Excursus normativo e adempimenti privacy
Ormai il significato di Green Pass è di dominio pubblico!
Questo nasce per facilitare la libera circolazione in sicurezza dei cittadini nell’Unione europea durante la pandemia di COVID-19. Il suo possessore può così dimostrare di essersi sottoposto a vaccino o di essere negativo al test (a seguito di tampone) o di essere guarito dal COVID-19. La certificazione contiene un qr code che permette di verificarne l’autenticità e la validità in tutta l’Unione europea e in Italia viene emessa esclusivamente attraverso la Piattaforma nazionale del Ministero della Salute.
Bisogna ricordare che dal punto di vista degli adempimenti privacy, la verifica del QR-code contenuta nel Green Pass comporta un trattamento di dati personali, le cui modalità di verifica sono state espressamente normate prima dal DPCM 17 giugno 2021 ed ora dal 14 ottobre 2021, a cui i Titolari del trattamento, tenuti alla verifica della certificazione verde, sono obbligati ad attenersi.
Da quanto brevemente riportato, da un lato, emerge chiaramente l’esigenza di calibrare le attività di verifica attraverso l’adozione di misure di sicurezza idonee a garantire la tutela della riservatezza dell’interessato, dall’altro, è altrettanto chiaro che tali prescrizioni, a far data dallo scorso 15 ottobre 2021, contribuiscono ad aumentare il già cospicuo carico di adempimenti a cui le imprese italiane sono obbligate ad ottemperare per potersi definire “compliant” alle vigenti normative.
Dunque, con questo breve contributo si cercherà di fare chiarezza sulle disposizioni in materia, sino a prendere in considerazione il recente parere del Garante Privacy del 12 ottobre 2021 con cui è stato dato il via libera alle nuove modalità di verifica del Green Pass.
Osserviamo che in base al previgente DPCM del 17 giugno, la verifica del Green Pass poteva avvenire esclusivamente tramite l’utilizzo dell’applicazione ministeriale Verifica C19, così come stabilito all’art. 13. Tale applicazione consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione, di fatto, limitando il trattamento dei dati personali a quelli strettamente necessari ad assolvere alle finalità previste dalla normativa emergenziale, nel rispetto del GDPR.
Inoltre, il Ministero dell’Interno, con la circolare interpretativa del 10 agosto 2021, ha provveduto a chiarire la non obbligatorietà dell’esibizione del documento di identità per verificare la rispondenza dei dati personali riportati in certificazione all’intestatario della stessa. Questa attività è infatti rimessa agli incaricati alla verifica del Green Pass, i quali certamente ne sono tenuti allorquando vi sia discrepanza evidente tra la fisionomia del possessore del certificato ed i dati anagrafici contenuti nella certificazione. Né l’avventore può legittimamente opporsi all’ostensione del documento tutte le volte in cui a richiederglielo sia un rappresentante delle categorie menzionate all’art. 13 del DPCM del 17 giugno 2021. Sul punto, è bene ricordare che l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma. L’unico soggetto deputato alla conservazione di tali dati è il Ministro della Salute in qualità di titolare del trattamento.
Ad oggi, con il DPCM del 14 ottobre 2021 e il parere positivo espresso dal Garante Privacy è stato reso più agevole il controllo del Green Pass per le aziende, permettendo il ricorso anche a software da integrare nei sistemi di controllo degli accessi, sviluppati sulla base dei pacchetti di sviluppo (SDK) rilasciati dal Ministero della Salute con licenza open source. Questa nuova metodologia ammessa, insieme ad altre, come la funzionalità resa disponibile dal sito dell’INPS per verifiche effettuate anche in modalità massiva (per gruppi di codici fiscali) in aziende con più di 50 dipendenti, consentono ai datori di lavoro di controllare il Green Pass dei dipendenti, senza passare dall’applicazione Verifica C19.
Il Garante ha opportunamente precisato che, anche in questo caso, l’attività di verifica non dovrà comportare la raccolta di dati dell’interessato in qualunque forma (compreso la stesura di brogliacci cartacei ad uso temporaneo), ad eccezione di quelli strettamente necessari, in ambito lavorativo, all’applicazione delle misure derivanti dal mancato possesso della certificazione. Il sistema utilizzato per la verifica del Green Pass non dovrà conservare il QR code delle certificazioni verdi sottoposte a verifica, né estrarre, consultare registrare o comunque trattare per altre finalità le informazioni rilevate.
Infine, i dipendenti dovranno essere opportunamente informati dal proprio datore di lavoro sul trattamento dei dati attraverso una specifica informativa (art. 13 GDPR) , al fine di garantire il rispetto del principio di trasparenza (art. 5 GDPR). Tale informativa dovrà avere la più ampia diffusione possibile, dovrà essere esposta nei pressi del luogo ove viene effettuata la rilevazione per consentire agli interessati di poterla consultare, oltre che sul sito internet, ove presente.
In conclusione, se appare chiara l’estrema mutevolezza della normativa di settore, sicuramente collegata all’andamento della pandemia e dalle prassi aziendali che si andranno a consolidare nei prossimi mesi, altrettanto chiaro, ad oggi, è che l’adozione di un software integrato di controllo degli accessi e del Green Pass da solo non basta a garantire la compliance aziendale in materia di privacy!
Per questo motivo, l’imprenditore avveduto e lungimirante reputerà certamente vantaggioso affidarsi a società esperte che, oltre a curare l’aspetto informatico collegato allo sviluppo e all’installazione del nuovo software aziendale, sono in grado di fornire un’attività di consulenza in ambito privacy, per la predisposizione delle informative per i dipendenti, garantendosi così una snella ed effettiva regolarità del proprio business rispetto alle più recenti disposizioni di legge.