Estratto SIG – Green pass: Interazioni col connesso trattamento di dati personali – 2

 In Editoriale - Rss, Puntate 2019 - Rss
Print Friendly, PDF & Email

La disciplina d’uso del green pass, così come indicata dai Dl 52/2021 e 127/2021 e come peraltro ribadito dal regolamento 2021/953, comporta inevitabilmente il trattamento di dati personali per cui, entro tali ambiti, si dovrà  aver cura di conformarsi ad entrambe le discipline. Di seguito si esaminano le implicazioni data protection dell’uso del green pass per l’accesso ai luoghi di lavoro, partendo dalle operazioni conseguenti all’obbligo datoriale di verifica e accertamento e dalla loro eventuale configurabilità come trattamenti di dati personali ai sensi del GDPR

Verifica del certificato

Il datore, mediante appositi incaricati, ha l’obbligo di verificare la sussistenza di un green pass valido, potendo accertarne altresì la corrispondenza tra intestatario e interessato, nonchè eventuali violazioni al divieto di accesso senza green pass. Prima di esaminare le implicazioni che tali operazioni possono avere in base al GDPR, va stabilito se lo stesso regolamento sia applicabile a queste fattispecie: vale a dire se tali operazioni possano configurare trattamenti di dati personali rientranti nell’ambito applicativo del GDPR. 

Quanto alla natura dei dati coinvolti, non sembra dubbio che la maggioranza degli stessi sia composta da informazioni riconducibili direttamente o indirettamente a un interessato, intestatario del certificato: cioè consistenti in “dati personali” secondo la definizione del GDPR.

La definizione di “trattamento” contenuta nel regolamento, facendo riferimento a «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali» non sembra sollevare dubbi circa la riconducibilità delle operazioni di verifica del green pass nell’ambito di tale definizione. 

Pertanto le operazioni connesse alla verifica del green pass si qualificano come “trattamenti di dati personali” secondo le definizioni del regolamento.

Applicabilità del GDPR al trattamento di dati personali relativo alla verifica

Stabilito che le operazioni di verifica rappresentano un trattamento di dati personali, occorre rispondere all’interrogativo se tale “trattamento” possa rientrare nell’ambito applicativo del GDPR: l’articolo 2 del regolamento, sull’ambito di applicazione materiale, stabilisce che il GDPR «si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi».

Verifica del certificato digitale o cartaceo

Sulla base di quanto indicato in precedenza, occorre stabilire se l’operazione di verifica:

  • del certificato digitale, ottenuta con la scansione del QR Code tramite l’app “VerificaC 19”, sia un “trattamento interamente o parzialmente automatizzato di dati personali
  • del certificato cartaceo, tramite visualizzazione da parte dell’incaricato, sia un “trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”. 

 

  1. Verifica del certificato digitale

Al primo quesito sembra potersi dare risposta affermativa per le seguenti motivazioni:

  • la verifica del certificato digitale costituisce un’operazione di trattamento, sia perchè la definizione del termine “trattamento” non ha confini predefiniti circa la tipologia di operazioni che lo compongono sia in quanto gli esempi dell’estrazione, della consultazione e dell’uso contenuti nella medesima definizione inducono a ritenere che la scansione del QR Code tramite il quale l’app VerificaC 19 riscontra come risultato la sussistenza di un certificato in stato di validità consiste in un processo di consultazione, estrazione e uso di dati personali effettuato dalla citata app, ancorchè il risultato che si ottiene si limiti alla validazione o al rigetto. Di conseguenza, la verifica del certificato digitale è un trattamento di dati personali ottenuto tramite un processo automatizzato
  • Come rilevato nelle linee guida 07/2020 dell’EDPB sui concetti di titolare e responsabile, l’acquisizione di dati personali da parte del titolare del trattamento non è condizione necessaria per l’attribuzione della titolarità.

 

  1. Verifica del certificato cartaceo

Più problematica appare, invece, la risposta al secondo quesito: la verifica del certificato cartaceo, infatti, si svolge con modalità che escludono la raccolta e conservazione dei dati contenuti nella certificazione. Pertanto, l’operazione consiste nella mera visualizzazione dei dati pertinenti presenti sul green pass (potenzialmente solo quelli presenti nel primo quarto, cioè il quarto visibile dopo aver piegato il foglio in quattro parti) da parte dell’incaricato. Quindi, il trattamento non è automatizzato nemmeno in parte, nè i dati – solo visionati e non anche raccolti – sono destinati a confluire in un archivio. Da tali considerazioni si potrebbe concludere che per l’operazione di verifica del green pass cartaceo non trova applicazione il GDPR. In tal senso si è pronunciata l’autorità di supervisione olandese riguardo alla misurazione della temperatura corporea di chi accede al luogo di lavoro, da parte di un singolo incaricato, mediante strumentazione analogica e non automatizzata, senza raccolta di dati.

Accertamento di violazioni

Non sembrano sussistere dubbi sull’applicabilità del GDPR, invece, alle operazioni di accertamento di violazioni al divieto di accesso senza green pass, anche nel caso di verifica cartacea, in quanto quest’ultimo comporta l’innesco del procedimento sanzionatorio, con inevitabile raccolta e conservazione di dati personali destinati ad archivi strutturati. 

Figura 1 – Operazioni di trattamento di dati personali connesse alla verifica e all’accertamento del green pass per l’accesso ai luoghi di lavoro

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Illeggibile? Cambia il testo. captcha txt
0