AI ed evasione fiscale: l’app VeRA

Ha suscitato notevole interesse l’annuncio di nuovi applicativi basati sull’intelligenza artificiale (AI), e in particolare su tecniche di machine learning, da parte dell’Agenzia delle Entrate e della Guardia di Finanza per il contrasto all’evasione.

Sappiamo da notizie di stampa che il software dell’Agenzia delle Entrate si chiama “VeRA”, e poco altro. Infatti, nonostante la notizia circoli da mesi, gli unici spiragli per cogliere veramente dimensioni e caratteristiche del trattamento vengono dall’Autorità garante per la protezione dei dati personali.

Perché i dati personali? Perché il trattamento si colloca in pieno GDPR, racconta moltissimo dell’attività relazionale di ciascuno, della vita privata, delle scelte, e richiede una DPIA, in quanto sussiste probabilità di rischio elevato per i diritti e le libertà. E’ questa la condizione che innesca appunto l’adempimento, ex art. 35 GDPR.

Intendiamoci: l’obiettivo ultimo, quello di contrastare l’evasione, è assolutamente necessario e commendevole, urgente. Va conseguito. Il punto è come, e soprattutto se i mezzi siano proporzionati nell’impatto sulla sfera privata e trasparenti nel funzionamento.

Si pone cioè il più classico dei dibattiti: stiamo introducendo un sistema di controllo proprio di uno Stato della sorveglianza, con il pretesto del conseguimento di una finalità di assoluto e preminente interesse pubblico, oppure stiamo soltanto facendo uso di quanto strettamente necessario?

Per più ampie riflessioni e per un approfondimento sulle banche dati che alimenteranno il sistema, sia permesso rimandare all’articolo dell’avv. Pelino “App ‘VeRA’ dell’Agenzia delle Entrate” pubblicato su Agenda Digitale

Paywall: un pericoloso ritorno al passato?

Ho parlato della liceità giuridica del paywall intervenendo (NB, collegamento a Youtube) all’interno di una nota rassegna di approfondimento curata da Matteo Flora, che ringrazio.

Paywall

Ma partiamo dall’inizio: innanzitutto che cos’è un paywall? E’ quel “banner cookie” che pone l’utente di fronte alla scelta tra pagare per la fruizione di un contenuto, per esempio un articolo di giornale, oppure accettare i cookie.

Letteralmente quindi un muro invalicabile, “wall”, che si può superare solo pagando, “pay”, o in denaro… o in dati personali. Bene, ma è consentito? Ad avviso di chi scrive, no. Vediamo insieme perché.

Possono essere usati i dati personali come strumenti di pagamento?

Proprio qui sta il punto: possono essere usati i dati personali come strumento di pagamento? Da sempre, la risposta, nella normativa sulla protezione dei dati personali*, è no. Pagare in dati personali è un avvilimento della persona, anche perché il consenso che viene richiesto è quello alla profilazione, all’uso cioè di cookie di tracciamento che cercano di comprendere le scelte dell’utente, le sue preferenze, i suoi bisogni per indirizzargli messaggi mirati.

A ben vedere, tutto il ragionamento, che è complesso, diventa più semplice se si tengono ben fermi due capi concettuali, ossia:

  1. il consenso è, per espressa previsione di legge (ved. qui sotto), la base giuridica esclusiva;
  2. la profilazione non ha alcuna coerenza con i contenuti fruiti.

Guardiamo rapidamente entrambi i punti, perché sono le leve che spostano la questione.

Unica base: il consenso

Eccoci davanti a una norma molto chiara, una volta tanto: l’art. 122, co. 1 codice privacy (d.lgs. 196/2003). La disposizione permette l’installazione di cookie (non tecnici) “unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso”. Si tratta dell’attuazione nazionale dell’art. 5, par. 3 direttiva 2002/58, più nota come direttiva “ePrivacy”, che stabilisce testualmente la stessa cosa.

Attenzione qui: parliamo di consenso, non di legittimo interesse. Qual è la differenza? Se la base è il legittimo interesse, a decidere di procedere o no al trattamento dei tuoi dati è il titolare del sito, previo test di bilanciamento (cd. “LIA”), che deve essere in grado di esibire. Se la base è il consenso, sei tu utente del sito a decidere. La differenza è sostanziale, perché sposta da un soggetto all’altro il fulcro del potere di innescare la profilazione. Questo ha previsto il legislatore, e andrebbe osservato.

Ora, il consenso “privacy” è una cosa seria. Per essere un consenso autentico e non un sì meccanico occorre – anche questo lo impone il legislatore – che sia informato, libero e incondizionato. Sono, insieme ad altri, i requisiti che leggiamo all’art. 7 GDPR, e sono parzialmente diversi da quelli prescritti dal diritto civile di tradizione romanistica, nel senso che il registro a cui attenersi in ambito “privacy” è molto più sensibile. Calando il tutto nella pratica: se negando il consenso perdo occasioni, il consenso è condizionato. Dunque: se non posso fruire del tuo sito, e perdo quindi (negando il consenso) un contenuto che vorrei, il consenso non è libero.

Ora, per mettere a fuoco il quid decisivo, spostiamoci sul secondo elemento della coppia che avevamo introdotto: la profilazione arbitraria, perché è con questo secondo elemento che divengono veramente chiari il significato, il peso e l’oggetto di questo consenso.

La profilazione

Ricordiamo una cosa: stiamo parlando di cookie non tecnici, ossia – semplificando – di cookie di profilazione. Ora, la domanda è semplice: che cosa c’entra la profilazione con la lettura di un articolo di giornale o la fruizione di un sito di avvocati o la consultazione del meteo? Nulla.

Questi siti vogliono farsi pagare – supponiamo – per i contenuti che offrono? Nessun problema: pongano allora l’alternativa secca tra il non fruire i loro contenuti o il fruirne a pagamento. Ma fornire la controprestazione con i dati personali che cosa c’entra?

La verità è che l’alternativa secca toglierebbe molto traffico ai siti, perché un numero (molto) limitato di utenti sarebbe disposto a pagare, anche per la semplice ragione di buon senso che non si può pagare qualsiasi proposta di servizio si incontra in rete, peraltro a scatola chiusa. Dunque, si conta sul fatto che l’utente alla fine pagherà in dati, non potendo/volendo farlo in denaro, e il sito monetizzerà sulla profilazione, ossia sul mercato di quei dati.

Per capire quanto sia avvilente il meccanismo, immaginiamo di trasporlo nel mondo reale: supponiamo che invece di pagare il biglietto del cinema ti venisse proposto di farti montare sulle spalle una serie di telecamere che ti seguono nei vari nodi dei tuoi spostamenti. Se lo scegli, deve essere in totale libertà, questo ti garantisce il legislatore. Ti garantisce di non farlo per una contropartita economica. La privacy non può divenire una tutela per soli abbienti, mentre il resto della popolazione girerà con telecamere montate sulle spalle (è solo un’immagine naturalmente).

Vogliamo davvero un mondo di paywall?

Immaginiamo ora che il paywall, oggi chiaramente vietato (vedasi art. 122 cod. priv. e Linee guida 5/2020 EDPB, §§ 38, 39), divenga libero. Immaginiamo cioè che oltre ad alcuni giornali online lo adottino tutti.

Perché no, in fondo? I cookie wall (di cui i paywall sono una declinazione) popolavano fino a poco tempo fa la rete, come tutti ricorderete. Ogni sito era un check point: o mi dai i dati oppure non entri. Col paywall, abbiamo solo aggiunto una terza ipotesi: “oppure paghi”. E’ un’ipotesi perfino peggiore, perché discrimina sul censo. Se, in questo scenario (verosimile) di diffusione a macchia d’olio dei paywall, ci verrà chiesto, a ogni passo nella rete, a ogni singolo sito visitato, di pagare una somma sia pur modesta (ma capite che il totale modesto non è), la navigazione diverrà per i più insostenibile.

Non solo economicamente, anche sotto il profilo dell’esperienza utente.

Dunque i più, per convenienza economica o per speditezza di navigazione, accetteranno di farsi montare telecamere sulle spalle (sempre, beninteso, virtualmente) e noi avremmo compiuto uno dei più grandi balzi indietro nella tutela dei diritti fondamentali.

* L’asterisco di cui sopra

Spieghiamo adesso l’asterisco all’inizio di questo articolo. La normativa sulla protezione dei dati personali a me pare molto chiara sul no al paywall. Alcune assai rispettabili posizioni giuridiche di segno diverso danno tuttavia speciale rilievo alla normativa consumeristica, che invece consentirebbe di pagare un servizio con dati personali. Ciò in particolare si evincerebbe dall’art. 138-octies, co, 4 cod. consumo.

Tuttavia, in quella disposizione non leggiamo assolutamente la parola “controprestazione”, che è stata infatti espressamente – e, sia permesso notarlo, non a caso – eliminata dalla fonte europea, a monte. Il codice del consumo opera nel suo settore di competenza, e terrà conto della libertà del consenso “privacy” dell’interessato consumatore.

Come mai non c’è scritto più “controprestazione”? Perché l’art. 138-octies costituisce la trasposizione nazionale dell’art. 3, par. 1 direttiva (UE) 2019/770. Ora, è avvenuto che l’EDPS, ossia l’omologo per la UE del nostro Garante, nell’opinione istituzionale 4/2017 aveva infatti chiesto espressamente di eliminarla dal testo inziale (tecnicamente “proposta di direttiva”): “The EDPS recommends avoiding the use of the notion of data as counter-performance in the Proposal” (§ 14).

Così infatti è stato e trattasi di scelta del legislatore di cui il giurista non può non tenere conto in ambito ermeneutico: non credo cioè sia consentito far rientrare in via interpretativa ciò che è stato espressamente eliminato in via normativa. A ben vedere, stiamo cioè parlando di un vecchio dibattito già risolto anni fa a seguito dell’intervento dell’EDPS e che oggi ci raggiunge semmai come la luce di una stella lontana che in realtà si è spenta da tempo.

Il parere dell’EDPS merita di essere letto a fondo per riportare la dialettica tra la normativa sui dati personali e quella consumeristica in un rapporto equilibrato. In chiusura, cito ancora dall’opinione menzionata questo passaggio, insolitamente forte nei toni (evidentemente ne abbiamo bisogno), ma efficace, § 17: “There might well be a market for personal data, just like there is, tragically, a market for live human organs, but that does not mean that we can or should give that market the blessing of legislation”. Ossia:

Può ben esistere un mercato dei dati personali, così come esiste, tragicamente, un mercato degli organi umani, ma questo non vuol dire che noi possiamo o dovremmo dare a tale mercato la benedizione della liceità normativa

Videosorveglianza, il Garante torna a sanzionare: tre punti chiave da tenere presenti

Le informazioni da rendere all’interessato ai sensi degli artt. 13 e 14 GDPR, ossia per brevità l’informativa, rivestono un ruolo essenziale nell’impianto normativo e sono una delle cause più frequenti di sanzione da parte del Garante per la protezione dei dati personali.

Errore di metodo: uso di modelli prestampati

La ragione più comune delle violazioni è spesso un’incomprensione sul metodo: l’informativa non è mai un adempimento da affrontare con modelli prestampati, ma una sintesi giuridica dell’intero impianto di trattamento, da rivedere ciclicamente.

Se vengono usati dei modelli, vanno riempiti di contenuti ragionati e vanno perfino corretti nei passaggi errati o divenuti obsoleti.

Una recente ordinanza-ingiunzione per € 26.000 del Garante al comune di Policoro permette di passare in rassegna alcune mancanze tipiche. Vediamole insieme.

La vicenda

Il Comune decide di contrastare il fenomeno dell’abbandono di rifiuti urbani avvalendosi di un sistema di videosorveglianza che permetta di individuare i contravventori. Finalità corretta, ma la realizzazione presenta svariate carenze. Cominciamo dalla prima.

1. Eliminare i riferimenti all’art. 13 Cod. privacy

È l’errore più banale e diffuso: l’uso di cartelli informativi con riferimenti all’art. 13 d.lgs. 196/03 (Codice privacy), norma abrogata da ben quattro anni, anziché all’art. 13 GDPR vigente. Il periodo di implicita tolleranza è evidentemente finito, perché il Garante rimarca la criticità.

Attenzione, non è questione di forma: a parte un’area di sovrapposizione contenutistica tra le due disposizioni, l’art. 13 GDPR è più ricco e strutturato e l’interessato deve poter consultare il testo giusto.

Inoltre, l’errore sottende un difetto più clamoroso, l’ignoranza sullo stato della normativa. Tanto è vero che le difese del Comune risultano inizialmente ancora basate sul vecchio provvedimento dell’8 aprile 2010 del Garante, ampiamente superato, e in passaggi chiave, alla luce del GDPR.

2. Mancanza dell’informativa “estesa”

Quante informative sulla videosorveglianza riportano la versione cd. “estesa”, o “di secondo livello”? Pochissime, ancora oggi.

Chiariamo il passaggio: il cartello informativo posto in prossimità (ma prima) del raggio d’azione delle telecamere soddisfa la cosiddetta informativa “sintetica”, o “di primo livello”.

La ragione per avere due informative “layered”, una sintetica (il cartello) e una estesa è semplice: non si può riportare il testo integrale dell’art. 13 GDPR su un cartello di pronta consultazione, perciò si inserisce un riferimento per acquisire l’informativa estesa, auspicabilmente anche in formato link (testo e QR).

L’errore più comune consiste nel predisporre i soli cartelli informativi “sintetici”, dimenticando l’adempimento principale, ossia l’informativa “estesa”, che assicura il rispetto pieno dell’art. 13 GDPR.

Anche qui, non è questione di forma ma di sostanza: l’ampiezza degli elementi da fornire all’interessato può trovare spazio solo nell’informativa estesa.

3. Mancanza dei termini di conservazione

Altra mancanza tipica: non avere previsto tempi di conservazione, che sono invece essenziali. Non sono, salvo eccezioni, termini stabiliti per legge: è onere e responsabilità del titolare del trattamento decidere la durata ed essere in grado di giustificarne la coerenza con l’art. 5 GDPR.

Intervengono molti fattori nella valutazione. Ma se si vuole quella che gli inglesi chiamerebbero una rule of thumb, ossia una regola di massima orientativa, si può tenere il limite delle 72 ore.

“Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione”, così il Garante.

Superate le 72 ore, occorrerebbe procedere quantomeno a un’analisi del rischio strutturata, conforme all’art. 32 GDPR.

Beninteso, il limite orientativo delle 72 ore può ben essere superato, e non di stretta misura, ma occorre un impianto giuridico che ne sostenga adeguatamente le ragioni.

Conclusioni

Il provvedimento GPDP 9 giugno 2022 [9794895] qui commentato permette di estrarre tre semplici regole base da osservare in materia di informativa sulla videosorveglianza:

  1. eliminare dai cartelli i riferimenti non più attuali all’art. 13 Codice privacy
  2. formulare un’informativa “estesa”, collegandola logicamente al cartello informativo “sintetico”
  3. definire i tempi di conservazione dei dati personali, evitando durate eccessive

L’avvocato Pelino entra nel gruppo di esperti EDPB

L’avvocato Enrico Pelino è entrato a far parte dal 30 agosto 2022 del gruppo di esperti in materia di protezione dei dati personali, Support Pool of Experts, del Comitato delle autorità di controllo dell’Unione europea.

L’EDPB è l’organismo che riunisce il nostro Garante per la protezione dei dati personali e gli altri omologhi europei.

Gli esperti potranno essere chiamati per consulenze e progetti e altre attività di supporto all’EDPB.

Relatore al Privacy Symposium 2022

Privacy Symposium

L’avv. Enrico Pelino sarà invited speaker al Privacy Symposium che si terrà a Venezia dal 5 al 7 aprile 2022. L’evento, ospitato nella cornice di prestigio dell’Università Ca’ Foscari, costituisce un atteso punto di convergenza di esperti italiani ed europei.

In particolare, il ns. partner interverrà come relatore il 5 aprile prossimo all’interno di un panel di eccellenza che annovera noti esperti del settore, sul tema: Privacy and the Market, Overlapping between Data Protection and Other Sectoral Regulations. Privacy e Mercato, sovrapposizione fra protezione dei dati personali e altre normative di settore.

Saranno trattati temi di intersezione tra normativa sulla protezione dei dati personali e altre discipline del contesto digitale. L’auspicio del panel è di stimolare spunti di dibattito e cogliere convergenze e divergenze in una produzione normativa connotata da notevole intensità di espansione, ma, anche per questo, facile a sovrapposizioni di non immediato governo.

Privacy_Symposium_2022

Il green pass viola GDPR e Costituzione

Il green pass viola GDPR e Costituzione, vediamo perché. La Costituzione è il nucleo cellulare che contiene il DNA della Repubblica. Su questo semplice concetto dovremmo essere tutti d’accordo. La questione oggi non è vaccini sì, vaccini no. La questione è: possiamo usare un sotterfugio, una via traversa, ossia il green pass, per ottenere qualcosa che deve essere conseguito solo nel binario della Costituzione? Ovviamente no. Ciò è anzi eversivo, nel significato etimologico di evertĕre, ossia “abbattere”. Abbattere che cosa? Le garanzie poste expressis verbis, vale a dire in maniera espressa, dalla Costituzione

Che cosa impone l’art. 32 Cost.

E quali sono dunque queste garanzie? Sono due e sono indicate all’art. 32, norma di formulazione tanto breve quanto limpida. La vaccinazione è un trattamento sanitario perfettamente libero, questo indica l’art. 32: “Nessuno può essere obbligato”. Ma se lo Stato vuole renderlo obbligatorio, può farlo solo a patto che rispetti due regole non derogabili, ossia:

  1. Introduca l’obbligo di trattamento sanitario attraverso una “disposizione di legge”, nella specie una legge vaccinale, cd. garanzia della “riserva di legge”.
  2. Osservi i “limiti imposti dal rispetto della persona umana”, limiti essenziali questi perché distinguono uno Stato moderno e civile da formazioni barbare nelle quali si batte con la lancia sugli scudi.

Ripeto: sono due garanzie costituzionali, e non possono essere toccate. E infatti nella storia della Repubblica ogni vaccinazione obbligatoria è stata introdotta con una legge vaccinale. Sempre. Senza eccezioni. Oggi no: oggi, non esiste un t.s.o. vaccinale imposto per legge alla generalità della popolazione. Questo è un fatto nudo e crudo. Non è un’opinione, è un fatto.

Orbene, quando varie dichiarazioni provenienti dall’arco governativo, e documentabili, indicano che il green pass serve invece, proprio in mancanza di una legge vaccinale generalizzata che non si è voluto o potuto introdurre, quale strumento di coercizione e punizione verso chi sceglie liberamente (non c’è obbligo generalizzato, ricordiamolo) di non sottoporsi al trattamento sanitario o per chi, pur vaccinato, non accetta tutti gli update del farmaco, sono abbattute le due garanzie ricordate, poste dall’art. 32 Cost.

È infatti abbattuta la garanzia della riserva di legge, perché ove manchi una legge vaccinale, come infatti manca, la conseguenza è che “nessuno può essere obbligato”, men che meno obbligato togliendogli addirittura l’esercizio di diritti fondamentali, come quello al lavoro, alla retribuzione, allo spostamento e riducendolo sostanzialmente a un paria.

Viene abbattuta anche la garanzia dell’osservanza dei “limiti imposti dal rispetto della persona umana”, essendo la coercizione attraverso la punizione, o, come qualcuno ha addirittura dichiarato, attraverso l’inflizione di una sofferenza, per definizione contraria a quei limiti. È degradante e disumana, così come è degradante e disumano un permesso amministrativo per l’esercizio di diritti fondamentali di cui già si dispone, questo è infatti il green pass. È degradante, per intenderci, anche per coloro che ne fanno uso e sono tenuti a giustificare a ogni angolo di strada il loro titolo a fare cose perfettamente lecite e che hanno sempre fatto senza dover chiedere permessi.

Ragionevolezza, proporzionalità e necessità

Non basta l’osservanza delle due garanzie poste dall’art. 32 Cost. perché una legge vaccinale sia lecita. Occorre anche che tale legge rispetti il principio di ragionevolezza che ha sede nell’art. 3 Cost. e i principi di proporzionalità e necessità, ugualmente espressione della Costituzione e previsti altresì dall’art. 52 Carta dei diritti fondamentali dell’Unione europea, o CDFUE. La CDFUE, giova rammentare a chi lo ha scordato, ha “lo stesso valore giuridico dei Trattati“, come espressamente indica l’art. 6.1 TUE.

Facciamo qualche esempio: un obbligo vaccinale per gli ultracinquantenni è palesemente irragionevole, sproporzionato e non necessario, tanto più in fase di regresso della pandemia. Si è scelto 50 per fare cifra tonda, come al mercato quando ci dicono “Signore, che faccio aggiungo una fetta e andiamo a 200 grammi precisi?”. Bisognerebbe inorridire per essere precipitati così in basso nell’esercizio del potere normativo.

Le violazioni del GDPR

E il GDPR che cosa c’entra? C’entra perché le leggi sono collocate in una gerarchia e capita che il DL 52/2021 e le varie appendici normative collegate stiano sotto in questa gerarchia, mentre il GDPR stia sopra. Ciò che sta sotto, nel sistema giuridico, non può entrare in contrasto con i piani superiori. Stesso ragionamento si applica al Reg. (UE) 2021/953. Ricordo a me stesso che disapplicare la normativa nazionale che contrasta con norme eurounitarie sovraordinate non è una scelta, è un obbligo, e lo anche per le autorità amministrative, come ha più volte ricordato la Corte di Giustizia dell’Unione europea.

Le violazioni del GDPR sono innumerevoli. Rimando il lettore che ha avuto la pazienza di seguirmi fin qui a un articolo che espone il mio ragionamento in maniera più completa: Green pass e privacy, ecco perché sono violati GDPR e Costituzione – Cyber Security 360.

Il green pass viola GDPR e Costituzione, sul punto rimando anche alla segnalazione-esposto sottoscritta insieme a numerosi Colleghi, consultabile e scaricabile qui in basso. Chiunque può ovviamente fare ciò che crede con le argomentazioni contenute nella segnalazione-esposto, esempio utilizzarle in un qualsiasi contenzioso, se le ritiene opportune.

Super green pass nei luoghi di lavoro per gli ultracinquantenni

Obbligo vaccinale per i cinquantenni

Il D.L. 1/2022 ha introdotto, fino al 15 giugno 2022, l’obbligo vaccinale per contrastare il Sars-CoV-2 per tutte le persone che abbiano compiuto il cinquantesimo anno d’età. L’obbligo si applica ai cittadini italiani e membri dell’Unione europea residenti nel territorio italiano nonché agli stranieri regolarmente soggiornanti nel nostro Paese. È fatto salvo il caso di accertato pericolo per la salute idoneo a determinare un’omessa o differita vaccinazione.

Il decreto dispone altresì che per gli over cinquanta risultati positivi all’infezione da Sars-Cov-2 la vaccinazione è differita fino alla prima data utile prevista sulla base delle circolari del Ministero della salute.

Green pass rafforzato per l’accesso al lavoro

A decorrere dal 15 febbraio 2022 tutti i dipendenti pubblici e privati ultracinquantenni per poter accedere ai luoghi di lavoro devono possedere il green pass rafforzato, ossia il certificato verde che si ottiene a seguito di vaccinazione o guarigione, non sarà quindi più sufficiente il green pass base, ossia quello generato da tampone.

Ma quanto dura la validità del “super green pass”?

La risposta non è univoca ma dipende dalle circostanze che hanno determinato il rilascio della certificazione verde Covid-19. Vediamo quindi i casi più rilevanti delle differenti durate:

a) sei mesi a far data dal completamento del ciclo vaccinale primario;

b) illimitatamente a far data dalla somministrazione della dose di richiamo;

c) sei mesi a far data dall’avvenuta guarigione;

d) sei mesi a decorrere dall’avvenuta guarigione per i coloro che siano risultati positivi al Sars-CoV-2 oltre il quattordicesimo giorno dalla somministrazione della prima dose di vaccino;

e) illimitatamente a decorrere dall’avvenuta guarigione per i coloro che siano risultati positivi al Sars-CoV-2 a seguito del ciclo vaccinale primario o della somministrazione della dose di richiamo.

Criticità

La certificazione verde è stata, a quanto dichiarato, introdotta per ragioni di salute pubblica. Tuttavia, le evidenze scientifiche indicano chiaramente che nei soggetti vaccinati il livello di anticorpi decade dopo pochissime settimane dalla vaccinazione, e comunque in maniera che non supporta in alcun modo durate completamente diverse del certificato verde.

Di qui è agevole prevedere facili spunti a contestazioni giuridiche.

Anche la finalità di salute pubblica appare possibile oggetto di contenzioso, se è vero, come è vero, che il possesso del green pass non arresta in alcun modo la trasmissione del virus. Ciò è ormai di tutta evidenza ed è supportato da ampi dati disponibili, in primo luogo quelli che emergono, rispetto ai vaccinati, dai bollettini periodici dell’Istituto superiore di sanità (cfr. report estesi).

Queste notevoli criticità, e molte altre che non è possibile qui approfondire, rendono purtroppo per le aziende l’applicazione della normativa sul green pass un terreno minato. Spiace notare che le disposizioni normative introdotte non facilitano il settore lavoro in un momento così critico.

Adempimenti pratici

I datori di lavoro con l’entrata in vigore dell’obbligo del super green pass dovranno:

  • fornire informative aggiornate agli interessati prima di procedere alla verifica dei green pass “rafforzati”;
  • integrare e aggiornare le autorizzazione ai designati incaricati del controllo delle certificazioni verdi;
  • formare gli incaricati affinché procedano alla verifica del green pass rafforzato solo nei confronti degli ultracinquantenni (quindi coloro che abbiano già compiuto cinquant’anni) e alla verifica del solo green pass base per tutti gli altri per non incorrere in conseguenze giuridiche.

Covid-19: segnalazione al Garante

Il pdf della segnalazione al Garante per la protezione dei dati personali può essere scaricato da qui:

Il contesto

Da un servizio giornalistico de “Le Iene” in data 2 novembre 2021 emerge la mancata revoca di certificati verdi (green pass) a soggetti risultati positivi al virus SARS-CoV-2.

La criticità dipenderebbe, si apprende dal servizio, da un mancato coordinamento nella comunicazione tra piattaforma DGC e strutture preposte al controllo dei tamponi.

Questo significa che la criticità sarebbe addirittura strutturale, dunque da un lato prevedibile, dall’altro idonea a coinvolgere un numero potenzialmente assai ampio di soggetti.

Il citato reportage ha avuto vasta circolazione, abbiamo dunque atteso eventuali sviluppi della vicenda, in merito ai quali non ci è stato tuttavia possibile raccogliere notizie concordanti. Di qui la segnalazione, doverosa, al Garante.

L’esposizione a fattore di serio pericolo

La mancata revoca di green pass a soggetti che risultano contagiati dal virus costituisce un gravissimo fattore di esposizione di terzi a rischio biologico serio.

Il certificato valido può essere infatti usato per il libero accesso a numerosi luoghi e può innescare focolai pandemici, venendo in considerazione soggetti di cui è certificata la positività al virus.

Ove i contenuti del servizio giornalistico dovessero trovare conferma, è chiaro che occorrerebbe indagare anche sul pregresso, ossia sulle conseguenze che la mancata revoca potrebbe avere già prodotto sull’integrità fisica di un ampio numero di persone.

Sarebbe questo un caso in cui (se confermato, e ci auguriamo di ricevere smentita) l’evidente violazione di numerose disposizioni del GDPR, innanzitutto quelle in materia di DPIA, potrebbe determinare precise conseguenze sul contenimento dell’epidemia e sulla salute pubblica.

Che cosa accade ora?

Forniremo aggiornamenti su questo blog giuridico in relazione agli eventuali sviluppi (o mancati tali) della segnalazione, considerata la serietà della situazione e la credibilità istituzionale connessa alla vicenda.

Che cos’è un trasferimento di dati personali extra UE?

È stato pubblicato in data odierna sulla rivista specialistica Cybersecurity 360 un nuovo articolo dell’avv. Enrico Pelino in materia di trasferimento dei dati personali extra UE.

Al tema sono state dedicate il 18 novembre scorso le recentissime linee guida 5/2021 del Comitato dei Garanti europei, o EDPB. Il documento, come di regola, è in pubblica consultazione e, considerata la rilevanza del tema, non sono da escludere modifiche sostanziali ad esito dell’apporto di contributi esterni.

Ma perché è così significativo? Vediamolo insieme

Il contesto

La ragione di rilevanza più evidente è che una definizione di “trasferimento extra UE” manca nell’elenco dell’art. 4 GDPR. E il quid concettuale non dipende, come il lettore avrà intuito, da soli elementi geografici.

Ora, determinare che cosa esattamente costituisca o non costituisca trasferimento di dati personali verso un Paese terzo è essenziale, perché ne derivano precise conseguenze giuridiche, previste dal GDPR. E responsabilità.

Ad esempio, dalla definizione dipende la scelta di utilizzare le standard contractual clause, o clausole contrattuali standard, come prescritto dall’art. 46 GDPR, vale a dire il principale e più diffuso strumento a disposizione di società, professionisti, enti pubblici e altri soggetti che trattano dati personali altrui.

Le nuove SCC del 4 giugno 2021

Giova ricordare che dal 4 giugno 2021 le clausole sono state del tutto rinnovate dalla Commissione europea, attraverso l’introduzione di un testo molto più strutturato che in passato, finalmente modulare e idoneo a coprire una pluralità di rapporti prima esclusi, ossia quelli che hanno come punto d’origine un responsabile del trattamento (processor) soggetto al GDPR.

Le nuove SCC sono obbligatorie per tutti i nuovi trattamenti a partire dal 27 settembre 2021, ed entro il 27 dicembre 2022, superata la fase di transizione, dovranno essere applicate anche a quelli già in essere.

Giova anche ricordare che a seguito della sentenza cd. “Schrems II“, causa C-311/18, della Corte di Giustizia dell’Unione europea, occorre, anche nel contesto delle SCC, valutare l’adozione di misure supplementari o supplementary measure.

C’è già bisogno di un ulteriore modulo di SCC?

Ebbene, la posizione dei Garanti europei guarda ancora più avanti e propone di ragionare su un ulteriore gruppo di clausole standard per l’estero. Quelle di giugno restano in vigore, ma sono percepite come insufficienti a coprire l’intero arco dei trasferimenti.

In particolare, l’EDPB chiede apertamente di valutare l’introduzione di clausole standard per data importer, ossia destinatari dei dati, che siano a loro volta soggetti al GDPR.

Per approfondimenti su quest’ultima posizione, sia permesso rimandare alla lettura dell’articolo.

Le radici degli sviluppi odierni

Quello che oggi ci occupa non è che l’ultimo dei cerchi concentrici formati da un evento di moltissimi anni fa. Dobbiamo infatti tornare alla struttura di supporto per giornalisti e whisteblower creata da Julian Assange e all’appoggio fornito a Edward Snowden. Sono state proprio le rivelazioni di Snowden a provvedere l’attivista austriaco Maximilian Schrems delle evidenze necessarie ad azionare il lungo procedimento giudiziario che ha poi registrato due momenti decisivi, appunto, nelle pronunce Schrems I del 2015 e Schrems II del 2020 della Corte di Giustizia.

Da qui hanno preso le mosse le dichiarazioni di invalidità prima del Safe Harbor poi del Privacy Schield e quindi la valutazione sull’efficacia delle clausole standard. I nuovi strumenti della Commissione tengono appunto conto di questo articolato percorso giuridico.

Audizione in Senato dell’avv. Pelino

Il nostro partner avv. Enrico Pelino è stato invitato il 3 novembre 2021 alle audizioni sui profili privacy del DL “Capienze”, DL 139/2021, in occasione della conversione in legge (DDL 2409 di conversione).

In collegamento streaming con la Commissione Affari Costituzionali del Senato, l’avvocato si è concentrato sulle modifiche agli articoli 2-ter e 2-quinquiesdecies codice privacy apportate dal citato decreto legge.

Guarda l’intervento integrale:

In particolare, l’avv. Pelino ha evidenziato come gli interventi normativi comportino l’eliminazione di importanti strumenti di controllo preventivo del Garante sulle pubbliche amministrazioni, schiudendo la strada a liberi quanto pericolosi esperimenti sulla privacy dei cittadini. Gli effetti potranno ben difficilmente essere corretti in fase di controllo successivo.

Occorre considerare che al momento molte amministrazioni, anche di livello apicale, difettano addirittura di informative corrette, talvolta non hanno indicato il DPO e non hanno svolto nessun apprezzabile investimento in materia di cultura della privacy. Come possiamo attenderci realisticamente ora che procedano a corretti test di necessità, coinvolgendo il DPO?

In uno scenario come questo, perdere il “tutoraggio” dell’Autorità garante non si traduce né in guadagno di efficienza né in investimento per il futuro.

In un mondo che ruota sui dati, sottovalutare il rilievo strategico di una normativa dedicata proprio alla governance dei dati vuol dire condannarsi a un ruolo passivo, non attivo. A un ruolo, cioè, di potenziale colonia digitale per lo sfruttamento di informazioni da parte di terzi, che potranno trarre vantaggio dalle debolezze applicative.

Necessità di interventi tecnici

Nell’audizione l’avv. Pelino ha evidenziato l’utilità di alcuni interventi tecnici sull’art. 2-ter codice privacy (d.lgs. 196/03). Innanzitutto, occorre assicurare pari trattamento dei soggetti privati rispetto ai soggetti pubblici, costruito per entrambi su una corretta presa d’atto dell’applicazione del considerando 41 GDPR.

In secondo luogo, vanno apportate alcune correzioni lessicali al nuovo comma 1-bis al fine di scongiurare violazioni del GDPR, anziché l’adeguamento auspicato. Ad esempio, la finalità deve essere non semplicemente coerente con l’interesse pubblico ma necessaria allo stesso.

Continuando l’approfondimento sui soggetti pubblici, occorre infine attenersi a un criterio di proporzionalità, che è strutturale al GDPR e più in generale al diritto eurounitario e nazionale. Proporzionalità vuol dire applicare misure crescenti a un rischio crescente.

Le ipotesi oggi oggettivamente a rischio maggiore, quali la comunicazione tra amministrazioni di cui al comma secondo dovrebbero continuare a essere pertanto precedute, a nostra opinione, da un momento di verifica condotto dal Garante per la protezione dei dati personali. Tale intervento andrebbe quantomeno esteso alla diffusione o la comunicazione a privati di cui al comma terzo.

Ad uso del lettore: la formulazione dei commi 2 e 3 dell’art. 2-ter è oggi (anche dopo la novella del DL 139/21) particolarmente infelice poiché riunisce le due basi di cui alle lettere c) ed e) dell’art. 6.1 GDPR. È inoltre asimmetrica e mal riuscita nell’intento di includere anche i privati, pur mantenendo la struttura dell’abrogato art. 19 d.lgs. 196/03. Il presente articolo rappresenta perciò una sintesi e una semplificazione di questioni più complesse.