1. Dall’analisi di tale provvedimento e della normativa in tema di emergenza sanitaria, gli adempimenti in esame risultano in contrasto con le norme in materia di trattamento dati (GDPR). In proposito si richiama
innanzi tutto il parere del Garante per la protezione dei dati personali con il quale, il 10 agosto 2020, è stato ribadito che l’emergenza sanitaria “non rappresenta automaticamente, e di per sé, una base giuridica
sufficiente volta a incidere su diritti e libertà costituzionalmente protette, legittimando trattamenti di dati particolarmente invasivi, quali appunto quelli atti a consentire il tracciamento dei contatti da parte di qualsiasi titolare pubblico o privato” e che “gli unici trattamenti di dati personali che, allo stato, possano vantare un’adeguata base giuridica, sono esclusivamente quelli che trovano il proprio fondamento in una norma di legge nazionale”
Tale principio, espresso ai tempi con riferimento al proliferare di app di contact tracing, ha portata generale e, dunque, deve essere applicato in relazione a tutti i trattamenti che mirano a tracciare i movimenti delle persone.
2. Nel caso di specie, l’Ordinanza n. 94 del Sindaco del Comune di Casamassima dell’8 novembre 2020 richiama la normativa di emergenza adottata tramite i Decreti Legge e i relativi Decreti del Presidente del
Consiglio dei Ministri. In particolare il provvedimento indica sia il “Protocollo condiviso tra le parti sociali approvato dal decreto del Presidente del Consiglio dei ministri del 26 aprile 2020” il al DPCM 3 novembre 2020 (e il suo allegato 9) quali basi giuridiche per imporre ai commercianti al dettaglio (o meglio a quelli dell’area commerciale integrata di Casamassima, tra cui il Parco Commerciale di Casamassima, il cd “Power Center”) l’adozione di misure di contact tracing.
3. Nel proprio provvedimento, il Sindaco non solo non prende in considerazione la posizione del Garante ma sembra offrire una lettura errata dei provvedimenti citati. In nessun modo, infatti, il Protocollo Condiviso e il DPCM 3 novembre 2020 (Allegato 9 – Commercio al dettaglio) prevedono il compimento di attività di contact tracing. Peraltro, si ritiene che , quand’anche vi fosse, una tale previsione non sarebbe comunque idonea a fondare legittimamente il tracciamento: nessuno dei due strumenti citati rientra infatti nella definizione di legge nazionale citata dal Garante e, ancor prima, dal Regolamento (UE) 2016/679.