Green Pass e impatto aziendale

L’entrata in vigore della Certificazione verde Covid-19 EU Digital Covid Certificate, comunemente noto come “Green Pass”, ha sollevato in alcuni qualche quesito circa la sua conformità con la normativa in materia di protezione dei dati personali.

di Michela Maggi

Il Green Pass, nel suo formato cartaceo o elettronico, conserva una serie di dati personali quali il nome e la data di nascita del soggetto cui si riferisce, nonché alcune informazioni sullo stato di salute, come il completamento del ciclo vaccinale relativo al Covid-19, la negatività al tampone delle ultime 48 ore oppure l’avvenuta guarigione dal Covid-19 negli ultimi sei mesi. Oltre a questi dati sensibili e particolari, il QR code utilizzato per la lettura della Certificazione è associato ad un codice unico identificativo che, essendo riferibile ad una persona determinata, è sicuramente da annoverare tra i dati personali secondo la definizione di dato personale rinvenibile nel GDPR.

Uno dei principali punti di criticità sollevati in fase di attuazione ed entrata in vigore dell’obbligo di esibizione del Green Pass concerne il fatto che il controllo dello stesso è quasi interamente demandato a privati e non a pubbliche autorità, nei casi in cui è necessario esibirlo o altro.

Sin dalla prima fase di entrata in vigore del Green Pass avvenuta il 6 agosto 2021, quest’ultimo è necessario per accedere ad una serie di luoghi al chiuso quali ad esempio piscine, palestre, ristoranti al chiuso e sale bingo. In tali occasioni, pertanto, sarebbe lo stesso esercente (o personale all’uopo incaricato) a controllare lo status del cittadino mediante la scansione del QR code tramite l’applicazione di verifica nazionale VerificaC19, messa a punto dal Governo e unica applicazione ufficialmente abilitata alla lettura del Green Pass.

Il verificatore vedrà comparire sul proprio dispositivo un segno di spunta verde (o rosso in caso di mancata validità o scadenza del Certificato), nonché nome, cognome e data di nascita del soggetto utilizzatore.

Queste operazioni hanno nuovamente portato l’attenzione sul delicato bilanciamento tra la tutela della riservatezza dei dati personali e la necessità del loro utilizzo. In questo caso, inoltre, trattasi di un dato relativo alla salute di una persona e, pertanto, il trattamento necessità di ulteriori cautele.

Per questo motivo, non appena diffuse le modalità operative di funzionamento del Green Pass, si sono attese determinazioni sul punto da parte del Garante della Protezione dei Dati Personali.

Dall’inizio dell’emergenza sanitaria per la pandemia da Covid-19, infatti, il Garante è intervenuto in più di una occasione per cercare di delineare i confini tra il corretto uso e l’illegittimo abuso dei dati personali relativi alla salute dei cittadini. Basti pensare, ad esempio, ai provvedimenti correttivi circa il tracciamento dei contatti delle persone contagiate da parte delle autorità sanitarie (Provvedimento n. 79 del 29 aprile 2020) oppure agli interventi relativi l’applicazione Immuni (Provvedimento di autorizzazione n. 95 del 1 giugno 2020 e Valutazione d’impatto del 3 giugno 2020).

Per quanto riguarda specificamente il Green Pass, gli aspetti rilevanti sui quali è intervenuto il Garante riguardano sia l’ottenimento di questa certificazione che il suo utilizzo.

In risposta ad alcune domande di autorizzazione, il Garante ha chiarito che, fintantoché il trattamento sia limitato alla presa visione del Green Pass e al controllo della identità dell’utilizzatore, senza la registrazione o conservazione di questi dati, il trattamento è considerato del tutto legittimo. Tutte le operazioni devono necessariamente essere effettuate da soggetti incaricati di questo specifico trattamento, come chiarito dal Garante in una risposta del 10 agosto a un quesito sull’identificazione degli intestatari del Green Pass avanzata dalla Regione Piemonte.

Per quanto riguarda la fase dell’ottenimento della certificazione, la maggior parte delle persone riceve il Green Pass mediante l’applicazione App IO che, per il suo funzionamento, utilizza servizi forniti anche da terze parti private (nello specifico Google e Mixpanel) nella ricezione e nella archiviazione sul proprio smartphone. L’archiviazione automatica della certificazione, senza una procedura di opt-in da parte dell’utente, è stata criticata da parte del Garante che ha richiesto che nelle successive versioni dell’applicativo vi fosse la possibilità per il cittadino di decidere se archiviare o meno il Green Pass sul dispositivo, senza generarlo ad ogni utilizzo (vedi Provvedimenti del 16 e del 17 giugno 2021), ma anche questo aspetto è stato superato positivamente.

Nella fase di utilizzo le problematiche sono ancora più varie.

Gli organi di stampa hanno riportato il fatto che numerose palestre e centri sportivi hanno cominciato a richiedere ai propri iscritti l’invio o la consegna del Green Pass al fine di registrarne la data di scadenza. L’ovvio intento sotteso a tale operazione è, teoricamente, quello di evitare di dover controllare la certificazione ad ogni accesso presso il centro.

All’atto pratico, però, ciò potrebbe consentire il controllo sullo stato vaccinale della persona, oppure sulla circostanza che lo stesso sia stato o meno contagiato dal Covid-19, poiché la data di scadenza del Green Pass, infatti, è facilmente associabile ad una di queste circostanze.

Alcuni centri richiedono poi l’invio del Green Pass quale condizione necessaria per l’iscrizione, al pari della certificazione medica di sana e robusta costituzione.

Orbene: mentre la esibizione del Green Pass è condizione necessaria e sostenibile per l’accesso ai luoghi di cui sopra, la conservazione di alcuni dei dati in esso contenuti non sembra essere necessaria rispetto al trattamento effettuato.

Il trattamento dei dati relativi al Green Pass, infatti, prevede infatti che lo stesso debba essere semplicemente esibito all’ingresso e debba essere letto dagli incaricati esclusivamente attraverso l’apposita app che consente al verificatore di accedere solo a un’informazione binaria: il titolare del documento ha o non ha un Green Pass valido senza alcun riferimento né alla condizione di rilascio – vaccino, guarigione dal Covid19 o tampone – né alla data di scadenza del documento medesimo (Intervento di uno dei membri del Collegio dei Garanti, Componente del Garante per la protezione dei dati personali, 3 settembre 2021).

La conservazione della data di scadenza del Green Pass pone inoltre la problematica circa l’attualità e la correttezza di tale dato. La certificazione, infatti, ha un contenuto dinamico, attestante una condizione cristallizzata al momento dell’utilizzo. Immaginiamo, ad esempio, un certificato vaccinale valido fino a una certa data, il cui utilizzatore in un momento precedente alla scadenza venga contagiato dal Covid-19, facendo perdere di validità al suo Green Pass. Il centro sportivo, non controllando la validità ad ogni accesso e basandosi unicamente sulla data di scadenza registrata, farebbe accedere una persona in realtà sprovvista della certificazione.

Peraltro, la stessa scadenza della certificazione è un elemento soggetto a modifica, poiché il dibattito circa la durata della validità del ciclo vaccinale non è ancora concluso.

Un altro settore ove si sono sollevate criticità riguarda la verifica della certificazione sui luoghi di lavoro. Allo stato attuale, in assenza di un vero e proprio obbligo vaccinale, limitare ai possessori del Green Pass l’accesso nei luoghi di lavoro può porre il datore di lavoro in una condizione di incertezza su come operare all’interno degli obblighi costituzionali e normativi. Si pensi, ad esempio, al settore scolastico ove è richiesta l’esibizione del Green Pass per tutto il personale docente, salvo i casi di esenzione previsti dalla normativa.

Anche in questo caso il dato dovrà essere trattato secondo i fondamentali principi di finalità e minimizzazione, essendo particolarmente delicato il trattamento dei dati del lavoratore da parte del datore di lavoro. In particolare, sarà necessario individuare del personale specifico autorizzato al controllo della certificazione, non dovrà esserci nessuna conservazione del dato e, ovviamente, nessuna divulgazione dello status relativo alla condizione vaccinale dei lavoratori (si veda il parere favorevole reso dal Garante con Provvedimento n. 306 del 31 agosto 2021). Si sottolinea, inoltre, che poiché il trattamento dei dati dei lavoratori non può essere basato sul consenso degli stessi, sarebbe inutile ogni tentativo dei datori di lavori di fondare su tale base giuridica un trattamento ulteriore quale ad esempio quello della presentazione di un certificato di avvenuta vaccinazione.

La situazione epidemiologica ed il quadro normativo di riferimento sono sempre fluidi e, pertanto, non è da escludere che la situazione possa mutare più volte, anche in un lasso di tempo ristretto. È necessario, pertanto, estrema attenzione da parte di coloro che operano nelle categorie.