Quanto sarà tutelata la privacy del soggetto interessato?
La ormai famigerata sanzione da 100 euro a breve sarà erogata dall’Agenzia delle entrate, la quale è incaricata ad erogare sanzioni “automatiche” a coloro che soggetti ad obbligo vaccinale, non vi hanno ancora adempiuto. Questo focus “obbligo vaccinale over 50 e sanzioni correlate” cercherà di spiegare come si sta procedendo. Nello specifico la sanzione scatta da un incrocio tra banche dati a opera dell’Agenzia delle entrate, come previsto dal D.L. 1/2022, ma è ancora in discussione il meccanismo prescelto, soprattutto nell’ottica di tutela della privacy, in quanto quest’incarico avrebbe dovuto spettare a coloro i quali già in possesso di determinati dati (es. il Ministero della Salute). Nello specifico, la procedura dispone che il Ministero della salute, in possesso delle competenze per la gestione di questo obbligo, trasmetterà un elenco all’Agenzia delle entrate, la quale avrà l’operatività di erogare la sanzione. I soggetti sanzionati avranno 10 giorni di tempo per comunicare all’ASL di appartenenza un eventuale certificazione relativa al differimento o all’esenzione dell’obbligo vaccinale.
Sorge spontanea a riguardo una domanda!
Perché demandare l’operatività ad un altro ente, piuttosto che incaricare chi già in possesso di questi dati?
Volendo individuare il quesito alla luce dei principi dettati dal Regolamento 679/2016 (GDPR) è evidente che questa procedura possa contrastare con il principio di minimizzazione dei dati, ossia all’esigenza di utilizzare unicamente dati adeguati, pertinenti e necessari rispetto alle finalità per i quali sono tratti. Ora, allargare la cerchia dei soggetti coinvolti nel trattamento, senza una reale necessità, implicherebbe violazione di questo principio.
A livello tecnico, però, ogni ente pubblico ha la possibilità di operare nell’ambito delle funzioni attribuite dalla legge per svolgere i trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui l’ente sia investito, in qualità di titolare del trattamento.
La natura dei dati oggetto di questo controllo è definita particolare, facendo rinvio ai cd dati sensibili, poiché riguarda lo stato di salute delle persone, richiedendo, e sottolineiamo per loro natura, un’applicazione di misure aggiuntive a tutela degli interessati. il dovere dell’Ente pubblico diventa più gravoso e il trattamento può dirsi legittimo unicamente se necessario per motivi di interesse pubblico rilevante e deve essere proporzionato alla finalità perseguita.
Per determinare la legittimità del trattamento non solo di deve poter parlare di interesse pubblico rilevante, ma vi deve essere anche applicazione di differenti articoli del Codice della Privacy, d.lgs 196/2003, il quale di recente è stato oggetto di modifica. In particolare, si richiamano l’art.2-ter, che disciplina la base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, e l’art.2-sexies, che, invece, disciplina il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante. Entrambe le norme sono state modificate con il D.L. 139/2021 introducendo la possibilità di legittimare questo particolare trattamento anche con un semplice atto amministrativo, anziché con una legge, come previsto prima del D.L. 139/2021.
Ritornando alla procedura sanzionatoria, ovviamente, il processo è automatizzato, e questo comporta un ulteriore freno, perché l’art.22 del Regolamento 679/2016 dispone che l’interessato ha diritto a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Per cui, le disposizioni del Codice della Privacy, quindi la possibilità che attraverso un atto amministrativo possa legittimare quel tipo di trattamento è contrastante con l’art.22 del GDPR.
Il tecnicismo di cui sopra, però, è solo supposizione, in quanto il Garante non è ancora intervenuto con alcun tipo di provvedimento. Infatti, quest’ultimo potrebbe essere interpellato nelle prossime settimane per fugare ogni ragionevole dubbio.
