In data 26 aprile 2021, con delibera n. 418, il Governo ha approvato in via preliminare il provvedimento straordinario che il Ministero della Salute intende emanare con effetto dal 3 maggio 2021 1 e al punto 14 lettera e) ordinare agli operatori di barbieri, parrucchieri, pedicure, manicure, cosmetici, massaggi e simili servizi di rigenerazione o ricondizionamento di tenere la documentazione dei clienti ai fini di un’eventuale indagine epidemiologica. Un gran numero di operatori, che finora in molti casi non hanno dovuto trattare alcun dato sui propri clienti e non hanno abbastanza esperienza per tenere registrazioni simili o creare condizioni tecniche, impone quindi un nuovo obbligo di trattare i dati personali.

L’obbligo di trattare i dati personali è imposto senza una specificazione sufficientemente specifica.

Nello specifico, riguarda le finalità del trattamento, la portata dei dati, il periodo della loro conservazione, la sicurezza tecnica ed organizzativa, le modalità di adempimento del principio di trasparenza e l’obbligo di fornire informazioni agli interessati, a ciò è collegata la necessità di determinare il metodo di svolgimento di eventuali ispezioni da parte delle autorità di protezione della salute pubblica nel quadro di un’indagine epidemiologica.

Non è quindi chiaro se le registrazioni debbano essere conservate nell’ambito dei dati che generalmente consentono l’identificazione di una persona fisica (nome, cognome, data di nascita, indirizzo di residenza o residenza permanente, o numero di telefono) o in altro modo, ad es. se debba essere la prestazione dell’amministrazione statale utilizza il numero di nascita in conformità con la disposizione pertinente della legge sulla registrazione della popolazione e dei numeri di nascita. La definizione con le parole “per le esigenze di un’eventuale indagine epidemiologica” non è quindi sufficientemente specifica, in quanto non dice nulla sui parametri di elaborazione richiesti.

Inoltre, non è chiaro se il record debba includere le informazioni chiave stesse sul risultato del test o un altro certificato legalmente previsto dello stato di salute attuale del cliente in arrivo, o se queste informazioni sarebbero determinate mediante ispezione da parte delle autorità sanitarie pubbliche. È anche importante rispondere alla domanda se ciò sarebbe stato fatto durante le indagini epidemiologiche o anche al di fuori di esse.

Se un’indicazione sulla salute deve essere conservata nei registri, va tenuto presente che, secondo il Regolamento Generale, questa è una cosiddetta categoria speciale di dati personali, la cui protezione richiede un’attenzione particolare 2 . Ciò è particolarmente vero quando tali dati dovrebbero essere trattati da un gran numero di persone che forniscono servizi ai propri clienti (interessati). Secondo il regolamento generale, il trattamento su larga scala di una categoria speciale di dati è soggetto a una valutazione d’impatto sulla protezione dei dati personali ai sensi dell’articolo 35 del presente regolamento (secondo la metodologia di valutazione dell’impatto sulla protezione dei dati personali per i progetti di legislazione). Tuttavia, l’Ufficio non sa se tale valutazione precedente sia stata effettuata dal Ministero della Salute.

Di conseguenza, gli obblighi di consulenza del ricorrente ai sensi dell’articolo 36 del regolamento generale non sono stati attuati nel caso di progetti di provvedimenti legislativi, che includono, ad esempio, statuti ed eventuali provvedimenti adottati dagli organi della pubblica amministrazione adottati sulla base di disposizioni di legge .

Il mittente deve sempre valutare lo stato attuale e gli impatti della soluzione proposta in relazione alla protezione della privacy e dei dati personali, cosa che in questo caso, per quanto a conoscenza dell’Ufficio, non è stata eseguita. La valutazione dell’adeguatezza dell’ingerenza nei diritti è un requisito di una sentenza completamente attuale del fascicolo della Corte suprema amministrativa n. N. 8 Ao 1 / 2021-133 del 14 aprile 2021.

Una definizione molto breve della condizione di tenuta dei registri dei clienti che hanno completato l’azione richiesta con un fornitore di servizi sanitari in questi stabilimenti richiede la fornitura simultanea di una serie di dettagli in modo che i fornitori di servizi sappiano come conformarsi e rispettare i propri clienti ‘ tutela della privacy e dei dati personali. Il Comitato europeo per la protezione dei dati 3 ha sempre sottolineato nei suoi pareri che qualsiasi azione intrapresa dagli Stati membri o dalle istituzioni dell’UE che coinvolge il trattamento dei dati personali nella lotta contro COVID-19 deve seguire i principi del Regolamento Generale.

Legge n. 94/2021 Coll., Sulle misure di emergenza in caso di epidemia di COVID-19 nel § 2 par. c) autorizza il Ministero della Salute a emanare un provvedimento d’urgenza per limitare l’attività di un barbiere, parrucchiere, pedicure, manicure o solarium, la fornitura di servizi cosmetici, massaggi, rigenerazione o ricondizionamento o l’esercizio di un mestiere in cui l’integrità cutanea viene violata o per stabilire le condizioni per il loro funzionamento o fornitura. Tuttavia, non ha il diritto di imporre agli operatori l’obbligo di conservare i registri dei clienti e quindi di elaborare una gamma non specificata di dati personali. Inoltre non contiene dettagli di tale elaborazione di nuovi record 4.

