Green pass e GDPR

Green pass: dal 6 agosto 2021 diventa condizione obbligatoria per poter svolgere alcune attività ed accedere a determinati servizi.

Tra le attività per le quali il Green pass diventerà obbligatorio vi sono:

• servizi di ristorazione svolti da qualsiasi esercizio, per il consumo al tavolo, al chiuso
• piscine, palestre, sport di squadra, centri di benessere
• centri termali, parchi tematici e di divertimento
• attività di sale gioco, sale scommesse, sale bingo e casinò
• concorsi pubblici
• strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali
• convegni, fiere, musei, sagre.

Per poter usufruire di questi servizi, il cittadino dovrà esibire il Green pass che certifichi almeno una delle seguenti condizioni:

• inoculamento almeno della prima dose vaccinale o guarigione dall’infezione da non più di 6 mesi
• effettuazione di un test molecolare o antigenico da non più di 48 ore.

Consideriamo il Green pass e le verifiche ad esso collegate (rappresentate in particolare dal d.P.C.M. del 17 giugno 2021) che si dividono in 2 fasi distinte:

• verifica della validità del Green pass con l’App VerificaC19 (sviluppata dal Ministero della Salute), utilizzabile su uno smartphone, che può operare offline in quanto non trasmette alcun dato;
• la verifica dei documenti di identità del soggetto possessore del Green pass (non più previsto per legge).

Verifica del Green pass

Il Green pass è richiesto all’interessato che mostra il relativo QR Code (in formato digitale oppure cartaceo).

L’App VerificaC19:

• legge il QR Code, ne estrae le informazioni e procede con il controllo del sigillo elettronico qualificato
• applica le regole per verificare che la Certificazione sia valida
• mostra graficamente al verificatore l’effettiva validità della Certificazione nonché il nome, il cognome e la data di nascita dell’intestatario della stessa.

Il trattamento dati nella verifica Green pass

L’analisi di questi articoli porta ad effettuare anche un’altra considerazione ancor più significativa.

La tutela prevista dalle sopra citate normative è operativa per il Green pass in quanto per il controllo del documento viene utilizzata un’app.

Se il controllo fosse solo manuale ci troveremmo esattamente nella situazione prima descritta per quanto attiene il documento di identità.

Quindi attenzione; la tutela prevista dalla normativa privacy è attiva non in quanto si trattano dati particolari, ma perché viene effettuata una verifica di validità utilizzando uno strumento automatizzato che oltretutto, oltre a validare il documento, visualizza anche alcuni dati personali.

Gli adempimenti per i gestori di bar e ristoranti

Appurato che si tratta di trattamento di dati personali, quali sono gli adempimenti che devono mettere in atto i gestori dei ristoranti/bar?

Prima di tutto dovrebbero rilasciare un’informativa, anche se si potrebbe ipotizzare una semplificazione dato che il motivo ed il modo in cui i dati vengono trattati è noto a tutti i soggetti che si recano, ad esempio, ad un ristorante.

Quindi i gestori potranno avvalersi della semplificazione prevista dal comma 4 dell’Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, che recita:

 I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

Le informazioni non note a priori da parte degli interessati potrebbero essere, ad esempio, quali siano i suoi diritti, o la denominazione esatta del Titolare e dei suoi recapiti.

Al riguardo sarebbe pertanto sufficiente esporre una breve informativa, ben visibile, prima dell’area in cui avvengono i controlli.

L’informativa è solo uno degli adempimenti; essendo un nuovo trattamento:

• va inserito nel registro delle attività di trattamento
• devono essere effettuate le analisi dei rischi ai sensi degli artt. 24, 25 e 32
• devono essere date istruzioni ai soggetti autorizzati al trattamento
• e, vista la numerosità dei soggetti coinvolti ed al trattamento di dati particolari, sarebbe opportuno effettuare una DPIA (valutazione d’impatto della protezione dei dati).
  

E tu sei munito di Green pass?