Sono arrivate le Linee guida di indirizzo per la riapertura delle attività economiche, produttive e ricreative, varate dalla Conferenza delle Regioni e delle Province Autonome, contenenti le misure che bar, ristoranti, negozi, parrucchieri, estetisti, alberghi e strutture balneari dovranno adottare fin da subito.

Si tratta principalmente di misure di prevenzione e contenimento riconosciute a livello scientifico per contrastare la diffusione del contagio, tra le quali norme comportamentali, distanziamento sociale e contact tracing.

Come anticipato dal presidente della Conferenza, Stefano Bonaccini, “il Governo si è impegnato a richiamare nel testo del Dpcm le linee guida elaborate e proposte dalla Conferenza delle Regioni quale riferimento certo e principale dai cui far discendere i protocolli regionali. Ciò assicurerà, peraltro, omogeneità e certezza delle norme in tutto il Paese”.

L’elaborato si rivolge ai servizi di ristorazione e di balneazione, alle strutture recettive, di servizi alla persona (come parrucchieri ed estetisti), al commercio al dettaglio (anche su aree pubbliche, come fiere, mercati e mercatini degli hobbisti), agli uffici aperti al pubblico, a musei, a biblioteche fino alle piscine e palestre.

Dal punto di vista privacy, merita certamente attenzione il fatto che le linee guida prevedono che “si potrà” procedere al rilevamento della temperatura per clienti e avventori, ai quali non potrà essere garantito l’accesso qualora fosse superiore a 37,5°. Tuttavia, non tutti i Protocolli Regionali prevedono la citata possibilità che, comunque, non essendo prevista come obbligo in capo all’esercente, ma come mera facoltà, desta non poche perplessità sulla legittimità del trattamento senza consenso dell’interessato.

Ma non finisce qui. Infatti, la novità per le attività che richiedono la prenotazione da parte dei clienti, riguarda la predisposizione di un elenco di presenze, in cui i dati personali saranno conservati per 14 giorni (o 30 giorni, come nella Regione Lazio).

La conservazione dell’elenco presenze

In attesa di un provvedimento normativo che cristallizzi le linee guida, tutti gli esperti di privacy si interrogano circa l’effettiva liceità del trattamento dei dati personali dei clienti e la loro conservazione per 14 giorni.

A tal proposito, si potrebbe giustificare il trattamento dei dati anagrafici dei clienti, nonché la loro conservazione per un periodo di due settimane, sulla base dell’art. 6, par. 1, GDPR lettera c), in base al quale il trattamento è lecito quando necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. In tal senso, qualche perplessità è sorta tra i commentatori circa la possibilità di ricondurre le Linee guida elaborate dalla Conferenza delle Regioni tra le “fonti normative” idonee ad integrare l’obbligo di legge richiamato. L’obiezione potrebbe essere definitivamente superata con l’inserimento delle stesse linee guida in un prossimo DPCM, attualmente allo studio del Governo.

Ciò non toglie che, in attesa dell’elaborato governativo, in un’ottica di gerarchia delle fonti, le linee guida elaborate dalla Conferenza delle Ragioni sono fonti normative sub legislative che – come specificato nelle premesse dello stesso documento – si pongono in un’ottica di continuità normativa con il protocollo condiviso tra le parti sociali approvato dal Presidente del Consiglio dei Ministri il 26 aprile u.s., nonché con i documenti tecnici prodotti dall’INAIL e dagli Istituti sanitari competenti. Inoltre, è indubbio che in un’ottica di prevenzione del contagio, il quadro normativo di riferimento non può che essere il D. Lgs. 81/08, del quale le linee guida sono diretta attuazione. Il D. Lgs. 81 è certamente norma di rango primario che, ai fini attuativi, lascia spazio all’integrazione inter-regionale. Ergo, in termini privacy, appare accettabile, a parere di chi scrive, impostare il trattamento dei dati anagrafici e di contatto che confluiranno nel registro prenotati alla luce dell’art. 6 lett. c): per adempiere un obbligo legale al quale è tenuto il Titolare del trattamento. Sarà comunque essenziale consultare le linee guida emanate dalla propria regione di appartenenza al fine di verificare la previsione di misure di sicurezza più o meno stringenti rispetto quelle nazionali impartite dalla Conferenza delle Regioni.

Quand’anche questa ricostruzione non fosse condivisa, corre in soccorso una seconda base giuridica prevista dal medesimo art. 6, lett. d) in base al quale il trattamento è lecito quando «è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica»; tale interpretazione trova fondamento nel Considerando n. 46, in base al quale «il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica».

Sempre il Considerando n. 46, chiarisce come alcuni tipi di trattamento di dati personali possano rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato (art. 6, par. 1, lett d, GDPR), per esempio se il trattamento è necessario a fini umanitari, per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.

Riassumendo: quali adempimenti privacy per i Titolari?

La conservazione della lista delle presenze impone ad alberghi, ristoranti, parrucchieri, estetisti, ecc. di adeguare la propria documentazione privacy:

  • dovrà necessariamente essere fornita apposita informativa ai clienti ai sensi degli artt. 13 e 14 del GDPR, avendo cura di richiamare la corretta base giuridica ed informando gli avventori circa le nuove finalità legate al trattamento dei dati personali.
  • anche il registro delle attività di trattamento dovrà essere aggiornato, con l’indicazione della conservazione dei dati personali per 14 giorni.

Per un quadro completo degli adempimenti privacy e gestione dei dipendenti, fornitori e clienti leggi il nostro articolo PROTOCOLLO AZIENDALE COVID-19: linee guida privacy dipendenti e fornitori