Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
4
 minuti di lettura
8/7/2021

Green Pass e Privacy dei Dati Personali

Quali dati personali contiene il Green Pass, il passaporto sanitario europeo? E come vengono tutelati?

green pass
sfondo sito sicurezza-privacy

Con la firma apposta dal presidente Mario Draghi su specifico DPCM del 19.04.2021, viene ufficialmente disciplinata la Piattaforma nazionale Digital Green Certificate, ossia il cosiddetto Green Pass.

Il decreto definisce le modalità di rilascio delle Certificazioni verdi digitali inerenti alla tematica Covid che dovranno regolamentare la partecipazione ad eventi pubblici, l'accesso alle strutture sanitarie assistenziali nonché gli spostamenti sul territorio nazionale.

Il DPCM stabilisce che “certificazioni verdi Covid-19, rilasciate in conformità al diritto vigente negli Stati membri dell’Unione europea, sono riconosciute come equivalenti a quelle rilasciate in ambito nazionale, se conformi ai criteri definiti con circolare del ministero della Salute”; in questo modo vengono quindi stabilite le condizioni del Regolamento Europeo sul “Green Pass”, che a partire dal 1° luglio 2021 è operativo in tutti i Paesi dell'Unione.

Prima di proseguire, è bene chiarire che il Green Pass o Certificato Verde è un passaporto sanitario che fa riferimento al SARS-CoV-2 (Covid-19), costituito da un documento sanitario che conterrà una serie di informazioni mediante le quali una persona sarà in grado di dimostrare di:

  • Essere stato vaccinato contro il Covid-19;
  • Aver ottenuto un risultato negativo dopo il test;
  • Essere completamente guariti dopo il contagio dal SARS-CoV-2.

Ciascuna di queste tre opzioni permette di spostarsi senza limitazioni in tutti i Paesi dell’Unione Europea, anche per finalità turistiche. La sussistenza quindi di almeno una delle tre condizioni elencate è presupposto essenziale affinché possa essere rilasciato il green pass.

Ma quali dati personali saranno contenuti nei Certificato Verde?

Tutti i certificati rilasciati dalla Piattaforma nazionale riporteranno i seguenti dati:

cognome e nome; data di nascita; malattia o agente bersaglio: Covid; struttura che ha rilasciato il certificato e identificativo univoco del certificato.

Poi in base alla casistica si aggiungeranno altri dati:

  • Con riferimento alla certificazione di avvenuta vaccinazione, essa dovrà riportare la tipologia di vaccino somministrato; denominazione del vaccino; produttore o titolare dell’autorizzazione all’immissione in commercio del vaccino; numero della dose iniettata e numero totale di dosi previste per l’intestatario del certificato; data dell’ultima somministrazione effettuata e Stato membro Europeo in cui è stato effettuato il vaccino.
  •  Il Green Pass potrà essere rilasciato a seguito di test antigenico rapido o molecolare con esito negativo e che dovrà riportare le seguenti informazioni: tipologia del test effettuato; denominazione e produttore del test; data e ora del prelievo del campione; data, orario e risultato del test; Stato membro Europeo in cui è stato effettuato il test.
  • Nel caso invece della certificazione di avvenuta guarigione dal Covid-19, essa dovrà riportare le seguenti informazioni: data del primo test molecolare positivo; Stato membro dove è stato effettuato il primo test molecolare positivo; data di emissione del certificato verde Covid-19 e data di scadenza del certificato verde.

Il Green Pass contiene un QR Code che ne verifica autenticità e validità, a tutela dei dati personali andrà mostrato soltanto al personale preposto per legge ai controlli; in ogni caso è prevista anche la possibilità di ottenere la certificazione cartacea richiedendola al proprio medico di base, al pediatra o in farmacia, mediante l’utilizzo della tessera sanitaria.

Sull’argomento è già intervenuto più volte il Garante per la protezione dei dati personali, il quale in prima battuta aveva segnalato alla società PagoPA, incaricata dello sviluppo e della gestione dell’App IO sulla quale è prevista l’implementazione del Green pass, la necessità di apportare modifiche tecniche volte alla protezione dei dati personali contenuti nella stessa.

Recentemente, dopo che sono state introdotte le misure per risolvere le criticità rilevate, il Garante ha espresso parere favorevole in relazione ai nuovi standard di privacy che l’app riesce a fornire agli utenti. Essi, infatti, saranno informati sulla nuova funzionalità al primo accesso e avranno la possibilità di disattivarla.

