in corso di validità devono essere appositamente autorizzati dal titolare del trattamento, ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) n. 2016/679 e 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196 e devono ricevere le necessarie istruzioni in merito al trattamento dei dati connesso all’attività di verifica”.

Con tale ultima disposizione, si esclude qualsiasi delega interposta tra il Titolare ed “i soggetti preposti alla verifica” che “devono essere appositamente autorizzati dal titolare del trattamento”, con ciò escludendo anche qualunque possibilità che a emettere l’eventuale delega possa essere un soggetto diverso dal Titolare del trattamento dati.

Pertanto, il soggetto che intenda controllare la Certificazione COVID-19 deve essere stato nominato dal Titolare del trattamento dati (Ministero della Salute), deve avere assolto all’obbligo di formarsi ex artt. 29, 32, 39 del GDPR, deve rilasciare l’informativa relativa al «quadro di fiducia» all’interno del quale si collocano le procedure per la verifica dei dati contenuti nel «green pass», indicando, precisamente i soggetti deputati al controllo delle certificazioni, e le misure per assicurare la protezione dei dati personali sensibili contenuti nelle certificazioni (art. 9 DL 52).

In particolare, l’art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016. (Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato), prevede che “In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili” (§ 1). E, al secondo paragrafo, si prevede che “In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori 19 informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”. Il terzo paragrafo precisa che “Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2”.

L’art. 28 del Regolamento UE 2016/679, richiede poi, per controlli incidenti così profondamente sulla privacy e, in particolare, su dati sensibili riguardanti la salute, delle precise tecniche, laddove occorre, da parte del “titolare del trattamento”, una formale investitura nei confronti del “responsabile del trattamento”, ma ciò richiede il rispetto di ben rigorosi requisiti: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate (!) in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (c. 1). “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.

Nonostante attualmente si assista a milioni di controllori improvvisati, che in assenza di delega e di requisiti minimi di attendibilità tecnica e culturale, ristoratori che delegano camerieri e così via, per cui un cittadino riceve ordini riguardanti l’esibizione di dati personalissimi da parte di personale sfornito di qualsiasi minima abilitazione e qualificazione giuridica e tecnica, e ciò per il cittadino risulta umiliante e lesivo della dignità umana.

E il Regolamento UE 2016/679, quale normativa di diritto eurounitario, prevale su qualsiasi norma, anche di rango primario, di diritto interno, la quale si ponga in contrasto.

Alla luce del DPCM 17 dicembre 2021 e dell’art. 9 comma 10 D.L. 52/21 convertito in Legge 87/2021, e del Regolamento UE 2016/679, la verifica del green pass non può essere effettuata da nessun soggetto accertatore che non abbiano avuto diretta delega dal Titolate del trattamento dei dati, formazione e espresse istruzioni, e su richiesta non dimostri tale delega formale.

In assenza di nomina espressa da parte del Titolare dei dati (Ministero della Salute), e su richiesta di ostensione della suddetta delega, l’accertamento non è effettuabile da parte di personale dipendente addetto ai servizi di controllo in spettacoli, concerti, eventi, cerimonie, stadi, musei, teatri ecc,, o soggetti titolari di hotel, alberghi, ristoranti, bar, pizzerie, negozi di scarpe, di vestiario, di elettronica o ferramenta, mobili, fiorai, edicolanti, tabaccai, ecc, o delegati di vettori aerei, marittimi e terrestri, né traghetti, bus tram o metropolitane ecc., o gestori di strutture sanitarie, socio-sanitarie e socio-assistenziali, o dirigenti scolastici e i responsabili dei servizi educativi dell’infanzia, di scuole paritarie, di università e delle Istituzioni di alta formazione artistica musicale e coreutica, né tantomeno bidelli, custodi o guardiani, o datori di lavoro pubblici o privati, con riferimento al personale e ai soggetti terzi che accedono al luogo di lavoro per ragioni diverse dalla semplice fruizione dei servizi all’utenza e i responsabili della sicurezza delle strutture in cui si svolge l’attività giudiziaria, né tantomeno Forze dell’Ordine o Polizia locale, o altri pubblici ufficiali nell’esercizio delle relative funzioni.

D’altra parte, l’art. 5 della Legge 300/1970 (Statuto dei lavoratori) vieta al datore di lavoro o superiore gerarchico di conoscere i dati sanitari del lavoratore.

Peraltro, al fine della predetta normativa, comunque questa si ritiene che non potrebbe trovare applicazione in assenza della dichiarazione di emergenza di Protezione Civile di livello a) e b), da parte della Regione e del Comune di competenza, così come previsto dall’art. 7, comma 1, punto a) o b) del D.lgs. 1/2018, in attuazione dell’emergenza di rilievo nazionale dichiarata con Decreto n. 26 del 31 gennaio 2020 e successive proroghe.

Pertanto, ne deriva che tali soggetti al fine di poter adempiere agli obblighi di verifica assegnati dalla normativa, comunque devono avere avuto delega espressa e nominativa da parte del Ministero della Salute, nella qualità di Titolare del trattamento dei dati personali. In mancanza di tale delega, l’onere imposto diverrebbe impossibile, in quanto adempiendo a quell’obbligo tale soggetto sarebbe soggetto a sanzione da parte del Garante della privacy, cui tale mancanza potrebbe essere segnalata.

Si ritiene che l’esercente, o il soggetto obbligato alla verifica, al fine di non incorrere in tale sanzione, possa richiedere a mezzo pec parere al Garante della Privacy e richiesta al Ministero della Salute di ricevere tale delega formale ed istruzione e formazione adeguata, come previsto dalla normativa privacy. E solo successivamente all’adeguato riscontro da parte del Garante e del Titolare dei trattamento dati, il verificatore possa adempiere all’obbligo normativo, nel rispetto della normativa privacy, e quindi senza dover temere la segnalazione da parte dal cliente/utente/dipendente al Garante Privacy e l’applicazione di pesanti sanzioni per violazione di tali ultime norme.

SCARICA MODULO istanza garante E richiesta Ministero della Salute

SCARICA MODULO DICHIARAZIONE DIRITTI CIVILI

SCARICA DPCM 17 dicembre 2021 coordinato

 

Liberi di conquistare la Libertà

Ogni giorno…

 

Share.

About Author

Leave A Reply