I controlli del Green Pass (la certificazione verde Covid-19) hanno posto molte organizzazioni nella posizione di dover prendere delle decisioni che spesso si sono poste in conflitto con il corretto adempimento della normativa in materia di protezione dei dati personali. Conoscere alcuni degli errori di GDPR compliance più ricorrenti è uno strumento per evitare preventivamente delle violazioni.
Indice degli argomenti
Perché apprendere dall’esperienza
Non è infrequente che l’esperienza negativa e un approccio di tipo lesson learned possa giovare sempre non solamente all’autore ma anche a chi può avvalersi di un’analisi del contesto storico.
Ciò è noto nel campo della sicurezza delle informazioni ma è applicabile in modo analogo all’interno della gestione della conformità normativa, in questo caso nell’ambito della tutela dei dati personali.
Le misure per lo svolgimento delle attività di controllo delle certificazioni verdi o Green Pass, il cui svolgimento ora è stato significativamente esteso in forza del d.l. 21 settembre 2021, n. 127, per quanto siano state rimesse alle modalità organizzative individuate autonomamente da ciascuna organizzazione incontrano le indicazioni di cui al DPCM 17 giugno 2021 e tutta una serie di rischi collegati alla loro declinazione operativa.
È bene ricordare che l’adempimento a tali prescrizioni non comporta formalismi o meri esercizi di stile, dal momento che le tutele cui provvede la norma riguardano il perseguimento dell’obiettivo della ripresa di attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19[1].
Inoltre, il contemperamento della protezione dei dati personali con la tutela fondamentale della salute è un’operazione di bilanciamento che ha trovato una sintesi nelle disposizioni normative in ossequio al principio di proporzionalità[2].
Lo svolgimento di attività di trattamento illecite comporta anche dei rischi di sicurezza insostenibili – e ben lungi dall’essere accettabili – per gli interessati cui fanno riferimento i dati raccolti in ragione, ad esempio, della carenza di una base giuridica valida a sostegno della finalità individuata o in violazione di uno o più principi del GDPR.
Il confronto con le più ricorrenti esperienze di non conformità diffuse al momento può essere uno spunto valido per evitare errori di metodo che andrebbero – soprattutto se diffusamente applicati – a frustrare la serie di tutele fondamentali previste dalla norma.
Giova inoltre ricordare che la protezione dei dati sin dalla progettazione è un principio previsto dall’art. 25 GDPR[3] secondo cui alla determinazione dei mezzi di trattamento (nel caso in esame: nella predisposizione delle misure organizzative di controllo) e all’atto del trattamento stesso (nel caso in esame: nello svolgimento delle verifiche) devono essere messe in atto misure “volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Perché sia efficacemente attuato, dunque, è necessario adottare un corretto approccio operativo che quanto meno prevenga delle non conformità.
Verifica Green Pass: aspetti privacy e adempimenti per le attività ricettive e non solo
La raccolta illecita dei dati del Green Pass
Nonostante sia espressamente vietata la raccolta dei dati, non poche organizzazioni hanno creato banche dati contenenti dei dati delle certificazioni verdi.
Così è accaduto, ad esempio, per le palestre, ma non sono le uniche ad aver predisposto tali procedure in aperta violazione del dettato dell’art. 13 comma 5 DPCM 17 giugno 2021 per cui “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma”.
Che sia il caricamento in PDF o l’anticipazione via e-mail o l’invio di una foto tramite servizio di messaggistica istantanea, tale attività è, fondamentalmente, vietata. Definire un termine breve (o brevissimo) di conservazione o l’applicazione di metodi di cifratura non consente di superare tale limite.
Lato GDPR, prassi di questo genere comportano la violazione del principio di liceità in quanto non vi è una base giuridica validamente individuabile, nonché del principio di minimizzazione dal momento che sono raccolti dati in eccesso rispetto alle finalità indicate dalla norma. Inoltre, è violato anche il principio di esattezza del dato con riguardo alla validità del Green Pass il quale, pur avendo una data di scadenza, può essere revocato.
Uso di sistemi di verifica “alternativi” all’app VerificaC19
È evidenza facilmente riscontrabile il moltiplicarsi nell’arco delle ultime settimane di un’ampia varietà di proposte fondamentalmente illecite riguardanti l’impiego di soluzioni tecnologiche che non integrano l’app VerificaC19.
Circa il sistema di verifica, di regola opera l’esclusività di impiego dell’app VerificaC19, con l’unica eccezione al momento rappresentata dalla piattaforma docenti in ambito scolastico. Ogni sistema alternativo proposto sul mercato non è dunque conforme alle attuali prescrizioni di legge.
Ulteriore errore, con violazione ancora più consistente della normativa in materia di protezione dei dati personali, è la diffusa proposta di adozione di sistemi integrati di riconoscimento facciale, destinata soprattutto a esercizi aperti al pubblico per evitare il “reimpiego” del medesimo Green Pass.
In questo modo, l’attività di verifica non solo andrà a raccogliere i dati della certificazione verde ma anche dati biometrici degli interessati, in carenza di alcun fondamento di liceità per il trattamento di tali informazioni.
Verificatori privi di incarico
Spesso, i verificatori sono designati ma non istruiti. O ancor peggio: né designati né istruiti.
La mancata predisposizione di misure organizzative per la definizione di ruoli e responsabilità dei soggetti verificatori viola la previsione di quell’ “atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” previsto dall’art. 13 comma 3 DPCM 17 giugno 2021.
Tale disposizione, letta tenendo conto della normativa in materia di protezione dei dati personali, altro non è che una declinazione specifica della previsione generale stabilita dall’art. 29 GDPR per cui ricorre l’obbligo generale in capo al titolare del trattamento di autorizzare ed istruire gli operatori che hanno accesso ai dati personali.
Quale che sia la forma che si vorrà dare alla designazione, sebbene la delega scritta appaia come l’unica rispondente al requisito dell’atto formale, è necessario che siano fornite anche delle istruzioni operative circa l’attività concreta da svolgere. Ad esempio: specificando le modalità di compilazione e conservazione di una checklist di controllo con il divieto di annotazione di alcuno dei dati relativi al Green Pass.
Autorizzare, istruire e formare gli operatori che accedono ai dati: profili operativi
Il mancato aggiornamento del sistema di gestione privacy
Un altro errore oltremodo diffuso è ritenere che l’attività di verifica del Green Pass non comporti trattamento di dati personali, e che di conseguenza non sia richiesto alcun aggiornamento della documentazione. Ma gli interventi a riguardo dell’Autorità Garante per la protezione dei dati personali già smentiscono in modo piuttosto palese questo tipo di interpretazione e anzi richiamano proprio (tanto le istituzioni quanto i privati) al corretto adempimento dei principi del GDPR.
Per quanto riguarda il sistema documentale, è necessario quanto meno:
- produrre le informative relative all’attività di verifica, conformemente agli artt. 13 e 14 GDPR;
- aggiornare i registri delle attività di trattamento, conformemente all’art. 30 GDPR;
- redigere l’atto di designazione dei verificatori, con autorizzazioni ed istruzioni, conformemente all’art. 29 GDPR;
e, ovviamente, in fase operativa verificare che tali interventi documentali siano operativamente attuati.
Particolare attenzione va posta nella definizione dei termini di conservazione delle checklist relative agli esiti dei controlli, ad esempio, così come al riscontro dell’effettiva somministrazione delle informazioni agli interessati o che i soli verificatori designati svolgano tali attività[4].
Il mancato coinvolgimento di DPO e Privacy Officer
Ultimo ma non meno importante, il mancato coinvolgimento del DPO o del Privacy Officer è un errore tutt’ora persistente e diffuso tanto nell’ambito pubblico quanto privato.
Con specifico riferimento al DPO, va ricordato che vi è un obbligo specifico per cui tale funzione deve essere “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”[5], mentre per il Privacy Officer il suo mancato coinvolgimento non potrà che comportare dei rischi di non conformità in relazione ai principi di privacy by design e privacy by default[6].
Avvalersi della consulenza e informazione specifica in ambito di protezione dei dati personali già in sede di progettazione delle misure organizzative comporta infatti un minore rischio di incorrere in una o più non conformità operative.
Di non meno conto è ulteriormente l’attività successiva di sorveglianza svolta da tali figure professionali al fine di verificare la rispondenza delle misure predisposte ai criteri indicati dalla norma o dalle procedure adottate ed operare interventi correttivi.
Conclusioni
La responsabilizzazione delle organizzazioni nella definizione delle modalità operative per svolgere le attività di verifica del Green Pass rappresenta certamente un costo operativo e strategico da affrontare, ma un approccio corretto e consapevole di prescrizioni specifiche e dei principi in materia di protezione dei dati personali può consentire un’ottimizzazione dei costi senza svilire l’efficace attuazione degli obiettivi indicati dalla norma.
NOTE
Così, il d.l. 22 aprile 2021, n. 52. ↑
Come da considerando n. 4 GDPR. ↑
Il principio di privacy by design. ↑
Previsto dall’art. 35.5 GDPR. ↑
Così, l’art. 38.1 GDPR. ↑
Art. 25 GDPR. ↑
