Green pass rafforzato. Garante: ok a possibilità revoca

Arriva l’ok del Garante Privacy alle nuove modalità per revoca e uso del Super Green Pass contenute nello schema di un Dpcm.

I datori di lavoro dovranno effettuare controlli periodici sulla validità delle certificazioni verdi consegnate dai lavoratori. Lo spiega la nota dell’Authority datata 14 dicembre 2021.

Certificazioni verdi, disposizioni aggiornate

Il Garante per la protezione dei dati personali ha espresso, in via d’urgenza, parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che aggiorna le disposizioni relative alle Certificazioni verdi e agli obblighi vaccinali per alcune categorie di lavoratori.

Nel provvedimento, l’Autorità ha evidenziato come, allo stato attuale della situazione epidemiologica, il complesso delle misure, adottate anche a seguito delle interlocuzioni con il Ministero della salute, siano conformi al principio di liceità e, più in generale, alla disciplina sulla protezione dei dati personali.

In particolare, lo schema di decreto, accogliendo l’invito più volte espresso dall’Autorità, dà piena attuazione alla revoca delle certificazioni verdi, in caso di contagio sopravvenuto, tramite una procedura che prevede anche che l’interessato venga informato, utilizzando i dati di contatto dallo stesso forniti.

Green pass, novità dallo schema di Dpcm

Nello schema di Dpcm ci sono altre nuove disposizioni:

  • è prevista una procedura specifica relativa ai “green pass” rilasciati o ottenuti in maniera fraudolenta;
  • è disposto che i soggetti tenuti alla verifica del possesso delle certificazioni verdi vengano specificamente istruiti sulla possibilità di utilizzare la modalità “rafforzata” solo ed esclusivamente nei casi in cui lo richieda la legislazione vigente;
  • nei casi in cui il lavoratore si avvalga della facoltà di consegnare la certificazione verde al datore di lavoro, quest’ultimo è comunque tenuto a effettuare il regolare controllo sulla perdurante validità, mediante lettura del QR code della copia in suo possesso attraverso l’app VerificaC19 o mediante le previste modalità automatizzate;
  • è disciplinata l’annotazione sugli albi professionali “senza ulteriori specificazioni dalle quali sia possibile desumere il mancato rispetto dell’obbligo vaccinale da parte dell’esercente la professione sanitaria”, prevedendo soltanto l’indicazione della circostanza che il professionista è sospeso;
  • dopo i casi registrati di diffusione online di numerose certificazioni verdi, come ulteriore misura di garanzia è stata prevista, all’atto del rilascio del Green pass da parte degli operatori sanitari, la registrazione di informazioni aggiuntive: identificativo dell’operazione; codice fiscale o identificativo del soggetto che ha eseguito l’operazione; modalità di autenticazione dell’operatore sanitario; codice fiscale o i dati anagrafici dell’interessato; l’identificativo univoco del certificato (UVCI) della certificazione; data e ora dell’operazione.

Green pass, l’App VerificaC19

Il Garante della Privacy ha comunque chiesto al Ministero della salute alcune integrazioni per rendere evidente all’interessato la modalità di verifica utilizzata dal verificatore, introducendo, all’interno dell’app VerificaC19, elementi testuali, grafici e visivi per le due modalità di verifica (“base” o “rafforzata”).

In conseguenza degli specifici rischi connessi ai trattamenti di dati personali in esame e avendo particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo, l’Autorità ha chiesto al Ministero della salute di aggiornare la valutazione di impatto sulla protezione dei dati.

Le richieste del Garante Privacy

Il parere è positivo, ma il Garante indica delle necessità. Il ministero della Salute dovrà rispondere entro 15 giorni.

E, nell’ambito dei compiti istituzionali volti a sorvegliare e ad assicurare la piena applicazione del Regolamento, prescrive al Ministero della salute di adottare le seguenti misure di garanzia dei diritti e delle libertà fondamentali degli interessati aggiuntive rispetto a quelle previste nello schema di decreto in esame, che non costituiscono condizioni ostative all’attuazione delle disposizioni ivi contenute, essendo volte a determinare un incremento del livello di tutela nei confronti degli interessati in relazione all’obiettivo di interesse pubblico perseguito nel settore della sanità pubblica:

a) definire in modo puntuale i soggetti che rientrano nella categoria di “operatore di interesse sanitario” prima di procedere all’autorizzazione degli stessi quali intermediari abilitati al recupero delle certificazioni verdi su richiesta dell’interessato;

b) adottare specifici accorgimenti volti a rendere evidente all’interessato la modalità di verifica utilizzata dal soggetto che effettua i controlli, introducendo, all’interno dell’app VerificaC19, specifici elementi testuali, grafici e visivi, come, ad esempio, diciture, simboli e colori, differenziati per le due modalità di verifica (“base” o “rafforzata”);

c) apportare le necessarie modifiche all’app VerificaC19, al pacchetto di sviluppo per applicazioni (SDK), nonché alle specifiche tecniche e ai requisiti che devono essere soddisfatti dalle librerie software e dalle soluzioni da esse derivate, in modo tale da non mostrare al verificatore elementi, quali diciture (“Certificazione valida solo in Italia” o “Certificazione non ancora valida”) o colori (schermata azzurra), suscettibili di rivelare la sussistenza di una particolare condizione alla base del rilascio della certificazione (es. prima dose vaccinale);

d) dare conto dell’avvenuto aggiornamento della valutazione di impatto sulla protezione dei dati relativa ai trattamenti effettuati nell’ambito della PN-DGC, in considerazione degli specifici rischi connessi ai trattamenti di dati personali in esame, effettuati su larga scala e concernenti dati relativi alla salute di interessati, anche vulnerabili, nonché delle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo; si ricorda che l’eventuale inosservanza di un ordine impartito da parte dell’autorità di controllo ai sensi dell’art. 58, par. 2, del Regolamento può comportare l’applicazione della sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento;

Entro 15 giorni dalla data di ricezione del provvedimento in oggetto, il Ministero della salute dovrà comunicare all’Autorità quali iniziative siano state intraprese, o si intende intraprendere, al fine di dare attuazione a quanto prescritto, avendo cura di indicare anche il termine entro il quale si intende completare l’adozione delle misure ivi indicate che comunque non deve essere superiore a 45 giorni dalla data di adozione del provvedimento; si ricorda che l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria di cui all’art. 166 del Codice.

Sitografia

www.garanteprivacy.it