Green pass, app e privacy che caos in Europa: le regole cambiano a seconda del Paese - Agenda Digitale

l'indagine

Green pass, app e privacy che caos in Europa: le regole cambiano a seconda del Paese

In teoria le regole del green pass dovrebbero essere chiare e uguali in tutta l’Unione Europea e in altri paesi tra cui la Svizzera e la Norvegia. Nella pratica non è proprio così. Ecco i problemi

17 Lug 2021
Massimo Mangia

SaluteDigitale.blog

Ogni paese ha sviluppato la propria piattaforma per il rilascio del Green Pass e l’app per verificarne la validità sulla base, in teoria, di regole comuni decise a livello di Unione Europea.

La curiosità di verificare se sia proprio così mi ha spinto a scaricare e provare le app di verifica di sei paesi europei, oltre quella italiana: Francia, Lussemburgo, Belgio, Olanda, Svizzera, Danimarca.

Problemi tecnici per la Svizzera

L’app svizzera riconosce i dati anagrafici associati al green pass ma non riesce a verificare online la sua validità. Problema di interconnessione con la piattaforma DGC italiana?

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Non so dirvi se il problema esista anche al contrario, cioè leggendo un certificato svizzero con l’app italiana.

Comportamenti diversi delle app

Le app si comportano in modo diverso sulla verifica dei green pass rilasciati dopo la prima dose dei vaccini che ne prevedono due. L’app italiana, VerificaC19 e quella del Belgio riconoscono valido il green pass di persone con una sola somministrazione. Quella del Lussemburgo, dell’Olanda, della Francia no, coerentemente con le regole europee.

L’app della Danimarca si limita a leggere i dati del QR code e presentarli all’utente, senza attivare alcun semaforo.

Il certificato vale da subito

Altra anomalia, riscontrata in alcune app, è la data di validità del certificato. In teoria dovrebbe essere valido a partire da 14 giorni dal completamento del ciclo vaccinale.

L’app italiana, del Lussemburgo, del Belgio, dell’Olanda danno per valido un certificato la cui ultima somministrazione è più recente di due settimane. Fa eccezione l’app francese che calcola invece correttamente il periodo di inizio validità.

L’app della Danimarca si limita a mostrare tutti i dati riportati sul QR code, lasciando il compito di capire se il Green Pass è valido o meno all’operatore.

Anche la privacy cambia

Anche in questo il comportamento delle app non è uniforme. Alcune, come quella italiana, si limitano a fornire i dati della persona e un’indicazione di validità o meno del certificato. La maggior parte riportano i dati contenuti nel QR Code (tipo di vaccino, numero dosi, data somministrazione, etc..), senza porsi troppi problemi sulla tutela della privacy. Ricordo che in Italia, la nostra autorità, ha imposto che l’app di verifica nazionale si limitasse a mostrare la validità del certificato e i dati anagrafici della persona.

Privacy: questione di forma o di sostanza?

La domanda, che può sembrare provocatoria, deriva da tre considerazioni:

  1. Il certificato, nel layout che è stato adottato, contiene molte informazioni sensibili in chiaro. Oltre al QR Code ci sono infatti la malattia bersaglio, il tipo di vaccino somministrato, il nome del produttore e la denominazione del vaccino, il numero di dosi, la data dell’ultima somministrazione, lo stato e il soggetto che ha rilasciato il certificato. È vero che, una volta stampato, può essere piegato in modo da mostrare solo il QR Code; viceversa se si mostra il file attraverso uno smartphone non è possibile nascondere la pagina con il dettaglio dei dati. C’è sempre, naturalmente, la possibilità di scaricare e mostrare solo il QR Code, ma non so quante persone sceglieranno questa opzione.
  2. Il QR Code contiene comunque tutte le informazioni sopra descritte. La sua acquisizione o la sua esposizione, ad esempio in un social (pratica che il Garante ha scoraggiato), potrebbe mettere a rischio i dati sensibili che vi sono contenuti. In termini di sicurezza la soluzione adottata lascia davvero interdetti.
  3. Molti paesi hanno sviluppato app di verifica che leggono tutti i dati sensibili. Ciò che succede quindi in Italia, in termini di privacy, non vale quando viaggiamo all’estero. Cosa ne pensa il nostro Garante?

@RIPRODUZIONE RISERVATA

Articolo 1 di 3