Green Pass e protezione della privacy

Interrogato da più parti sul tema della protezione dei dati personali collegato al rilascio del Green Pass, e al suo utilizzo, introdotto dal decreto anti-Covid dell’aprile 2021 modificato nel maggio 2021, il garante della privacy aveva espresso più di una riserva rispetto alla tutela dei dati personali.
Fin da subito, il garante ha sottolineato come la mancata individuazione delle specifiche finalità perseguite dal certificato, del titolare del trattamento dei dati personali, delle specifiche caratteristiche del trattamento e dei soggetti coinvolti nello stesso non consentissero di valutare appieno i rischi legati all’utilizzo e al trattamento dei dati raccolti per il rilascio della certificazione. Non essendo possibile ricostruire in maniera inequivoca la filiera del trattamento e tutti i soggetti coinvolti nel trattamento dei dati, permanevano perplessità rispetto alla gestione di una così grande mole di dati inerenti ad un tema delicato come la salute di singoli individui. Senza dimenticare che sembrava venir meno il principio di minimizzazione del trattamento, per cui il titolare avrebbe dovuto trattare solo i dati di cui aveva realmente necessità per raggiungere le finalità legate al trattamento.

I dubbi del Garante sono stati superati con il d.l. 77/2021 in cui è stato definito che è il Ministero della Salute il titolare del trattamento dei dati ed è stato poi trasmesso uno schema di Decreto Ministeriale riguardante l’operatività della piattaforma nazionale per l’emissione, il rilascio e la verifica del Green Pass. Nello stesso DPCM è stato inserito un elenco in cui sono stati individuati: i dati personali trattati, le regole della piattaforma per l’emissione, il rilascio e la verifica del Green Pass, i servizi che permettono la condivisione dei dati necessari al funzionamento del meccanismo della certificazione, le specifiche tecniche per la creazione del QR Code univoco, le modalità di utilizzo delle certificazioni e le misure di sicurezza adottate secondo quanto richiesto dall’articolo 32 del GDPR. Nel Decreto Ministeriale è stato inoltre chiarito come i dati su cui è basato il Green Pass saranno cancellati dal sistema alla scadenza della validità dei certificati.

Quanto presentato nel DPCM ha permesso di superare le riserve del Garante della Privacy e dal 17 giugno, quindi, il Green Pass è utilizzabile su tutto il territorio nazionale e dal 1 luglio è valido a livello europeo. Senza dimenticare che il Garante della Privacy ha chiarito, rispondendo ad un quesito della Regione Piemonte, che è consentito il trattamento dei dati personali consistente nella verifica dell’identità dell’intestatario del Green Pass da parte dei titolari delle strutture ricettive e dei pubblici esercizi poiché nel Decreto emanato lo scorso 17 giugno viene chiarito come sia esclusa la raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione, in qualunque forma.

Per charimenti contattaci.