Green Pass e privacy: risolte le non conformità, ecco i principali rischi operativi

Annunciato come operativo dal primo luglio in seguito alla firma DPCM 17 giugno 2021, il Green Pass sembra ora potersi poggiare su una solida base normativa che ha risolto tutti i principali rilievi sollevati dal Garante Privacy: ciò grazie all’intervento parlamentare di conversione in legge del d.l. 22 aprile 2021, n. 52 che introduceva i trattamenti di dati effettuati relativamente alla certificazione verde per Covid-19.

Gli scenari di rischio sono, però, tutt’altro che esauriti.

Green pass: cos’è, come farlo, a cosa serve e obblighi

Dall’avvertimento al parere favorevole del Garante

In sede di conversione del d.l. 22 aprile 2021, n. 52, con la L. 21 giugno 2021, n. 87 sono superate le criticità sotto il profilo normativo e dei presupposti, ma la conformità rispetto alla normativa in materia di protezione dei dati personali non può certo dirsi esaurita con un intervento una tantum.

Difatti, il principio di privacy by design richiede la predisposizione di misure tecniche e organizzative atte a garantire in modo continuo l’efficace attuazione dei principi di protezione dei dati personali: dalla fase di progettazione in cui sono determinati i mezzi del trattamento (e dunque, nell’attuale scenario e contesto definito dal DPCM)^[1], e all’atto del trattamento stesso.

Il provvedimento di avvertimento^[2] formulato dall’Autorità Garante per la protezione dei dati personali già in data 23 aprile 2021 aveva evidenziato le non poche violazioni realizzate, fra cui la mancata consultazione^[3], nonché una serie di non conformità in ordine a:

1. mancato svolgimento di una valutazione d’impatto^[4];
2. inidoneità della base giuridica individuata^[5];
3. indeterminatezza delle finalità e mancata specificazione delle stesse^[6];
4. violazione del principio di minimizzazione dei dati^[7];
5. violazione del principio di esattezza^[8];
6. mancanza di trasparenza e garanzie per l’esercizio dei diritti degli interessati^[9];
7. violazione del principio di limitazione della conservazione^[10];
8. mancata indicazione delle misure per garantire un’adeguata sicurezza dei dati^[11].

In seguito a una successiva consultazione sullo schema di DPCM da adottare ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, riguardante l’attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass, il Garante formula un parere favorevole indicando, sulla base della relativa valutazione d’impatto trasmessa dal Ministero della Salute^[12], i correttivi da applicare e autorizzando il Ministero della salute ad effettuare il trattamento dei dati personali connesso al recupero presso gli interessati delle certificazioni verdi Covid-19 tramite il Sistema di allerta Covid-19 – App Immuni.

Prima, sono indicati i correttivi da apportare in sede di conversione in legge del d.l. 52/2021:

1. l’introduzione di una riserva di legge statale per l’utilizzo delle certificazioni;
2. una specifica definizione delle finalità del trattamento;
3. una puntuale definizione delle modalità d’impiego esclusivo delle certificazioni;
4. la modifica della natura transitoria delle disposizioni applicabili in modo tale che abbia continuità di applicazione con l’entrata in vigore del Reg. UE 2021/953;
5. la previsione di applicabilità delle sanzioni di cui all’art. 4 del d.l. 25 marzo 2020, n. 19 all’attività di controllo delle certificazioni, al cui accertamento possono procedere direttamente le forze di polizia tenute a verificare il rispetto delle misure;

poi, con specifico riferimento alle attività di trattamento individuate in sede di valutazione di impatto, sono prescritte le seguenti condizioni:

1. differire la comunicazione alle regioni delle “informazioni relative a test molecolari/antigenici e certificati di guarigione trasmessi al Sistema TS direttamente da strutture sanitarie e medici per finalità epidemiologiche” successivamente alla valutazione dell’idoneità della base giuridica del trattamento e dell’adeguatezza delle misure di sicurezza adottate;
2. iniziare la raccolta dei dati dalla piattaforma dell’ISS solo previa valutazione favorevole delle misure adottate per garantire integrità, riservatezza e esattezza dei dati trattati;
3. impiegare la App IO solo al superamento delle criticità rilevate dal provvedimento di blocco;
4. integrare il trattamento dei dati di contatto degli interessati specificando nel DPCM finalità perseguita (invio del codice univoco per il recupero della certificazione verde e comunicazione dell’eventuale revoca della stessa) e periodo di conservazione;
5. adozione di iniziative per l’informazione degli interessati circa la sensibilità dei dati riportati nelle certificazioni e i soggetti autorizzati ai controlli sulle stesse;
6. modificare l’allegato F, in cui sono descritte le misure di sicurezza, nella parte della registrazione degli accessi, prevedendone l’impiego ai soli fini della verifica della liceità del trattamento e per garantire l’integrità e la riservatezza dei dati personali.

Tutti i rilievi così emersi sono stati successivamente accolti sia dall’esecutivo con il DPCM 17 giugno 2021 sia dal legislatore con la conversione in legge del d.l. 52/2021.

La conversione in legge

Attraverso la conversione in legge sono stati prima di tutto individuati gli ambiti di impiego del Green Pass come deroga per gli spostamenti (art. 2), o strumento per regolamentare l’accesso a strutture sanitarie e socio-sanitarie di accompagnatori di pazienti non affetti da Covid-19 (art. 2-bis), le uscite temporanee di ospiti da strutture residenziali (art. 2-quater), l’accesso ad eventi e competizioni sportive (art. 5.4) o fiere, convegni e congressi (art. 7) e la partecipazione a feste e cerimonie (art. 8-bis).

Vengono così risolte le non conformità relative all’individuazione di una base giuridica idonea e alla specificazione delle finalità e delle modalità di impiego, sebbene il rinvio alle “linee guida” per eventi, competizioni sportive, fiere, convegni e congressi potrebbe non riscontrare in pieno la condizione di riserva di legge statale indicata dal Garante.

Sono infine inserite (art. 13) le sanzioni di cui all’art. 4 del d.l. 25 marzo 2020, n. 19, convertito, con modificazioni, dalla legge 22 maggio 2020, n. 35, e viene prevista la continuità di applicazione con l’entrata in vigore di tutti gli atti delegati per l’attuazione delle disposizioni di cui al Reg. UE 2021/953 (art. 9.9).

Green Pass e privacy: la versione definitiva del DPCM

Il decreto firmato ha accolto gran parte dei rilievi formulati dal Garante, provvedendo in primo luogo a definire la titolarità e i ruoli dei soggetti che intervengono nei trattamenti svolti mediante la piattaforma nazionale DGC (art. 15), indicando il Ministero della Salute come titolare del trattamento, il Ministero dell’economia delle finanze e Sogei s.p.a. come responsabili del trattamento per l’infrastruttura Sistema Tessera Sanitaria, mentre PagoPA s.p.a. come responsabile del trattamento per le attività svolte mediante l’App IO.

Con la messa a disposizione delle informative presso gli strumenti digitali e pubblicazione sul sito del Ministero della salute (art. 16.1), sono così risolte le non conformità concernenti la trasparenza e i presidi per garantire l’esercizio dei diritti da parte degli interessati.

Per quanto concerne l’aspetto di esattezza ed aggiornamento dei dati, l’art. 16.3 prevede per l’interessato di ricorrere al numero di pubblica utilità del Ministero della Salute. Su tal punto, sarebbe forse stato ben più auspicabile prevedere anche funzioni di ticketing dedicate attraverso gli strumenti digitali quali, ad esempio, un tasto “segnala anomalia” o “rettifica i tuoi dati”.

Suscita qualche perplessità la formula per cui viene garantito un “riscontro entro un termine congruo rispetto alla validità della certificazione rilasciata all’interessato”.

Ad ogni modo, il termine è definito dall’art. 12.3 GDPR, per cui l’azione va intrapresa senza ingiustificato ritardo e, comunque, al più tardi entro un mese dalla richiesta^[13].

Una medesima vaghezza si trova anche nella definizione del periodo di conservazione dei dati provenienti dal Sistema TS, con un ampio rinvio ad “altri trattamenti, disciplinati da apposite disposizioni normative, che prevedono un tempo di conservazione più ampio”.

Correttamente, invece, la conservazione dei contatti viene collegata al termine di validità delle certificazioni fornendo così un criterio utile per determinare tale periodo.

Le modalità di trattamento dei dati, e le finalità, trovano una precisazione negli allegati A e C, andando inoltra a risolvere anche le non conformità riguardanti il principio di minimizzazione dei dati, in coordinato con il processo di verifica descritto dall’allegato B per cui il verificatore accede tramite l’app VerificaC19 ai soli dati della validità della certificazione, e dell’intestatario della stessa (nome, cognome, data di nascita).

Circa l’aspetto delle misure di sicurezza, l’allegato F accoglie i rilievi del Garante al punto 6 collegando la registrazione degli accessi al termine di validità delle relative certificazioni verdi cui sono riferiti, andando successivamente ad anonimizzarli per finalità di analytics.

Il termine, così modificato dagli originari 12 mesi, desta alcune perplessità dal momento che, sul piano operativo, potrebbe frustrare eventuali esigenze di controllo dell’interessato.

Pericoloso mettere sui social il Qr-Code del green pass, l’allarme del Garante Privacy

Green Pass e privacy: i rischi operativi

Per quanto l’iter evolutivo della norma abbia seguito i correttivi indicati dal Garante, è bene ricordare che alcune questioni sono tutt’ora aperte e in fase di risoluzione, fra cui:

1. la conclusione positiva dell’istruttoria (tutt’ora in corso) del Garante riguardante l’App IO;
2. la valutazione favorevole del Garante delle misure di sicurezza riguardanti la raccolta dei dati presso la piattaforma dell’ISS;
3. le iniziative di informativa e di sensibilizzazione del Ministero della Salute riguardanti la protezione dei dati personali delle certificazioni e le corrette modalità d’impiego delle stesse;
4. indicare all’interessato i diritti esercitabili mediante informativa;
5. riesame continuo delle misure di sicurezza^[14];

sulle quali saranno necessarie attività di monitoraggio e, se del caso, correttive. In questo caso le sinergie istituzionali non dovranno trovare ostacoli ideologici, ma cooperare per lo sviluppo sostenibile di strumenti e tecnologie ricordando sempre il considerando n. 4 GDPR per cui: “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

Ora, i principali rischi non giacciono più nei presupposti di progettazione bensì nella successiva fase operativa del Green Pass, il Garante dovrà assumere ancor più quel ruolo di pedagogista della privacy, particolarmente significativo per assicurare la diffusione di una corretta cultura della protezione dei dati personali.

Da un lato, per evitare iniziative che comportino abusi (pubblici o privati, locali o nazionali) con il conseguente rischio di violazione del principio di parità di trattamento o compressioni insostenibili delle libertà individuali.

Dall’altro, perché interessati più consapevoli riducono la propria esposizione ai rischi tipicamente collegati al fattore umano (come ad esempio, essere vittime di phishing).

NOTE

1. Secondo il principio di privacy by design (art. 25.1 GDPR). ↑

2. Potere dell’autorità di controllo esercitabile previsto dall’art. 58.2 lett. a) GDPR. ↑

3. “Gli Stati membri consultano l’autorità di controllo durante l’elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.” (art. 36.4 GDPR) ↑

4. Obbligatoria ai sensi dell’art. 35.10 GDPR. ↑

5. In violazione del principio di liceità (art. 5.1 lett. a) GDPR). ↑

6. In violazione del principio di limitazione della finalità (art. 5.1 lett. b) GDPR). ↑

7. In quanto erano previsti tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato, in violazione dell’art. 5.1 lett. c) GDPR. ↑

8. In quanto mancava una verifica di attualità delle condizioni attestate nella certificazione e di eventuali modificazioni delle condizioni relative all’interessato quali la sopraggiunta positività, in violazione dell’art. 5.1 lett. d) GDPR. ↑

9. Per la mancata individuazione dei soggetti coinvolti nel trattamento. ↑

10. Per l’indeterminatezza dei tempi di conservazione, in violazione dell’art. 5.1 lett. e) GDPR. ↑

11. Da cui deriva la violazione degli artt. 5.1 lett. f) e 32 GDPR. ↑

12. Riguardante la Piattaforma nazionale digital green certificate per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19 (EU Digital COVID Certificate, già Digital Green Certificate, di seguito certificazioni verdi). ↑

13. Salvo proroga per comprovata complessità e numero delle richieste per ulteriori due mesi. ↑

14. Come previsto dall’art. 32.1 lett. d) GDPR. ↑