Poniamo un quesito appartenente a scenari fantascientifici. In un’ondata di diffusa accountability, anziché tentare carpiati e aggiramenti degli obblighi normativi, qualche titolare del trattamento si domanda se c’è bisogno di svolgere una valutazione d’impatto privacy per procedere all’attività di verifica del Green Pass dei propri e altrui lavoratori.
La risposta è nell’art. 35.10 GDPR, per cui “Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.”.
E dunque, poiché le verifiche del Green Pass sono previste da un preciso obbligo di legge che ne fonda le attività di trattamento consistenti nella consultazione e verifica, non è necessario lo svolgimento di alcuna valutazione d’impatto anche per effetto del parere favorevole del Garante Privacy al DPCM 17 giugno 2021. Come ricordato dallo stesso Presidente dell’Authority, infatti, le declinazioni operative rientrano in uno schema “già oggetto di analisi da parte del Garante, tanto in sede di audizione parlamento sul disegno di legge di conversione del d.l. n. 52, quanto di parere sul relativo DPCM attuativo” soprattutto con riguardo agli aspetti essenziali del trattamento. Conseguentemente, dunque, “non necessita, peraltro, di autorizzazione da parte del Garante e va condotto, come già osservato, nel rispetto del complessivo quadro normativo su richiamato.”.
Se così si chiariscono dubbi appartenenti al novero della fantascienza, tornando al reale, occorre soprattutto buonsenso. Se è vero che in claris non fit interpretatio, arriverà sempre un preteso interprete che offrirà una soluzione – sebbene illecita e scorretta – che riscuoterà un certo gradimento in quanto apparentemente semplificativa. Ad esempio: se si dà ascolto a chi consiglia di acquisire autodichiarazioni dei dipendenti, tornano in essere cattive abitudini ed illeciti che espongono a rischi sanzionatori e alla formazione incontrollata di database privi di alcun fondamento giuridico. È bene ricordare che i tentativi di barocchismi interpretativi con cui si vorrebbero aggirare limiti, prescrizioni e divieti di legge – finanche assumendo che la verifica del Green Pass non consista in un’attività di trattamento di dati personali – diffondendosi rischiano di frustrare il bilanciamento fra tutela della salute e sicurezza dei luoghi di lavoro e protezione dei dati personali. Tamquam abutere, dunque?
