Green Pass e GDPR: cosa c'è da sapere

Se è stato stabilito che il Titolare del trattamento dei dati personali è tenuto alla verifica del Green Pass (o Certificazione Verde) è altresì vero che costui è obbligato a rispettare le prescrizioni in materia di Privacy e protezione dei dati personali stessi.


La verifica del QR-Code contenuta nel Green Pass comporta, infatti, un trattamento di dati personali.


Con il DPCM del 17 giugno scorso sono state definite le modalità di verifica delle Certificazioni Verdi Covi-19, che hanno lo scopo di comprovare l'avvenuta vaccinazione, lo stato di guarigione o l'effettuazione di un test rapido (molecolare o antigenico) con risultato negativo al virus.

I soggetti tenuti alla verifica e controllo del Green Pass sono molteplici e riguardano ad oggi per lo più le attività che si svolgono al chiuso: servizi di ristorazione per il consumo al tavolo, spettacoli, centri benessere, eventi e competizioni sportive, spettacoli, musei e mostre, piscine e palestre, ma anche alcune tipologie di attività all'aperto come fiere, sagre, centri termali, parchi tematici e di divertimento. Da settembre sono stati inclusi anche i trasporti pubblici e il sistema scolastico.


Ma perché il Green Pass trova un punto di incontro con la Privacy e gli adeguamenti al GDPR?


Perché come abbiamo detto la Certificazione Verde contiene informazioni particolari relative al suo intestatario, dati sensibili dai quali scaturisce l'esigenza di calibrare le attività di verifica attraverso l'adozione di misure di sicurezza idonee a garantire la tutela della riservatezza dell'interessato.


Infatti, proprio con l'art.13 del suddetto DPCM, sono stati individuati i soggetti che, tenuti alla verifica del QR-Code, devono essere incaricati con un atto formale recante le necessarie istruzioni sull'esercizio delle attività di verifica. Questa formalità riguarda appunto la nomina dell'autorizzato o incaricato al trattamento che ha lo scopo di fornire dettagliatamente le operazioni da compiere durante il controllo e altresì di dimostrare l'accountability del soggetto tenuto alla verifica.

La nomina viene in tal senso percepita proprio come misura organizzativa di cui all'art. 32 del Regolamento Europeo in materia di protezione dei dati personali (GDPR) ed implica che il soggetto designato segua scrupolosamente le istruzioni impartite.


Tra queste, la modalità di lettura del QR-Code, che deve rispettare la riservatezza dell'interessato.


Infatti, il soggetto verificatore correttamente nominato, sarà tenuto a proteggere il Green Pass da eventuali soggetti non autorizzati al trattamento e a mantenere il rispetto della riservatezza dello stesso.


Le istruzioni regolamentano inoltre le modalità di verifica del documento identificativo collegato al soggetto interessato possessore di Green Pass. Alla richiesta del verificatore, l'intestatario della Certificazione deve infatti dimostrare la propria identità mediante l'esibizione del proprio documento di identità.

In merito a questo argomento, successivamente all'entrata in vigore del DPCM, il Ministero dell’Interno ha emanato una Circolare interpretativa riguardo alle verifiche dell’identità: la Circolare chiarisce che la verifica dell’identità non è più obbligatoria, ma risulterà indispensabile solo nei casi di abuso o elusione della norma (ad esempio nel caso in cui si manifesti un'incongruenza con i dati anagrafici contenuti nella Certificazione).

Le operazioni di trattamento legate alla verifica del Green pass dovranno, poi, essere contenute nel Registro dei trattamenti ex art.30 del Regolamento Europeo 679/2016 (GDPR), dovrà quindi essere cura dell’esercente tenuto alla verifica integrare il Registro con il trattamento relativo alla verifica del Green Pass.

Una delle prescrizioni essenziali da rispettare è quella che impedisce la conservazione della documentazione: resta, infatti, fermo il divieto di conservazione di tali dati come sottolineato anche dal Garante Privacy, il quale ha ribadito il divieto di conservazione di copie cartacee del Green Pass in merito alla prassi verificatasi in alcune palestre. L’unico soggetto deputato alla conservazione è il Ministro della Salute in qualità di Titolare del trattamento.


Per ricevere maggiori informazioni, una consulenza gratuita o un’analisi dello stato di adeguamento Privacy della tua attività, contattaci ai seguenti recapiti, saremo lieti di poterti dare tutte le risposte che stai cercando!

Chiamaci -> Mob. +39 371 46 371 45 - 371 46 30 129

Scrivici -> E-mail: info@enterprise-solutions.net

Chatta -> Cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." dal tuo smartphone.


Seguici anche su Facebook


52 visualizzazioni

Post recenti

Mostra tutti