Nell'ultimo articolo prima della pausa d'agosto Il GDPR, i Garanti e La corazzata Kotiomkin
ho dato conto delle riserve da parte di persone note e autorevoli sugli effetti
frenanti della protezione dei dati personali in molti campi, dagli accertamenti
fiscali alle misure di contrasto alla pandemia da Covid-19. Il problema è
serio, perché le violazioni della vita privata sono uno degli aspetti più
critici del nostro tempo, una sorta di pandemia non dichiarata. E la protezione
non è abbastanza forte, forse anche perché le norme attuali non sono efficaci.
Una notizia degli ultimi giorni: il Garante irlandese ha comminato multa di 225 milioni di euro a
WhatsApp, per la condivisione poco trasparente dei dati dei suoi utenti con la
"casa madre" Facebook. Sembra una buona notizia, ma nei fatti è la
dimostrazione di quanto sia difficile e lenta l'azione delle autorità di
garanzia. Infatti il provvedimento del Garante irlandese giunge dopo ben tre anni dall'avvio
dell'istruttoria e in seguito a una "decisione vincolante" dell'EDPB (European
Data Protection Board – Comitato europeo per la protezione dei dati). Già
all'inizio del 2020 il Garante tedesco aveva definito "insopportabile"
l'inerzia del collega di Dublino nei confronti dei big stabiliti nel paradiso
fiscale europeo. E non occorre aggiungere altro.
In questo caso il problema è nelle procedure farraginose stabilite dagli articoli 60 e seguenti del GDPR, un
trionfo della burocrazia. Se ci fosse un'autorità comune europea incaricata di
perseguire le violazioni che colpiscono i cittadini di più di uno, o di tutti
gli Stati membri, tanti problemi sarebbero risolti. E in tempi più brevi. Ma
l'istituzione di un "garante dei cittadini d'Europa" non è a portata
di mano, perché implica questioni oggettivamente complesse di sovranità
nazionale dei singoli Stati.
Un'altra dimostrazione di come la pletorica quantità di norme – e la loro
interpretazione più restrittiva – siano di ostacolo ad attività quotidiane,
riguarda proprio il Garante italiano. Il caso è sollevato dai gestori delle
palestre, che vorrebbero registrare la scadenza dei certificati di avvenuta
vaccinazione per non doverli ricontrollare ogni volta che un utente accede alla
struttura. E chiedono istruzioni all'Autorità competente.
A una prima analisi il problema non esiste. Infatti il GDPR stabilisce all'art. 2:
1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Qui siamo di fronte a un possibile trattamento esclusivamente manuale, non
c'è nessun archivio. Allora, di che stiamo parlando? Invece...
No! Non! Nein! Niet! tuona il Garante per la protezione dei dati personali.
Uno dei quattro componenti del collegio, l'avvocato Guido Scorza, in un articolo pubblicato il 3 settembre scorso, spiega che "è
vietato chiedere e conservare copia del green pass, è un trattamento di dati
non necessari e si rischia di trattare dati inesatti".
L'avvocato Scorza riconosce che "È evidente e comprensibile che la prassi
che si sta andando diffondendo renderebbe più facile la vita ai gestori di
palestre e centri sportivi e, forse, anche ad abbonati e associati". Ma
sarebbe in violazione delle della disciplina dettata dal GDPR.
Eppure, se si configurasse l'applicabilità del GDPR, la soluzione al
problema sarebbe nello stesso Regolamento, che all'art. 9 recita:
1. È vietato trattare dati personali che rivelino l'origine
razziale o etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati
biometrici intesi a identificare in modo univoco una persona fisica, dati
relativi alla salute o alla vita sessuale o all'orientamento sessuale della
persona.
Ma poi:
2. Il paragrafo 1 non si applica se si verifica uno dei
seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di
tali dati personali per una o più finalità specifiche, salvo nei casi in cui
il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa
revocare il divieto di cui al paragrafo 1;
Dunque basterebbe far firmare all'interessato un consenso alla conservazione
del dato relativo alla scadenza del certificato per risolvere il problema.
Il punto-chiave, che dovrebbe saltare all'occhio di chi studia la materia, è
che lo stato di salute di una persona contagiata o vaccinata non è solo un dato
personale particolare, ma interessa l'intera collettività. E quindi da trattare
a tale scopo, naturalmente con le dovute cautele.
Sapere che in un determinato luogo possono accedere solo persone vaccinate, o
che fino a due giorni prima non erano contagiate, è rassicurante e incoraggia
altri a entrare (e così, fra l'altro, favorisce le attività commerciali).
Un discorso simile potrebbe essere fatto per la non compianta app Immuni. La
solita reazione diffusa, irrazionale e paranoica di fronte a qualsiasi
iniziativa che in qualche modo coinvolga la cosiddetta "privacy", ha
prodotto un eccesso di riservatezza che ha contribuito al fallimento dell'app:
le strutture sanitarie non potevano conoscere l'identità di un
"positivo" e quelle dei suoi "contatti a rischio".
Tutto questo porta acqua al mulino di chi vede come il fumo negli occhi il
GDPR, tutta la normativa collegata e lo stesso Garante. Ed è quindi un danno
non solo per la protezione della vita privata di tutti e di ciascuno (uno tra i
tanti diritti costantemente violati), perché contribuisce a diminuire la
fiducia nelle norme e in chi ha il compito di applicarle.
|