Articoli

Green Pass e gestione dei dati personali

/in , , /da

Il 6 settembre scorso è stata pubblicata dal Garante la Nota oggetto di questa news, di cui riportiamo:

  • i riferimenti in tema di gestione del c.d. “Green Pass”,
  • le principali indicazioni fornite dal Garante italiano, e
  • le modalità operative di gestione delle verifiche demandate alle aziende.

Le novità di settembre 2021

Nella giornata di ieri, 6 settembre 2021, il Garante italiano ha pubblicato una Nota Istituzionale, raggiungibile a questo link, in relazione ad “alcuni quesiti” presentati all’Autorità nel corso delle ultime settimane in relazione agli aspetti pratici e operativi di quanto previsto dal D.L. 105 del 2021, che ha introdotto l’obbligatorietà di verifica del c.d. “Green Pass” (o certificazione verde a carattere sanitario).

Appare evidente l’interesse generale di tali quesiti, e soprattutto delle relative risposte dell’Autorità (che, per quanto non aventi forza di legge, restano comunque di assoluta rilevanza interpretativa): per tale ragione, è utile riportarne di seguito una sintesi.

Il contenuto della Nota pubblicata

In primo luogo, il Garante ricorda la legittimità del trattamento di dati personali (anche, eventualmente, di tipo sanitario e quindi “particolari”) qualora si resti nel perimetro fissato dalla normativa di volta in volta vigente: ad esempio, alla data di redazione della Nota, gli artt. 9 e 9-bis del D.L. 52/2021 (convertito con modificazioni dalla legge n. 87/2021) che riportato i casi in cui è prevista l’obbligatorietà di controllo del Green Pass.

Il Garante procede altresì a ricordare – prima di tutto, al Legislatore – che dovrà essere a brevissimo oggetto di ulteriore produzione normativa la regolamentazione dell’uso e verifica delle certificazioni alternative al Green Pass, per i soggetti cui è impedita la vaccinazione e/o che sono comunque esentati dal presentare la certificazione verde nei casi di controllo obbligatorio.

In generale, il Garante conclude ricordando a ogni soggetto qualificabile come “Titolare del trattamento” (e quindi a ogni esercizio e/o attività che ricade nell’onere di verificare il Green Pass) che la normativa si regge – anche in materia di sanzioni – su principi come quello di c.d. “minimizzazione“, e quindi di riduzione ove possibile e al massimo dei dati personali trattati (consultati, salvati o anche solo brevemente visualizzati): il rispetto dello spirito della normativa dovrebbe nella maggior parte dei casi porre al riparo l’esercente (come detto, “Titolare” del trattamento) dalle sanzioni pecuniarie, astrattamente molto salate, previsto dal Reg. UE 2016/679 o “GDPR”.

Le modalità operative di rispetto delle indicazioni del Garante

In primo luogo, vale quindi la pena ricordare che il controllo del Green Pass è previsto solo e soltanto nei casi previsti dalla legge: per questa ragione, sarà necessario confrontare sempre l’evento o la situazione in cui ci si trova con l’elencazione sopra individuata, per poter stabilire se è (o meno) lecito procedere alla verifica.

Inoltre, la verifica dovrà necessariamente essere effettuata tramite l’app ufficiale “VerificaC19”, e non a mezzo di altre applicazioni – pure presenti sugli store iOS e Android – che permettono invece di “salvare” i Green Pass scansionati: tali diverse applicazioni – ferma la loro discutibile liceità – dovranno esclusivamente essere usate qualora un privato ritenga di voler memorizzare il proprio QR Code e/o quello di familiari, per praticità e solo per uso personalissimo.

Infine, sono importantissime le istruzioni fornite ai dipendenti e/o incaricati della verifica: opportuno che esse siano scritte, semplici e possibilmente soggette a dimostrazione della loro chiara sottoposizione all’operatore incaricato.

_____________________________________

Photo by sentidos humanos on Unsplash

La profilazione (parte 1)

/in , /da

Vediamo cos’è, come (e se) è legale, l’attività meglio nota come “profilazione”.

In questo articolo e nei successivi proveremo ad addentrarci nella definizione che il GDPR dà del tema, confrontandola poi con l’attività pratica e reale, soprattutto online.

