La ripresa nella fase 2: il decreto legge 33/2020 e i dubbi data protection…

Il recente decreto legge 16 maggio 2020, n. 33 Ulteriori misure urgenti per fronteggiare l'emergenza epidemiologica da COVID-19” ha posto, come è noto, termine alle misure restrittive della circolazione a far data dal 18 maggio 2020. La cessazione dei divieti è però legata, ai sensi delle specifiche previsioni di cui all’art. 1, comma 14, alla circostanza che le attività economiche, produttive e sociali si svolgano nel rispetto dei contenuti di protocolli o linee guida idonei a prevenire o ridurre il rischio di contagio nel settore di riferimento o in ambiti analoghi, adottati dalle Regioni o dalla Conferenza delle Regioni e delle Province Autonome, nel rispetto dei principi contenuti nei protocolli o nelle linee guida nazionali.

In tale prospettiva, la Conferenza delle Regioni e delle Province Autonome ha appunto adottato il documento intitolato Linee di indirizzo per la riapertura delle attività economiche e produttive” di seguito, per brevità, le Linee Guida” contenente indirizzi operativi specifici validi per i singoli settori di attività, finalizzati a fornire uno strumento sintetico e immediato di applicazione delle misure di prevenzione e contenimento di carattere generale, per sostenere un modello di ripresa delle attività economiche e produttive compatibile con la tutela della salute di utenti e lavoratori. Le Linee Guida contengono undici schede tecniche settoriali ristorazione - attività turistiche balneazione - strutture ricettive - servizi alla persona parrucchieri ed estetisti - commercio al dettaglio - commercio al dettaglio su aree pubbliche mercati, fiere e mercatini degli hobbisti - uffici aperti al pubblico – piscine – palestre - manutenzione del verde - musei, archivi e biblioteche e in ogni scheda tecnica sono indicate le differenti misure di prevenzione e contenimento riconosciute a livello scientifico per contrastare la diffusione del contagio dalle norme comportamentali – come il distanziamento sociale – a misure organizzative, logistiche e di tracciamento . Le indicazioni contenute in tutte le schede tecniche si pongono in continuità con le indicazioni nazionali di cui al Protocollo condiviso tra le parti sociali approvato dal DPCM del 26 aprile 2020 , e alle linee e criteri guida generali di cui ai documenti tecnici prodotti dall’Istituto Nazionale Assicurazione Infortuni sul Lavoro INAIL e dall’Istituto Superiore di Sanità ISS con il primario obiettivo di ridurre il rischio di contagio per i singoli e per la collettività in tutti i settori produttivi ed economici. L’esame delle Linee Guida della conferenza delle Regioni e delle Province Autonome evidenzia tuttavia serie criticità e fa sorgere domande in merito alle prescrizioni imposte a molti esercenti di raccogliere e conservare per un periodo non inferiore a 14 giorni i dati della clientela. Nella scheda Ristorazione”, relativa ad ogni tipo di esercizio di somministrazione di pasti e bevande, quali ristoranti, trattorie, pizzerie, self-service, bar, pub, pasticcerie, gelaterie, rosticcerie anche se collocati nell’ambito delle attività ricettive, all’interno di stabilimenti balneari e nei centri commerciali è ad esempio prescritto obbligatoriamente che negli esercizi che dispongono di posti a sedere privilegiare l’accesso tramite prenotazione, mantenere l’elenco dei soggetti che hanno prenotato, per un periodo di 14 giorni”. Analoga previsione nella scheda Piscine”, relativa alle piscine pubbliche, alle piscine finalizzate a gioco acquatico e ad uso collettivo inserite in strutture già adibite in via principale ad altre attività ricettive es. pubblici esercizi, agrituristiche, camping, etc. , con esclusione delle piscine ad usi speciali di cura, di riabilitazione e termale, e quelle alimentate ad acqua di mare agli esercenti è prescritto obbligatoriamente di mantenere l’elenco delle presenze per un periodo di 14 giorni. L’obbligo è sempre lo stesso nella scheda Palestre”, relativa ad enti locali e soggetti pubblici e privati titolari di palestre, comprese le attività fisiche con modalità a corsi senza contatto fisico interpersonale , nella scheda Attività Turistiche” Stabilimenti Balneari e Spiagge relativa agli stabilimenti balneari, alle spiagge attrezzate e alle spiagge libere e – infine - nella scheda Servizi alla persona Acconciatori, barbieri ed estetisti gli esercenti devono mantenere l’elenco delle presenze per un periodo di 14 giorni” . Ora, tali generiche previsioni – da un punto di vista del riferimento o del rinvio – totalmente assenti - alle misure e cautele previste dalla normativa sulla protezione dei dati personali – sollevano numerosi dubbi di conformità normativa. Intanto, non vi è alcun riferimento in dette Linee Guida e schede tecniche alle condizioni normative previste dalle vigenti norme a protezione dei dati personali in merito alla raccolta, conservazione, eventuale comunicazione a terzi e cancellazione dei dati di clienti e utenti raccolti dagli esercenti cui è prescritto di conservare i dati dei clienti prenotati o che sono stati presenti nei locali/siti sopra menzionati. Difatti, né il decreto legge 16 maggio 2020, n. 33 Ulteriori misure urgenti per fronteggiare l'emergenza epidemiologica da COVID-19” , che costituisce la base legale delle Linee Guida oggetto della presente segnalazione, né il Decreto del Presidente del Consiglio Dei Ministri 17 Maggio 2020 recante Disposizioni Attuative del decreto-legge 25 marzo 2020, n. 19, recante misure urgenti per fronteggiare l'emergenza epidemiologica da COVID-19, e del decreto-legge 16 maggio 2020, n. 33, recante ulteriori misure urgenti per fronteggiare l'emergenza epidemiologica da COVID-19” contengono il benché minimo riferimento alla normativa sulla protezione dei dati personali. E d’altra parte, pur non prevedendosi nella normativa primaria il decreto legge 33/2020 alcun obbligo specifico e diretto di conservazione dei dati di clienti e utenti per i detti 14 giorni, va detto che l’articolo 1, comma 15, d.l. 33/2020 prescrive che il mancato rispetto dei contenuti dei protocolli o delle linee guida regionali di cui al comma 14 determina la sospensione dell’attività fino al ripristino delle condizioni di sicurezza. Senza contare le pesanti sanzioni di cui al successivo articolo 2 in caso di violazione da 400 a 3000 Euro e da 5 a 30 giorni di chiusura dell’esercizio. E’ evidente l’elevato rischio per la cittadinanza in primo luogo, i dati di clienti e utenti sono raccolti da una pletora di esercenti, con l’oggettivo e ulteriore rischio rappresentato dal dubbio su come tali esercenti – già prostrati economicamente dal lockdown – possano prestare attenzione alla onerosa compliance nella raccolta e conservazione degli elenchi e dei dati, implementando sistemi di prenotazione, redigendo informative, etc Ma soprattutto, l’obbligo di raccogliere e conservare i dati dei clienti consente una sorta di possibile geolocalizzazione manuale ex post del cliente-cittadino, di cui attraverso gli elenchi conservati dagli esercenti sarebbe possibile ricostruire in dettaglio ogni spostamento e le relative abitudini, verificando dove ha mangiato, in quale palestra si allena, dove si è tagliato i capelli, in quale spiaggia prende il sole, in quale bar ha preso un caffè, dove va in piscina Tali possibili conseguenze di potenziale monitoraggio su larga scala della cittadinanza appaiono tanto più gravi se si considera quanto segue. In primo luogo, la cornice normativa di cui al d.l. 33/2020 e di cui alle Linee Guida delle Regioni appare del tutto imprecisa, generica e carente sotto il profilo della idoneità ad introdurre anche mediante mero rinvio le misure di tutela previste dalla normativa sulla tutela dei dati personali per i dati dei clienti raccolti e conservati dall’esercente. Ad esempio, quali dati l’esercente deve conservare? La norma non lo specifica, e dunque – nella cornice del principio di minimizzazione della raccolta – si dovrebbe pensare ai soli dati tipici di un processo di prenotazione cognome e numero telefonico. E a chi andrebbero comunicati e in quali modalità i dati che l’esercente deve conservare per 14 giorni? In quali casi scatta l’obbligo di tracciamento ex post del frequentatore di un bar, di una piscina, di un ristorante, etc? E con quali modalità? Si potrebbe pensare ad un pericoloso intreccio tra contact tracing è imminente l’operatività della nota app Immuni e questo tracciamento manuale successivo , ma il Governo ha escluso in ogni sede istituzionale che i dati del contact tracing implichino geolocalizzazione e possano essere associati ad altri dati e dunque resi identificativi. O almeno lo esclude fino ad ora e d’altra parte l’articolo 6 del d.l. 28/2020 sul sistema nazionale di contact tracing prevede che – ove non sia possibile il trattamento di dati anonimi – esso possa ad avere ad oggetto dati pseudonimizzati e quindi personali . A nessuna di queste e altre domande le norme delle linee Guida e del d.l. 33/2020 forniscono la benché minima e urgentemente necessitata, dati i rischi risposta. E ciò aumenta il giudizio assai negativo sulla mancanza di trasparenza e sulla adozione di una davvero sciatta tecnica redazionale di norme che incidono su diritti costituzionali dei cittadini, che certo nemmeno una emergenza sanitaria può spazzare via. E d’altra parte, appare forse essersi dimenticato il Legislatore del Considerando 41 del Regolamento 679/2016 sulla protezione dei dati, in cui si legge che ogni base giuridica o misura legislativa – che impatti sul diritto alla protezione dei dati personali, n.d.r. - dovrebbe essere chiara e precisa , e la sua applicazione prevedibile, per le persone che vi sono sottoposte”. In secondo luogo, le Linee Guida appaiono violare – tra gli altri – i principi di cui all’articolo 5 del Regolamento 679/2016 che non possono essere disapplicati neanche nel contesto emergenziale che stiamo vivendo si veda l’articolo 17-bis della Legge 27/2020 che è la norma-madre” sul trattamento dei dati personali nel contesto emergenziale . Appaiono infatti ignorati – tra gli altri - il principio di liceità non essendoci una base legislativa idonea su cui si poggiano le Linee Guida, nel senso che il decreto legge 33/2020 avrebbe dovuto prevedere come base legislativa specifiche misure a protezione dei dati che le linee Guida, atto amministrativo, impongono gli esercenti di raccogliere e conservare , il principio di proporzionalità e non eccedenza stante la circostanza che chi ex post andasse a tracciare i dati ricostruirebbe in maniera esorbitante spostamenti e abitudini dei cittadini il principio di minimizzazione della raccolta dei dati e dei tempi di conservazione si noti che alcune Regioni, in sede di ulteriore normazione circa i principi generali di cui alle Linee Guida, hanno addirittura introdotto termini di conservazione dei dati personali di clienti e utenti ce prenotano anche più lunghi ad esempio l‘Ordinanza della Regione Lazio 16 maggio 2020, n. Z00041, recante Ulteriori misure per la prevenzione e gestione dell'emergenza epidemiologica da COVID-2019. Riavvio di attività economiche, produttive e sociali a decorrere dal 18 maggio 2020. Ordinanza ai sensi dell'articolo 32, comma 3 della legge 23 dicembre 1978, n. 833 in materia di igiene e sanità pubblica” prescrive agli esercenti del settore della ristorazione e dei servizi alla persona di conservare i dati dei clienti per ben 30 giorni . Se il decreto legge 33/2020 non costituisce una idonea base legislativa per fondare gli obblighi di raccolta e conservazione dei dati personali di utenti e clienti contenuti in un atto amministrativo, è possibile affermare che tale base sia rinvenibile, per esempio, nel Protocollo nazionale tra le parti sociali, nella parte in cui vi sono le indicazioni sul trattamento dei dati di utenti e clienti? D’altra parte, le Linee Guida si pongono in continuità con le indicazioni di livello nazionale, in particolare con il protocollo condiviso tra le parti sociali approvato dal decreto del Presidente del Consiglio dei ministri del 26 aprile 2020”. Ad avviso di chi scrive nemmeno il Protocollo consente di fondare la legittimità di quanto prescritto obbligatoriamente dalle Linee Guida in merito alla raccolta e alla conservazione dei dati dei clienti al contrario, proprio il Protocollo nazionale vieta la registrazione e conservazione dei dati di utenti, clienti e visitatori che invece ai sensi delle Linee Guida andrebbero – quale condizione per la riapertura – raccolti in elenchi e conservati per periodi di tempo sproporzionati. In conclusione, ancora una volta, il Legislatore dimostra di intervenire in maniera che appare scoordinata e priva della necessaria considerazione che il diritto alla protezione dei dati personali meriterebbe, a maggior ragione proprio in un contesto emergenziale come quello che stiamo vivendo. Clicca qui per consultare la sezione dedicata al decreto Coronavirus