Green pass Covid-19: che cos’è, come usarlo e come fare per tutelare i nostri dati
Una guida completa al Green pass: come funziona e quali sono le misure introdotte a tutela dei dati personali
17 Settembre 2021
Patrizia Cardillo
Esperta di Protezione dati personali, Coordinatrice del Network dei RPD delle Autorità indipendenti
- 1 Podcast su Green Pass (passaporto vaccinale)
- 2 Che cos’è il green pass
- 3 Il quadro normativo
- 4 Quando si può ottenere il green pass
- 5 Quali vaccini sono accettati
- 6 Come si scarica il green pass
- 7 Quali dati contiene il green pass
- 8 Qual è la finalità del trattamento dei dati
- 9 Che validità ha il green pass
- 10 Come tutelare la privacy
- 11 Tutela dei dati personali: le misure di garanzia introdotte dalla normativa
- 12 Quando e a chi esibire il green pass
- 13 La sicurezza della app IO
- 14 Il coordinamento tra i Paesi europei: un elemento da rafforzare
- 15 Le misure previste nei diversi Paesi UE
Podcast su Green Pass (passaporto vaccinale)
Il green pass europeo è entrato in vigore il 1° luglio 2021. Certifica l’avvenuta vaccinazione contro il Covid-19, oppure l’avvenuta guarigione, o un test recente con esito negativo e consente di spostarsi nei vari paesi europei, mentre quello italiano era un pass “intranazionale” e consentiva la partecipazione a eventi pubblici, l’accesso alle strutture sanitarie assistenziali (Rsa) e gli spostamenti sul territorio nazionale.
Che cos’è il green pass
Il green pass è una certificazione in formato digitale (e volendo anche stampabile), che contiene un Qr code per verificarne autenticità e validità, e consente di spostarsi in tutti i Paesi dell’Unione europea e dell’area Schengen senza essere sottoposti a quarantena. In Italia la certificazione emessa dalla piattaforma nazionale del ministero della Salute è quindi ora valida anche come Eu digital COVID certificate.
Per recarsi nei paesi extra Ue, occorre comunque “vedere quale normativa gli altri paesi impongono a riguardo perché possono non riconoscerlo e magari imporre delle quarantene”, come ha sottolineato di recente il Garante per la Protezione dei dati personali, Pasquale Stanzione. Infatti la competenza in materia di “salute” resta in capo ai singoli Stati, i quali – nel rispetto del principio di reciprocità – sono comunque tenuti ad applicare ai cittadini stranieri lo stesso trattamento previsto per i propri.
Il quadro normativo
Il Regolamento (UE) 2021/953 ha definito un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione COVID-19 (EU digital COVID certificate) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19. Ed è sul Regolamento europeo che si innesta la Legge 17 giugno 2021, n. 87 “Conversione in legge, con modificazioni, del decreto-legge 22 aprile 2021, n. 52, recante misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”: era evidente sin dalle prime battute che solo un provvedimento di tale portata avrebbe potuto risolvere dubbi e resistenze.
Con il Decreto del Presidente del Consiglio dei Ministri 17 giugno 2021 Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, pubblicato nella G.U. n. 143 del 17 giugno 2021, è stato quindi definito il quadro tecnologico per l’operatività del green pass.
In sede di conversione la legge 87/2021 ha dettagliatamente indicato le finalità di utilizzo (art. 9, comma 10bis): le certificazioni verdi COVID-19 possono essere utilizzate esclusivamente ai fini di cui agli articoli 2, comma 1 (spostamenti in entrata e in uscita dai territori collocati in zona arancione o rossa), articolo 2-bis (accesso sale d’attesa dei dipartimenti di emergenza), articolo 2-quater (accesso strutture di ospitalità e lungodegenza); articolo 5, comma 4 (spettacoli e eventi sportivi), articolo 7, comma 2 (fiere convegni e congressi), e articolo 8-bis, comma 2 (cerimonie civili e religiose).
Sull’introduzione dell’obbligo in ambito lavorativo il legislatore è intervenuto una prima volta stabilendo che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce “requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative” (art.4 del d.l. 1 aprile 2021, n.44 convertito in legge n. 76 del 28 maggio 2021).
Diversamente per le altre attività e professioni l’attenzione si è spostata sul possesso e sull’obbligo di esibire il Green Pass. Il 16 settembre 2021 il Governo, trovato l’accordo con tutte le parti sociali e superate diverse perplessità, ha esteso la validità del green pass per l’accesso a tutti i luoghi di lavoro, pubblici e privati. L’obbligo è rivolto a chi presta a qualsiasi titolo attività lavorativa o di formazione o di volontariato presso le pubbliche amministrazioni, comprese le Autorità amministrative indipendenti, la Banca d’Italia, gli enti pubblici economici e gli organi di rilievo costituzionale. Quest’ultimi dovranno adeguare i propri ordinamenti. Impatta anche su chiunque svolga una attività lavorativa nel settore privato, a qualsiasi titolo, compresi liberi professionisti, partite Iva e studi professionali. Ovunque sia possibile controllare l’accesso.
Sanità
Super Green Pass: dal 15 ottobre obbligo per tutti i lavoratori
Il governo ha varato il decreto che estende l’obbligo del green pass a tutti i lavoratori dal 15 ottobre. Prevista…
di Patrizia Cardillo
17 Settembre 2021
Dal 6 agosto 2021 (Decreto legge 23 luglio 2021, n.105) è obbligatorio mostrare la certificazione per consumare al tavolo al chiuso in bar e ristoranti, per andare in palestra e praticare altri sport al chiuso e andare allo stadio, per andare a teatro, al cinema, ai concerti, a Fiere e convegni, per entrare nei musei, nei centri termali, nei parchi divertimenti, nei centri culturali, nelle sale da gioco e nei Casinò, per partecipare ai concorsi.
Dal 1 settembre (Decreto legge 6 agosto 2021, n.111) il Green Pass deve essere esibito per viaggiare su aerei, treni, navi ma non sui mezzi pubblici; è oggi obbligatorio per il personale e gli insegnanti delle scuole di ogni ordine e grado e per gli studenti universitari.
Con il DL 10 settembre 2021, n.122 l’obbligo è stato esteso sino al 31 dicembre 2021 (ad oggi termine di cessazione dello stato di emergenza sanitaria): chiunque accede alle strutture delle istituzioni scolastiche, educative e formative deve esibire la certificazione verde covid, questo vale anche per i genitori. L’obbligo non si applica ai bambini, agli alunni e agli studenti nonché ai frequentanti i sistemi regionali di formazione, ad eccezione di coloro che prendono parte ai percorsi formativi degli Istituti tecnici superiori. Il dirigente scolastico e i responsabili di tutte le istituzioni scolastiche, educative e formative, sono incaricati di verificare il possesso del Green Pass da parte del prestatore di lavoro. Se l’accesso è motivato da ragioni di lavoro, la verifica il rispetto dell’obbligo ricade sui rispettivi datori di lavoro.
Le sanzioni per il mancato rispetto delle nuove norme di legge variano da 400 a 1.000 euro e, per l’esercente arrivare sino alla temporanea chiusura del locale.
Quando si può ottenere il green pass
La certificazione si ottiene nei seguenti casi:
- dopo 14 giorni dalla seconda dose di vaccino Astrazeneca, Pfizer o Moderna (per viaggiare liberamente in Italia è sufficiente invece aver effettuato da 14 giorni la prima dose) o l’unica somministrazione di Johnson & Johnson;
- sottoponendosi a un tampone molecolare o antigenico con esito negativo nelle 48 ore precedenti;
- dopo la guarigione dal Covid-19 (per i successivi sei mesi).
Quali vaccini sono accettati
Riguardo il completamento del ciclo vaccinale la certificazione fa esclusivamente riferimento ad uno dei quattro vaccini approvati dall’Agenzia europea per i medicinali (EMA): Comirnaty di Pfizer-BioNtech, Moderna, Vaxzevria (AstraZeneca), Janssen (Johnson & Johnson).
Come si scarica il green pass
Dopo la vaccinazione, dopo aver effettuato il tampone o essere guariti dal Covid-19 si riceve un sms o una mail dal ministero della Salute che notifica la disponibilità del proprio green pass. Diversi i modi per scaricarlo: attraverso il sito www.dgc.gov.it tramite SPID o tessera sanitaria; nel proprio fascicolo sanitario elettronico; tramite le App Immuni e IO ma anche con l’aiuto del medico, del pediatra di famiglia o dal farmacista. Tutte le certificazioni, associate a tutte le vaccinazioni effettuate, verranno generate in modo automatico.
Quali dati contiene il green pass
Il green pass contiene: nome, data di nascita, soggetto che ha rilasciato il certificato, identificativo univoco del certificato. Per chi ha effettuato la vaccinazione: tipo di vaccino e fabbricante, numero di dosi ricevute, data di vaccinazione. Per chi si è sottoposto al test molecolare o antigenico: tipo di test, data e ora, luogo e risultato. Per il certificato di guarigione da Covid-19: data del risultato positivo al test e periodo di validità.
Qual è la finalità del trattamento dei dati
In sede di conversione del D.L. 52/92 con la Legge 17 giugno 2021, n. 87, il legislatore ha risolto anche molti dei dubbi del Garante sulle finalità del trattamento limitandone l’utilizzo alle seguenti finalità:
- spostamenti in entrata o uscita dai territori ricadenti in zona arancione o rossa;
- permanenza nelle sale d’attesa di dipartimenti d’emergenza e accettazione e dei reparti di pronto soccorso da parte di accompagnatori di pazienti non affetti da COVID-19;
- uscite temporanee alle persone ospitate presso strutture di ospitalità e lungodegenza, residenze sanitarie assistite, hospice, strutture riabilitative e strutture residenziali per anziani, autosufficienti e non, strutture residenziali socioassistenziali e altre strutture elencate nel decreto;
- accesso a particolari eventi e spettacoli dal vivo secondo le prescrizioni di cui alle linee guida;
- accesso a particolari fiere, convegni e congressi secondo le prescrizioni di cui alle linee guida;
- partecipazione a feste conseguenti alle cerimonie civili o religiose, anche al chiuso, anche organizzate mediante servizi di catering e banqueting.
In seguito due DL hanno integrato l’art. 9 della Legge n. 87/21.
Il primo è il DL 105/21 con l’art. 9bis, che fissa l’obbligo di esibizione del green pass per accedere ai seguenti servizi e attività:
- servizi di ristorazione svolti da qualsiasi esercizio per il consumo al tavolo al chiuso;
- spettacoli aperti al pubblico, eventi e competizioni sportivi;
- musei, altri istituti e luoghi della cultura e mostre;
- piscine, centri natatori, palestre, sport di squadra, centri benessere, anche all’interno di strutture ricettive, di cui all’articolo 6, limitatamente alle attività al chiuso;
- sagre e fiere, convegni e congressi;
- centri termali, parchi tematici e di divertimento;
- centri culturali, centri sociali e ricreativi, limitatamente alle attività al chiuso e con esclusione dei centri educativi per l’infanzia, compresi i centri estivi, e le relative attività di ristorazione;
- attività di sale gioco, sale scommesse, sale bingo e casinò;
- concorsi pubblici.
E poi il DL 111/21 che con l’art. 9-ter ha disciplinato l’impiego delle certificazioni verdi per tutto il personale scolastico del sistema nazionale di istruzione e universitario, nonché gli studenti universitari e con l’art 9-quater ha regolato l’uso dei mezzi di trasporto.
Quest’ultimo, in particolare dispone che fino al 31 dicembre solo chi è in possesso della certificazione verde può accedere e utilizzare:
- aeromobili adibiti a servizi commerciali di trasporto di persone;
- navi e traghetti adibiti a servizi di trasporto interregionale, esclusi i collegamenti marittimi nello Stretto di Messina;
- treni impiegati nei servizi di trasporto ferroviario passeggeri di tipo Intercity, Intercity Notte e Alta Velocità;
- autobus adibiti a servizi di trasporto di persone, ad offerta indifferenziata, effettuati su strada in modo continuativo o periodico su un percorso che collega più di due regioni ed aventi itinerari, orari, frequenze e prezzi prestabiliti;
- autobus adibiti a servizi di noleggio con conducente, ad esclusione di quelli impiegati nei servizi aggiuntivi di trasporto pubblico locale e regionale.
L’obbligo di verifica è posto a carico dei titolari o dei gestori dei servizi, dei dirigenti scolastici e dei vettori.
Gravi le conseguenze previste dall’art. 9 ter, comma 2: il mancato rispetto delle disposizioni da parte del personale scolastico e di quello universitario è considerato assenza ingiustificata e a decorrere dal quinto giorno di assenza il rapporto di lavoro è sospeso e non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominato.
Negli allegati al DPCM si trova l’elenco delle misure di sicurezza adottate, le caratteristiche della Piattaforma nazionale-DGC e la finalità perseguita con riferimento al trattamento dei dati di contatto degli interessati che verranno conservati fino alla scadenza della validità del certificato. Sicuramente occorre garantire l’integrità, la riservatezza e l’esattezza dei dati estratti dalla piattaforma dell’ISS e relativi a infezioni/vaccinazioni e vigilare sull’attività d’informazione dei soggetti interessati soprattutto in reazione alla delicatezza dei dati riportati nelle certificazioni.
Che validità ha il green pass
Il green pass decade nel momento in cui venisse accertato che il soggetto che ne è munito è positivo al virus e i dati saranno eliminati alla scadenza della validità del certificato; la scadenza è fissata a 270 giorni dalla seconda somministrazione con l’art. 9 della legge 87/21.
Un suo possibile prolungamento sino a 12 mesi è oggi in discussione al Senato nell’ambito dell’esame del provvedimento di conversione di legge del Dl 23 luglio 2021, n. 105.
Come tutelare la privacy
Siamo noi che con il nostro comportamento, l’ansia di condividere, di apparire, di essere la nostra realtà virtuale che interagisce con i nostri follower, mettiamo a rischio i nostri diritti. E il green pass è il nuovo testimonial: cominciano a comparire sui social le immagini dei primi QR-code esibiti come un trofeo. È una pessima idea. Il Garante lancia l’allarme sulla pericolosità di tale semplice gesto entrato, purtroppo, nel quotidiano di molti di noi. Rappresentazione di uno status simbol, che può esporre informazioni personali e nostri dati sanitari a chiunque sia interessato a tali informazioni: la nostra identità ma anche nostri dati sanitari, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un tampone, quando e il suo esito e tanto altro.
Dati che possono essere utilizzati per conoscere le nostre abitudini, eventuali patologie, negare impieghi o accessi a determinati luoghi, fare truffe ai nostri danni o per profilazione commerciale. Ma si possono anche utilizzare le informazioni nascoste per attacchi mirati e furti d’identità, i cybercriminali sono sempre attenti. Infatti ogni elemento reso noto va ad arricchire le informazioni raccolte su di noi nei data base che circolano sul web, e che così contribuiscono ad accrescerne il valore. Ma anche, è possibile, ad incrementare il mercato dei falsi titoli o anche solo a minare la sicurezza della loro circolazione.
Tutela dei dati personali: le misure di garanzia introdotte dalla normativa
Governo e Garante hanno definito delle misure a garanzia della tutela dei nostri dati, per rendere sicuro il green pass come modalità di comunicazione econdivisione delle informazioni vaccinali. Si tratta, infatti, di un aspetto certamente privato, legato al nostro stato di salute ma, in questo momento, è anche e soprattutto un elemento utile alla riduzione del rischio che rileva ai fini del diritto collettivo alla tutela della salute.
Queste misure, quindi, operano con equilibrio un corretto mix tra le esigenze di salute e sanità pubblica e i principi posti a fondamento della tutela dei dati personali dal Regolamento UE 679/2016, quali minimizzazione, proporzionalità e chiarezza su casi d’uso e destinatari. Occorre, infatti, coniugare le esigenze individuali, vale a dire i diritti fondamentali, i dati sensibili, soprattutto quelli sanitari, con le esigenze collettive. Il green pass deve essere una sorta di semaforo, un semaforo verde, che però non fornisce altre informazioni sulla persona che deve essere controllata, vale a dire se è vaccinato, guarito o ha fatto il tampone.
E la tutela dei dati personali è al centro del corretto meccanismo di accertamento e verifica che consente l’accesso in sicurezza ai locali scolastici ed universitari di cui al DPCM 10 settembre 2021 frutto di una intensa interazione tra Governo e Garante.
Quando e a chi esibire il green pass
Il QR-code deve essere esclusivamente esibito alle forze dell’ordine e a chi è autorizzato nei casi espressamente previsti a richiederlo solo per l’esercizio di quelle attività per le quali la legge ne prevede l’esibizione e deve essere letto esclusivamente attraverso l’apposita APP nazionale (VerificaC19), che garantisce che il verificatore veda solo se abbiamo o non abbiamo un green pass valido e non anche altre informazioni e, soprattutto, non conserva nulla.
La sicurezza della app IO
In fasi successive sono anche stati chiariti i risvolti tecnologici di una delle modalità messe a disposizione per l’accesso al “passaporto vaccinale”, l’app IO inizialmente approvata “con riserva”.
PagoPA, per adeguarsi alle indicazioni del Garante, si è impegnata a minimizzare i dati degli utenti trasmessi a Mixpanel, ha limitato il set di dati trasferiti alla società statunitense, nonché disattivato alcune funzioni che consentivano di risalire all’ubicazione dell’utente attraverso il suo IP, i servizi di Google non necessari e ha adottato misure affinché il contenuto degli avvisi ai cittadini non venga più conosciuto da Google. Gli interessati dovranno essere adeguatamente informati ed esprimere il preventivo consenso al trasferimento dei dati. A partire dal 9 luglio 2021, gli utenti potranno scegliere quali servizi attivare sull’App IO tra gli oltre 12mila disponibili; nessuno sarà attivato di default. Anche l’inoltro alla propria mail di tutti messaggi ricevuti sull’App dovrà essere richiesto dai cittadini.
