+39 075 609699 info@lusios.it

Green Pass e protezione dati: la complicata gestione di un nuovo trattamento

Lusios S.r.l.

Per mezzo del D.L. 105/2021 emanato lo scorso 23 luglio ed in vigore dal 6 agosto, (Modificato dal D.L. n 126 del 16 Settembre 2021) il Governo italiano ha introdotto il cosiddetto “Green Pass” come documento necessario per accedere ad una determinata lista di servizi, attività ed eventi. L’obbligo della certificazione verde, da esibire all’ingresso di concorsi pubblici, sagre, concerti, eventi, spettacoli, palestre, piscine, musei, teatri, bar e ristoranti al chiuso (ad eccezione dei ristoranti delle strutture ricettive per i soli ospiti) , dovrà essere verificato dal personale dipendente delle strutture pubbliche e private coinvolte, vincolate per legge alla corretta verifica di questo tipo di attestazione. Oltre a queste casistiche, il pass verde è necessario anche per spostamenti sul territorio nazionale in zone identificate rosse o arancioni nonché con riguardo alla possibilità di visita nelle residenze per anziani, recarsi presso parenti e amici nelle strutture ospedaliere, nelle strutture diagnostiche e nei poliambulatori specialistici.

Il Consiglio dei Ministri, nella riunione del 16 settembre, ha approvato un ulteriore D.L. che introduce misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde Covid-19, ed il rafforzamento del sistema di screening.

Di fatto tutti i lavoratori pubblici e privati potranno recarsi sul posto di lavoro a partire dal 15 Ottobre 2021 solo esibendo il green pass. Sono Previste le sanzioni pecuniarie e la sospensione dopo cinque giorni di assenza per i dipendenti pubblici, mentre sarà dal primo giorno per i lavoratori del settore privato. Per il periodo di sospensione non sono dovuti la retribuzione né altro compenso o emolumento. Per le aziende con meno di 15 dipendenti, è prevista una disciplina preordinata a consentire al datore di lavoro di sostituire temporaneamente il lavoratore privo di Certificato Verde.

L’entrata in vigore del 6 agosto coinciderà quindi con una serie di limitazioni per chi, sprovvisto di green pass, non potrà accedere a determinate attività e servizi: il decreto-legge prevede anche multe salate – da 600 a 1500 euro- non solo per chi, pur senza certificazione, accede a locali al chiuso o teatri, ma anche per chi permette ciò in assenza di controlli preventivi.

Proprio il controllo sull’efficacia e sulla legittimità di tale provvedimento rappresenta la parte più delicata della questione, dal punto di vista della privacy e della protezione dati. L’annuncio del green pass obbligatorio ha acceso numerosi dibattiti sulla necessità e sulla costituzionalità di un simile provvedimento legislativo, ritenuto, secondo alcune interpretazioni, penalizzante per chi pur prenotato è in attesa di vaccinarsi e dovrebbe quindi munirsi di tampone ogniqualvolta voglia accedere ad una delle elencate attività. Per questo motivo, il Commissario Straordinario per l’Emergenza Covid Francesco Paolo Figliuolo ha annunciato un accordo quadro con ospedali e farmacie per rendere i costi del tampone alla portata di tutti; inoltre, il dibattito alla Camera dei Deputati circa la pregiudiziale di incostituzionalità dell’introduzione del green pass promosso da Fratelli d’Italia ha portato ad una bocciatura da parte dell’Aula di Montecitorio, permettendo così all’iter legislativo di proseguire.

Ai sensi del citato decreto-legge, la Presidenza del Consiglio dei Ministri – di concerto con il Ministero della Sanità – tramite un DPCM dovrà disciplinare il raggio concreto d’azione del pass verde, ossia il suo campo di applicazione e di controllo, evitando possibili abusi e ponendo le basi per un trattamento rispettoso della riservatezza e della normativa in materia di protezione dati di riferimento – Dlgs 196/2003 con successive modifiche ed integrazioni e Regolamento UE 679/2016. Il nodo interpretativo da sciogliere a cui è chiamato a dare risposta il legislatore richiede un necessario bilanciamento tra diritto alla salute collettiva e protezione dei dati personali: per questo motivo, è prevista una consultazione preventiva con il Garante per la Protezione dei Dati Personali, per evitare indebite storture tra le pieghe dell’applicazione della legge.

Il dubbio più intricato riguarda l’applicazione pratica del controllo della certificazione verde da parte di terzi autorizzati. Chi all’interno di una attività ricettiva è adibito a questo controllo? Quali strumenti potrà utilizzare? Il green pass digitale – QR Code personale – sarà accettato come il green pass cartaceo? Bar e ristoranti sono attrezzati per compiere questo trattamento? C’è il rischio di porre in capo a ristoratori e datori di lavoro un potere di controllo, di sicurezza sanitaria e di accesso ai dati superiore alle loro effettive legittimità?

Seguendo il principio di minimizzazione dei dati, è evidente che la verifica del green pass, digitale o cartaceo, dovrà stabilire solo se il certificato della persona interessata è valido o meno, senza indicare il motivo della sua correttezza: in altre parole, il ristoratore dovrà accertarsi che io sia in possesso di regolare green pass, ma non dovrà sapere il motivo della mia avvenuta certificazione verde, sia esso per tampone negativo, contagio covid superato o vaccinazione. Questi ultimi sono tutti dati sanitari particolari, oltremodo sensibili, che non possono in ogni caso venire divulgati né essere a conoscenza di terzi, pena l’invalidità del trattamento.

Proprio per evitare questi pericoli, la Presidenza del Consiglio dei Ministri e il Ministero della Sanità hanno messo a punto un’unica app di verifica e lettura del green pass, chiamata “VerificaC19”: quest’applicazione si limiterà a stabilire, oltre al nome e al cognome della persona interessata, la data di nascita e l’effettiva validità della certificazione.

Altro nodo fondamentale sarà quello legato ad una limpida sensibilizzazione e formazione del personale addetto a vario titolo al controllo della certificazione verde, al trattamento dei dati in questione e ad un loro corretta archiviazione: in questo senso, come nella primavera del 2020 per quanto riguarda autocertificazioni Covid-19 e misurazione della temperatura, siamo inevitabilmente agli albori, con tutte le opportunità e tutti i rischi di una situazione in continuo aggiornamento ed evoluzione. Cinque sono quindi i punti focali a cui le organizzazioni dovranno prestare attenzione per gestire accuratamente il connubio tra certificazione verde e privacy:

  1. Designazione nominativa degli addetti alla verifica;
  2. Predisposizione delle istruzioni per gli addetti nominati;
  3. Gestione di eventuali azioni di conflitto con gli interessati;
  4. Coinvolgimento del Responsabile Protezione Dati (se presente) al fine di consentire un’adeguata attività di controllo e di consulenza;
  5. Fornire l’informativa preposta e aggiornare il registro dei trattamenti.

Compito del Garante e del legislatore sarà quello di emanare linee guida per una corretta gestione del trattamento legato ai green pass, evitando di mettere a disposizione dati che eccedono la finalità del trattamento: nel caso di un pass cartaceo tali rischi sono ancora più evidenti, laddove dati come luogo e data della vaccinazione o avvenuta guarigione covid potrebbero essere disponibili senza nessuna tutela per la riservatezza dei cittadini. Il compito dei professionisti in materia di consulenza privacy, invece, sarà quello di aiutare e coadiuvare attività ricettive, strutture e aziende nell’implementazione di protocolli e regolamenti interni efficaci e al tempo stesso rispettosi di tutti quei diritti sanciti dal GDPR, per ripartire – socialmente, quotidianamente ed economicamente – in sicurezza, senza tralasciare l’importanza della tutela dei nostri dati.