Con l’ordinanza n. 5130 del 17 settembre 2021 il Consiglio Di Stato, rigettando un appello cautelare in cui veniva chiesta la sospensione dell’efficacia del D.P.C.M. 17.6.21 (che, si ricorda, contiene la disciplina attuativa delle modalità di verifica del green pass, introdotto dal D.L. 52/21 e ora esteso ai dipendenti pubblici e privati con il D.L. 127/21), ha chiarito, tra le altre cose, che l’attività di controllo delle “certificazioni verdi” (c.d. green pass) non viola la riservatezza dei dati sanitari perché al verificatore non è dato sapere la base da cui è stato emesso il green pass stesso (vaccinazione, guarigione da Covid-19, tampone).
Le conclusioni dell’ordinanza in commento si allineano con quanto già in precedenza, in più occasioni, sottolineato dal Garante per la Protezione dei Dati Personali, da ultimo con la Nota del Suo Presidente Prof. P. Stanzione del 6 settembre 2021, ovvero che :
- la verifica delle certificazioni verdi comporta il trattamento dei dati personali, ma non la loro conservazione (come del resto ricordato dal disposto dello stesso D.P.C.M. 17.6.21 all’art. 13)
- l’obbligo di verifica del green pass, nel rispetto del principio di minimizzazione di cui all’art. 5 GDPR, non deve comportare la rilevazione di dati eccedenti le finalità perseguite e, in particolare, di dati inerenti la condizione sanitaria dell’interessato.
Da questi due punti si evincono alcune indicazioni operative per i soggetti obbligati a verificare il green pass:
- i soggetti verificatori non devono sapere per quale ragione si è in possesso di un valido green pass. Essi devono limitarsi a verificarne la validità e la riconducibilità al titolare: in tal modo verranno trattati solo dati comuni (nome, cognome, data di nascita, “flag verde” della certificazione) e non dati sanitari (vaccinazione, guarigione).
- I soggetti verificatori non possono chiedere in anticipo (es. a mezzo email) copia il green pass in quanto questo ulteriore trattamento (la conservazione) non è previsto dalla norma (D.L. 52/21 e D.M. 17.6.21) e, pertanto, contravviene al principio di “minimizzazione” del trattamento ex art. 5 GDPR, configurando, pertanto, un trattamento illecito di dati personali. Ciò comporta inevitabilmente che, non sapendo l’origine del green pass il verificatore (es. datore di lavoro) non potrà né dovrà conoscere la durata della sua validità, dovendolo verificare a ogni accesso.
- Il mero possesso di una certificazione verde valida non è un dato sanitario ma un dato comune.
- Per quanto riguarda la verifica del green pass cartaceo, i soggetti verificatori dovranno limitarsi a visionare soltanto la parte della pagina contenente il QR code (c.d. “frontespizio”), ponendo in essere le misure idonee a evitare la visualizzazione dei dati sanitari contenuti nelle altre sezioni della pagina (Ad esempio un cartello che inviti i possessori di certificato cartaceo a mostrarlo piegato al verificatore), come peraltro indicato nel foglio stesso e suggerito a più riprese dal Garante per la Protezione dei Dati Personali. Tali misure soddisfano peraltro contemporaneamente due ordini di normative: dal lato della privacy si inseriscono tra i ben noti obblighi di “accountability” e di privacy by design di cui agli artt. 5 e 25 GDPR, dal lato “lavoristico” e “pubblicistico” assolvono agli obblighi di cui al D.L. 127/2021, il quale prevede che, entro il 15 ottobre p.v., tutti i datori dovranno adottare adeguati protocolli per il controllo delle certificazioni verdi.
Avv. Francesco Corallini Garampi
Per richiedere informazioni sui nostri servizi di consulenza in materia di protezione dei dati potete contattare il nostro studio via email o telefonicamente allo 0712415178.
Studio legale tributario Corallini Garampi
Email: fcg@fcglex.it
Tel. e fax: 0712415178