Il coordinamento tra i Paesi europei: un elemento da rafforzare
Ma l’attenzione, come ha ricordato la Commissione europea inviando a tutti gli Stati membri una forte raccomandazione proprio alla vigilia del 1° luglio, deve essere oggi posta sull’esigenza di assicurare un forte coordinamento tra le iniziative in atto nei diversi paesi proprio al fine di garantire la libera circolazione, senza restrizioni, a tutti i cittadini europei. Maggiori restrizioni di viaggio ai titolari di un certificato, potranno essere previste solo se necessarie e proporzionate per tutelare la salute pubblica. Potrà accadere ad esempio che, in risposta a nuove varianti che destino preoccupazione, lo Stato membro introduca ulteriori limitazioni informandone la Commissione e tutti gli altri Stati membri, portando elementi a sostegno di tale decisione.
Agire insieme è l’arma più efficace in nostro possesso, si può e si deve.
Le misure previste nei diversi Paesi UE
Dal primo luglio i cittadini europei che possiedono il Certificato possono muoversi liberamente tra paesi membri senza particolari restrizioni, ma all’interno dei confini nazionali le regole possono essere diverse.
Così come è successo in Italia a partire dal 6 agosto, anche in altri paesi europei è diventato obbligatorio mostrare il Certificato per entrare in alcuni luoghi al chiuso, o fare certe attività: e sono regole da sapere soprattutto per chi ha intenzione di viaggiare all’estero per lavoro o per turismo.
In alcuni paesi sono presenti sfumature diverse richieste per la certificazione in termini di informazioni, di lingua, di validità oltre a ulteriori formalità richieste (registrazione o compilazione di moduli). Ad esempio, in Francia già dal 21 luglio per i cittadini maggiorenni era necessario avere il passe sanitaire per accedere a spazi pubblici come musei, cinema, teatri e parchi divertimento che accolgono più di 50 persone contemporaneamente, e dal 9 agosto è diventato obbligatorio anche per accedere a bar e ristoranti (anche negli spazi all’aperto), e per viaggiare su treni e bus a lunga percorrenza o sui voli interni. Dal 30 settembre, inoltre, verrà richiesto a tutti a partire dai 12 anni.
L’esempio di Italia e Francia non è stato seguito da due altri grandi stati europei come Germania e Spagna, che non hanno introdotto un obbligo nazionale e hanno lasciato alle autorità regionali o cittadine la facoltà di richiedere il certificato per accedere ad alcuni luoghi pubblici con conseguenze di trattamenti diversi all’interno di singole aree territoriali per decisioni delle singole amministrazioni o dei tribunali.
Ma la situazione è fluida e in continua evoluzione in ragione dell’andamento dell’epidemia e delle varianti. Differenze possono essere anche connessa alla classificazione europea delle zone a rischio, che vede oggi l’Italia ancora in zona Arancione.
Se possibile ancora più complessa e non riconducibile in categorie, la situazione nel resto del mondo con prevalente previsione di periodi di quarantena in Italia al rientro da tali paesi partendo dal presupposto che, ad oggi, nessun paese può essere considerato a basso rischio epidemiologico.
Sempre più è, pertanto, fortemente consigliato, prima di mettersi in viaggio, consultare i siti nazionali che forniscono informazioni specifiche e sempre aggiornate anche per diverse tipologie di viaggiatori. Utile e aggiornato sulla situazione in tempo reale sicuramente il sito www.viaggiaresicuri.it del nostro Ministero degli Affari Esteri.
Ovviamente non si può non condividere l’invito della Commissione ad una “tempestiva e coerente applicazione della raccomandazione aggiornata sulle misure coordinate di restrizione alla libertà di movimento e sul certificato digitale Covid dell’UE” garantendo le esenzioni alle restrizioni di viaggio per le persone completamente vaccinate e guarite. La stessa Commissione invita però gli stati membri anche a predisporre piani per il tracciamento in caso di contagi e operatori preparati e in possesso delle informazioni necessarie ad eventuali emergenze. Occorre agire e prepararsi ad agire in maniera unitaria: è la lezione che l’Europa deve metabolizzare da questa pandemia.
Il Campus di FPA Digital School
Come attuare il GDPR nelle pubbliche amministrazioni
Un percorso di formazione online con la supervisione scientifica e la conduzione di Patrizia Cardillo, docente ed esperta della materia, che ha ricoperto il ruolo di Responsabile protezione dati per Arera, in co-docenza per alcuni moduli con Anna Cataleta, Avvocato specializzata in temi di data protection e Giulia Adotti, Avvocato Cassazionista, esperta nell'ambito della tutela dei Diritti della Persona, in particolare in materia di privacy
18 Dicembre 2024