Articolo pubblicato su altalex
Si sente molto parlare di green pass, ma quali sono le prescrizioni in materia di protezione dei dati personali che i Titolari del trattamento tenuti alla verifica della certificazione verde sono obbligati a rispettare?
1. Certificazione verde COVID-19 (green pass)
La certificazione verde COVID-19 (meglio nota come green pass) nasce per facilitare la libera circolazione in sicurezza dei cittadini nell’Unione europea durante la pandemia di COVID-19. Il suo possessore può così dimostrare di essersi sottoposto a vaccino o di essere negativo al test (a seguito di tampone) o di essere guarito dal COVID-19. La certificazione contiene un qr code che permette di verificarne l’autenticità e la validità in tutta l’Unione europea (oltre che in Svizzera, Islanda, Norvegia e Lichtenstein). In Italia, la certificazione viene emessa esclusivamente attraverso la Piattaforma nazionale del Ministero della Salute in formato digitale e/o stampabile.
I Titolari del trattamento tenuti alla verifica della certificazione verde sono obbligati al rispetto delle prescrizioni in materia di protezione dei dati personali. La verifica del QR-code contenuta nel c.d. Green Pass comporta, infatti, un trattamento di dati personali, le cui modalità di verifica sono state espressamente normate dal DPCM 17 giugno 2021.
La Certificazione verde COVID-19 è richiesta in Italia per partecipare alle feste per cerimonie civili e religiose, accedere a residenze sanitarie assistenziali o altre strutture e permanere nelle sale di aspetto di pronto soccorso e reparti ospedalieri, spostarsi in entrata e in uscita da territori classificati in “zona rossa” o “zona arancione”, accedere ai seguenti servizi e attività: ristoranti al chiuso; spettacoli, eventi e competizioni sportivi; musei; piscine, palestre limitatamente alle attività al chiuso; sagre e fiere, convegni e congressi; centri termali, parchi tematici e di divertimento; centri culturali, centri sociali e ricreativi, limitatamente alle attività al chiuso e con esclusione dei centri educativi per l’infanzia, compresi i centri estivi, e le relative attività di ristorazione; sale gioco; concorsi pubblici.
Dal 1° settembre u.s. è necessario possedere il green pass per viaggiare in aereo, in treni tipo Inter City; in autobus con percorso che collega più di due regioni ma anche per accedere a scuole e università (alunni sopra i 12 anni, personale docente e non docente).
L’art. 3 del DPCM cit. stabilisce che “Le certificazioni verdi COVID-19, rilasciate dalla Piattaforma nazionale-DGC, riportano i seguenti dati generali comuni a tutte e tre le tipologie di certificazioni: cognome e nome, data di nascita, malattia o agente bersaglio, soggetto che ha rilasciato la certificazione verde COVID-19: Ministero della salute, identificativo univoco della certificazione verde COVID-19. 2. La certificazione verde COVID-19 di avvenuta vaccinazione riporta altresì le seguenti indicazioni: tipo di vaccino somministrato, denominazione del vaccino, produttore o titolare dell’autorizzazione all’immissione in commercio del vaccino, numero della dose effettuata e numero totale di dosi previste per l’intestatario della certificazione verde COVID-19, data dell’ultima somministrazione effettuata, Stato in cui e’ stata effettuata la vaccinazione. 3. La certificazione verde COVID-19 di avvenuta guarigione riporta altresì le seguenti indicazioni: data del primo test molecolare positivo; Stato che ha effettuato il primo test molecolare positivo; data inizio validità della certificazione verde COVID-19; data fine validità della certificazione verde COVID-19. 4. La certificazione verde COVID-19 di test antigenico rapido o molecolare con esito negativo riporta altresì le seguenti indicazioni: tipo del test; nome del test (facoltativo per test molecolare); produttore del test (facoltativo per test molecolare); data e ora del prelievo del campione per il test; risultato del test; centro o struttura in cui è stato eseguito il test; Stato in cui è stato effettuato il test”.
2. Gli incaricati al trattamento
Ne discende l’esigenza di calibrare le attività di verifica attraverso l’adozione di misure di sicurezza idonee a garantire la tutela della riservatezza dell’interessato.
Ai sensi dell’art. 13 del medesimo DPCM, “la verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’allegato B (VerificaC19) che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.
Alla verifica di cui al comma 1 sono deputati:
a) i pubblici ufficiali nell’esercizio delle relative funzioni;
b) il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi;
c) i soggetti titolari delle strutture ricettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati;
d) il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati;
e) i vettori aerei, marittimi e terrestri, nonché i loro delegati;
f) i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali, in qualità di visitatori, sia prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.
Come ha chiarito il Ministero dell’Interno con la circolare interpretativa del 10 agosto 2021, non è obbligatorio richiedere l’esibizione del documento di identità per verificare la rispondenza dei dati personali della certificazione all’intestatario della certificazione verde COVID-19. Questa attività è infatti rimessa ai verificatori i quali certamente ne sono tenuti allorquando vi sia discrepanza evidente tra la fisionomia del possessore del certificato ed i dati anagrafici contenuti nella certificazione. Né l’avventore potrà legittimamente opporsi all’ostensione del documento tutte le volte in cui a richiederglielo sia un rappresentante delle categorie sopra menzionate. Vigileranno sulla correttezza delle operazioni di verifica il personale delle forze di polizia e dei corpi di polizia municipale munito della qualifica di agente di pubblica sicurezza ai quali spetta il potere di elevare sanzioni amministrative da euro 400 a euro 3.000.
La norma si preoccupa anche di stabilire che tutti i soggetti delegati di cui alle lettere c), d), e) ed f) del comma 2 debbano essere incaricati con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica.
Tale atto (redatto ai sensi del combinato disposto dell’art. 29 del Regolamento europeo 679/2016 (GDPR) e dell’art. 2 quaterdecies del Codice privacy) recherà le necessarie istruzioni sull’esercizio delle attività di verifica e avrà cura di indicare, in particolare, le modalità ritenute idonee a tutelare la riservatezza della persona nei confronti dei terzi durante il controllo del green pass ed, eventualmente, del documento di identità.
A questo proposito, il Titolare ben potrà sottoporre l’incaricato a formazione circa il “nuovo” trattamento che è stato chiamato a compiere. Occorrerà quindi verificare in concreto le modalità con le quali la verifica viene effettuata, se gli spazi ove si procede a verifica sono idonei a garantire la riservatezza dei dati, quali misure di sicurezza sono state adottate sul dispositivo prescelto per la verifica. Considerando che la app VerificaC19 è stata realizzata anche per funzionare off line, potrebbe essere considerata una valida misura di sicurezza quella di adottare un dispositivo non più connesso alla rete ed adibito in via esclusiva allo scopo.
3. Le informative sul trattamento dei dati
Al fine di garantire il rispetto del principio di trasparenza (art. 5 gdpr), il Titolare dovrà rendere ai soggetti interessati adeguata informativa (art. 13 gdpr) relativa al trattamento dei dati effettuato tramite la verifica del Green Pass.
Tale informativa potrà contenere le seguenti informazioni: l’identità e i dati di contatto del Titolare del trattamento e, ove nominato, del suo Dpo; le finalità che saranno necessariamente connesse e strumentali alla gestione del contagio da COVID-19 ; la base giuridica del trattamento che è da individuarsi nella necessità di adempiere a un obbligo legale al quale il Titolare è soggetto (art. 6 lett. c. gdpr) e nella specie il DPCM in commento; il periodo di conservazione dei dati personali laddove è corretto indicare che non vengono conservati dati personali; l’indicazione dei diritti dell’interessato indicati agli artt. 15-22 gdpr; il diritto di proporre reclamo a un’autorità di controllo; l’indicazione della necessità di sottoporsi a verifica per poter accedere ai locali o usufruire dei servizi offerti pena l’impossibilità da parte del Titolare del Trattamento di adempiere a un obbligo di legge e, conseguentemente, l’impossibilità di consentire l’accesso ed infine l’assenza di un processo decisionale automatizzato, compresa la profilazione.
Tale informativa dovrà avere la più ampia diffusione possibile. Dovrà essere esposta nei pressi del luogo ove viene effettuata la rilevazione per consentire agli interessati di poterla consultare, oltre che sul sito internet, ove presente.
4. Aggiornamento del registro dei trattamenti
Il trattamento di verifica della certificazione verde deve essere annotato sul registro dei trattamenti (art. 30 gdpr) che, trattandosi del principale strumento per dimostrare l’accountability del Titolare (art. 5 gdpr) non può non contenere il trattamento in questione. Esse sono: nome e dati di contatto del Titolare, di eventuali contitolari, del responsabile del trattamento e del Dpo (ove nominato), le finalità, una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; i termini ultimi previsti per la cancellazione delle diverse categorie di dati (nel caso di contact tracing potrebbe essere corretto indicare quale termine ultimo la fine dello stato di emergenza) ed infine una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Ciò anche se l’art. 13 co. 5 del DPCM cit. stabilisce che “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.
Sul punto il Garante si è ampiamente pronunciato anche redarguendo l’abitudine da più fronti stigmatizzata dei proprietari di palestre e centri sportivi che, al comprensibile fine di semplificare le operazioni di ingresso ai propri clienti e dipendenti tenevano traccia dei nominativi già in possesso del green pass e della loro scadenza così da esimere i soggetti da controlli ad ogni ingresso alla struttura.
Ebbene tale comportamento è vietato in quanto non è consentito ai Titolari del trattamento conservare i dati dell’interessato. L’unico soggetto deputato alla conservazione è il Ministro della salute in qualità di titolare del trattamento. La conservazione dei dati è determinata dal comma 1 dell’art. 16 del DPCM in parola e coincide con il periodo di validità delle certificazioni medesime.
Caso distinto, invece, è quello delle scuole che poco prima della loro riapertura (prevista in molte Regioni dal 13 settembre) possono contare nell’ambito del Sistema Informativo dell’Istruzione (SIDI), su una specifica funzionalità che permette ai Dirigenti Scolastici di accertare istantaneamente – mediante un’interazione tra il Sistema informativo dell’istruzione-SIDI e la Piattaforma Nazionale-DGC – la validità del Green Pass per il personale docente e ATA a tempo indeterminato e determinato in servizio presso ogni singola Istituzione scolastica statale.