Relatore al Privacy Symposium 2022

Privacy Symposium

L’avv. Enrico Pelino sarà invited speaker al Privacy Symposium che si terrà a Venezia dal 5 al 7 aprile 2022. L’evento, ospitato nella cornice di prestigio dell’Università Ca’ Foscari, costituisce un atteso punto di convergenza di esperti italiani ed europei.

In particolare, il ns. partner interverrà come relatore il 5 aprile prossimo all’interno di un panel di eccellenza che annovera noti esperti del settore, sul tema: Privacy and the Market, Overlapping between Data Protection and Other Sectoral Regulations. Privacy e Mercato, sovrapposizione fra protezione dei dati personali e altre normative di settore.

Saranno trattati temi di intersezione tra normativa sulla protezione dei dati personali e altre discipline del contesto digitale. L’auspicio del panel è di stimolare spunti di dibattito e cogliere convergenze e divergenze in una produzione normativa connotata da notevole intensità di espansione, ma, anche per questo, facile a sovrapposizioni di non immediato governo.

Privacy_Symposium_2022

Il green pass viola GDPR e Costituzione

Il green pass viola GDPR e Costituzione, vediamo perché. La Costituzione è il nucleo cellulare che contiene il DNA della Repubblica. Su questo semplice concetto dovremmo essere tutti d’accordo. La questione oggi non è vaccini sì, vaccini no. La questione è: possiamo usare un sotterfugio, una via traversa, ossia il green pass, per ottenere qualcosa che deve essere conseguito solo nel binario della Costituzione? Ovviamente no. Ciò è anzi eversivo, nel significato etimologico di evertĕre, ossia “abbattere”. Abbattere che cosa? Le garanzie poste expressis verbis, vale a dire in maniera espressa, dalla Costituzione

Che cosa impone l’art. 32 Cost.

E quali sono dunque queste garanzie? Sono due e sono indicate all’art. 32, norma di formulazione tanto breve quanto limpida. La vaccinazione è un trattamento sanitario perfettamente libero, questo indica l’art. 32: “Nessuno può essere obbligato”. Ma se lo Stato vuole renderlo obbligatorio, può farlo solo a patto che rispetti due regole non derogabili, ossia:

  1. Introduca l’obbligo di trattamento sanitario attraverso una “disposizione di legge”, nella specie una legge vaccinale, cd. garanzia della “riserva di legge”.
  2. Osservi i “limiti imposti dal rispetto della persona umana”, limiti essenziali questi perché distinguono uno Stato moderno e civile da formazioni barbare nelle quali si batte con la lancia sugli scudi.

Ripeto: sono due garanzie costituzionali, e non possono essere toccate. E infatti nella storia della Repubblica ogni vaccinazione obbligatoria è stata introdotta con una legge vaccinale. Sempre. Senza eccezioni. Oggi no: oggi, non esiste un t.s.o. vaccinale imposto per legge alla generalità della popolazione. Questo è un fatto nudo e crudo. Non è un’opinione, è un fatto.

Orbene, quando varie dichiarazioni provenienti dall’arco governativo, e documentabili, indicano che il green pass serve invece, proprio in mancanza di una legge vaccinale generalizzata che non si è voluto o potuto introdurre, quale strumento di coercizione e punizione verso chi sceglie liberamente (non c’è obbligo generalizzato, ricordiamolo) di non sottoporsi al trattamento sanitario o per chi, pur vaccinato, non accetta tutti gli update del farmaco, sono abbattute le due garanzie ricordate, poste dall’art. 32 Cost.

È infatti abbattuta la garanzia della riserva di legge, perché ove manchi una legge vaccinale, come infatti manca, la conseguenza è che “nessuno può essere obbligato”, men che meno obbligato togliendogli addirittura l’esercizio di diritti fondamentali, come quello al lavoro, alla retribuzione, allo spostamento e riducendolo sostanzialmente a un paria.

Viene abbattuta anche la garanzia dell’osservanza dei “limiti imposti dal rispetto della persona umana”, essendo la coercizione attraverso la punizione, o, come qualcuno ha addirittura dichiarato, attraverso l’inflizione di una sofferenza, per definizione contraria a quei limiti. È degradante e disumana, così come è degradante e disumano un permesso amministrativo per l’esercizio di diritti fondamentali di cui già si dispone, questo è infatti il green pass. È degradante, per intenderci, anche per coloro che ne fanno uso e sono tenuti a giustificare a ogni angolo di strada il loro titolo a fare cose perfettamente lecite e che hanno sempre fatto senza dover chiedere permessi.

Ragionevolezza, proporzionalità e necessità

Non basta l’osservanza delle due garanzie poste dall’art. 32 Cost. perché una legge vaccinale sia lecita. Occorre anche che tale legge rispetti il principio di ragionevolezza che ha sede nell’art. 3 Cost. e i principi di proporzionalità e necessità, ugualmente espressione della Costituzione e previsti altresì dall’art. 52 Carta dei diritti fondamentali dell’Unione europea, o CDFUE. La CDFUE, giova rammentare a chi lo ha scordato, ha “lo stesso valore giuridico dei Trattati“, come espressamente indica l’art. 6.1 TUE.

Facciamo qualche esempio: un obbligo vaccinale per gli ultracinquantenni è palesemente irragionevole, sproporzionato e non necessario, tanto più in fase di regresso della pandemia. Si è scelto 50 per fare cifra tonda, come al mercato quando ci dicono “Signore, che faccio aggiungo una fetta e andiamo a 200 grammi precisi?”. Bisognerebbe inorridire per essere precipitati così in basso nell’esercizio del potere normativo.

Le violazioni del GDPR

E il GDPR che cosa c’entra? C’entra perché le leggi sono collocate in una gerarchia e capita che il DL 52/2021 e le varie appendici normative collegate stiano sotto in questa gerarchia, mentre il GDPR stia sopra. Ciò che sta sotto, nel sistema giuridico, non può entrare in contrasto con i piani superiori. Stesso ragionamento si applica al Reg. (UE) 2021/953. Ricordo a me stesso che disapplicare la normativa nazionale che contrasta con norme eurounitarie sovraordinate non è una scelta, è un obbligo, e lo anche per le autorità amministrative, come ha più volte ricordato la Corte di Giustizia dell’Unione europea.

Le violazioni del GDPR sono innumerevoli. Rimando il lettore che ha avuto la pazienza di seguirmi fin qui a un articolo che espone il mio ragionamento in maniera più completa: Green pass e privacy, ecco perché sono violati GDPR e Costituzione – Cyber Security 360.

Il green pass viola GDPR e Costituzione, sul punto rimando anche alla segnalazione-esposto sottoscritta insieme a numerosi Colleghi, consultabile e scaricabile qui in basso. Chiunque può ovviamente fare ciò che crede con le argomentazioni contenute nella segnalazione-esposto, esempio utilizzarle in un qualsiasi contenzioso, se le ritiene opportune.

Super green pass nei luoghi di lavoro per gli ultracinquantenni

Obbligo vaccinale per i cinquantenni

Il D.L. 1/2022 ha introdotto, fino al 15 giugno 2022, l’obbligo vaccinale per contrastare il Sars-CoV-2 per tutte le persone che abbiano compiuto il cinquantesimo anno d’età. L’obbligo si applica ai cittadini italiani e membri dell’Unione europea residenti nel territorio italiano nonché agli stranieri regolarmente soggiornanti nel nostro Paese. È fatto salvo il caso di accertato pericolo per la salute idoneo a determinare un’omessa o differita vaccinazione.

Il decreto dispone altresì che per gli over cinquanta risultati positivi all’infezione da Sars-Cov-2 la vaccinazione è differita fino alla prima data utile prevista sulla base delle circolari del Ministero della salute.

Green pass rafforzato per l’accesso al lavoro

A decorrere dal 15 febbraio 2022 tutti i dipendenti pubblici e privati ultracinquantenni per poter accedere ai luoghi di lavoro devono possedere il green pass rafforzato, ossia il certificato verde che si ottiene a seguito di vaccinazione o guarigione, non sarà quindi più sufficiente il green pass base, ossia quello generato da tampone.

Ma quanto dura la validità del “super green pass”?

La risposta non è univoca ma dipende dalle circostanze che hanno determinato il rilascio della certificazione verde Covid-19. Vediamo quindi i casi più rilevanti delle differenti durate:

a) sei mesi a far data dal completamento del ciclo vaccinale primario;

b) illimitatamente a far data dalla somministrazione della dose di richiamo;

c) sei mesi a far data dall’avvenuta guarigione;

d) sei mesi a decorrere dall’avvenuta guarigione per i coloro che siano risultati positivi al Sars-CoV-2 oltre il quattordicesimo giorno dalla somministrazione della prima dose di vaccino;

e) illimitatamente a decorrere dall’avvenuta guarigione per i coloro che siano risultati positivi al Sars-CoV-2 a seguito del ciclo vaccinale primario o della somministrazione della dose di richiamo.

Criticità

La certificazione verde è stata, a quanto dichiarato, introdotta per ragioni di salute pubblica. Tuttavia, le evidenze scientifiche indicano chiaramente che nei soggetti vaccinati il livello di anticorpi decade dopo pochissime settimane dalla vaccinazione, e comunque in maniera che non supporta in alcun modo durate completamente diverse del certificato verde.

Di qui è agevole prevedere facili spunti a contestazioni giuridiche.

Anche la finalità di salute pubblica appare possibile oggetto di contenzioso, se è vero, come è vero, che il possesso del green pass non arresta in alcun modo la trasmissione del virus. Ciò è ormai di tutta evidenza ed è supportato da ampi dati disponibili, in primo luogo quelli che emergono, rispetto ai vaccinati, dai bollettini periodici dell’Istituto superiore di sanità (cfr. report estesi).

Queste notevoli criticità, e molte altre che non è possibile qui approfondire, rendono purtroppo per le aziende l’applicazione della normativa sul green pass un terreno minato. Spiace notare che le disposizioni normative introdotte non facilitano il settore lavoro in un momento così critico.

Adempimenti pratici

I datori di lavoro con l’entrata in vigore dell’obbligo del super green pass dovranno:

  • fornire informative aggiornate agli interessati prima di procedere alla verifica dei green pass “rafforzati”;
  • integrare e aggiornare le autorizzazione ai designati incaricati del controllo delle certificazioni verdi;
  • formare gli incaricati affinché procedano alla verifica del green pass rafforzato solo nei confronti degli ultracinquantenni (quindi coloro che abbiano già compiuto cinquant’anni) e alla verifica del solo green pass base per tutti gli altri per non incorrere in conseguenze giuridiche.

Covid-19: segnalazione al Garante

Il pdf della segnalazione al Garante per la protezione dei dati personali può essere scaricato da qui:

Il contesto

Da un servizio giornalistico de “Le Iene” in data 2 novembre 2021 emerge la mancata revoca di certificati verdi (green pass) a soggetti risultati positivi al virus SARS-CoV-2.

La criticità dipenderebbe, si apprende dal servizio, da un mancato coordinamento nella comunicazione tra piattaforma DGC e strutture preposte al controllo dei tamponi.

Questo significa che la criticità sarebbe addirittura strutturale, dunque da un lato prevedibile, dall’altro idonea a coinvolgere un numero potenzialmente assai ampio di soggetti.

Il citato reportage ha avuto vasta circolazione, abbiamo dunque atteso eventuali sviluppi della vicenda, in merito ai quali non ci è stato tuttavia possibile raccogliere notizie concordanti. Di qui la segnalazione, doverosa, al Garante.

L’esposizione a fattore di serio pericolo

La mancata revoca di green pass a soggetti che risultano contagiati dal virus costituisce un gravissimo fattore di esposizione di terzi a rischio biologico serio.

Il certificato valido può essere infatti usato per il libero accesso a numerosi luoghi e può innescare focolai pandemici, venendo in considerazione soggetti di cui è certificata la positività al virus.

Ove i contenuti del servizio giornalistico dovessero trovare conferma, è chiaro che occorrerebbe indagare anche sul pregresso, ossia sulle conseguenze che la mancata revoca potrebbe avere già prodotto sull’integrità fisica di un ampio numero di persone.

Sarebbe questo un caso in cui (se confermato, e ci auguriamo di ricevere smentita) l’evidente violazione di numerose disposizioni del GDPR, innanzitutto quelle in materia di DPIA, potrebbe determinare precise conseguenze sul contenimento dell’epidemia e sulla salute pubblica.

Che cosa accade ora?

Forniremo aggiornamenti su questo blog giuridico in relazione agli eventuali sviluppi (o mancati tali) della segnalazione, considerata la serietà della situazione e la credibilità istituzionale connessa alla vicenda.

Che cos’è un trasferimento di dati personali extra UE?

È stato pubblicato in data odierna sulla rivista specialistica Cybersecurity 360 un nuovo articolo dell’avv. Enrico Pelino in materia di trasferimento dei dati personali extra UE.

Al tema sono state dedicate il 18 novembre scorso le recentissime linee guida 5/2021 del Comitato dei Garanti europei, o EDPB. Il documento, come di regola, è in pubblica consultazione e, considerata la rilevanza del tema, non sono da escludere modifiche sostanziali ad esito dell’apporto di contributi esterni.

Ma perché è così significativo? Vediamolo insieme

Il contesto

La ragione di rilevanza più evidente è che una definizione di “trasferimento extra UE” manca nell’elenco dell’art. 4 GDPR. E il quid concettuale non dipende, come il lettore avrà intuito, da soli elementi geografici.

Ora, determinare che cosa esattamente costituisca o non costituisca trasferimento di dati personali verso un Paese terzo è essenziale, perché ne derivano precise conseguenze giuridiche, previste dal GDPR. E responsabilità.

Ad esempio, dalla definizione dipende la scelta di utilizzare le standard contractual clause, o clausole contrattuali standard, come prescritto dall’art. 46 GDPR, vale a dire il principale e più diffuso strumento a disposizione di società, professionisti, enti pubblici e altri soggetti che trattano dati personali altrui.

Le nuove SCC del 4 giugno 2021

Giova ricordare che dal 4 giugno 2021 le clausole sono state del tutto rinnovate dalla Commissione europea, attraverso l’introduzione di un testo molto più strutturato che in passato, finalmente modulare e idoneo a coprire una pluralità di rapporti prima esclusi, ossia quelli che hanno come punto d’origine un responsabile del trattamento (processor) soggetto al GDPR.

Le nuove SCC sono obbligatorie per tutti i nuovi trattamenti a partire dal 27 settembre 2021, ed entro il 27 dicembre 2022, superata la fase di transizione, dovranno essere applicate anche a quelli già in essere.

Giova anche ricordare che a seguito della sentenza cd. “Schrems II“, causa C-311/18, della Corte di Giustizia dell’Unione europea, occorre, anche nel contesto delle SCC, valutare l’adozione di misure supplementari o supplementary measure.

C’è già bisogno di un ulteriore modulo di SCC?

Ebbene, la posizione dei Garanti europei guarda ancora più avanti e propone di ragionare su un ulteriore gruppo di clausole standard per l’estero. Quelle di giugno restano in vigore, ma sono percepite come insufficienti a coprire l’intero arco dei trasferimenti.

In particolare, l’EDPB chiede apertamente di valutare l’introduzione di clausole standard per data importer, ossia destinatari dei dati, che siano a loro volta soggetti al GDPR.

Per approfondimenti su quest’ultima posizione, sia permesso rimandare alla lettura dell’articolo.

Le radici degli sviluppi odierni

Quello che oggi ci occupa non è che l’ultimo dei cerchi concentrici formati da un evento di moltissimi anni fa. Dobbiamo infatti tornare alla struttura di supporto per giornalisti e whisteblower creata da Julian Assange e all’appoggio fornito a Edward Snowden. Sono state proprio le rivelazioni di Snowden a provvedere l’attivista austriaco Maximilian Schrems delle evidenze necessarie ad azionare il lungo procedimento giudiziario che ha poi registrato due momenti decisivi, appunto, nelle pronunce Schrems I del 2015 e Schrems II del 2020 della Corte di Giustizia.

Da qui hanno preso le mosse le dichiarazioni di invalidità prima del Safe Harbor poi del Privacy Schield e quindi la valutazione sull’efficacia delle clausole standard. I nuovi strumenti della Commissione tengono appunto conto di questo articolato percorso giuridico.

Audizione in Senato dell’avv. Pelino

Il nostro partner avv. Enrico Pelino è stato invitato il 3 novembre 2021 alle audizioni sui profili privacy del DL “Capienze”, DL 139/2021, in occasione della conversione in legge (DDL 2409 di conversione).

In collegamento streaming con la Commissione Affari Costituzionali del Senato, l’avvocato si è concentrato sulle modifiche agli articoli 2-ter e 2-quinquiesdecies codice privacy apportate dal citato decreto legge.

Guarda l’intervento integrale:

In particolare, l’avv. Pelino ha evidenziato come gli interventi normativi comportino l’eliminazione di importanti strumenti di controllo preventivo del Garante sulle pubbliche amministrazioni, schiudendo la strada a liberi quanto pericolosi esperimenti sulla privacy dei cittadini. Gli effetti potranno ben difficilmente essere corretti in fase di controllo successivo.

Occorre considerare che al momento molte amministrazioni, anche di livello apicale, difettano addirittura di informative corrette, talvolta non hanno indicato il DPO e non hanno svolto nessun apprezzabile investimento in materia di cultura della privacy. Come possiamo attenderci realisticamente ora che procedano a corretti test di necessità, coinvolgendo il DPO?

In uno scenario come questo, perdere il “tutoraggio” dell’Autorità garante non si traduce né in guadagno di efficienza né in investimento per il futuro.

In un mondo che ruota sui dati, sottovalutare il rilievo strategico di una normativa dedicata proprio alla governance dei dati vuol dire condannarsi a un ruolo passivo, non attivo. A un ruolo, cioè, di potenziale colonia digitale per lo sfruttamento di informazioni da parte di terzi, che potranno trarre vantaggio dalle debolezze applicative.

Necessità di interventi tecnici

Nell’audizione l’avv. Pelino ha evidenziato l’utilità di alcuni interventi tecnici sull’art. 2-ter codice privacy (d.lgs. 196/03). Innanzitutto, occorre assicurare pari trattamento dei soggetti privati rispetto ai soggetti pubblici, costruito per entrambi su una corretta presa d’atto dell’applicazione del considerando 41 GDPR.

In secondo luogo, vanno apportate alcune correzioni lessicali al nuovo comma 1-bis al fine di scongiurare violazioni del GDPR, anziché l’adeguamento auspicato. Ad esempio, la finalità deve essere non semplicemente coerente con l’interesse pubblico ma necessaria allo stesso.

Continuando l’approfondimento sui soggetti pubblici, occorre infine attenersi a un criterio di proporzionalità, che è strutturale al GDPR e più in generale al diritto eurounitario e nazionale. Proporzionalità vuol dire applicare misure crescenti a un rischio crescente.

Le ipotesi oggi oggettivamente a rischio maggiore, quali la comunicazione tra amministrazioni di cui al comma secondo dovrebbero continuare a essere pertanto precedute, a nostra opinione, da un momento di verifica condotto dal Garante per la protezione dei dati personali. Tale intervento andrebbe quantomeno esteso alla diffusione o la comunicazione a privati di cui al comma terzo.

Ad uso del lettore: la formulazione dei commi 2 e 3 dell’art. 2-ter è oggi (anche dopo la novella del DL 139/21) particolarmente infelice poiché riunisce le due basi di cui alle lettere c) ed e) dell’art. 6.1 GDPR. È inoltre asimmetrica e mal riuscita nell’intento di includere anche i privati, pur mantenendo la struttura dell’abrogato art. 19 d.lgs. 196/03. Il presente articolo rappresenta perciò una sintesi e una semplificazione di questioni più complesse.

Proctoring, dati biometrici e violazioni

Ascolta l’intervista dell’avv. Enrico Pelino a Ius Law Web Radio.

Con un recente provvedimento (qui), il Garante per la protezione dei dati personali ha sanzionato l’Università Bocconi per € 200.000, in seguito a rilevate violazioni dei dati personali in un sistema di proctoring, utilizzato per lo svolgimento di prove d’esame.

Il proctoring è tecnicamente l’attività di vigilanza volta ad assicurare che il candidato rispetti le regole e non utilizzi ausili di vario genere per facilitarsi.

In ambito di didattica a distanza (DAD) esistono varie soluzioni software che permettono di riprodurre tale vigilanza in ambienti naturalmente sottratti a controllo, quali appunto i sistemi informatici utilizzati dall’esaminando e i luoghi fisici in cui essi si trovano. Tipicamente tali sistemi prevedono un’acquisizione visiva dell’ambiente, il blocco della navigazione dell’esaminando al fine di evitare consultazione di materiale non ammesso, e, per quello che qui maggiormente interessa, la rilevazione di comportamenti considerati sospetti, che potrebbero rivelare condotte elusive. Inoltre, c’è l’ovvia esigenza di comprendere se il candidato non venga sostituito da terzi durante la prova, esigenza che richiede la memorizzazione di informazioni per successivo raffronto.

Dati biometrici, profilazione, base giuridica

I dati personali raccolti sono dunque di regola per loro natura dati biometrici (cfr. artt. 4.14 e 9.1 GDPR), quantomeno in parte, poiché permettono di individuare soggetti in base all’elaborazione di caratteristiche fisiche e/o comportamentali. Viene inoltre in considerazione nella maggior parte dei casi una profilazione, che pone delicati rischi di discriminazione e più in generale attiva la necessaria disamina sull’osservanza dei principi del GDPR, innanzitutto in termini di proporzionalità.

Altra questione complessa è quella della base giuridica del trattamento, che al momento, almeno nella prospettazione che emerge dal provvedimento citato, non sembra mai sostenibile, tanto che la si individui nel consenso tanto che la si costruisca sull’interesse pubblico rilevante, ossia rispettivamente sugli artt. 9.2.a o 9.2.g GDPR in combinato disposto con l’art. 2-sexies Cod. priv.. Per approfondimenti su questi temi e molti altri sollevati dal provvedimento rimandiamo all’intervista.

Obbligo di green pass e diritti

A far data dal 22 settembre 2021 con modifica al DL 52/2021 è stato introdotto l’obbligo di green pass (certificazione verde) in maniera pressoché generalizzata per lo svolgimento di attività lavorativa. Ci occupiamo qui dell’applicazione al settore privato, definita dall’art. 9-septies del citato decreto.

La generalizzazione dell’obbligo rivela, a parere di chi scrive, forzature estreme. La novella normativa parifica infatti irragionevolmente situazioni disuguali, e questo già varrebbe a determinarne il contrasto con il principio di ragionevolezza e con l’art. 3 Cost.

I contesti di lavoro sono diversissimi tra loro e altrettanto irriducibili a unità vi appaiono le modalità e la frequenza di relazione interpersonale, dunque il rischio di contagio.

L’esclusione di una valutazione dei rischi in concreto

In maniera contraddittoria rispetto alla dichiarata ratio perseguita, la novella esclude ogni ragionevole forma di valutazione in concreto del rischio e il coinvolgimento, che dovrebbe essere invece necessario, del principale soggetto competente a valutarlo in azienda, ossia il medico del lavoro.

L’art. 9-septies sembra infatti applicarsi a prescindere dall’apprezzamento del medico e da una valutazione effettiva.

Neppure tiene conto dell’impiego dei dispositivi di protezione individuale, o DPI, che costituiscono altrove nella più generale normativa strumenti fisici idonei di contrasto alla diffusione del virus, e dunque di abbattimento del rischio connesso. Ciò appare irrazionale.

L’art. 32 Cost.

Le conseguenze per il lavoratore non munito di valido green pass sono invero gravissime e ne colpiscono in maniera che appare sproporzionata i diritti fondamentali, costituzionalmente garantiti. È appena il caso di notare che non appare richiamabile a supporto l’art. 32 Cost., non sussistendo al momento nel nostro Paese alcun generale obbligo vaccinale in relazione al Covid-19, fatte salve alcune specifiche categorie professionali.

Semmai l’art. 32 Cost. garantisce il diritto di non vaccinarsi, in mancanza appunto di disposizione di legge di segno opposto (ivi comma 2).

Se il Legislatore avesse ritenuto realmente necessaria ai fini della salute pubblica la vaccinazione globale, l’avrebbe disposta positivamente, nel dovuto rispetto dell’architettura costituzionale, che non può essere elusa.

Conseguenze per i lavoratori

Vediamo alcune di queste conseguenze. I lavoratori “che risultino privi della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nei luoghi di lavoro sono considerati assenti ingiustificati fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021”, comma 6 dell’art. 9-septies citato.

Per essere assenti ingiustificati occorre cioè essersi presentati sul luogo di lavoro. Formulata così, la disposizione è un esercizio di neolingua. Alla base appare esserci una confusione ontologica, che approda a scelte terminologiche paradossali.

Il lavoratore, assente ingiustificato nei termini (rovesciati) di cui sopra, non perderebbe comunque il lavoro ma il compenso. Non è poco. Sul punto la disposizione normativa di cui al comma 6 precisa: “Senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro”.

Non altrettanto prevede il comma 8, in base al quale “restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di settore” per i lavoratori che accedano ai luoghi di lavoro senza possedere ed esibire, su richiesta, la certificazione verde. Il coordinamento, non ineccepibile, con il comma 6 sembra essere rimesso al momento in cui avvengono i controlli, e tutto sommato dunque anche alla casualità della loro effettuazione.

Il rischio del licenziamento e di sanzioni amministrative

Da notare che nell’ipotesi disciplinata dal comma 8, potrebbe non essere escluso perfino il licenziamento, come si è già ipotizzato in un primo studio di Confindustria (pdf). A chi scrive sembra che la sanzione massima mal si concili, per gravità, con la previsione del comma 6, che descrive una condotta oggettivamente limitrofa ma dichiaratamente priva di esito disciplinare.

Non sembra confortare la scelta della sanzione massima neppure la parificazione, invero apodittica, tra mancanza di certificato ed effettivo rischio sanitario per l’azienda, tanto più ove quest’ultimo sia inferito ex lege, dunque in astratto, omettendo le valutazioni che in concreto potrebbero invece smentirlo o ridimensionarlo da parte del medico competente, e prescindendo dalla sussistenza delle altre misure di effettivo contenimento come i DPI.

Appare cioè opportuno per l’imprenditore valutare con prudenza le conseguenze disciplinari, evitando eccessi che potrebbero non sempre risultare agevolmente difendibili in sede contenziosa.

Il lavoratore rischia altresì, nell’ipotesi del comma 8, di essere sanzionato amministrativamente da € 600,00 a € 1.500,00, e questo paradossalmente per avere esercitato il suo diritto di non vaccinarsi, ad oggi riconosciuto dall’art. 32 Cost., ved. sopra.

Distinzioni binarie e contraddizioni

Non c’è spazio qui per affrontare in dettaglio altri temi più tecnici quali il fondamento scientifico del rischio di diffusione del virus, che sembra riguardare purtroppo anche i vaccinati, i quali possono ben contrarre il patogeno, sviluppare carica virale e talvolta anche la malattia, cfr., ex multis, CDC, Outbreak of SARS-CoV-2 ecc., in particolare ivi parte sul “viral load”.

Tale evidenza fa cadere o mette quantomeno in serio dubbio le distinzioni binarie tra rischio e carenza di rischio sulle quali il Governo sembra avere edificato la normazione straordinaria.

Nessuna novità peraltro. Serie perplessità sulla coincidenza tra vaccinazione e immunità erano state espresse già nel febbraio 2021 dall’OMS e ritenute dirimenti in aprile dalle Autorità di controllo europee per la protezione dei dati personali rispetto alla certificazione comprovante la vaccinazione, da non assumere quale certificazione di immunità.

La tesi che il vaccinato sia immune al virus è peraltro ipso facto smentita dallo stesso Normatore laddove questi non solo non esclude per i vaccinati il pericolo posto dai consociati senza green pass, ma ne fa a ben vedere il principale pilastro logico della normazione straordinaria. Contraddittoriamente, cioè, i vaccinati sarebbero al tempo stesso immuni e non immuni. È il paradosso del gatto di Schrödinger e ha certamente effetto sulla tenuta giuridica della decretazione.

In realtà, nell’attuale assetto, i portatori di green pass (vaccinati e non vaccinati) possono ben essere contagiati dai loro omologhi, perché la certificazione, contrariamente agli assunti governativi, nulla di certo indica sull’effettivo stato di salute del singolo, che appare semmai determinabile, sia pure con approssimazione, solo attraverso un tampone.

Stigma sociale e riduzione di cittadini a paria

L’arbitraria equiparazione concettuale tra possesso del green pass e salute ha portato a velenose divisioni e allo stigma sociale nei confronti di migliaia di cittadini ridotti sostanzialmente a paria. Si sono registrati episodi di violazione di norme basiche e della dignità dell’uomo, come i casi di insegnanti invitati ad abbandonare la classe essendo intervenuta nelle more la scadenza oraria del green pass. Quasi che il termine della durata burocratica del certificato corrispondesse a contestuale compromissione dello stato di salute.

Ciò è potuto avvenire perché si è lavorato su “proxy”, ossia su grossolani succedanei degli oggetti che si intendeva disciplinare. Per questa via, il green pass è diventato la medesima cosa dello stato di salute e la scadenza oraria del primo compromissione del secondo.

In diritto andrebbe evitato il più possibile l’uso di proxy, essendo ben noto che quanto più si operano approssimazioni tanto maggiore è il rischio di distorsioni e applicazioni discriminatorie. Andava anche condotta preliminarmente alla decretazione quell’analisi del rischio che è pressoché sconosciuta al nostro Legislatore, ancorché vi sia tenuto.

La sostituzione dell’esercizio dei diritti costituzionali con un codice QR che legittimi a esercitarli (insidioso esperimento, comunque lo si guardi, e ancor più in seguito alla sua accettazione sociale), ossia l’idea, che deve essere apparsa ingegnosa, di aggirare il disposto del secondo comma dell’art. 32 Cost. creando un pervasivo sistema di certificazioni amministrative e un capillare e diffuso trattamento di dati altrui (peraltro facilmente esposti a inferenze) sembra porsi a chi scrive in contrasto con le basi stesse del diritto alla protezione dei dati personali.

Ciò già per il solo fatto di essere un aggiramento appunto, ossia una violazione dei principi di correttezza e di finalità, e a prescindere da più approfonditi esami dei criteri di liceità, necessità e proporzionalità. In realtà le violazioni del GDPR e del Codice privacy appaiono considerevoli.

Necessità e proporzionalità

Si sente domandare spesso dai non addetti ai lavori a che cosa serva la “privacy”. Bene, i nostri dati personali riflettono le nostre scelte. Conservarne il controllo e pretendere il rispetto di regole da parte dei soggetti privati e pubblici che li trattano, tanto più quando questi ultimi sono apicali e addirittura produttori di norme, dunque concentrano un enorme potere, offre un guscio protettivo a quelle scelte e alla sottostante libertà che le ha determinate. Far valere le regole vuol dire per esempio non essere discriminati nell’esercizio di diritti fondamentali per avere effettuato scelte individuali sulla propria salute che si aveva pieno titolo di esercitare, ved. sopra a proposito dell’art. 32 Cost.

Ecco a che cosa serve la “privacy”. Non è ovviamente una pretesa assoluta, ma neppure è assoluta la pretesa opposta, che deve essere giustificata innanzitutto in termini di necessità e proporzionalità. Necessità non equivale a opportunità e neppure a legittimo indirizzo politico perseguito. Necessità è proprio necessità: ossia, deve sussistere una sola strada e deve esserci ragione di percorrerla assolutamente. Il confronto con altri Stati membri UE, dove si sono operate scelte diverse, palesa senza ulteriore analisi che non sussiste alcuna necessità.

Visto che si è toccato il piano eurounitario, preme segnalare che la violazione, per esempio, dell’art. 52 della Carta dei diritti fondamentali dell’UE (CDFUE) integra violazione di disposizioni che hanno lo stesso valore giuridico dei Trattati. Così è dal 1° dicembre 2009.

Conclusioni

Resta ferma l’utilità e l’efficacia dei vaccini, supportati da ampia e solida evidenza scientifica, ma non esenti da un rischio individuale.

Tale rischio sembra, almeno a chi scrive, giuridicamente affrontabile solo sul piano della libera scelta del singolo, a meno di non voler considerare sacrificabile alla collettività un certo numero, sia pur ridotto, di cittadini. Cfr. Agenzia Europea per i Medicinali, COVID-19 vaccine safety update Cominarty BioNTech Manufacturing GmbH, July 2021: “As of 4 July 2021, a total of 206,668 cases of suspected side effects with Comirnaty were spontaneously reported to EudraVigilance from EU/EEA countries; 3,848 of these reported a fatal outcome”.

Del resto, il Legislatore mostra piena contezza della possibilità di effetti collaterali anche gravissimi ad esito della somministrazione dei nuovi vaccini, tanto da avere introdotto apposito scudo penale, con l’art. 3 DL 44/2021.

In letteratura medica sono emerse sindromi specifiche collegate, in casi assai rari, ad alcune tipologie di vaccino, note con gli l’acronimi “VITT” – vaccine induced thrombotic thrombocytopenia, “VIPIT” – vaccine-induced prothrombotic immune thrombocytopenia, “TTS” – thrombosis with thrombocytopenia syndrome (cfr. qui per un primo orientamento).

Per questo credo che la scelta vaccinale non possa che essere e restare libera e personale. In ambito italiano si è invece recentemente sperimentata una scorciatoia fortemente coercitiva, inedita per dimensioni nell’Unione, forzando l’autodeterminazione individuale attraverso la mortificazione della persona, la sospensione di diritti fondamentali, l’emarginazione dai consociati e l’esclusione da occasioni di vita.

Questa particolare modalità di rieducazione del cittadino, sia permesso osservare, ha un certo sapore pavloviano, strutturata su punizioni e ricompense.

Webinar gratuito sui personal data breach

SAVE THE DATE ! 20 aprile ore 17:30 – 18:30

I personal data breach sono diventati una costante del mondo digitale. L’impatto economico è significativo, il rischio giuridico elevato.

Sono di recente intervenute le linee guida europee n. 1/2021 dell’EDPB a precisare in concreto casistica e adempimenti operativi.

Ne parleranno come invited speaker gli avvocati Enrico Pelino e Luciana Grieco su invito di Spaces Italy e IWG plc.

* Link esterno, pagina a cura dell’organizzatore dell’evento

Stay tuned

Questa sera diretta radiofonica di Radio Skylab con gli avvocati Enrico Pelino e Andrea Lisi su una serie di tematiche in materia di protezione dei dati personali.

Parleremo di tracciamento tramite app, di furto d’identità sui social network, di manipolazione elettorale via social.

Stay tuned.