Il contesto

Ne abbiamo tutti sentito parlare: molto spesso, in senso negativo e generale, come un’attività equiparabile alla “sorveglianza di massa” emersa dal caso Snowden.

Il termine usato (profiling nella versione inglese del GDPR) richiama alla mente, immediatamente, l’idea di un “dossieraggio” svolto da oscure organizzazioni che sfuggono al controllo della forza pubblica e, naturalmente, alle leggi vigenti in ambito privacy.

In realtà, la profilazione ha diversi risvolti positivi, se attuata correttamente: basti pensare all’enorme mole di comunicazioni marketing che riceviamo, ogni giorno e/o in ogni sito web che visitiamo, e che non hanno nessun tipo di rilevanza per i nostri gusti e abitudini di consumo. Quelle comunicazioni sono un “disturbo”, sono a tutti gli effetti “spam” per noi, poichè anche solo il tempo speso – perso! – a cancellare la e-mail dalla posta in arrivo, o a togliere il consenso all’invio di newsletter periodiche, costituisce comunque un momento e un’attività evitabile.

Evitabile, se solo chi ci ha inviato il messaggio si fosse domandato (e avesse capito) cosa ci interessa e cosa no, in base a chi siamo, dove siamo, cosa facciamo, eccetera.

La definizione

Per comprendere il concetto di “profilazione” in senso tecnico-normativo, allora, dobbiamo muoverci:

  • da un lato, rimuovendo l’accezione necessariamente negativa, e
  • dall’altro, tenendo ben presente i rischi che un “profiling” spinto della nostra persona e delle nostre abitudini comporta (qualcuno ha detto Cambridge Analytica?).

Soprattutto, per evitare di fare confusione, è assolutamente necessario tenere ben distinti due concetti sicuramente collegati, ma diversi:

  • una cosa è la “profilazione”
  • un’altra è la “decisione automatizzata”, nel senso tecnico previsto dal GDPR.

Partiamo allora dalla definizione di “profilazione” fornita dall’art. 4 GDPR:

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Proprio in riferimento alla c.d. “decisione automatizzata”, giova riportare qui una chiara indicazione fornita dal GDPR:

L’interessato (quindi, qualunque persona fisica) ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.

Tutto ciò, salvo alcuni casi specifici, fissati nel prosieguo del GDPR (azione necessaria per la conclusione di un contratto, autorizzazione di legge, consenso).

Un primo punto fermo: i diritti della persona

Dalla combinazione delle informazioni riportate sopra, si possono trarre alcuni iniziali assunti.

In primo luogo, la modalità principe – legale – per fare profilazione e/o avviare decisioni automatizzate è il “consenso“, ovvero una manifestazione di assenso esplicita, chiara, informata e (va aggiunto) facilmente revocabile e consultabile dalla persona.

In mancanza del consenso, l’azienda che si propone di fare profilazione e/o prendere decisioni automatizzate deve valutare attentamente come si sta comportando, e porre particolare cautela nell’elaborare i dati relativi a ciascuno di noi per creare un profilo di comportamento (spesso, commercialmente appetibile).

A questo punto, la domanda sorge spontanea: ma quando avrei dato il consenso a piattaforme come Facebook o Google per profilarmi e, quindi, inviarmi pubblicità basata sui miei interessi?

La risposta, ad oggi senza che sia stato ancora aperto un contraddittorio serio, è: quando hai creato il tuo account e/o, addirittura, usato le loro piattaforme anche se non eri registrato.

Fate una prova: attivate la navigazione anonima su un qualunque browser web, e poi accedete a www.google.it. Quello che leggerete all’apertura della pagina è il punto di partenza della seconda parte di questo approfondimento.

__________________________________________

Photo by Matthew Henry on Unsplash

Gare pubbliche e dati giudiziari

/in , /da

Ogni azienda che fa business con la Pubblica Amministrazione o con gli Enti Pubblici è abituata a gestire una importante mole di dati dei propri dipendenti e, soprattutto, personale che riveste funzioni apicali. In questo breve approfondimento puntiamo l’attenzione su

  • quali tipologie di dati sono interessate,
  • cosa prevede la normativa in proposito, e
  • alcuni aspetti operativi – necessari – per gestire i dati in compliance con la normativa.

Dati personali “giudiziari”

Ciascun bando di gara richiede la preparazione di una moltitudine di documenti, tra cui – oltre a quelli relativi alla società, all’offerta materiale ed economica e allo “storico” aziendale – anche diversi moduli a firma di persone fisiche. In particolare, vengono richieste informazioni in merito a precedenti penali e pregressi rapporti (anche di familiari) con associazioni illecite.

La partecipazione a gare pubbliche da parte di una società di diritto privato comporta pertanto – necessariamente – il trattamento di “dati giudiziari” di tali persone fisiche, ai sensi dell’art. 10 GDPR.

Non solo, infatti, la normativa prevede le presentazione di ampia documentazione mediante autodichiarazioni e/o moduli: spesso sono anche richiesti i certificati del casellario giudiziale in capo a diversi profili interni alla società, specialmente se aventi potere direzionale o ruoli di responsabilità, come Amministratori, Procuratori o – ad esempio – i componenti dell’Organisimo di Vigilanza ai sensi del D. Lgs. 231/2001.

L’art. 10 GDPR: i dati giudiziari

La ricezione del casellario giudiziale di una persona che riveste un ruolo apicale – per esempio, l’Amministratore Delegato – presenta profili di evidente rilevanza rispetto a quanto previsto dall’art. 10 GDPR, che recita:

Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza (…) deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

Va inoltre ricordato che anche il “diniego” di aver commesso reati e/o avere procedimenti penali pendenti, deve essere considerato appunto un “dato giudiziario”, cioè riguardante reati e condanne penali della persona fisica.

Come se ciò non bastasse, alcune Autorità europee – seppur non il nostro Garante – hanno incluso nel novero delle informazioni qualificabili come “dato giudiziario” anche le contravvenzioni e/o sanzioni amministrative, ritenendole degne di tutela assimilabile ai reati veri e propri.

Non si dimentichi infine che, in taluni casi, le informazioni raccolte non saranno solo relative alla persona fisica che riveste una posizione in azienda, ma anche i suoi familiari, conviventi e/o soggetti terzi: la società, quale Titolare del trattamento, si troverà allora a processare dati personali di tutti loro, dovendo quindi predisporre le necessarie misure di gestione, informazione, garanzia e tutela.

Aspetti privacy operativi nelle gare pubbliche

L’impostazione – fortemente garantista – sopra individuata impone allora la ricerca della corretta base giuridica per il trattamento: in questi casi, diversamente da quanto previsto per i “dati particolari” (o precedentemente “sensibili”), non vige alcun divieto generalizzato di processare tali informazioni, ma un diverso obbligo, più stringente e “faticoso” per l’interprete e per il professionista che si trova, in particolare, a gestire il processo ed il relativo flusso di dati.

Si richiede infatti l’individuazione esatta della norma di legge in forza della quale l’azienda (Titolare del trattamento) deve raccogliere le dichiarazioni – ad esempio, la normativa in materia antimafia – e caricarle/sottoporle al soggetto che gestisce il bando.

Una volta individuata la base giuridica corretta, si dovrà procedere a predisporre la documentazione informativa e di compliance atta a garantire che il requisito – tanto vago quanto esigente – della “accountability” aziendale sia rispettato.

A titolo di elenco non esaustivo, potremmo ipotizzare di procedere con:

  • la redazione, prima di tutto, di una informativa per i dipendenti a cui vengono rivolte richieste di dati giudiziari (ex art. 13 GDPR), e – nel medesimo documento o a parte – una informativa anche per i relativi familiari e conviventi (ex art. 14 GDPR); tale testo dovrà anche ricordare la necessaria comunicazione a terzi dei dati, in quanto raccolti con finalità di partecipazione a una gara indetta da un ente pubblico;
  • la predisposizione di una procedura interna di gestione dei dati acquisiti, che preveda la limitazione di accesso alle informazioni secondo stretta necessità da parte degli operatori (persone autorizzate) del Titolare;
  • l’autorizzazione specifica, per gli operatori individuati dalla procedura, al trattamento dei dati giudiziari, in forza di apposite istruzioni (in particolare, divieto di diffusione);
  • la verifica che i dati forniti all’ente siano trattati correttamente anche da esso, in forza di idonea informativa, che si suggerisce di conservare.

___________________________

Credits: photo by Mikhail Pavstyuk on Unsplash