Lo scorso 23 luglio è stato emanato il Decreto-Legge n. 105/2021 (Misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali ed economiche): a partire dal prossimo 6 agosto per poter accedere ad una molteplicità di attività e servizi come musei, piscine, centri termali, palestre e ristoranti (se la consumazione avverrà al tavolo dentro al locale) sarà necessario munirsi del c.d. “Green Pass”. Quali sono gli impatti privacy di questo nuovo provvedimento? Come dovranno adeguarsi le attività economiche coinvolte? Cerchiamo di fare chiarezza sua quale sia la disciplina applicabile, e quali siano gli adempimenti necessari in tema di data protection.
Privacy e Green Pass: il quadro normativo di riferimento
Partiamo dal principio: non si tratta di un fulmine a ciel sereno. L’idea di facilitare la libera circolazione delle persone all’interno dell’Unione Europea, nonostante le restrizioni imposte dall’attuale emergenza sanitaria, era in agenda da mesi. Già lo scorso marzo il Vicepresidente della Commissione, Margaritis Schinas, dichiarava alla stampa: “Il 17 marzo la commissione europea presenterà un pacchetto “con il Pass Verde Covid” che si concentrerà sui viaggi e la revoca delle restrizioni, per una riapertura comune sicura […]”.
Così è stato: il 17 marzo è stata presentata la proposta di un Regolamento UE per “il rilascio, la verifica e l’accettazione di certificati interoperabili relativi alla vaccinazione, ai test e alla guarigione per i cittadini di paesi terzi regolarmente soggiornanti o regolarmente residenti nel territorio degli Stati membri durante la pandemia di COVID-19 (certificato verde digitale)” divenuta poi il Regolamento UE n. 2021/953 del 14 giugno 2021.
Come anticipato, il fine del Regolamento è evitare che gli Stati membri con propri provvedimenti nazionali possano “[…] causare perturbazioni significative dell’esercizio del diritto di libera circolazione e ostacolare il corretto funzionamento del mercato interno, compreso il settore del turismo […]”.
Green Pass – certificazioni verdi COVID-19
Sulla scorta di quanto avveniva nel contesto europeo, in Italia con il Decreto-Legge n. 52/2021 (Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19) del 22 aprile scorso, sono state introdotte le “certificazioni verdi COVID-19: le certificazioni comprovanti lo stato di avvenuta vaccinazione contro il SARS-CoV-2 o guarigione dall’infezione da SARS-CoV-2, ovvero l’effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus SARS-CoV-2”.
La norma chiarisce nel proprio Allegato 1 quali sono i dati personali oggetto delle attività di trattamento:
- Con riferimento alla certificazione verde Covid-19 di avvenuta vaccinazione: nome, cognome, data di nascita, malattia o agente bersaglio, tipo di vaccino, prodotto medico vaccinale, produttore o titolare dell’autorizzazione, numero della dose effettuate e numero totale di dosi previste, data dell’ultima somministrazione effettuata, stato membro di vaccinazione, struttura che detiene il certificato, identificativo univoco del certificato;
- Con riferimento alla certificazione verde Covid-19 di guarigione: nome, cognome, data di nascita, malattia o agente bersaglio, data del primo test positivo, Stato membro in cui è stata certificata l’avvenuta guarigione, struttura che ha rilasciato il certificato, validità del certificato, identificativo univoco del certificato;
- Con riferimento alla Certificazione verde Covid-19 di test antigenico: nome, cognome, data di nascita, malattia o agente bersaglio, tipologia di test effettuato, nome del test, produttore del test, data e orario della raccolta del campione del test, risultato del test, centro o struttura in cui è stato effettuato il test, stato membro in cui è stato effettuato il test, struttura che detiene il certificato, identificativo univoco del certificato.
Il ruolo della Piattaforma nazionale digital green certificate
I certificati sono emessi, e verificati, tramite la Piattaforma nazionale digital green certificate (Piattaforma nazionale-DGC) la cui regolamentazione è stata prevista dal Decreto del Presidente del Consiglio dei Ministri 17 Giugno 2021. Nel dettaglio, la norma si occupa di regolamentare le caratteristiche e le modalità di funzionamento della piattaforma, indicando i tempi di archiviazione dei dati personali raccolti. I dati sono trattati per tutta la durata temporale del certificato: 48 ore, 6 mesi, 9 mesi.
