L'APPROFONDIMENTO

Verifica Green Pass: aspetti privacy e adempimenti per le attività ricettive e non solo

L’entrata in vigore del Green Pass e l’avvio delle procedure di verifica della certificazione verde Covid-19 offrono lo spunto per evidenziare alcuni aspetti della normativa privacy spesso poco conosciuti, oltre che analizzare gli adempimenti in capo a datori di lavoro e gestori di bar e ristoranti

13 Ago 2021
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

La pandemia di Covid-19 è un’interessante opportunità di studio per valutare i casi di applicazione (o non applicazione) della normativa privacy o più specificatamente del GDPR, ad esempio parlando di Green Pass e delle procedure di verifica della certificazione verde: sono infatti frequenti gli errati richiami a questo regolamento anche quando il GDPR proprio non ha ragione di essere citato.

Iniziamo con un breve ripasso su quella che è la normativa privacy vigente a livello europeo.

La normativa privacy vigente

Oltre al già citato Regolamento (UE) 2016/679, il regolamento generale sulla protezione dei dati o GDPR per intenderci, esistono altre normative.

In particolare, la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio recepita in Italia dal D.lgs. 18 maggio 2018, n. 51.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

C’è poi il Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE.

Ed infine, quantomeno a livello comunitario, la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), recepita in Italia dal D.lgs. 196/03.

Oltre alle normative europee, in Italia abbiamo il sopra citato D.lgs. 196/03, oltre ai numerosi atti dell’Autorità Garante per la protezione dei dati personali.

Alcuni richiami alla normativa privacy sono inoltre contenuti in altre normative.

Ovviamente, i singoli Stati dell’UE ed altri Stati nel mondo hanno loro normative privacy che è necessario conoscere allorquando vi siano dei trattamenti che li coinvolgono.

Da ultimo, anche se non hanno carattere prettamente normativo, vanno considerate le Linee guida WP29 – EDPB.

Un quadro molto articolato e complesso che, per quanto riguarda la gestione della materia attinente alla Covid-19, può vedere coinvolta in particolare, oltre al GDPR, il D.lgs. 18 maggio 2018, n. 51.

Green pass venduti su Telegram, tutto sulla truffa dell’estate

Verifica Green Pass, alla luce della normativa vigente

Prendiamo ora in considerazione il Green Pass e in particolare le verifiche ad esso collegate così come rappresentate in particolare dal d.P.C.M. del 17 giugno 2021.

Queste si dividono in 2 fasi distinte:

  • la verifica della validità del Green Pass attraverso l’App VerificaC19, utilizzabile su uno smartphone, che può operare tranquillamente offline in quanto, si dichiara, non trasmette alcun dato;
  • la verifica dei documenti di identità del soggetto possessore del Green Pass.

Partiamo da questo secondo aspetto e consideriamolo, ai fini di questa analisi, separato dal contesto.

Il trattamento dati nel controllo dei documenti

Il controllo di un documento finalizzato alla sola identificazione del soggetto che lo possiede (non quindi finalizzato anche alla verifica della veridicità del documento stesso) viene svolta da parte dei verificatori senza alcun utilizzo di strumenti automatizzati, né si procede alla raccolta o altro trattamento di dati personali.

In effetti, l’unico trattamento che viene effettuato è la consultazione dei dati presenti sul documento.

Quindi, in realtà, sia ai sensi del GDPR, sia ai sensi del D.lgs. 18 maggio 2018, n. 51., tale trattamento è al di fuori del loro campo di applicazione.

In altre parole, è del tutto inutile porsi problemi di rispetto della normativa privacy, in quanto questa non si applica.

Infatti, per quanto attiene il GDPR, l’ Articolo 2 Ambito di applicazione materiale recita:

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Nessuna delle fattispecie elencate dall’art. 2.1 viene soddisfatta se ci si limita a consultare un documento e quindi non si rientra nel campo di applicazione del GDPR.

Analoga è la formulazione per l’art. 1 comma 2 del D.lgs. 18 maggio 2018, n. 51, qualora applicabile al caso in questione:

2. Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.

Il trattamento dati nella verifica Green Pass

L’analisi di questi articoli porta ad effettuare anche un’altra considerazione ancor più significativa.

La tutela prevista dalle sopra citate normative è operativa per il Green Pass in quanto per il controllo del documento viene utilizzata un’app.

Se il controllo fosse solo manuale ci troveremmo esattamente nella situazione prima descritta per quanto attiene il documento di identità.

Quindi attenzione; la tutela prevista dalla normativa privacy è attiva non in quanto si trattano dati particolari, ma perché viene effettuata una verifica di validità utilizzando uno strumento automatizzato che oltretutto, oltre a validare il documento, visualizza anche alcuni dati personali.

Gli adempimenti per i gestori di bar e ristoranti

Appurato, quindi, che ci troviamo di fronte a un trattamento di dati personali, quali sono in linea teorica gli adempimenti che deve mettere in atto un titolare del trattamento (cioè, ad esempio, il gestore di un ristorante)?

Prima di tutto rilasciare un’informativa.

Anche in questo caso, però, potremmo ipotizzare una semplificazione per il titolare del trattamento.

Il perché e il come i dati vengono trattati è in realtà ampiamente noto a tutti i soggetti che si recano, ad esempio, ad un ristorante.

Quindi il titolare del trattamento potrà avvalersi della semplificazione prevista dal comma 4 dell’Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, che recita:

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

Le informazioni non note a priori da parte degli interessati potrebbero essere, ad esempio, quali siano i suoi diritti, o la denominazione esatta del Titolare e dei suoi recapiti.

Al riguardo sarebbe pertanto sufficiente esporre una breve informativa, ben visibile, prima dell’area in cui avvengono i controlli.

Ma l’informativa è solo uno degli adempimenti; trattandosi di un nuovo trattamento lo stesso va inserito nel registro delle attività di trattamento, devono essere effettuate le analisi dei rischi ai sensi degli artt. 24, 25 e 32, devono essere date istruzioni ai soggetti autorizzati al trattamento e, probabilmente, vista la numerosità dei soggetti coinvolti ed al trattamento di dati particolari, sarebbe opportuno effettuare una DPIA.

Trattamento dati sanitari da parte del datore di lavoro

Affrontiamo ora un altro tema spinoso e cioè il trattamento dei dati sanitari da parte del datore di lavoro.

È possibile effettuare il controllo della disponibilità del Green Pass?

Non formuliamo una risposta, ma ci limitiamo a osservare che tale attività, solitamente non consentita, presenta diverse eccezioni e questo in quanto anche tale eventualità è lecita, se prescritta da una normativa.

Al riguardo l’Autorità Garante nelle sue “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” elenca diversi casi nei quali è consentito al datore di lavoro l’accesso alle diagnosi dei dipendenti:

Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all’Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).

In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro.

Le Linee guida proseguono:

“6.4. Altre informazioni relative alla salute.

A tali fattispecie devono essere aggiunti altri casi nei quali può, parimenti, effettuarsi un trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a informazioni relative a condizioni di handicap…”.

Verifica Green Pass per chi entra in casa nostra

Da ultimo affrontiamo ad un’altra casistica, non espressamente prevista dalla normativa, ma che può interessare tutti noi.

È evidente che ci sentiremmo più sicuri se il nostro idraulico o elettricista o chiunque acceda alla nostra abitazione per le ragioni più diverse disponesse di un Green pass.

Ma possiamo chiederlo?

Come detto sopra, la normativa non lo prevede, ma di fatto non lo vieta; sta alla controparte decidere se rispondere o meno alla nostra richiesta.

Per quanto attiene gli aspetti privacy, anche in questo caso il problema non sussiste; siamo fuori del campo di applicazione del GDPR.

Infatti l’art. 2 – Ambito di applicazione materiale del GDPR recita al comma 2:

2. Il presente regolamento non si applica ai trattamenti di dati personali:

c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;

Quindi se il nostro interlocutore invoca la privacy per non rispondere alla nostra richiesta potete subito smentirlo; tuttavia è comunque un suo diritto non rispondere.

Conclusioni

In conclusione, quindi, prima di invocare la normativa privacy (in assoluto la normativa più invasiva della nostra vita lavorativa e privata), verifichiamo se effettivamente la stessa possa essere applicata.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr