Gli esercenti non possono essere titolari del trattamento dei dati sensibili e dunque non possono registrare e archiviare il Green Pass dei cittadini a meno di una norma ad hoc. In vista degli obblighi che scatteranno il prossimo 6 agosto (QUI LA GUIDA DI CORCOM), sui social network è già scattato il fai-da-te con pericolosi rischi: c’è chi chiede ai clienti di richiedere la prenotazione via e-mail allegando il certificato, modalità che contravviene alla legge. È necessario dunque fare chiarezza subito, prima che si assista a un’esposizione dei dati sensibili dei cittadini.
“E’ evidente che c’è una certa differenza fra imporre la creazione di un database con i dati dei cittadini o semplicemente verificare la sussistenza del Green pass senza la conservazione dei dati”, sottolinea Gabriele Faggioli, presidente del Clusit e ceo di Digital360. “Per la creazione di un database il decreto dunque non basterebbe”. Ci sono da capire le modalità in attesa delle norme attuazione.
“C’è già una app a standard europeo, che serve a verificare in maniera rapida e sicura la validità del QRcode del green pass. Al momento la usano i verificatori in aeroporto, per gli eventi pubblici e per i pochi altri casi previsti dai Decreti Legge 52/2021 e 65/2021. Useranno quella anche per i controlli più estesi, non c’è dubbio. I dati sensibili non andranno a finire nelle mani di ristoratori e altri esercenti, perché il client (smartphone del verificatore) interroga solo il server sulla validità del green pass “sparando” il QR code”, spiega Luca Bolognini, Presidente dell’Istituto italiano per la privacy (Iip) e fondatore di Ict Legal Consulting. “Non ci sarà saccheggio di dati – ma solo la trasmissione del codice tratto dal QRcode e la ritrasmissione del responso ok/ko – e non resteranno dati sulla app del verificatore. Un ottimo esempio di applicazione del principio di minimizzazione dei dati e del principio di data protection by default, previsti dal Gdpr”.
Il Gdpr e le deroghe a tutela dell’interesse pubblico
Il Gdpr d’altro canto parla chiaro, si legge all’Articolo 9 Paragrafo 1 : “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
E se è vero che il Paragrafo 2 del medesimo articolo pone delle deroghe al divieto di cui al Paragrafo 1 – quando “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”, “il trattamento è necessario per tutelare un interesse vitale dell’interessato”, “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri” – non altrettanto chiaro è come gestire gli obblighi emanati dal Governo in materia di Green Pass e dunque quale base giuridica andrebbe adottata dagli esercenti per il trattamento di tali dati, considerato che- si legge nel comunicato stampa di Palazzo Chigi – i titolari o i gestori dei servizi e delle attività autorizzati previa esibizione del Green pass sono tenuti a verificare che l’accesso a questi servizi e attività avvenga nel rispetto delle prescrizioni, la cui violazione comporterebbe una sanzione pecuniaria da 400 a 1000 euro sia a carico dell’esercente sia dell’utente, con il rischio di chiusura, da 1 a 10 giorni, qualora la violazione fosse ripetuta per tre volte in tre giorni diversi.
Database o verifica “fiduciaria”?
La questione però non è banale. I titolari o i gestori dei servizi e delle attività autorizzati devono creare un database in cui registrare e archiviare tutte le informazioni dei clienti relative al Green Pass? Oppure sarà sufficiente la “visione” del Green pass in chiave “fiduciaria”? Questo il nodo da sciogliere, una questione non da poco che ha già generato confusione e che rischia di trasformarsi in un boomerang: sui social sono già numerose le “anomalie” a partire da ristoratori che invitano i clienti a effettuare prenotazioni via e-mail allegando il Green pass ossia “pretendendo” dati soggetti a massima tutela della privacy poiché rientranti nella categoria dei “sensibili”.
Il Governo dovrà fare immediata chiarezza per evitare che si creino situazioni non solo borderline ma contro legge.
Il provvedimento del Garante Privacy
Il Garante Privacy per ora non commenta ma le “regole” erano già state messe nero su bianco nel provvedimento dello scorso giugno: “La norma dovrà prevedere che le certificazioni possano essere emesse e rilasciate solo attraverso la Piattaforma nazionale-DGC e verificate esclusivamente attraverso l’App VerificaC19. Tale app, infatti, è l’unico strumento in grado di garantire l’attualità della validità della certificazione verde, in conformità ai principi protezione dei dati personali, garantendo inoltre che i verificatori possano conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione (guarigione, vaccinazione, esito negativo del tampone)”. Altra misura, chiesta e ottenuta dal Garante nel corso delle interlocuzioni con il Ministero della salute, è che “i soggetti deputati ai controlli delle certificazioni verdi siano chiaramente individuati e istruiti”.
La soluzione tecnica: verifiche con il Qr Code
Stando ai primi rumors sarà il Qr Code a rappresentare la soluzione “tecnica”: i dati sono protetti e gestiti a livello governativo, quindi non esposti. Gli esercenti e i gestori delle attività incluse nel perimetro del Green Pass dovrebbero dunque limitarsi a verificare il possesso. Ma è necessario fare subito chiarezza considerato che siamo alla vigilia dell’entrata in vigore del nuovo dispositivo governativo: il 6 agosto.
Il Garante Privacy “avverte” la Regione Sicilia: no a obblighi sui vaccini
Il Garante per la protezione dei dati personali ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che “i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy“.
L’ordinanza prevede trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali – le disposizioni prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione -“determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità”.
“Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale”, chiarisce il Garante aggiungendo che l’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, “non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro”.
“Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti”. Il Garante, in considerazione delle “gravi violazioni riscontrate”, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, “prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy”.
Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.
