GUIDA NORMATIVA

Green pass: gli errori più comuni di GDPR compliance nella fase operativa

I controlli del Green Pass potrebbero mettere le organizzazioni nella posizione di dover prendere decisioni in conflitto con il corretto adempimento della normativa in materia di protezione dei dati personali: ecco gli errori più comuni di GDPR compliance da evitare

22 Set 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

I controlli del Green Pass (la certificazione verde Covid-19) hanno posto molte organizzazioni nella posizione di dover prendere delle decisioni che spesso si sono poste in conflitto con il corretto adempimento della normativa in materia di protezione dei dati personali. Conoscere alcuni degli errori di GDPR compliance più ricorrenti è uno strumento per evitare preventivamente delle violazioni.

Green pass: cos’è, come farlo, a cosa serve e obblighi 2021

Perché apprendere dall’esperienza

Non è infrequente che l’esperienza negativa e un approccio di tipo lesson learned possa giovare sempre non solamente all’autore ma anche a chi può avvalersi di un’analisi del contesto storico.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza

Ciò è noto nel campo della sicurezza delle informazioni ma è applicabile in modo analogo all’interno della gestione della conformità normativa, in questo caso nell’ambito della tutela dei dati personali.

Le misure per lo svolgimento delle attività di controllo delle certificazioni verdi o Green Pass, il cui svolgimento ora è stato significativamente esteso in forza del d.l. 21 settembre 2021, n. 127, per quanto siano state rimesse alle modalità organizzative individuate autonomamente da ciascuna organizzazione incontrano le indicazioni di cui al DPCM 17 giugno 2021 e tutta una serie di rischi collegati alla loro declinazione operativa.

È bene ricordare che l’adempimento a tali prescrizioni non comporta formalismi o meri esercizi di stile, dal momento che le tutele cui provvede la norma riguardano il perseguimento dell’obiettivo della ripresa di attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19[1].

Inoltre, il contemperamento della protezione dei dati personali con la tutela fondamentale della salute è un’operazione di bilanciamento che ha trovato una sintesi nelle disposizioni normative in ossequio al principio di proporzionalità[2].

Lo svolgimento di attività di trattamento illecite comporta anche dei rischi di sicurezza insostenibili – e ben lungi dall’essere accettabili – per gli interessati cui fanno riferimento i dati raccolti in ragione, ad esempio, della carenza di una base giuridica valida a sostegno della finalità individuata o in violazione di uno o più principi del GDPR.

Il confronto con le più ricorrenti esperienze di non conformità diffuse al momento può essere uno spunto valido per evitare errori di metodo che andrebbero – soprattutto se diffusamente applicati – a frustrare la serie di tutele fondamentali previste dalla norma.

Giova inoltre ricordare che la protezione dei dati sin dalla progettazione è un principio previsto dall’art. 25 GDPR[3] secondo cui alla determinazione dei mezzi di trattamento (nel caso in esame: nella predisposizione delle misure organizzative di controllo) e all’atto del trattamento stesso (nel caso in esame: nello svolgimento delle verifiche) devono essere messe in atto misure “volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

Perché sia efficacemente attuato, dunque, è necessario adottare un corretto approccio operativo che quanto meno prevenga delle non conformità.

Verifica Green Pass: aspetti privacy e adempimenti per le attività ricettive e non solo

La raccolta illecita dei dati del Green Pass

Nonostante sia espressamente vietata la raccolta dei dati, non poche organizzazioni hanno creato banche dati contenenti dei dati delle certificazioni verdi.

Così è accaduto, ad esempio, per le palestre, ma non sono le uniche ad aver predisposto tali procedure in aperta violazione del dettato dell’art. 13 comma 5 DPCM 17 giugno 2021 per cui “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.

Che sia il caricamento in PDF o l’anticipazione via e-mail o l’invio di una foto tramite servizio di messaggistica istantanea, tale attività è, fondamentalmente, vietata. Definire un termine breve (o brevissimo) di conservazione o l’applicazione di metodi di cifratura non consente di superare tale limite.

Lato GDPR, prassi di questo genere comportano la violazione del principio di liceità in quanto non vi è una base giuridica validamente individuabile, nonché del principio di minimizzazione dal momento che sono raccolti dati in eccesso rispetto alle finalità indicate dalla norma. Inoltre, è violato anche il principio di esattezza del dato con riguardo alla validità del Green Pass il quale, pur avendo una data di scadenza, può essere revocato.

Uso di sistemi di verifica “alternativi” all’app VerificaC19

È evidenza facilmente riscontrabile il moltiplicarsi nell’arco delle ultime settimane di un’ampia varietà di proposte fondamentalmente illecite riguardanti l’impiego di soluzioni tecnologiche che non integrano l’app VerificaC19.

Circa il sistema di verifica, di regola opera l’esclusività di impiego dell’app VerificaC19, con l’unica eccezione al momento rappresentata dalla piattaforma docenti in ambito scolastico. Ogni sistema alternativo proposto sul mercato non è dunque conforme alle attuali prescrizioni di legge.

Ulteriore errore, con violazione ancora più consistente della normativa in materia di protezione dei dati personali, è la diffusa proposta di adozione di sistemi integrati di riconoscimento facciale, destinata soprattutto a esercizi aperti al pubblico per evitare il “reimpiego” del medesimo Green Pass.

In questo modo, l’attività di verifica non solo andrà a raccogliere i dati della certificazione verde ma anche dati biometrici degli interessati, in carenza di alcun fondamento di liceità per il trattamento di tali informazioni.

Verificatori privi di incarico

Spesso, i verificatori sono designati ma non istruiti. O ancor peggio: né designati né istruiti.

La mancata predisposizione di misure organizzative per la definizione di ruoli e responsabilità dei soggetti verificatori viola la previsione di quell’ “atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” previsto dall’art. 13 comma 3 DPCM 17 giugno 2021.

Tale disposizione, letta tenendo conto della normativa in materia di protezione dei dati personali, altro non è che una declinazione specifica della previsione generale stabilita dall’art. 29 GDPR per cui ricorre l’obbligo generale in capo al titolare del trattamento di autorizzare ed istruire gli operatori che hanno accesso ai dati personali.

Quale che sia la forma che si vorrà dare alla designazione, sebbene la delega scritta appaia come l’unica rispondente al requisito dell’atto formale, è necessario che siano fornite anche delle istruzioni operative circa l’attività concreta da svolgere. Ad esempio: specificando le modalità di compilazione e conservazione di una checklist di controllo con il divieto di annotazione di alcuno dei dati relativi al Green Pass.

Autorizzare, istruire e formare gli operatori che accedono ai dati: profili operativi

Il mancato aggiornamento del sistema di gestione privacy

Un altro errore oltremodo diffuso è ritenere che l’attività di verifica del Green Pass non comporti trattamento di dati personali, e che di conseguenza non sia richiesto alcun aggiornamento della documentazione. Ma gli interventi a riguardo dell’Autorità Garante per la protezione dei dati personali già smentiscono in modo piuttosto palese questo tipo di interpretazione e anzi richiamano proprio (tanto le istituzioni quanto i privati) al corretto adempimento dei principi del GDPR.

Per quanto riguarda il sistema documentale, è necessario quanto meno:

  • produrre le informative relative all’attività di verifica, conformemente agli artt. 13 e 14 GDPR;
  • aggiornare i registri delle attività di trattamento, conformemente all’art. 30 GDPR;
  • redigere l’atto di designazione dei verificatori, con autorizzazioni ed istruzioni, conformemente all’art. 29 GDPR;

e, ovviamente, in fase operativa verificare che tali interventi documentali siano operativamente attuati.

Particolare attenzione va posta nella definizione dei termini di conservazione delle checklist relative agli esiti dei controlli, ad esempio, così come al riscontro dell’effettiva somministrazione delle informazioni agli interessati o che i soli verificatori designati svolgano tali attività[4].

Il mancato coinvolgimento di DPO e Privacy Officer

Ultimo ma non meno importante, il mancato coinvolgimento del DPO o del Privacy Officer è un errore tutt’ora persistente e diffuso tanto nell’ambito pubblico quanto privato.

Con specifico riferimento al DPO, va ricordato che vi è un obbligo specifico per cui tale funzione deve essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”[5], mentre per il Privacy Officer il suo mancato coinvolgimento non potrà che comportare dei rischi di non conformità in relazione ai principi di privacy by design e privacy by default[6].

Avvalersi della consulenza e informazione specifica in ambito di protezione dei dati personali già in sede di progettazione delle misure organizzative comporta infatti un minore rischio di incorrere in una o più non conformità operative.

Di non meno conto è ulteriormente l’attività successiva di sorveglianza svolta da tali figure professionali al fine di verificare la rispondenza delle misure predisposte ai criteri indicati dalla norma o dalle procedure adottate ed operare interventi correttivi.

Conclusioni

La responsabilizzazione delle organizzazioni nella definizione delle modalità operative per svolgere le attività di verifica del Green Pass rappresenta certamente un costo operativo e strategico da affrontare, ma un approccio corretto e consapevole di prescrizioni specifiche e dei principi in materia di protezione dei dati personali può consentire un’ottimizzazione dei costi senza svilire l’efficace attuazione degli obiettivi indicati dalla norma.

 

NOTE

  1. Così, il d.l. 22 aprile 2021, n. 52.

  2. Come da considerando n. 4 GDPR.

  3. Il principio di privacy by design.

  4. Previsto dall’art. 35.5 GDPR.

  5. Così, l’art. 38.1 GDPR.

  6. Art. 25 GDPR.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr