Green Pass: gli adempimenti in materia di privacy quando è obbligatorio - Riskmanagement

Normative

Green Pass: gli adempimenti in materia di privacy quando è obbligatorio

La verifica del Certificato verde Covid-19, prevista come precondizione per accedere a un numero sempre maggiore di attività e servizi, è legata a specifici obblighi previsti dalla normativa emergenziale che tuttavia non possono prescindere dal rispetto delle norme in materia di protezione dei dati personali.

09 Ago 2021

Lorenzo Giannini

Consulente legale privacy e DPO

Con il decreto legge sulle riaperture del 22 aprile 2021, n. 52 (ora convertito, con modificazioni, dalla Legge 17 giugno 2021, n. 87) si è assistito all’introduzione della cosiddetta “Certificazione verde Covid-19”, altrimenti detto Green Pass, con l’intento di favorire l’esercizio in sicurezza di attività e servizi, nonché la circolazione delle persone, alla luce dell’emergenza epidemiologica da Covid-19.

Le Certificazioni verdi Covid-19 (Green Pass)

Le certificazioni attestano tre condizioni, alternativamente: l’aver effettuato almeno una dose o l’intero ciclo di vaccinazione, l’avvenuta guarigione dall’infezione del virus Covid-19, nonché l’effettuazione nelle ultime 48 ore di un test molecolare o antigenico rapido con risultato negativo al virus Covid-19.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Mentre in una prima fase, per mano dei “decreti riaperture” (D.L. 52/2021 e D.L. 65/2021) e di ordinanze ministeriali[1], il loro impiego è stato circoscritto agli spostamenti in entrata e in uscita dai territori collocati in zona gialla o rossa[2], all’accesso di familiari e visitatori in strutture sanitarie (RSA, hospice e, in generale, strutture riabilitative e residenziali di assistenza socio-sanitaria), nonché all’accesso degli ospiti a feste, anche al chiuso, seguenti a cerimonie civili o religiose[3], successivamente il Regolamento (UE) 2021/953 del 14 giugno scorso ha sancito il loro utilizzo per favorire la circolazione delle persone all’interno dell’area dell’Unione. Tuttavia, è con i recenti decreti legge 23 luglio 2021 n. 105[4] e 6 agosto 2021 n. 111[5] che si è assistito a un considerevole aumento degli ambiti in cui è richiesto il loro utilizzo, che vanno – solo per citare i più importanti – dai trasporti all’istruzione, dall’intrattenimento alla cultura.

Vale la pena sottolineare come, al di fuori delle ipotesi previste dalla legge – e, nello specifico, come chiarito dall’Autorità Garante privacy[6], da norme di rango primario – non sia possibile prevedere l’utilizzo del Green Pass per ulteriori attività[7].

Le operazioni di verifica del Green Pass

All’interno della “timeline normativa” sinteticamente ripercorsa, assume poi un ruolo centrale il DPCM 17 giugno 2021, che ha definito le modalità di rilascio e di verifica delle Certificazioni verdi Covid-19 in formato QR Code, a seguito dell’istituzione della Piattaforma nazionale Digital Green Certificate (PN-DGC), volta a garantire l’interoperabilità della stessa rispetto alle analoghe piattaforme istituite negli altri Stati membri dell’Unione europea per ottemperare al citato Regolamento (UE) 2021/953.

Secondo il provvedimento, alla verifica dei Green Pass saranno tenuti:

  • i pubblici ufficiali nell’esercizio delle relative funzioni;
  • il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi;
  • i soggetti titolari delle strutture ricettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso del Green Pass, nonché i loro delegati;
  • il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso del Green Pass;
  • i vettori aerei, marittimi e terrestri, nonché i loro delegati;
  • i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali, in qualità di visitatori, sia prescritto il possesso di Green Pass, nonché i loro delegati.

Negli ultimi quattro casi riportati nell’elenco, l’eventuale individuazione di soggetti delegati alle attività di controllo dovrà avvenire mediante un formale atto di incarico, recante le necessarie istruzioni sull’esercizio delle attività di verifica[8].

Sotto il profilo delle modalità di verifica, il controllo dei QR code (siano essi su supporto digitale o cartaceo) dovrà avvenire utilizzando esclusivamente l’app “VerificaC19”, individuata dal Ministero della Salute, in grado di consentire al soggetto verificatore di controllare l’autenticità, la validità e l’integrità della certificazione, senza rivelare – al fine di tutelare la riservatezza del soggetto – il motivo che ne ha determinato l’emissione (vaccinazione, guarigione o tampone negativo).

Pertanto, una volta effettuata la scansione del codice, l’applicazione potrà mostrare alternativamente un esito positivo, in caso di certificazione valida, o uno negativo, in caso di certificazione non valida o scaduta, che determineranno la possibilità di accesso o meno del soggetto verificato all’attività o al servizio.

Inoltre, all’esito della verifica, l’applicazione mostrerà anche i dati anagrafici del possessore della certificazione (nome, cognome e data di nascita) che, a discrezione del verificatore, potranno essere confrontati con un documento di identità in corso di validità da richiedere al soggetto verificato[9].

Più complessa risulta la verifica delle cosiddette certificazioni di vaccinazione o guarigione “equivalenti”, individuate ex art. 7 dell’Ordinanza del Ministero della Salute del 29 luglio 2021, per i seguenti Paesi: Stati Uniti, Canada, Giappone, Israele, Regno Unito, Irlanda del Nord (compresi Gibilterra, Isola di Man, Isole del Canale e basi britanniche nell’isola di Cipro ed esclusi i territori non appartenenti al continente europeo). In questo caso occorrerà ottemperare a quanto richiesto dalla Circolare del Ministero della Salute del 30 luglio 2021, che prevede specifici requisiti minimi sia rispetto al contenuto delle certificazioni, sia della lingua nelle quali dovranno essere redatte.

In via residuale, appare evidente come per tutti gli altri Paesi, o nel caso in cui il soggetto non sia in possesso di una certificazione valida, l’unica via percorribile sia quella di presentare l’effettuazione di un tampone con esito negativo.

A prescindere dalla modalità di verifica, ossia che questa venga effettuata tramite scansione del QR code piuttosto che tramite la consultazione della certificazione stessa, sono esentati dall’obbligo di presentazione del Green Pass sia i soggetti esclusi per ragioni di età dalla campagna vaccinale (minori di anni dodici), sia i soggetti esonerati sulla base di una idonea certificazione medica[10].

Inoltre, attraverso la Circolare del Ministero della Salute del 5 agosto, per tutti i soggetti che hanno ricevuto il vaccino Reithera è stata introdotta la possibilità di ottenere un apposito certificato in luogo del Green Pass, valido fino al prossimo 30 settembre 2021, nel quale dovranno essere riportate determinare informazioni inerenti alla somministrazione del vaccino, così come specificato dalla stessa circolare ministeriale.

Gli obblighi collaterali in materia di privacy

Quanto precede non esaurisce gli obblighi posti in capo, ad esempio, al titolare di un servizio di ristorazione o comunque di un’attività per le quali il Green Pass è richiesto. Occorre infatti considerare un importante obbligo trasversale e complementare, ma parimenti centrale, tanto più in ragione della costante attenzione rispetto al tema de quo – avallata ad avviso di chi scrive, anche alla luce dei profili di libertà e dei diritti costituzionali in gioco – dimostrata dal Garante privacy, ossia quello della protezione dei dati personali.

Come abbiamo osservato, nonostante l’applicazione “VerificaC19” da utilizzare per la scansione dei Green Pass in formato QR code possa al più rivelare l’identità anagrafica del soggetto, occorre considerare come già di per sé quest’attività sia riconducibile a un trattamento di dati personali, a norma del Regolamento (UE) 2016/679 (GDPR).

Ciò è desumibile combinando le definizioni offerte dall’art. 4 della normativa europea in materia di protezione dei dati personali, secondo cui – al punto 1 – per “dato personale” deve intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (pertanto, anche i dati anagrafici), così come nella definizione di “trattamento” offerta dal successivo punto 2 dell’art. 4 rientra a pieno titolo l’attività di mera consultazione posta in essere dal verificatore, ivi richiamata.

In questa prospettiva, la prima forma di tutela alla riservatezza è offerta dallo stesso DPCM 17 giugno 2021, il cui art. 13, comma 5, non prevede in alcun caso la raccolta dei dati dell’intestatario in qualunque forma.

La consapevolezza per cui le attività di verifica dei Green Pass comportano sempre un trattamento di dati personali appare fondamentale, al fine di attuare fin dalle fasi preliminari delle attività di controllo – nel rispetto, dunque, del principio di privacy by design (art. 25 GDPR) – tutte le integrazioni e le implementazioni necessarie per la compliance della normativa privacy.

Pertanto, occorrerà necessariamente prevedere un modello di informativa (almeno in forma breve) da affiggere nel punto in cui avvenga la verifica dei Green Pass, avendo riguardo che sia tradotta almeno in lingua inglese nel caso in cui i soggetti da verificare siano stranieri, nel rispetto del requisito di intelligibilità previsto ex art. 12 GDPR. Una versione estesa dell’informativa, redatta ai sensi dell’art. 13 GDPR, sarà comunque da conservare e consegnare all’interessato che dovesse farne richiesta.

A fronte del citato incarico formale previsto per i soggetti delegati ai controlli di cui al terzo comma dell’art. 13 DPCM 17 giugno 2021, dovrà comunque essere prevista una nomina degli stessi quali soggetti designati (art. 2-quaterdecies del Codice privacy novellato) o autorizzati al trattamento, così come, nell’ipotesi in cui l’attività venga esternalizzata ad una società di vigilanza, occorrerà che questa venga qualificata come responsabile ex art. 28 GDPR.

Il rispetto degli obblighi formativi

Sotto altro profilo, non meno importante, è utile osservare come le istruzioni operative da allegare o inserire all’interno dell’atto di delega per i soggetti deputati ai controlli concorrono – qualora includano aspetti legati alla protezione dei dati personali – al rispetto degli obblighi formativi sanciti dagli articoli 29 e 32, comma 4, GDPR, a norma dei quali chiunque agisca sotto l’autorità del titolare del trattamento e che abbia accesso a dati personali “non può trattare tali dati se non è istruito in tal senso”.

Anche l’attività di verifica dei Green Pass essendo, come visto, attività di trattamento, dovrà essere inserita da parte del titolare all’interno del registro del trattamento (art. 30, comma 1, GDPR) e dovrà essere associata a misure di sicurezza “adeguate” secondo quanto richiesto dall’art. 32 della normativa europea. In particolare, sotto il profilo organizzativo occorrerà individuare, per quanto possibile, delle modalità idonee a tutelare la riservatezza delle informazioni consultate: nel caso in cui, ad esempio, nel punto di verifica vi siano più soggetti contemporaneamente, occorrerà creare un opportuno distanziamento – utile, perché no, anche in termini di prevenzione dal contagio – con i soggetti che seguono, per evitare che possano scorgere le informazioni contenute nella certificazione, come nel caso esaminato delle certificazioni equivalenti. Peraltro, occorre sottolineare come a differenza della scansione del QR Code, che riporta solo l’identità del soggetto, in questo caso siano invece direttamente visibili informazioni ulteriori, anche di natura particolare (in quanto legate allo stato di vaccinazione o guarigione) nei termini espressi all’art. 9 GDPR.

Conclusioni

L’insieme delle considerazioni e degli adempimenti sopra richiamati, lascia trasparire come gli obblighi di nomina e le istruzioni da fornire ai soggetti delegati, richiesti dal DPCM 17 giugno 2021, costituiscano solo una parte di quanto necessario al fine dello svolgimento delle attività di verifica.

Un secondo fondamentale ordine di adempimenti, quello legato alla privacy, dovrà per di più costituire l’asse portante dell’intera attività, che dovrà essere improntata – oltre al rispetto del principio di accountability (art. 24 GDPR) e degli obblighi su menzionati, da parte del titolare del trattamento – all’osservanza, da parte di ciascun soggetto deputato alle verifiche, dei principi di buona fede, di correttezza e di tutela della dignità e della riservatezza dei soggetti controllati, con particolare riguardo a un generale divieto di comunicazione e divulgazione delle informazioni apprese durante tutte le operazioni di controllo

Note

  1. Ordinanza del Ministero della Salute dell’8 maggio 2021 e, successivamente, artt. 2-bis e 2-quater L. 87/2021.
  2. Art. 2, comma 1, L. 87/2021.
  3. Art. 8-bis, comma 2, L. 87/2021.
  4. Art. 3 D.L. 105/2021.
  5. Artt. 1, comma 6 e 2, comma 1, D.L. 111/2021.
  6. Cfr. comunicato stampa dell’Autorità Garante per la protezione dei dati personali del 10 giugno 2021.
  7. Art. 9, comma 10-bis, L. 87/2021.
  8. Art. 13, comma 3, DPCM 17 giugno 2021.
  9. Par. 4 dell’Allegato B al DPCM 17 giugno 2021.
  10. Art. 3, comma 3, D.L. 105/2021.

WEBINAR
14 Ottobre 2021 - 12:00
Zero Trust Network Access: la nuova architettura per la sicurezza informatica
Manifatturiero/Produzione
Sicurezza
@RIPRODUZIONE RISERVATA
G
Lorenzo Giannini
Consulente legale privacy e DPO

Articolo 1 di 5