Nel provvedimento vengono poi definiti i ruoli in materia di protezione dei dati personali: la titolarità dei dati è stata attribuita in capo al Ministero della Salute che si avvarrà poi di Sogei S.p.a. (incaricata della gestione dell’infrastruttura informatica) e del Ministero dell’economia e delle finanze come Responsabili del trattamento. L’art. 13 del Decreto precisa, inoltre, che le attività di verifica del certificato verde Covid-19 saranno effettuate attraverso l’applicazione “App VerificaC19”, disciplinando nel dettaglio quali siano le attività di trattamento legittime in sede di controllo.
Il recente Decreto-Legge n. 105/2021 ha poi imposto per l’accesso a varie tipologie di servizi, tra cui quelli di ristorazione in luoghi chiusi, il possesso del certificato verde, imponendo ai titolari degli esercizi coinvolti le correlate attività di verifica.
Precisiamo che i controlli previsti dal decreto non trovano applicazione ai soggetti esclusi per motivi di età dalla campagna vaccinale (ad oggi i ragazzi di età inferiore ai 12 anni) ed alle persone esenti sulla base di un’idonea certificazione medica. È tuttora in fase di emanazione la circolare del Ministero della salute che disciplini i criteri per l’ottenimento dell’esenzione.
Nelle more della completa implementazione delle modalità di verifica digitali del certificato avranno valenza equivalente i documenti rilasciati in formato cartaceo.
Il Decreto ha, infine, prolungato lo stato di emergenza sanitaria sino al 31 dicembre 2021 modificando, in aggiunta, i parametri utilizzati per la determinazione delle c.d. “zone”.
La disciplina applicabile e gli avvertimenti del Garante
Le informazioni contenute nella piattaforma sono dati particolari (cd. “dati sensibili”) e come tali possono essere tratti solo a determinate condizioni. L’art. 9 GDPR prescrive, infatti, delle regole stringenti per le attività di trattamento che coinvolgano questa tipologia di informazioni.
I dati sanitari possono essere trattati solo alla presenza di un’idonea base giuridica che legittimi l’attività di trattamento. Il Legislatore europeo ha previsto, nell’articolo in esame, un lungo elenco di fattispecie idonee a garantire la liceità del trattamento. È stata prevista espressamente, alla lettera g), la base giuridica dell’interesse pubblico che può trovare applicazione a quanto implementato con la Piattaforma nazionale-DGC.
Il paragrafo 4 permette, inoltre, agli Stati membri di “[…] mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
Le norme italiane che disciplinano il c.d. “Green Pass” hanno quindi introdotto la possibilità di acquisire questa tipologia di dati personali sulla scorta di quanto espressamente previsto dal GDPR.
L’Autorità italiana in materia di protezione dei dati personali si è espressa più volte sul tema in questi mesi.
Con riferimento al Decreto-Legge n. 52/2021 il Garante avvertiva le parti coinvolte che il provvedimento non costituiva: “[…] una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale, in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2, e 9) e dal Codice in materia di protezione dei dati personali (artt. 2-ter e 2-sexies)”. Aggiungendo la necessità di individuare in modo specifico le finalità perseguite, in modo tale che l’obiettivo di interesse pubblico fosse proporzionato rispetto agli scopi perseguiti con l’introduzione della certificazione. Inoltre, si richiedeva la chiara definizione dei ruoli privacy dei vari Enti pubblici coinvolti, nonché la limitazione delle attività di trattamento connesse alla verifica del possesso del documento.
La mancata individuazione specifica delle finalità perseguite era causata dalla mancata indicazione precisa, da parte della norma, dei casi di utilizzo e non utilizzo del documento come condizione essenziale per l’accesso a luoghi o servizi, o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici. Analogamente, la mancata indicazione delle finalità non permetteva in nessun modo di valutare l’interessa pubblico sottostante all’introduzione del certificato.
L’ammonimento veniva recepito solo parzialmente con il Decreto-Legge n. 77/2021 che nell’ambito di svariate misure di governance del PNRR (Piano Nazionale di Ripresa e Resilienza) attribuiva la titolarità dei dati raccolti tramite la piattaforma al Ministero della salute e designava quale responsabile del trattamento Sogei S.p.a.
Successivamente con provvedimento n. 229, del 9 giugno 2021, il Garante si esprimeva in modo favorevole in merito al Decreto di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio, e la verifica del Green Pass.
Nel parere l’Autorità si soffermava punto su punto in merito alle norme di attuazione della piattaforma, compresa la valutazione d’impatto predisposta dal Ministero, ed il sistema informatico correlato. Nel complesso è stata valutata positivamente l’intera procedura predisposta per la verifica ed il controllo del documento, compreso quanto realizzato per consentire l’effettivo esercizio dei diritti degli interessati.
Tuttavia, è stata ribadita la necessità di ulteriori adempimenti per rendere conforme l’impianto normativo così creato alle disposizioni del GDPR.
Nello specifico, si chiedeva nuovamente che in sede di conversione del Decreto-Legge n. 52/2021 (norma che ha introdotto la certificazione verde) fossero definite espressamente le finalità del trattamento, ed i casi di utilizzo del documento.
L’Autorità autorizzava, in ogni caso, l’utilizzo del sistema per la verifica del possesso della certificazione, ribadendo la necessità di contemperamento degli interessi in gioco.
Precisiamo, che sulla scorta di quanto evidenziato dal Garante con il provvedimento n. 156/2021 lo stesso art. 13 del DPCM del 17 giugno 2021 prevede espressamente che le attività di verifica non comportino la raccolta dei dati dei cittadini. L’applicazione VerificaC19 indica, infatti, unicamente l’effettiva validità della certificazione nonché nome, cognome e data di nascita dell’interessato.
Green Pass: come adeguarsi
Consigliamo di attenersi a quanto strettamente necessario per l’adempimento degli obblighi previsti dal Decreto-Legge n. 105/2021. Come ribadito più volte dal Garante durante l’attuale emergenza sanitaria, bisogna evitare iniziative “fai da te” nella raccolta dei dati, rispettando le indicazioni fornite dagli Enti pubblici competenti.
I gestori degli esercizi commerciali coinvolti dovranno limitarsi a controllare il certificato, e permettere ai clienti la fruizione dei propri servizi.
Concretamente sarà necessario autorizzare espressamente i propri dipendenti coinvolti nelle attività di verifica, e fornire agli interessati l’informativa relativa a questa nuova tipologia di controllo. Non dovranno in nessun caso essere acquisti i dati dell’intestatario del certificato. Nell’ottica di minimizzare l’impatto delle attività di verifica, il controllo sull’identità del possessore del documento è solo eventuale.
Ribadiamo che la regola è il principio di minimizzazione delle attività di trattamento (art. 5 GDPR): bisogna acquisire unicamente i dati personali richiesti dalla normativa. Pertanto qualsiasi attività di trattamento ulteriore risulterebbe illecita, anche solo un registro interno parallelo con l’indicazione del nominativo del cliente e la positività, o meno, del controllo effettuato. In quest’ ultima ipotesi, infatti, si avrebbe un elenco non autorizzato di soggetti in possesso dei requisiti imposti dal Decreto-Legge n. 105/2021.
Il Garante ha evidenziato più volte, recentemente, la necessità di evitare iniziative indipendenti, anche da parte degli Enti pubblici.
Con provvedimento n. 244 del 18 giugno 2021 ha imposto alla Provincia autonoma di Bolzano la limitazione definitiva delle attività di trattamento derivanti dall’ordinanza n. 20, del 23 aprile 2021, che estendeva nell’ambito del territorio provinciale l’applicazione del Green Pass per accedere a svariate categorie di locali.
Il provvedimento n. 273, dello scorso 23 luglio, avvertiva, invece, la Regione Sicilia dell’illegittimità della richiesta, rivolta alle strutture sanitarie, di comunicare i nominativi del personale non vaccinato.
Attenzione, quindi, ad evitare interpretazioni estensive degli obblighi imposti dal Decreto e richiedere informazioni aggiuntive ai propri clienti: le sanzioni previste dal GDPR non sono economiche.
Immagine fornita da Shutterstock