Se un obbligo deve essere imposto da uno statuto, tale atto deve avere un collegamento diretto con l’atto normativo originario sotto forma di legge e con i limiti in esso contenuti. Sebbene la tenuta di atti accessori non possa essere esclusa in generale sulla base di uno statuto (emesso intra legem), esse devono soddisfare le condizioni definite nella sentenza della Corte suprema amministrativa fascicolo n. 8 Ao 1 / 2021-133 del 14 aprile 2021 [paragrafo 119].

Inoltre, l’Ufficio rileva differenze nella misura straordinaria proposta che, rispetto alla sentenza citata, creano una situazione diversa e aumentano l’enfasi sui requisiti della base giuridica. Mentre nel caso di test sui dipendenti da parte dei datori di lavoro, si tratta di una relazione esistente in cui il datore di lavoro elabora una serie di dati sui dipendenti per impostazione predefinita, la misura proposta è una qualità completamente nuova dell’obbligo legale, poiché i dati personali dei clienti non sono ancora stati sistematicamente trattati in tale misura, se il trattamento dei dati personali ha avuto luogo. Poiché i dati personali non possono essere trattati senza una base giuridica, sarà necessario considerare se l’obbligo di identificare i clienti possa essere derivato dalla legge.

L’Ufficio ritiene inammissibile l’obbligo recentemente imposto agli operatori di conservare i registri dei clienti per le esigenze di un’eventuale indagine epidemiologica senza determinare lo scopo specifico e altri parametri del trattamento e soddisfare tutti i principi di protezione dei dati personali conformemente al regolamento generale sulla protezione dei dati personali .

II.

Per quanto riguarda il fatto che la misura di emergenza prevista deve contenere, tra l’altro, una condizione per l’ingresso di persone in determinate aree interne o per la partecipazione a manifestazioni di massa, tra l’altro ai sensi del punto 20, lettera a). c) sotto forma di presentazione di un “certificato [del] Ministero della Salute della Repubblica Ceca sulla vaccinazione contro COVID-19” , l’Ufficio fa riferimento alla sua dichiarazione sui cosiddetti passaporti vaccinali   del 9 aprile 2021, a causa di l’impossibilità con i fatti giuridici di cui al punto 20 conseguenze legali. In considerazione dello scopo di tale vantaggio, sono necessari un argomento più dettagliato e un test di proporzionalità.

Si può anche fare riferimento alla nota del Segretario Generale del Consiglio d’Europa , in cui si afferma che l’uso dei certificati di vaccinazione a fini medici non è nuovo, né l’obbligo di portare tali certificati su strada a causa della diffusione del epidemia. Lo stesso vale per i documenti che confermano che una persona è immunizzata o è risultata negativa per COVID-19. D’altra parte, la possibilità di utilizzare certificati di vaccinazione e dati di immunizzazione per scopi non medici, come l’accesso esclusivo delle persone a diritti, servizi e luoghi pubblici, solleva molte questioni relative ai diritti umani..

Infine, è necessario valutare se la misura di emergenza proposta non sia in contrasto con la sentenza del Tribunale amministrativo supremo del 22 aprile 2021, rif. 6 Ao 11 / 2021-48, in quanto non distingue a sufficienza tra divieti e restrizioni da un lato e condizioni operative dall’altro. Poiché il governo non ha pubblicato una relazione esplicativa al progetto di misura d’urgenza, è necessario presentare ricorso per l’effettiva giustificazione delle singole misure .

In questa fase, la citata disposizione del provvedimento di emergenza non può essere ulteriormente valutata.

III.

In relazione a precedenti misure straordinarie che ordinano il collaudo dei dipendenti, l’Ufficio ha rilasciato la sua dichiarazione, resp. dichiarazione prorogata del 26 marzo 2021, in cui si sottolineava la responsabilità degli organi competenti dell’amministrazione centrale dello Stato (Ministero della Salute), resp. le compagnie di assicurazione sanitaria, per determinare in relazione al trattamento richiesto dei dati personali l’esatta portata dei dati personali richiesti, per determinare in modo diverso i parametri di trattamento di tali dati (in particolare il periodo di conservazione), nel contesto della finalità difendibile di tale trattamento. Attraverso la dichiarazione presentata, l’Ufficio cerca di prevenire una situazione simile e di assistere le autorità competenti nel corretto adempimento degli obblighi legali nel campo della protezione dei dati personali.

1 Secondo il sito web dell’Ufficio del governo, questa misura straordinaria era valida dal 26 aprile 2021

2  Art. L’articolo 9, paragrafo 1, del regolamento generale prevede che il trattamento dei dati personali indicanti l’origine razziale o etnica, le opinioni politiche, la religione o le convinzioni filosofiche o l’appartenenza sindacale e il trattamento dei dati genetici, i dati biometrici per l’identificazione univoca delle persone fisiche sono vietati dati sullo stato di salute o sulla vita sessuale o sull’orientamento sessuale di una persona fisica, con le eccezioni previste al paragrafo 2.

3  Il comitato europeo per la protezione dei dati è un organismo europeo indipendente che contribuisce all’applicazione uniforme delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità per la protezione dei dati nell’UE. Il comitato europeo per la protezione dei dati è composto da rappresentanti delle autorità nazionali per la protezione dei dati e del garante europeo della protezione dei dati.

4  In contrasto con l’imposizione dell’obbligo di testare i dipendenti e altri lavoratori per la presenza della malattia COVID-19, che logicamente implica la necessità di trattare i dati personali per questo scopo e nella misura necessaria.