Monito del Garante sulle app “pirata” per la verifica del Green Pass ed emendamenti alla legge di conversione
Con un intervento di inizio novembre, l’Autorità Garante per la Protezione dei Dati Personali ha messo in guardia gli utenti sulle molte applicazione in circolazione, “alternative” a VerificaC19 per la verifica del green pass.
Tali applicazioni, disponibili sugli store on line app, consentono una lettura completa delle informazioni, inquadrando il QR code della certificazione: non solo gli ordinari nome, cognome, data di nascita e validità o meno della certificazione, ma perfino dosi o tamponi effettuati, in alcuni casi richiedendo anche una registrazione per il download e il trasferimento dei dati a terze parti.
Tali modalità di trattamento sono evidentemente in contrasto con la normativa in vigore e i principi di minimizzazione del trattamento, dal momento che, ricordiamo, la verifica deve consentire unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, ed accertarne la corrispondenza con le generalità dell’intestatario, evitando la conservazione di dati personali, salvo casi specifici previsti dalla legge.
Su questi presupposti, infatti, VerificaC19 è stata riconosciuta quale l’app mobile di verifica nazionale, conforme alla versione europea, e sono state recentemente approvate dal Garante i nuovi sistemi automatizzati di controllo previsti dal Governo, al fine di consentire ai datori di lavoro pubblici e privati anche un controllo sistematico ed asincrono delle certificazioni, in particolare:
- l’interrogazione della Piattaforma nazionale DGC del Ministero della Salute a partire dai codici fiscali dei lavoratori presenti in servizio, anche in collaborazione con INPS e NoiPA;
- l’integrazione del sistema di lettura e verifica del QR code della Certificazione verde COVID-19 nei sistemi di controllo automatizzato agli accessi fisici dei luoghi di lavoro (SDK – Software Development Kit).
A corollario di questo articolo, si sta monitorando il percorso di conversione del decreto-legge n. 127 del 2021, che ha provocato un duro e tempestivo intervento del Garante in merito all’approvazione di alcuni emendamenti in Senato, che prevederebbero “la possibilità di consegna, da parte dei lavoratori dei settori pubblico e privato, di copia della certificazione verde, al datore di lavoro, con la conseguente esenzione, dai controlli, per tutta la durata della validità del certificato”.
L’Autorità ha evidenziato un evidente e improvviso contrasto di questi emendamenti con l’intero impianto fino ad ora costruito:
- potenziale impatto per le garanzie di minimizzazione del trattamento, dal punto di vista del rispetto sia della proporzionalità rispetto agli scopi del trattamento medesimo sia della conservazione delle informazioni;
- potenziale criticità del consenso del lavoratore quale base giuridica del trattamento, visto il rapporto subordinato nei confronti del datore di lavoro, come già evidenziato da giurisprudenza e dottrina in questo ed altri ambiti lavorativi;
potenziale ricaduta in termini di costi aggiuntivi, imponendo tale ulteriore conservazione l’adozione di misure tecniche e organizzative adeguate al grado di rischio connesso al trattamento, con un non trascurabile incremento degli oneri non solo economici.