I Titolari del trattamento tenuti alla verifica della Certificazione Verde sono obbligati al rispetto delle prescrizioni in materia di protezione dei dati personali. La verifica del QR-code contenuta nel c.d. Green Pass comporta, infatti, un trattamento di dati personali.
Con il DPCM 17 giugno 2021 il Presidente del consiglio dei ministri ha definito le modalità di verifica delle Certificazioni Verdi Covid-19.
La certificazione ha lo scopo di comprovare l’avvenuta vaccinazione contro il SARS-Co V-2, lo stato di avvenuta guarigione dall’infezione, ovvero l’effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus.
La questione circa i soggetti tenuti alla verifica e il complementare obbligo per gli interessati è in fieri: le istituzioni e le parti sociali sono impegnate a valutare l’ampliamento dei soggetti tenuti al controllo.
Ad oggi, i soggetti tenuti al controllo del green pass sono: servizi di ristorazione svolti da qualsiasi esercizio, per il consumo al tavolo, al chiuso; spettacoli aperti al pubblico, eventi e competizioni sportive, musei, altri istituti e luoghi della cultura e mostre, piscine, centri natatori, palestre, sport di squadra, centri di benessere, anche all’interno di strutture ricettive, limitatamente alle attività al chiuso; sagre, fiere, convegni e congressi, centri termali, parchi tematici e di divertimento; centri culturali, centri sociali e ricreativi, limitatamente alle attività al chiuso e con esclusione dei centri educativi per l'infanzia, compresi i centri estivi, e le relative attività di ristorazione, attività di sale gioco, sale scommesse, sale bingo e casinò; concorsi pubblici; strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali.
A far data dal 1° settembre 2021 la suddetta lista è stata oggetto di ampliamento ai sensi del Decreto Legge 6 agosto 2021 n. 111, che emana ulteriori disposizioni urgenti e misure per prevenire il contagio Sars-Co-2 include nell’obbligo il sistema scolastico e i trasporti pubblici.
Come noto la certificazione verde contiene informazioni particolari relative al suo intestatario, da ciò ne discende l’esigenza di calibrare le attività di verifica attraverso l’adozione di misure di sicurezza idonee a garantire la tutela della riservatezza dell’interessato.
Ai sensi dell’art. 13 i soggetti deputati alla verifica del QRCode, indicati nel comma 2 dell’articolo in parola, devono essere incaricati con atto formale recante le necessarie istruzioni sull’esercizio delle attività di verifica. Si tratta della nomina dell’autorizzato o designato al trattamento prevista dal combinato disposto di cui art. 2 quaterdecies del Codice privacy e art. 29 del Reg. Eu 679/2016. La stessa ha lo scopo di istruire nel dettaglio le operazioni da compiere nell’atto di verifica e dimostrare l’accountability del soggetto tenuto al controllo.
La nomina dell’autorizzata si pone, in tale logica, come misura organizzativa di cui all’art. 32 del Regolamento ed implica che il soggetto autorizzato o designato segua nel dettaglio le istruzioni impartite. Tra queste istruzioni rientra sicuramente le modalità di lettura del QRCode che deve essere tale da rispettare la riservatezza dell’interessato, il soggetto verificatore correttamente nominato sarà, quindi, tenuto a proteggere il green pass da soggetti non autorizzati e mantenere il rispetto di riservatezza dello stesso.
Le istruzioni devono poi contenere le modalità di verifica del documento identificativo collegato al possessore del Green Pass. Il comma 4 dell’art. 13 del decreto sancisce, infatti, che a richiesta dei verificatori, l’intestatario della certificazione dimostra la propria identità mediante l’esibizione del documento d’identità.
All’indomani dell’entrata in vigore del DPCM, il Ministero dell’Interno ha emanato un Circolare interpretativa in merito alle verifiche dell’identità.
La Circolare chiarisce che la verifica dell’identità non è un obbligo indefettibile, ma risulterà necessaria solo nei casi di abuso o elusione della norma come nei casi in cui appaia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione.
La nomina di cui agli artt. 2 quaterdecies Codice privacy e 29 Reg. Eu. 679/2016 dovrà, pertanto, contenere le istruzioni chiari e i casi limite in cui verificare l’identità dell’interessato.
Le operazioni di trattamento legate alla verifica del Green pass dovranno, poi, essere contenute nel Registro dei trattamenti ex art. 30 del Reg. Eu. 679/2016. Dovrà essere cura dell’esercente tenuto alla verifica integrare il registro con il trattamento relativo alla verifica del Green Pass.
Una delle prescrizioni essenziali da rispettare è quella che impedisce la conservazione della documentazione Green pass
Resta, infatti, fermo il divieto di conservazione di tali dati che potrebbero comportare il compimento di operazioni legittime di trattamento.
La stessa nota interpretativa del Ministero degli interni circa la verifica dell’identità chiarisce che in alcun caso sarà possibile registrare i dati degli utenti. Sulla questione è intervenuto anche Guido Scorza componente del Collegio del Garante, il quale ha ribadito il divieto di conservazione di copie cartacee del Green Pass in merito alla prassi verificatasi in alcune palestre.
L’unico soggetto deputato alla conservazione è il Ministro della salute in qualità di titolare del trattamento. La conservazione dei dati è determinata dal comma 1 dell’art. 16 del DPCM in parola e coincide con il periodo di validità delle certificazioni medesime.
(Fonte Ipsoa)