Avevamo già affrontato la risposta di una parte del mercato alle esigenze di controllo collegate all’introduzione della regolamentazione concernente le certificazioni verdi. Ebbene, per quanto sia comprensibile la ricerca di soluzioni efficienti che non comportino costi operativi elevati soprattutto per i datori di lavoro in vista dell’estensione dell’obbligo ad una platea di interessati decisamente più ampia, non è detto che le proposte – tecnologiche o organizzative – tengano conto dei limiti contemplati dal DPCM 17 giugno 2021 e dalla normativa in materia di protezione dei dati personali.
Nonostante i voli pindarici di alcuni esperti che hanno portato a costruzioni teoriche di contrario avviso, la verifica del Green Pass rientra fra le attività di trattamento di dati personali svolte da parte dell’organizzazione. L’introduzione delle procedure di controllo attraverso tecnologie (che, si ricorda, possono essere solo l’app VerificaC19 o altre previste per legge) e modalità organizzative (ad esempio: l’assegnazione di delega formale) comporta innanzitutto l’applicazione del principio di cui all’art. 25 GDPR (Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) in forza del quale “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” e per cui va garantito “che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.
Ciò comporta necessariamente uno studio e selezione delle misure tecniche ed organizzative di attuazione dei controlli, per cui devono essere preliminarmente:
- individuati una base giuridica valida e le finalità da perseguire, entrambe indicate dalle disposizioni normative;
- definiti i dati da raccogliere e verificare che siano conformi al principio di minimizzazione, e dunque: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- definiti i tempi di conservazione, tenendo conto che non è possibile raccogliere dati del Green Pass ma, ad esempio, con riferimento alle registrazioni a riscontro dell’avvenuto controllo va applicato il principio di limitazione della conservazione.
Da ciò, ovviamente, deriva necessariamente un aggiornamento della documentazione nella parte in cui ad esempio riguarda l’assetto organizzativo e l’attribuzione di autorizzazioni ed istruzioni ai verificatori, l’informazione (e le modalità di garanzia di trasparenza) nei confronti degli interessati e l’inserimento nei registri delle attività di trattamento della procedura di verifica.
Adottare un approccio di progettazione, declinando i principi del GDPR nel contesto organizzativo giova ad evitare le principali non conformità e trattamenti illeciti di dati personali, a beneficio tanto dell’efficacia quanto dell’efficienza delle procedure adottate.
