COVID NEWSITALIA

Solo il Ministero della Salute ha titolo a verificare il Green pass

La verifica del c.d. «green pass» deve rispettare il regolamento UE 679/ 2016 (GDPR).

Su incarico dell’Organizzazione Mondiale della Vita, dell’Associazione l’Eretico, delle Associazioni di Partite IVA, la piattaforma Avvocati per i Diritti e le Libertà, nella persona dell’Avvocato Francesco Caronia, ha fornito parere in relazione alle incombenze privacy degli esercenti attività commerciale e degli agenti accertatori.

Chiunque intenda procedere alla verifica del c.d. «green pass», dunque, deve essere espressamente nominato dal Titolare del trattamento (Ministero della Salute) e deve osservare l’art. 29 GDPR (il responsabile del trattamento dei dati, o chiunque agisca sotto la sua autorità, e che abbia accesso ai dati personali, deve essere istruito dal titolare del trattamento), l’art. 32 GDPR, paragrafo 4 (chiunque agisca sotto l’autorità del titolare e abbia accesso ai dati personali, non deve trattare tali dati se non è istruito in tal senso dal titolare del trattamento) e l’art. 39 GDPR (Il Data Protection Officer deve curare la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle attività di controllo).

Pertanto, il soggetto che intenda controllare la Certificazione COVID-19 deve essere stato nominato Responsabile del trattamento dati dal Titolare del trattamento dati (Ministero della Salute), deve avere assolto all’obbligo di formarsi ex artt. 29, 32, 39 del GDPR, deve rilasciare l’informativa relativa al «quadro di fiducia» all’interno del quale si collocano le procedure per la verifica dei dati contenuti nel «green pass», indicando, precisamente i soggetti deputati al controllo delle certificazioni, e le misure per assicurare la protezione dei dati personali sensibili contenuti nelle certificazioni (art. 9 DL 52).

Il DPCM 17 giugno 2021 prevede che le figure autorizzate a controllare il certificato sono (a) i pubblici ufficiali nell’esercizio delle relative funzioni; (b) il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o  in pubblici esercizi, iscritto nell’elenco di cui all’art. 3,  comma  8, della legge 15 luglio 2009, n. 94; (c) i soggetti titolari delle strutture ricettive e  dei  pubblici esercizi  per  l’accesso  ai  quali  e’  prescritto il  possesso  di certificazione verde COVID-19, nonche’ i loro delegati; (d) il proprietario o il legittimo detentore di  luoghi  o  locali presso i quali si svolgono eventi  e  attivita’  per  partecipare ai quali e’ prescritto il possesso  di  certificazione  verde  COVID-19, nonche’ i loro delegati; (e) i  vettori  aerei,  marittimi  e  terrestri,  nonche’  i  loro delegati; (f) i gestori delle strutture che erogano  prestazioni  sanitarie, socio-sanitarie e socio-assistenziali per l’accesso  alle  quali,  in qualita’ di visitatori, sia prescritto il possesso di  certificazione verde COVID-19, nonche’ i loro delegati. Al comma. 3. I soggetti delegati di cui alle lettere c), d), e)  ed  f)  del comma 2 sono  incaricati  con  atto formale  recante  le  necessarie istruzioni sull’esercizio dell’attivita’ di verifica”.

Se il DL 52/21, convertito con modificazioni in legge 87/21, artt. 9-bis e successivi, affida all’esercente attività commerciale l’onere di verificare nei confronti dei clienti e/o dipendenti le validità delle certificazioni COVID-19, o dei rispettivi certificati equipollenti ai sensi del medesimo DL (art. 3 comma VIII del Regolamento UE 953-2021 e art. 9, comma 10, ultimo periodo del DL 52); tale obbligo si fonda sulla asserita necessità di “prevenire la diffusione dell’infezione da SARS-Cov2”. Il c.d. «green pass» può ottenersi solo per inoculazione del trattamento genico sperimentale “anti COVID-19”, avvenuta guarigione o effettuazione di test antigenico rapido, e quindi costituisce certificato sanitario a tutti gli effetti. D’altra parte, l’art. 5 della Legge 300/1970 (Statuto dei lavoratori) vieta al datore di lavoro o superiore gerarchico di conoscere i dati sanitari del lavoratore. Il regolamento europeo 2016/679 impone all’esercente commerciale di avere apposita delega formale e nominativa in qualità di Responsabile del trattamento dati, nonché formazione al trattamento dei dati specifici (artt. 28, 29 e 32), nonché di fornire l’informativa ex art. 12, avente il contenuto previsto dagli artt. 13 e 14, e le comunicazioni di cui agli artt. da 15 a 22 e art. 34 del GDPR (regolamento UE 2016/679) relative al trattamento dei dati, con particolare riferimento alla necessità di documentare il consenso informato del titolare della certificazione COVID-19.

Come da FAQ pubblicate sul sito istituzionale www.dgc.gov.it, sono stati istituiti tre diversi tipi di certificazione verde (normale, rafforzata e booster) e ciò costringerebbe, comunque, a violare la riservatezza dei dati sanitari della clientela e/o dei lavoratori.

Il DPCM del 17 dicembre 2021, nel modificare il precedente DPCM, detta condizioni ancora più stringenti rispetto a quelle previste dal GDPR, in quanto l’art. 1, comma 7, lettera h) prevede che “Tutti i soggetti preposti alla verifica del possesso delle certificazioni verdi in corso di validità devono essere appositamente autorizzati dal titolare del trattamento, ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) n. 2016/679 e 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196 e devono ricevere le necessarie istruzioni in merito al trattamento dei dati connesso all’attività di verifica”.

Con tale disposizione, appare esclusa anche qualunque possibilità che a emettere l’eventuale delega possa essere un Responsabile del trattamento dati. Alla luce dell’ultimo DPCM del 17 dicembre 2021 e dell’art. 9 comma 10 del D.L. 52 convertito in Legge 87/2021) ed europea vigente,  in assenza di nomina espressa del Responsabile da parte del Titolare dei dati (Ministero), la verifica del green pass non è nella competenza dell’esercente titolare di un attività commerciale (bar, ristoranti, negozi, ecc), non è nelle competenze di dipendenti di poste, banche, musei, teatri ecc, non è nelle competenze della ASL, non è nelle competenze dei datori di lavoro né di trasportatori, medici, bidelli o altre figure, e non è nelle competenze delle Forze dell’Ordine (neanche dei NAS!) o Polizia Municipale o altri accertatori che non abbiano avuto diretta delega di Responsabile dei dati, formazione e espresse istruzioni, e non dimostrino tale delega formale.

Naturalmente l’esercente commerciale o altri soggetti previsti, o anche l’agente accertatore, non deve incorrere nel rischio di violazione di legge, di regolamenti comunitari, in specie della Costituzione della Repubblica italiana o di trattati internazionali. In particolare deve porsi nel rispetto del Regolamento UE 2016/679, e comunque nel rispetto del principio di non discriminazione previsto dai trattati internazionali (in particolare, Dichiarazione Universale dei diritti dell’Uomo, Patto dei diritti civili e politici di New York ed altre), dai regolamenti UE 2000/78, 2021/953 e 2021/954 e della Carta fondamentale dei diritti dell’Unione europea, e della Costituzione della Repubblica italiana (artt. 1, 4, 13, 16, 28, 35, 54 e 41 Cost.), dalla Legge 881/1977, dell’art. 5 dello Statuto dei lavoratori e del D. Lgs. 81/2008.

Pertanto, si ritiene che tali soggetti debbano chiedere a mezzo pec parere al Garante della Privacy, nonché richiesta al Ministero della Salute di ricevere tale delega formale ed istruzione specifica. Nel tempo che intercorrerà dall’avvenuta notifica della richiesta, al rilascio della formale autorizzazione da parte del Ministero della Salute, e comunque finchè il Garante della Privacy non esprimerà il proprio parere, si deve ritenere che i soggetti in questione siano in regola con la normativa vigente, e non possano né si possa ritenere che siano tenuti a chiedere l’esibizione del Green Pass.

Si ricorda, infatti, che la richiesta del green pass senza la suddetta autorizzazione rilasciata dal Ministero della Salute, pone il controllore nella posizione di essere soggetto a segnalazione da parte dal cliente/dipendente al Garante Privacy, con sanzione da 50 mila a 150 mila euro.

Nel caso di verifica, ppare necessario segnalare tale situazione all’agente accertatore, e richiedere la delega da parte del Titolare dei dati personali.

SCARICA MODULO istanza garante E richiesta Ministero della Salute

SCARICA MODULO DICHIARAZIONE DIRITTI CIVILI

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *