Garante della privacy, green pass, vaccini e divieti: il nodo della base giuridica del trattamento del dato

Negli ultimi sei mesi il Garante della Privacy è intervenuto in più battute in relazione all’argomento vaccini, green pass, immunità al covid-19.

Partendo con un primo gruppo di Faq il 17 febbraio 2021, è intervenuto nuovamente sul tema con un secondo gruppo di Faq il 1° marzo 2021; gli interventi si sono poi fatti più frequenti ed incisivi in funzione dell’introduzione dei piani vaccinali in ambiente di lavoro e dell’introduzione del Green Pass da parte del Legislatore.

Ed è proprio in relazione al tema green pass che il garante interviene nuovamente, pubblicando sul proprio sito lo scorso 4 giugno la notizia relativa al blocco provvisorio dei trattamenti dei dati personali nei confronti della Società che gestisce l’app “Mitiga Italia”.

L’app era stata utilizzata per la prima volta il 19 maggio scorso per consentire l’ingresso alla finale di Coppa Italia degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid-19.

La misura si è resa necessaria – sostiene il Garante - essendo emersa la possibilità che l’app, nei prossimi giorni, potesse essere utilizzata per governare l’accesso a altri eventi e spettacoli o altre iniziative sportive.

Nel suo provvedimento il Garante ha sottolineato come non esista al momento una valida base giuridica per il trattamento di dati, anche particolarmente delicati come quelli di natura sanitaria, effettuato mediante l’app e finalizzato ad accertare la situazione “Covid free” di quanti partecipino ad avvenimenti sportivi nonché ad altre manifestazioni pubbliche o accedano a locali aperti al pubblico.

La società Mitiga, infine, avendo il 1° aprile sottoposto all’Autorità l’applicativo, avrebbe comunque dovuto astenersi da ogni trattamento di dati non essendo decorso il tempo previsto dal Regolamento per l’assunzione di una decisione da parte della stessa Autorità.

Il blocco, che ha avuto effetto immediato, si prolungherà per tutto il tempo necessario a consentire all’Autorità la definizione dell’istruttoria avviata.

La nozione di base giuridica del trattamento del dato - Il Regolamento Europeo 2016/679 stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica, che concretamente è ciò che autorizza il trattamento in maniera legale. Ne consegue che in assenza di base giuridica il trattamento è illecito.

Il titolare del trattamento inoltre ha l'obbligo individuare la base giuridica del trattamento che intende porre in essere, prima di iniziare il trattamento stesso.
Questo implica che il titolare del trattamento del dato non può scegliere liberamente la base giuridica attenersi alle previsioni del Regolamento Europeo in relazione alle caratteristiche di ciascuna delle basi indicate nell’art. 6.

Ogni base giuridica ha differenti conseguenze sui diritti delle persone.

Le basi giuridiche previste dall’art. 6 del GDPR sono le seguenti:

1. Consenso - la base giuridica da utilizzare quando le altre non sono applicabili; il trattamento collegato a questa base giuridica non può essere fatto senza il consenso attivo dell’interessato.
2. Adempimento di obblighi contrattuali (o precontrattuali) - Il trattamento è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.
3. Obblighi di legge cui è soggetto il titolare del trattamento - Si tratta di trattamenti necessari per l’adempimento di obblighi derivanti da legge, regolamento o normativa comunitaria.
4. Interessi vitali della persona interessata o di terzi - Il trattamento è consentito se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, come nel caso di un incidente stradale, oppure se l’interessato si trova nell’incapacità fisica di prestare il consenso.
5. Legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati - Quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
6. Interesse pubblico o esercizio di pubblici poteri - Il trattamento è consentito se è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (tramite legge statale o dell’Unione)

È palese come, ad avviso del Garante della Privacy, nessuna delle sei basi giuridiche definite dal Regolamento Europeo soddisfi le esigenze definite dal green pass.

Tuttavia, viste le previsioni normative, attualmente in palese contrasto sull’argomento con il parere del Garante, attendiamo ulteriori nuove disposizioni.