Obbligo di verifica del c.d. green pass: modalità e limiti.

Sempre più spesso sentiamo parlare di Green Pass.
Ad oggi, il c.d. certificato verde non serve più solo per partecipare a feste di nozze o per le visite nelle case di riposo per anziani, ma anche per l’accesso a eventi sportivi, fiere, congressi, musei, parchi tematici e di divertimento, teatri, cinema, concerti, concorsi pubblici, istituti scolastici. E l’ingresso in bar, ristoranti, piscine, palestre e centri benessere, limitatamente alle attività al chiuso.
Le multe per i trasgressori sono salate. Vanno da 400 a 1000 euro sia a carico dell’esercente sia del cliente. E in caso di violazione reiterata per tre volte in tre giorni diversi, «l’esercizio potrebbe essere chiuso da 1 a 10 giorni».
Considerato quindi il crescente utilizzo che verosimilmente verrà fatto di questo strumento è necessario fare un po’ di chiarezza sul punto al fine di comprendere chi siano i soggetti tenuti alla verifica e quali modalità devono essere seguite per operare correttamente.
L’Autorità Garante per la Protezione dei dati personali ha ricevuto negli ultimi tempi diversi quesiti, da parte di soggetti a vario titolo destinatari dei nuovi obblighi, introdotti dal D.L. n. 105 del 2021, in relazione all’uso delle certificazioni verdi in “zona bianca”. Tali istanze mirano, in particolare, a ottenere una pronuncia del Garante su questi obblighi, sui limiti e sui presupposti del potere di accertamento dell’identità del titolare delle certificazioni verdi, sui contesti nei quali sia richiesto il possesso di tali attestazioni e sulle implicazioni della loro eventuale inosservanza da parte dei rispettivi destinatari. Ciò in quanto un utilizzo non corretto delle certificazioni verdi e/o delle modalità di verifica delle medesime potrebbero comportare un trattamento illecito di dati personali, con tutte le conseguenze e sanzioni che ne derivano.
Innanzitutto, si può rilevare come la disciplina delle certificazioni verdi sia legittima, sotto il profilo della protezione dei dati, nella misura in cui si inscriva nel perimetro delineato dalla normativa vigente e si limiti al trattamento dei soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione).
Ai sensi dell’art. 13 del DPCM 17 giugno 2021, la verifica delle certificazioni verdi COVID-19 è effettuate mediante lettura del QR Code tramite l’unica app consentita, ovvero quella sviluppata dal Ministero della Salute “VerificaC 19”, che consente solamente di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’intestatario (nome, cognome e data di nascita), senza rendere visibili le informazioni che ne hanno determinato l’emissione.
Non sussiste in capo ai soggetti verificatori alcun obbligo di verifica del documento di identità dell’interessato. Tale possibilità potrà essere fatta valere dal soggetto preposto alla verifica solo ove vi sia una palese incongruenza tra ciò che risulta dalla verifica tramite app “VerificaC 19” e ciò che appare (ad es. nel caso in cui sia palese che la data di nascita riportata sul Green Pass non possa essere quella del soggetto che lo presenta).
Non è invece prevista alcuna possibilità di raccolta e/o archiviazione in qualunque forma delle certificazioni da parte dei soggetti verificatori.
Il trattamento dei dati personali funzionale a tali adempimenti, se condotto conformemente alla disciplina sopra richiamata e nel rispetto delle norme in materia di protezione dei dati personali (e in primo luogo del principio di minimizzazione) non può, pertanto, comportare l’integrazione degli estremi di alcun illecito, né tantomeno l’irrogazione delle sanzioni paventate nelle note ricevute dal Garante.
Pertanto, le richieste da parte di palestre e centri sportivi ai loro abbonati e associati di trasmissione e consegna, assieme al certificato di sana e robusta costituzione, di copia del Green Pass con evidenziata la relativa data di scadenza rappresentano una violazione della vigente disciplina in materia di protezione dei dati personali giacché il titolare del trattamento – palestra, centro sportivo o qualsiasi altro analogo soggetto – non ha titolo per acquisire la data di scadenza del Green Pass e conservare gli altri dati personali contenuti nel medesimo documento. È evidente e comprensibile che la prassi che si sta andando diffondendo renderebbe più facile la vita ai gestori di palestre e centri sportivi e, forse, anche ad abbonati e associati ma, al tempo stesso, frustra gli obiettivi di bilanciamento tra privacy, tutela della salute e riapertura del Paese, interessi che si è voluto perseguire con l’introduzione del Green Pass e la disciplina relativa alle modalità di verifica.
In conclusione, la disciplina sul Green Pass prevede che lo stesso debba – nei soli luoghi nei quali è necessario ai sensi di quanto previsto dalla legge – essere semplicemente esibito all’ingresso e debba essere letto dagli incaricati esclusivamente attraverso l’apposita app “VerificaC 19” messa a punto dal Governo, app che consente al verificatore di accedere solo a un’informazione binaria: il titolare del documento ha o non ha un Green Pass valido senza alcun riferimento né alla condizione – vaccino, guarigione dal Covid19 o tampone – che ha portato al rilascio del Green Pass, né alla data di scadenza del documento medesimo.