Green pass privacy e diritto alla riservatezza - Riskmanagement

Normative

Green pass tra adempimenti privacy e diritto alla riservatezza

La certificazione verde non comprime di per sé il diritto alla riservatezza, riuscendo a garantire la tutela della privacy fornita ai soggetti possessori del certificato, oltre al diritto all’autodeterminazione per quegli individui che decidono di non vaccinarsi

26 Ott 2021

Alessia Nucara

Privacy Officer e Consulente Legale Privacy

Dal 15 ottobre 2021 per accedere al posto di lavoro, è necessario essere in possesso della certificazione verde COVID-19, meglio conosciuta come Green Pass. Emessa esclusivamente attraverso la Piattaforma nazionale del Ministero della Salute in formato digitale e/o stampabile, la certificazione attesta l’avvenuta vaccinazione contro il Covid-19, l’avvenuta guarigione, o l’esecuzione di un test antigenico con esito negativo (a seguito di tampone) della durata di 48 ore. Tale prescrizione, introdotta dal D.L. n.127/2021 si estende sia per l’accesso ai luoghi di lavoro in ambito pubblico sia per quelli in ambito privato. Pertanto, che si tratti di pubblica amministrazione, di un’industria o di un’impresa di servizi, per la legge non fa alcuna differenza. Esaminiamo gli adempimenti della privacy.

Green Pass e risvolti privacy

Per quanto riguarda la normativa in materia di trattamento dei dati personali, la certificazione verde ha sollevato non poche perplessità, soprattutto in merito ai risvolti che la questione potrebbe avere sul piano organizzativo aziendale.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Alcune imprese per ovviare al problema del controllo giornaliero delle certificazioni, hanno raccolto e archiviato green pass, pur essendo tale pratica assolutamente vietata dalla legge.

Al fine di fare chiarezza, si è espressa in merito l’Autorità Garante per la protezione dei dati personali evidenziando alcune criticità alle quali i soggetti destinatari dei nuovi obblighi in materia di prevenzione del contagio da Covid-19 e del Regolamento europeo per la protezione dei dati devono ovviare per potersi ritenere conformi alle prescrizioni in essi contenute.

L’art. 13, comma 5 del DPCM 17 giugno 2021, consente l’attività di verifica delle certificazioni verdi mediante la sola lettura del codice a barre attraverso l’utilizzo dell’applicazione “Verifica C-19”.

Dal 12 ottobre 2021, inoltre, il Garante ha dato il via a nuove modalità di controllo dei Green Pass che hanno l’obiettivo di semplificare le attività di verifica da parte dei datori di lavoro pubblici e privati.

Parliamo di modalità alternative che prevedono l’impiego di un pacchetto di sviluppo per applicazioni (Software Development Kit- SDK), rilasciato dal ministero della Salute con licenza open source, da integrare nei sistemi di controllo degli accessi, inclusi quelli di rilevazione delle presenze, le funzionalità di verifica della Certificazione verde COVID-19, mediante la lettura del QR code ovvero, un’interazione in modalità asincrona, tra la Piattaforma NoiPA e la PN-DGC per la verifica del possesso dei Green Pass da parte dei dipendenti pubblici degli enti aderenti a NoiPA.

Ancora, un’interazione tra il portale istituzionale INPS e la PN-DGC, per la verifica del possesso delle Certificazioni verdi COVID-19 da parte dei dipendenti dei datori di lavoro, con più di 50 dipendenti, sia privati che pubblici non aderenti a NoiPA.

In fine una interoperabilità applicativa tra i sistemi informativi di gestione del personale delle PA con almeno 1.000 dipendenti, anche con uffici di servizio dislocati in più sedi fisiche, e la PN-DGC, per la verifica del possesso dei Green Pass dei propri dipendenti.

Tali strumenti consentono di accertare autenticità, validità e integrità della certificazione, oltre che di conoscere le generalità dell’intestatario, senza poter dedurre le informazioni che ne hanno determinato l’emissione.

Pertanto, qualsiasi ulteriore attività come la raccolta, la conservazione piuttosto che la scadenza dei Green Pass è vietata e configura una violazione della disciplina in materia di protezione dei dati personali ai sensi del Reg. UE 2016/679 (GDPR).

Parliamo del principio di liceità, per cui l’informazione raccolta potrebbe non essere supportata da un’idonea basi giuridica; del principio di esattezza del dato, per cui la certificazione potrebbe essere revocata prima della sua naturale scadenza e del principio di minimizzazione del dato, per cui verrebbero raccolti dati eccedenti rispetto a quelli effettivamente utili per le finalità consentite dalla normativa.

Soggetti preposti alla verifica

Ad oggi i soggetti preposti al controllo dei Green Pass sono i datori di lavoro e il personale da essi delegato. Questi ultimi, in ottemperanza alle prescrizioni in materia di trattamento dei dati personali, potranno operare grazie a un’apposita “nomina ad addetto autorizzato alla verifica dei Green Pass”.

Le istruzioni per il personale preposto alla verifica delle certificazioni verdi, dovranno contenere indicazioni precise riguardo alle modalità con cui i controlli dovranno essere effettuati così come previsto ai sensi dell’articolo 29 del GDPR.

Dovrà essere chiarito, inoltre, che tali attività non dovranno comportare la raccolta di dati o di documenti dell’intestatario, neanche mediante l’utilizzo di strumenti diversi dall’app Verifica C -19, quali ad esempio Qr-code, mail, applicazioni di messaggistica istantanea, screenshot, o Pec.

Laddove la verifica dei Green Pass venisse posta in essere da personale non nominato, ciò comporterebbe una violazione della normativa sulla privacy.

Oltre a quanto detto, occorrerà fornire ai soggetti interessati un’informativa privacy ai sensi dell’art. 13 del GDPR in merito al trattamento dei dati che viene effettuato mediante la verifica della certificazione.

Questa informativa dovrà contenere: l’identità e i dati di contatto del Titolare del trattamento, laddove nominato i dati di contatto del DPO, le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento, che in questo caso è l’obbligo legale al quale il Titolare è sottoposto in forza del DPCM 17 giugno 2021.

A seguire dovranno essere indicati: i diritti dell’interessato di cui agli artt. 15-22 GDPR; il diritto di rivolgersi all’autorità di controllo e l’indicazione del bisogno di sottoporsi a verifica per poter accedere ai luoghi in cui si sta facendo ingresso.

L’informativa va affissa nei locali dove viene effettuata la verifica del Green Pass, affinché la stessa possa essere consultata prima del trattamento e, ove possibile, pubblicata sul sito web del titolare, se presente.

Riservatezza dei dati personali e diritto all’autodeterminazione

Più volte ci si è domandati se il Green Pass fosse un oggetto idoneo a violare il c.d. diritto alla riservatezza.  Pensiamo ad esempio ai soggetti che si dichiarano contrari alla somministrazione del vaccino. D’altro canto, ogni individuo è libero di autodeterminarsi effettuando le scelte che più ritiene opportune.

Tale problematica è stata affrontata di recente dalla giurisprudenza, la quale si è espressa sul punto con l’ordinanza n. 5130 del 17 settembre 2021 rafforzando la validità del Green Pass e dichiarando l’assenza di rischi per la riservatezza dei dati personali.

Tale pronuncia è stata l’epilogo di un caso che ha riguardato un appello proposto contro un provvedimento cautelare emesso dal Tar Lazio che in primo grado ha impugnato il D.P.C.M. del 17 giugno 2021 relativo all’impiego del Green Pass, di cui ne era stata richiesta la sospensione dell’efficacia.

I ricorrenti, nel caso di specie, lamentavano una lesione del diritto alla riservatezza e il rischio di essere discriminati durante lo svolgimento della propria attività lavorativa per una violazione da parte del DPCM della normativa comunitaria e della Costituzione italiana in merito alla protezione dei dati personali.

Il Consiglio di Stato, in merito, si è espresso con l’ordinanza in commento, confermando la pronuncia di rigetto del primo grado, stabilendo che per coloro che si sono rifiutati di sottoporsi alla vaccinazione non sussiste nessuna compromissione del loro diritto alla riservatezza.

Concludendo, quindi, possiamo dire che lo strumento di verifica del Green Pass così come predisposto, non comprime di per sé il diritto alla riservatezza, riuscendo a garantire la tutela della privacy fornita ai soggetti possessori della certificazione verde oltreché il diritto all’autodeterminazione per quegli individui che decidono di non vaccinarsi.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
N
Alessia Nucara
Privacy Officer e Consulente Legale Privacy

Articolo 1 di 5