VerificaC19, ecco l’app per il controllo del Green Pass e problemi di privacy

L’acrilammide negli alimenti: la valutazione del rischio
16 Luglio 2021
Verifica Green Pass: se non sei il titolare serve la delega (DPCM 17 giugno 2021 Art. 13)
7 Agosto 2021

VerificaC19, ecco l’app per il controllo del Green Pass e problemi di privacy

Con la pubblicazione in Gazzetta Ufficiale del DPCM 17 giugno 2021, il Governo vara ufficialmente la piattaforma informatica nazionale dedicata al rilascio del Green pass, la certificazione utile a garantire la mobilità e la possibilità di fruizione di eventi pubblici e di accesso a locali una volta somministrato il vaccino o altro evento abilitante. Particolarmente stringenti le disposizioni a tutela della privacy, previste a carico delle imprese contro le eventuali indebite raccolte o conservazioni di dati. Ma come funzionerà a regime la piattaforma informatica e quali sono gli impatti, già da oggi, per tutte quelle categorie di aziende tenute a verificare il possesso del Green pass?

L’app VerificaC19 per il controllo del Green Pass è già disponibile al download e verrà usata da gestori di servizi e forze dell’ordine. Con l’obbligo del certificato verde per prendere parte ad attività e accedere a luoghi di assembramento arrivano anche i controlli, facilitati dall’applicazione del Ministero della Salute. L’applicazione permette agli incaricati di verificare la validità dei pass Covid-19 leggendo il famoso QR code. L’app verrà usata a partire dal 6 agosto, data in cui scatterà il decreto anti-covid.

La campagna vaccinale continua a gonfie vele, e dopo l’annuncio dell’obbligatorietà della certificazione verde per l’accesso a svariate strutture ed eventi le prenotazioni hanno subito una forte impennata. Il Green Pass servirà a regolamentare non solo l’entrata in luoghi di cultura e svago e nei ristoranti, ma anche i viaggi nazionali e internazionali. Si pensa poi di estendere l’obbligo del certificato anche per l’utilizzo dei mezzi pubblici, ma per il momento non è ancora confermato.

VerificaC19: come funziona l’app per il Green Pass

L’applicazione di verifica nazionale del Green Pass consente di validare i documenti dei possessori di pass, ed è pensata per le forze dell’ordine e i gestori di servizi e luoghi di assembramento. In una circolare del Ministero dello scorso 28 giugno si dettaglia l’uso dell’app, specificandone il flusso di utilizzo.

VerificaC19 permette di verificare il QR code senza dover accedere a internet e senza memorizzare i dati sensibili del cittadino sullo smartphone. Il controllo si basa su un database di chiavi che l’app scarica giornalmente, permettendone l’utilizzo anche offline. Quando il soggetto in possesso di certificazione mostra il QR code all’operatore, le uniche informazioni visualizzate sono nome, cognome e data di nascita dell’intestatario, necessarie per confermare l’identità del possessore.43.

 

Le schermate di VerificaC19 , l’app per il controllo del Green Pass. Fonte: Ministero della Salute

L’app informa se il certificato non è valido, specificando anche se è scaduto. Le regole di validazione sono memorizzate in VerificaC19 e prevedono determinate durate di validità:

  • un ciclo vaccinale completo garantisce 270 giorni (9 mesi) di validità del certificato;
  • un ciclo vaccinale con una sola dose ha validità da 14 giorni dopo la dose fino al tempo massimo per quella successiva (42 giorni per Moderna e Pfizer, 84 per Astrazeneca);
  • un test molecolare o antigenico rapido garantisce 48 ore di validità;
  • la guarigione da Covid-19 garantisce 180 giorni (6 mesi) di validità a partire dal primo tampone positivo.

L’applicazione ha accesso a un sistema di chiavi pubbliche usate dagli stati dell’Unione Europea per firmare e validare il certificato. La sincronizzazione e l’aggiornamento delle chiavi avviene giornalmente tramite un gateway europeo che colleziona le chiavi degli stati membri e le mantiene aggiornate in base alle regole di validità, inserendo nuove chiavi e cancellando quelle vecchie. L’app, in questo modo, non salva localmente i dati delle singole certificazioni.

Chi può usare l’app?

Soltanto gli operatori autorizzati possono usare VerificaC19 per la verifica del green pass, così come succedeva per Immuni nel caso di positività. Tra di essi troviamo i pubblici ufficiali, ma anche il personale addetto al controllo durante attività di intrattenimento e spettacolo. A loro si aggiungono i titolari e proprietari di strutture ricettive, esercizi pubblici e locali in cui si svolgono eventi per cui è necessario possedere il Green Pass. Infine anche i gestori delle strutture socio-sanitarie e socio-assistenziali, o loro delegati.

Il Green Pass regolamenterà l’accesso a ristoranti, strutture ricettive, eventi e luoghi di assembramento.

Ricordiamo che per possedere il Green Pass occorre il verificarsi di una delle seguenti condizioni:

  • aver completato il ciclo vaccinale per il Covid-19;
  • risultare negativi al test molecolare o antigenico rapido effettuato nelle ultime 48 ore;
  • essere guariti dal Covid-19 negli ultimi sei mesi;
  • aver ricevuto la prima dose di vaccino da più di 15 giorni.

La certificazione è stampabile o accessibile direttamente da smartphone tramite l’app IO o Immuni.

La verifica del Green Pass consiste nella consultazione di dati riferiti a una persona fisica e ricade, pertanto, nell’ambito di applicazione del Gdpr. L’articolo 13 del DPCM 17 giugno 2021 consente ai titolari di imprese/enti, tenute alla verifica, di delegare con atto formale l’operazione a un incaricato. A tale riguardo, l’art. 29 del Gdpr impone che siano impartite apposite istruzioni all’autorizzato al trattamento. L’incombenza è assistita, in caso di inosservanza, dalla sanzione amministrativa prevista dall’articolo 83, par. 4, Gdpr. Per l’ipotesi di violazioni, anche se non espressamente descritte, della correttezza delle operazioni è applicabile l’articolo 5 Gdpr, assistito dalla ben più pesante sanzione prevista dall’articolo 83, par. 5, Gdpr.

 

Quando formalizzare l’incarico

L’incarico è necessario prima di effettuare un evento o di consentire l’accesso a luoghi riservato a soggetti in possesso della certificazione verde Covid 19.
Il soggetto incaricato riveste a tutti gli effetti il ruolo di autorizzato al trattamento. A tale proposito il Gdpr impone al titolare del trattamento di impartire istruzioni sul trattamento
(articolo 29), istruzioni concernenti i profili della sicurezza del trattamento (art. 32) ed altresì di  fornire formazione idonea (articolo 39).

Tutti questi adempimenti trovano collocazione cronologica in via preliminare all’inizio del trattamento o in occasione di modifiche alle modalità di esecuzione delle operazioni di
trattamento.

Norme di riferimento

Le norme essenziali che stanno alla base dell’incarico sono:

· l’art. 13 del DPCM del 17 giugno 2021, che attua l’articolo 9 del decreto Riaperture (decreto legge convertito con modificazioni dalla legge 17 giugno 2021, n. 87);
· e, in ambito privacy, l’art. 29 del Regolamento UE 2016/679 (Gdpr).
I riferimenti indicati rappresentano i richiami delle norme primarie di rango legislativo. Peraltro, altre disposizioni di natura contrattuale, collettiva o individuale, possono giocare il loro ruolo, in relazione ad attribuzioni attinenti l’organizzazione del lavoro e poteri direttivi interni alla organizzazione medesima.
Come va assolto l’adempimento Si tratta di un adempimento documentale da accompagnare con una illustrazione delle
operazioni da effettuare. In parallelo vanno adottate misure organizzative per consentire un lineare svolgimento delle operazioni.

L’operazione di controllo ha due fasi:

– il controllo del possesso di un titolo;
– l’identificazione del portatore quale soggetto titolare del titolo.

Le operazioni sono descritte anche sul sito internet della Certificazione verde Covid.

L’impresa/ente delegante deve anche controllare:
– il registro dei trattamenti;
– il codice disciplinare;
– le nomine di autorizzato al trattamento per eventuali integrazioni.

Sanzioni per le imprese

Eventuali inadempimenti saranno sanzionati, ai sensi dell’art. 83, paragrafi 4 e 5 del Gdpr, con una sanzione fino a 10 milioni di euro per la violazione dell’art. 29 Gdpr e fino a 20 milioni di euro in caso di violazione dell’art. 5 Gdpr.

Contenuto della delega

A riguardo del contenuto della delega si precisa che:
a) la delega deve essere nominativa. Sul punto va aggiunto che l’articolo 2-quaterdecies del Codice della privacy lascia all’impresa libertà di forma a riguardo della formalizzazione dei designati per specifici compiti e funzioni oltre che per gli autorizzati al trattamento. Tale libertà di forma, in ogni caso, non può tradire l’obiettivo, ovvero rendere riconoscibile all’interessato chi occupa tali posizioni. Nel caso dell’incarico alla rilevazione del Green Pass la legge impone un atto formale. Da tale prescrizione e dal confronto sistematico con la regolamentazione dell’accountability nel Gdpr (art. 5, paragf. 2) discende la preferenza per l’opzione della delega nominativa individuale o contestuale con più destinatari purché tutti individuati;

b) la delega deve essere completa di tutte le informazioni con le modalità concrete di effettuazione delle operazioni di verifica. Sul punto si sottolinea che non risulta sufficiente l’assegnazione del ruolo a mezzo della mera indicazione dello stesso. La delicatezza delle operazioni da compiere implica la minuziosa esposizione del flusso delle azioni richieste, di quelle dovute e di quelle vietate. L’impresa deve poter dimostrare di avere messo a disposizione dell’incaricato tutte le informazioni a riguardo del funzionamento degli apparecchi elettronici e le regole da osservare;

c) si devono predisporre servizi aziendali/dell’ente deputati alle informazioni aggiuntive e all’intervento in caso di contestazioni da parte dell’utenza. Come è prevedibile si potranno verificare contestazioni da parte di interessati che pretendono di accedere ai locali pur se non in possesso della certificazione verde o assumendo di non essere tenuti alla esibizione della stessa. Tali profili appaiono, allo stato, fluidi quanto alla risposta, considerato che non si può escludere uno scrutinio di legittimità costituzionale delle sopra richiamate norme di rango primario. Proprio a fronte di ciò e valutata la ovvia speditezza delle operazioni di verifica nel contesto dell’accesso di una pluralità di persone ad un locale o ad un evento, si ritiene che l’impresa faccia bene a evitare che tali momenti di contraddittorio sconfinino in ostruzionismo al flusso di gente in ingresso. Meglio prevenire contesti di tale fatta e isolare le fonti di questioni che saranno trattate da superiori gerarchici senza intoppi collaterali;

d) deve essere spiegata bene l’importanza di non raccogliere dati e di quali dati sia possibile la verifica. Questa istruzione mira alla sensibilizzazione del valore del dato personale. Consultare un’informazione a riguardo di una persona è sempre un trattamento del dato e chiunque lo ponga in essere deve comprendere a pieno le ragioni di una tutela rafforzata. Peraltro, al tempo stesso, la prescrizione ha un contenuto pratico ed operativo: non si conservano dati identificativi;

e) si deve specificare che si tratta di prescrizioni integrative degli obblighi lavorativi. Questo avviso rappresenta il collegamento dell’atto di delega alle obbligazioni connesse allo status di lavoratore dipendente e alla regolamentazione degli aspetti disciplinari. L’esatta esecuzione
delle prescrizioni impartite assume una valenza sotto il profilo dell’esattezza della prestazione lavorativa, con tutto ciò che da questo deriva;
f) opportuno allegare schede esemplificative del flusso della verifica e anche riportanti l normativa di riferimento. La completezza delle informazioni va abbinata alla facile comprensibilità e fruibilità delle stesse. Pertanto, modalità esplicative, anche con l’uso di icone, non sono certo da disdegnarsi.