Privacy e Green Pass: cosa ne pensa il garante per la protezione dei dati?


Inutile girarci intorno, la questione “Green Pass” è un tema particolarmente spinoso: c’è chi è d’accordo, chi meno, chi si appella al proprio diritto alla privacy, chi invece non sembra particolarmente preoccupato sull’impatto che questo strumento possa avere sulla propria libertà e riservatezza.

Cosa ne pensa il portavoce dei nostri diritti, il Garante per la Protezione dei dati?

Chi può effettivamente richiedere l’evidenza del possesso della certificazione verde, e con quali strumenti?

Lo scorso giugno, il Garante per la protezione dei dati ha emesso ben tre provvedimenti riguardo gli strumenti da utilizzare per il rilascio e la lettura dei Green Pass: inizialmente era stato ipotizzato che la certificazione potesse essere rilasciata su App Immuni e App IO ma il garante ha bloccato il rilascio sull’app IO poiché erano state rilevate alcune criticità che potevano compromettere la sicurezza dell’app.

Per queste ragioni, sono stati appunto emessi tre provvedimenti correttivi nei confronti di PagoPA sul funzionamento dell’app IO:

- Provvedimento del 9 giugno 2021

- Provvedimento del 16 giugno 2021

- Provvedimento del 17 giugno 2021

Con il comunicato stampa del 18 giugno 2021, il garante da’ ufficialmente l’ok all’utilizzo dell’app IO.

I dubbi sollevati dal garante rispetto al decreto del 22 aprile.

Con il “Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52 - 23 aprile 2021”, il Garante per la protezione dei dati ha sollevato diverse critiche al Decreto legge del 22 aprile 2021, n. 52 “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19”, in particolare:

- Mancata consultazione del Garante

In via preliminare, si rileva che, in violazione dell’art. 36, par. 4, del Regolamento, il decreto legge del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato.

Il tempestivo e necessario coinvolgimento dell’Autorità, previsto anche “durante l’elaborazione di una proposta di atto legislativo”, oltre a evitare il vizio procedurale, avrebbe consentito all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.

- Mancata valutazione d’impatto sul trattamento

L’introduzione della certificazione verde, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento. Tale analisi non è invece stata condotta.

- Inidoneità della base giuridica

Il decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies).

Solo una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione. Alla luce di ciò, si palesa, in primo luogo, l’indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.

- Principio di minimizzazione dei dati

Il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento).

Si ritiene che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa.

Alla luce del predetto principio di minimizzazione, si ritiene infatti che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate.

La previsione quindi di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, espressamente elencati nell’allegato 1 al decreto, si pongono in contrasto con il citato principio di minimizzazione dei dati.

- Principio di trasparenza

Il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.

- Principi di limitazione della conservazione e di integrità e riservatezza

Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento).

Ciò assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.

Si rileva inoltre che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrità e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (artt. 5, par. 1, lett. f) e 32 del Regolamento).

A seguito delle indicazioni del Garante, il decreto legge è stato convertito in legge il 17 giugno 2021 (Legge 17 giugno 2021, n. 87) con una serie di modifiche, fra cui l’eliminazione dell’allegato 1 così da garantire il principio di minimizzazione dei dati e tutelare maggiormente la libertà dell’interessato.

Chi è autorizzato a richiedere il Green Pass e i documenti d’identità?

La regione Piemonte ha inviato un quesito al Garante per la protezione dei dati riguardo le figure autorizzate alla verifica della certificazione verde. Nella nota inviata come risposta il 10 agosto del 2021, il Garante identifica se seguenti figure:

- I pubblici ufficiali nell’esercizio delle relative funzioni.

- Il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi iscritto nell’elenco di cui all’articolo 3, comma 8, della legge 15 luglio 2009, n. 94.

- I soggetti titolari delle strutture ricettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.

- Il proprietario o il legittimo detentore di luoghi o locali presso i quali si svolgono eventi e attività per partecipare ai quali è prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.

- I gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali in qualità di visitatori sia prescritto il possesso di certificazione verde COVID-19, nonché i loro delegati.

Questi soggetti sono altresì autorizzati a richiedere un documento d’identità per verificare la paternità del certificato. Non è concesso trattenere in alcun modo copia delle certificazioni o dei documenti d’identità.

 

Con quali modalità va verificata la validità del Green Pass?

Il processo di verifica delle Certificazioni verdi COVID-19 prevede l’utilizzo della app di verifica nazionale VerificaC19, installata su un dispositivo mobile. Tale applicazione consente di verificare l’autenticità e la validità delle certificazioni senza la necessità di avere una connessione internet (offline) e senza memorizzare informazioni personali sul dispositivo del verificatore.

L’applicazione VerificaC19 è conforme alla versione europea, ma ne diminuisce il numero di dati visualizzabili dall’operatore per minimizzare le informazioni trattate.

 

Come avviene la verifica?

- La Certificazione è richiesta dal verificatore all’interessato che mostra il relativo QR Code (in formato digitale oppure cartaceo).

- L’App VerificaC19 legge il QR Code, ne estrae le informazioni e procede con il controllo del sigillo elettronico qualificato.

- L’App VerificaC19 applica le regole per verificare che la Certificazione sia valida.

- L’App VerificaC19 mostra graficamente al verificatore l’effettiva validità della Certificazione nonché il nome, il cognome e la data di nascita dell’intestatario della stessa.

- Ai verificatori basta inquadrare il QR Code della certificazione verde Covid-19, che si può esibire in formato cartaceo o digitale, e accertarsi della validità e dei dati identificativi.