Green pass a scuola: ecco perché la privacy non è per forza un ostacolo - Cyber Security 360

LA RIFLESSIONE

Green pass a scuola: ecco perché la privacy non è per forza un ostacolo

L’obbligatorietà del green pass a scuola ha creato un acceso dibattito che ha per protagonista la “privacy”, intesa come arma per diluire i controlli o come ostacolo burocratico. Ecco come dirimere la questione con una corretta lettura della normativa in materia di trattamento dei dati personali

01 Set 2021
M
Gianclaudio Malgieri

Professore Associato di Diritto e Tecnologia alla EDHEC Business School di Lille e alla Vrije Universiteit Brussel

In queste ultime frenetiche settimane pre-scuola, l’obbligo del green pass per i docenti e il personale scolastico ha occupato molte pagine di giornale, accendendo un dibattito spesso sopra le righe.

Protagonista di questo dibattito è, come spesso accade, la “privacy”, vista da un lato come un’arma per diluire l’efficacia dei controlli, dall’altro lato come un ostacolo “burocratico” a un pratico e rapido adempimento degli obblighi del green pass.

Green pass: cos’è, come farlo, a cosa serve e obblighi 2021

Green pass a scuola: una corretta lettura del GDPR

In sostanza, si dice, controllare centinaia di lavoratori all’ingresso a scuola la mattina creerebbe file e ritardi nelle lezioni. Perché non redigiamo una lista dei docenti che hanno il green pass a scadenza lunga (ad es., docenti vaccinatisi in primavera che hanno dunque il certificato valido fino all’inverno inoltrato)? Perché “la privacy lo impedisce”.

Finanche il Garante, in un’intervista su Repubblica, ha dichiarato che la legislazione in materia di dati personali (europea e nazionale) impedirebbe ai presidi di tenere informazioni aggiornate sui detentori del green pass tra i lavoratori della scuola. In realtà, non è esattamente così.

La legislazione in materia di dati personali è il GDPR (Regolamento europeo), a cui la legge italiana ha aggiunto delle specificazioni (anche in tema di trattamento dati dei lavoratori e degli studenti, ma irrilevanti ai fini del nostro discorso qui). Il Regolamento europeo prevede che le informazioni che –anche indirettamente – possiamo considerare “dati riguardanti la salute” siano considerate dati sensibili e siano trattate dunque con maggiore cautela.

Se è vero che i dati sui trattamenti sanitari ricevuti (anche dunque le vaccinazioni ricevute) sono sicuramente dati di salute e dunque sottoposti a questo regime più restrittivo, non è altrettanto vero che una raccolta sistematica di queste informazioni è di per sé vietata.

Innanzitutto, l’articolo 9 del GDPR permette agli individui di prestare il proprio consenso (esplicito, libero, informato, specifico) al trattamento di questi dati.

Che risvolti pratici avrebbe ciò sul tema in oggetto? Che i presidi potrebbero innanzitutto dire: non faremo certo una lista dei non vaccinati, ma chiunque abbia un green pass a lunga scadenza può dare il consenso a comunicarci la data di validità così che all’ingresso della scuola non gli chiederemo più il green pass fino a quella data.

Non sarebbe dunque una “black list” dei no-vax, ma una mera “white list” dei vaccinati che non vogliono cercare il codice sullo smartphone ogni mattina. Legittimo, comodo ed efficace per il problema degli assembramenti.

Cosa dicono le linee guida EDPB sul consenso

Qualche critico, riprendendo le linee guida dell’European Data Protection Board (EDPB), potrebbe obiettare che il “consenso” prestato al proprio datore di lavoro non è mai un consenso pienamente libero, data l’asimmetria di potere tra i lavoratori (scolastici, ad esempio) e il superiore gerarchico (il dirigente scolastico).

Ebbene, in realtà questo tipo di libertà va calata nel singolo contesto.

In linea generale, si ha mancanza di libertà quando il lavoratore è al bivio tra rischiare ritorsioni lavorative dal datore di lavoro in caso di un diniego del consenso o dare il proprio consenso con tutti i rischi di discriminazione connessi, ad esempio, al trattamento di dati su malattie, su scelte sindacali, politiche e via dicendo.

In altri termini, il lavoratore non sarebbe “libero” di prestare il consenso se è schiacciato tra la paura di discriminazione (per l’utilizzo dei dati) e la paura di ritorsioni del suo capo. L’EDPB (quando era ancora “Gruppo di Lavoro Articolo 29”) in una opinione del 2001 affermava: l’utilizzo del “consenso dovrebbe essere limitato ai casi in cui il lavoratore ha una vera e propria libera scelta ed è successivamente in grado di ritirare il consenso senza pregiudizio”.

In questo caso, la data di scadenza del green pass non sembra un’informazione sanitaria che potrebbe portare a una discriminazione negativa verso il prestatore del consenso, ma al contrario: sarebbe interesse del soggetto fornire informazioni che agevolerebbero la sua quotidianità (il suo ingresso) nel luogo di lavoro.

Inoltre, se esercitato in un contesto di libera alternativa tra esibire quotidianamente il QR code e comunicare una volta per tutte la data di scadenza del green pass, pare difficile parlare di un consenso non libero.

Green pass a scuola e trattamento necessario dei dati

E se neanche il consenso ci convince o comunque ci sembra poco efficace? Ci possiamo spingere oltre? Potremmo raccogliere una lista dei vaccinati o comunque la lista delle date di scadenza di green pass su larga scala?

Il GDPR permette comunque di trattare dati sensibili quando “è necessario per assolvere gli obblighi (…) in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto (…) in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (Art. 9(2)(b)).

Ciò che occorre, dunque, è dimostrare se sia “necessario” raccogliere una lista delle date di scadenza dei vari green pass dei lavoratori e se ciò sia “autorizzato” dal diritto.

Per quanto riguarda il primo punto, il principio di necessità implica una serie di parametri (raccogliere questi dati è utile allo scopo prefissato? Non esistono mezzi altrettanto efficaci ma meno invasivi?).

La risposta è estremamente relativa al contesto: una scuola molto grande, con molti docenti (ma ad esempio con poco personale impiegabile nel controllo del green pass) e un solo ingresso probabilmente vedrebbe prevalere l’interesse alla salute dei lavorati (e all’efficiente esercizio del diritto allo studio degli studenti) rispetto alla minimizzazione dei dati.

In altri termini, se una scuola, anche con tutti gli sforzi organizzativi possibili, non riesce a fare a meno di creare assembramenti all’ingresso, potrebbe dimostrare che no, non “esistono mezzi altrettanto efficaci ma meno invasivi” per il controllo del green pass quanto la raccolta delle date di scadenza degli stessi.

Ovviamente, questa raccolta dovrebbe avvenire con le massime cautele (pseudonimizzata, con accesso e durata limitati e con un obbligo di valutazione nell’aggiornamento della valutazione d’impatto – DPIA – per quella scuola).

Green pass a scuola, ma la piattaforma docenti apre nuovi problemi privacy

Raccolta dati del green pass a scuola e diritto

E veniamo ora al secondo punto: tale raccolta di dati sarebbe autorizzata dal diritto? Il decreto legge 6 agosto 2021 obbliga i presidi “a verificare il rispetto delle prescrizioni” sul green pass, “secondo le modalità indicate” dal DPCM del 17 giugno e secondo una eventuale nuova circolare del Ministro competente.

In realtà, quel DPCM affronta solo il tema della piattaforma generale che permette di verificare il green pass.

Tuttavia, verificare i dati sul green pass vuol dire a tutti gli effetti “trattare” quei dati e il trattamento può essere effettuato attraverso diverse modalità (anche attraverso liste settimanali che agevolino il controllo). In altri termini, non è fatto nessun divieto di raccogliere quei dati, ma anzi c’è un obbligo di trattare quei dati (seppure con tutte le limitazioni del caso).

Peraltro, non è una novità che il datore di lavoro abbia liste di informazioni dettagliate su stato di salute e trattamenti sanitari dei propri dipendenti. Anche nel caso delle scuole, i presidi già hanno liste di dati di studenti “non vaccinati” per le vaccinazioni obbligatorie ai sensi del decreto legge 73/2017.

Eppure, quel decreto legge non parla di trattamento dei dati: non lo vieta, ma neppure lo autorizza esplicitamente.

Il Garante ha risposto (nell’intervista su Repubblica summenzionata) che però in quel caso si trattava di vaccinazioni obbligatorie, per la Covid-19 invece non c’è alcun obbligo vaccinale. Pare fin troppo semplice rispondergli: anche in questo caso c’è un obbligo, quello del green pass. Infatti, qui non si parla di una lista dei vaccinati, ma di una lista di informazioni sul green pass (ad es., data di validità).

Ragionando a contrario: non si potrebbe ogni mattina chiedere agli studenti di esibire il certificato dei vaccini obbligatori per entrare a scuola pur di evitare una lista di dati sensibili?

@RIPRODUZIONE RISERVATA

Articolo 1 di 3