Al fine di assicurare maggiori tutele ai dati personali degli oltre 11 milioni di utenti che già utilizzano l’applicazione, il Garante ha ulteriormente richiesto alla società che le informazioni relative all’utilizzo del servizio green pass, trasmessi a Mixpanel, vengano conservati dalla stessa per un periodo di tempo limitato, ovvero non superiore a dieci giorni dalla raccolta, e successivamente eliminati senza ritardi.

PagoPA dovrà comunque, come già era stato stabilito nel precedente provvedimento del 16 giugno, richiedere il consenso degli utenti dell’app al trasferimento dei propri dati personali a Mixpanel.

Il DPCM 17 giugno 2021, oltre a regolamentare il lato informatico di gestione del green pass sulle piattaforme, introduce anche delle prescrizioni per le aziende che poi saranno coinvolte nel controllo di queste carte verdi.

Imprese ed Enti Pubblici, infatti, devono rispettare alcuni adempimenti a tutela della privacy. Le imprese in particolare dovranno attenersi alle seguenti disposizioni:

  • Nominare gli addetti alla verifica del green pass mediante apposito atto di nomina. Il DPCM prevede infatti che i soggetti a cui sono affidate le operazioni di verifica debbano essere incaricati con atto formale (ciò implica che l’atto di nomina sia scritto al fine di poter essere esibito in caso di controllo; non può quindi ritenersi sufficiente un semplice atto di incarico generale, né il normale contratto di lavoro, né il ruolo di persona autorizzata al trattamento dei dati);
  • Predisporre specifiche istruzioni operative circa la modalità di verifica da fornire agli incaricati dell’esecuzione dei controlli. Non basta infatti la semplice designazione dell’incaricato, l’atto di nomina deve contenere specifiche istruzioni su come dovrà essere svolta l'attività di verifica. Prima di tutto dovrà essere chiarito che l'attività di verifica dei green pass non comporta alcuna raccolta dei dati dell'intestatario in nessuna modalità. La persona incaricata al controllo non potrà assolutamente fare fotocopie del pass o dei documenti di identità, né tantomeno salvare file su eventuali supporti elettronici. Il personale preposto potrà invece richiedere un documento identificativo dell’interessato per accertarne l’identità in relazione al green pass esibito.
  • Controllare che tali istruzioni operative siano effettivamente rispettate dagli incaricati;
  • Gestione di eventuali situazioni conflittuali con gli interessati. Al fine di non trovarsi impreparate, le organizzazioni che porranno in essere le verifiche dovranno prevedere una serie di regole per la gestione di eventuali situazioni critiche. Ad esempio, il caso in cui l’interessato non voglia esibire un documento identificativo o contesti l’esito di verifica sul green pass, come anche il tentativo di accesso da parte di soggetti sprovvisti di green pass;
  • Redigere un’apposita informativa in relazione al trattamento di verifica dei green pass;
  • Aggiornare il registro dei trattamenti.

Le organizzazioni che materialmente dovranno eseguire i controlli di verifica del green pass potranno farlo scaricando l’app gratuita “VerificaC19” dal sito: www.dgc.gov.it. Sul sito sono fornite le informazioni essenziali circa l’utilizzo e viene chiarito come, per la verifica sulla carta verde, non sia necessaria una connessione ad internet e non occorra memorizzare sul dispositivo del controllore informazioni personali del soggetto controllato.

La scansione del QR Code eseguita mediante l’app governativa da parte dei soggetti preposti ai controlli consente di verificare solo se tale green pass è valido o meno ma senza dare accesso a tutte le informazioni in esso contenute.

Così come non deve essere conservato o copiato da parte dei soggetti preposti ai controlli, il QR Code relativo al green pass non deve neppure essere pubblicato sui social o condiviso su piattaforme di messaggistica. Quel piccolo quadratino, infatti, contiene molti dati personali dell’interessato compresi quelli sanitari.

Il green pass è costituito da un QR Code che può essere facilmente scansionato attraverso smartphone e con qualsiasi altro dispositivo. Per farlo basta scaricare una delle tante applicazioni gratuite dagli store, inquadrare il codice con la fotocamera e in un attimo si potrà accedere a tutte le informazioni sanitarie in esso contenute. Informazioni che di fatto sono molto riservate e che di certo non vanno sbandierate ai quattro venti: la nostra identità, se e quando ci siamo vaccinati, quale vaccino abbiamo fatto e quante dosi, se abbiamo avuto o no il Covid19, se abbiamo fatto un eventuale tampone e l’esito dello stesso.

Vuoi ricevere più dettagli sui nostri argomenti? Iscriviti ora!

Riceverai tanti informazioni utili per la sicurezza dei dati della tua impresa.

Grazie per esserti iscritto alla nostra newsletter.
Oops! Something went wrong.