Green pass: come funziona e cosa c’entra la privacy?

Condividi

Con il ridimensionamento dell’emergenza Covid-19 e l’inizio delle riaperture, l’Europa ha istituito il passaporto vaccinale per consentire ad alcune condizioni di muoversi liberamente nell’area Schengen. Anche in Italia si inizia a parlare di Green pass nazionale e, come ormai di consueto, il tema della pandemia si intreccia con quello del bilanciamento del diritto alla protezione dei dati personali trattati nel contesto epidemiologico.

Ma procediamo con ordine.

 

  • Cos’è il Green pass, come si ottiene, in quali circostanze, quanto dura e chi può chiedercelo?

Il regolamento che istituisce il green digital pass europeo ha dato il via libera a una vera e propria legge destinata a entrare in vigore senza recepimenti a livello dei singoli Stati membri a partire dal primo luglio. In attesa, in Italia, il 17 giugno, il presidente Draghi ha firmato il decreto che istituisce il Green pass nazionale, che ci consente di frequentare eventi pubblici o cerimonie, di accedere a strutture sanitarie assistenziali (RSA) e di spostarci sul territorio nazionale tra regioni di “colori” differenti. L’ottenimento del Green pass nazionale equivarrà all’ottenimento del certificato verde digitale europeo.

Oltre all’aver ottenuto la somministrazione del vaccino, la cui validità dipende dalla tipologia di vaccino ricevuto (1 anno per AstraZeneca, 9 mesi per gli altri), viene considerato a tutti gli effetti un passaporto vaccinale anche il certificato di avvenuta guarigione rilasciato dalla Asl, che ha una validità di sei mesi, e l’esito di un tampone molecolare, che ha invece la validità di 48 ore.

Dal 17 giugno è operativo il sito dgc.gov.it dove, entro il 28 giugno, saranno disponibili tutte le certificazioni associate alle vaccinazioni effettuate, con la piattaforma informatica nazionale dedicata al rilascio delle certificazioni che sarà progressivamente allineata con le nuove vaccinazioni.

Il pass può essere ottenuto in autonomia attraverso il sito dcg.gov.it utilizzando l’identità digitale SPID, oppure la tessera sanitaria o il documento di identità che, in combinazione con il codice ricevuto via mail o SMS da tutti coloro a cui è stata già somministrata la seconda dose, ci consente di generare un QRcode, ossia il nostro Green pass, da esibire in versione cartacea o digitale.

Il Green pass può essere scaricato anche tramite App Immuni o App IO (che, su sollecito del Garante, ha di recente risolto alcune criticità iniziali legate alle misure di sicurezza implementate in particolare per il trasferimento dei dati extra UE e agli obblighi di informativa e consenso).

In alternativa ci si può affidare al medico di famiglia o ad un farmacista che forniranno la certificazione tramite l’impiego del fascicolo sanitario elettronico.

Ma chi ci può chiedere il green pass? Il Garante ha scongiurato le iniziative “fai da te”, richiedendo che vengano individuati esattamente i soggetti abilitati a richiederlo – oltre ovviamente agli organismi di autorità giudiziaria – come spiegheremo meglio nei prossimi paragrafi.

 

  • Le Osservazioni del Garante al Decreto Riaperture

L’Autorità ha avvertito il Governo sulle criticità della precedente versione del Decreto Riaperture, ricordando la necessità di individuare con chiarezza, in sede di conversione in legge del decreto, i casi in cui può essere richiesto all’interessato di esibire la certificazione verde per accedere a luoghi o locali.

Ciò proprio in quanto l’indeterminatezza delle circostanze in cui è richiesta l’esibizione del green pass può favorirne l’adozione per scopi ulteriori ed eccedenti.

Inoltre deve essere garantito che i soggetti verificatori possano conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione (guarigione, vaccinazione, esito negativo del tampone) e che, sempre tali soggetti, siano chiaramente individuati e istruiti.

Quanto alle modalità con le quali ottenere il green pass, in particolare, in merito all’utilizzo delle app, il Garante ha autorizzato l’uso dell’App Immuni, ma ha rinviato in un primo momento l’impiego dell’App IO a causa delle criticità riscontrate in merito alla stessa e ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che  comportano quindi un trasferimento verso Paesi terzi di dati particolarmente delicati, effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso. Tali criticità sembrano essere state risolte per questo di recente il Garante ha dato il via libera all’utilizzo anche di questa seconda app.

 

 

  • Indicazioni alle aziende

Il dpcm del 17 giugno regolamenta la piattaforma da utilizzare e fornisce indicazioni alle autorità pubbliche coinvolte, nonché alle imprese titolari a controllare i green pass, anche seguendo le raccomandazioni e suggerimenti del Garante.

Le imprese, in particolare, devono: 1) designare nominativamente gli addetti alla verifica dei green pass; 2) predisporre istruzioni specifiche da impartire agli addetti alla verifica e controllarne il rispetto; 3) gestire eventuali situazioni di conflitto con gli interessati; 4) coinvolgere il DPO, al fine di consentirgli un’adeguata attività di consulenza e controllo; 5) fornire agli interessati un’informativa aziendale e verificare se occorre aggiornare il registro dei trattamenti.

Le imprese coinvolte e titolate alla verifica del possesso della certificazione sono state tassativamente individuate e si tratta di: 1) titolari delle strutture ricettive e dei pubblici esercizi; 2) proprietari o legittimi detentori di luoghi o locali presso i quali si svolgono eventi e attività a partecipazione riservata; 3) vettori aerei, marittimi e terrestri; 4) gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali.

Nell’organizzazione di impresa, i responsabili possono delegare l’attività di controllo dei pass e, proprio perché si parla di “delega”, i soggetti delegati alle operazioni di controllo devono essere incaricati con un atto formale, da conservare per l’esibizione in caso di ispezioni delle pubbliche autorità. Deve trattarsi di un atto riportante in maniera precisa l’oggetto della delega e non può trattarsi di un atto di incarico generale, né il mero contratto di lavoro o la designazione di autorizzato al trattamento ai sensi dell’articolo 2-quaterdecies del decreto 101/2018 possono ritenersi sufficienti.

L’atto di delega deve essere corredato dalle necessarie istruzioni sull’esercizio dell’attività di verifica e, in particolare, deve essere chiarito che l’attività di verifica non comporta, in alcun caso, la raccolta dei dati dell’interessato: non si possono fotocopiare pass o documenti di identità, né salvare file su supporti elettronici, ma l’oggetto dell’attività di verifica è solo ed esclusivamente il controllo dell’autenticità e validità della certificazione, conoscendo esclusivamente le generalità dell’intestatario (i delegati sono autorizzati a chiedere il documento di identità), senza raccogliere o conservare alcuna informazione.

 

  • Indicazioni ai cittadini

In ultimo e non meno importante, è stato lanciato, anche dallo stesso Garante, l’alert sui QRcode fake. Per non incappare in tentativi di phishing è necessario prestare molta attenzione e ricordare che: 1) il QRcode arriva solo via mail o SMS (no WhatsApp) che hanno come mittente il Ministero della Salute, pertanto è sempre necessario verificare il mittente; 2) il sito ufficiale è dgc.gov.it e le app ufficiali sono Immuni e IO; 3) le mail malevole presentano errori di sintassi e ortografia; 4) non cliccate su link presenti in mail e messaggi di provenienza dubbia e, se proprio volete verificare l’affidabilità della mail/messaggio, copiate il codice e incollatelo sul browser.

 

Rosanna Celella

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *