Green pass a scuola, quale privacy: le nuove modalità sotto la lente del Garante - Agenda Digitale

i provvedimenti

Green pass a scuola, quale privacy: le nuove modalità sotto la lente del Garante

Con l’entrata in vigore del DL n.111 del 6 agosto 2021, è stato introdotto l’obbligo per tutto il personale scolastico del sistema nazionale di istruzione e universitario di possedere ed esibire la certificazione verde Covid-19 (Green Pass). Quali sono le ripercussioni sulla tutela dei dati personali?

13 Set 2021
Rossella Bucca

Studio Previti Associazione professionale

Vincenzo Colarocco

Responsabile del Dipartimento Data Protection, Compliance e Cyber Security, Studio Previti Associazione Professionale

Guida al Green pass in azienda

Il 6 agosto scorso è stato pubblicato in Gazzetta Ufficiale il Decreto Legge n.111 – entrato in vigore il 7 agosto – al fine di regolamentare le “misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento di diffusione dell’epidemia da Covid-19” (di seguito, per brevità, anche “Decreto”).

Tra le norme di particolare interesse per il settore dell’istruzione, figura la ripresa in presenza dell’attività didattica per le scuole di ogni ordine e grado, per l’anno scolastico 2021-2022, fatta eccezione per quelle aree del territorio in zona arancione o rossa o per specifici istituti oltre che nelle ipotesi di eccezionale e straordinaria necessità dovute all’insorgenza di focolai o al rischio di diffusione del virus nella popolazione scolastica.

Con particolare riferimento alla modalità di verifica della validità ed autenticità del Green Pass, sembra appropriato dare contezza di alcuni importanti pronunce con cui l’Autorità ha espresso il proprio parere.

A scuola col green pass: ancora troppi nodi irrisolti

Le modalità pratiche di controllo del “green pass” già individuate dal Consiglio dei Ministri

Il comma 6 dell’ articolo 1 del Decreto ha modificato il Decreto Legge n.52 del 22 aprile 2021 – recante, a sua volta, “misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19” – convertito con legge n.87 del 17 giugno 2021 – mediante l’inserimento dell’articolo 9 ter, il quale ha introdotto l’obbligo per tutto il personale scolastico del sistema nazionale di istruzione e universitario di possedere ed esibire la certificazione verde Covid-19 (c.d. “Green Pass”) di cui all’art. 9, comma 2 del D.L. n. 52 su citato.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

L’obiettivo è quello di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione in presenza del servizio essenziale di istruzione fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza. L’obbligo non riguarda, tuttavia, i soggetti “esenti dalla campagna vaccinale sulla base di idonea certificazione medica rilasciata secondo i criteri definiti con circolare del Ministero della Salute[1]”, ovvero interessati da condizioni cliniche documentate che contrastino con la vaccinazione in modo permanente o temporaneo.

Controllo dei Green pass a scuola: come avvengono e le regole privacy

Il Decreto, peraltro, con il comma 4 del su menzionato art. 9 ter, ha identificato nei dirigenti scolastici e nei responsabili dei servizi educativi dell’infanzia, delle scuole paritarie e delle università i soggetti deputati alla verifica di quanto prescritto. Tale previsione, evidentemente, provoca importanti ripercussioni dal punto di vista della protezione dei dati personali, di cui si dirà meglio infra.

Per quel che concerne, invece, le modalità di controllo attinenti alla certificazione verde sono le stesse indicate dal D.P.C.M. adottato lo scorso 17 giugno, per la regolamentazione dei controlli all’ingresso di cinema e ristoranti, ferma restando, tuttavia, la facoltà per il Ministero dell’Istruzione di adottare, mediante apposita circolare, ulteriori modalità di verifica. All’uopo, pare opportuno segnalare che, nel corso di una recentissima riunione – tenutasi il 9 settembre 2021 – il Consiglio dei Ministri ha approvato una nuova bozza di decreto legge[2] che ha ulteriormente modificato il su menzionato articolo 9 ter attraverso l’estensione dell’obbligo del Green Pass anche a “chiunque faccia accesso a tutte le strutture delle istituzioni scolastiche, educative e formative”, fatta eccezione per i bambini, gli alunni, gli studenti e i frequentanti di sistemi regionali di formazione e ricomprendendo, invece, coloro che prendono parte ai percorsi formativi degli Istituti tecnici superiori, per cui non resta che attendere gli sviluppi successivi.

L’app per la verifica della certificazione

L’articolo 13 del D.P.C.M. del 17 giugno[3] aveva previsto che, ai fini della verifica della certificazione, venisse impiegata esclusivamente un’applicazione installata su un dispositivo mobile e descritta nell’allegato B del provvedimento, la cosiddetta App “VerificaC-19”, quale strumento in grado di “controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione”. La norma in esame prosegue asserendo che l’intestatario della certificazione verde, all’atto della verifica di cui al comma 1 dimostra, a richiesta dei verificatori di cui al comma 2, la propria identità personale mediante l’esibizione di un documento di identità, ma che detta attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma.

A tal proposito, una circolare del Ministero dell’Interno[4] – diramata all’indomani dell’entrata in vigore del D.P.C.M. – ha opportunamente chiarito che la verifica dell’identità non è un obbligo indefettibile, risultando necessaria solo nei casi di abuso o elusione della normativa, ad esempio nell’ipotesi in cui sia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione verde. È chiaro che, al fine di garantire la tutela dei dati personali con cui i soggetti deputati alla verifica vengono in contatto, le istituzioni scolastiche ed universitarie dovranno attenersi alla normativa privacy vigente e, in particolare al D.lgs. n. 196/2003, Codice in materia di protezione dei dati personali (di seguito, anche, “Codice Privacy”), al Regolamento europeo per la protezione dei dati personali n.679/2016 (di seguito, anche “Regolamento” o “GDPR”), nonché ai provvedimenti del Garante privacy (di seguito anche l’“Autorità” o il “Garante” o l’Ufficio”).

I provvedimenti del Garante

Il comma 4 dell’articolo 9 ter, come detto, ha statuito la possibilità di verificare i Green Pass con modalità alternative rispetto a quella indicata dal D.P.C.M..

Già il 9 giugno 2021, all’esito di intense interlocuzioni con il Ministero della Salute, il Garante aveva espresso il proprio parere favorevole– con il provvedimento n.229 [doc. web n. 9668064] – al decreto attuativo che segnava l’attivazione della Piattaforma nazionale-DGC per il rilascio delle certificazioni verdi, prevedendo, tuttavia, adeguate garanzie per il loro utilizzo. Più precisamente, l’Autorità rappresentava l’importanza di chiarire le finalità per le quali potesse essere richiesta l’esibizione del Green Pass, focalizzandosi sulla necessità di intervento di una norma di rango primario che attestasse che: a) la formazione ed il rilascio della certificazione avvenissero tramite la Piattaforma nazionale-DGC; b) la verifica fosse appannaggio esclusivo dell’App “VerificaC-19”, l’unica, in quel momento, considerata in grado di garantire l’attualità della validità della certificazione verde; il procedimento, ad ogni modo, doveva tenere in considerazione i principi afferenti alla protezione dei dati personali, in modo tale che i verificatori potessero conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione. Il Garante asseriva, inoltre, che i soggetti deputati al controllo, ad esclusione dei pubblici ufficiali, avrebbero dovuto essere individuati formalmente dalle istituzioni scolastiche ed universitarie oltre a ricevere specifiche istruzioni in ordine alla funzione di verifica loro affidata. La norma, infatti, ammette la previa esibizione del documento di identità, per appurare che il possessore della certificazione coincida con l’effettivo intestatario della stessa.

Per queste ragioni, ai sensi della normativa privacy vigente (art. 2-quaterdecies Codice Privacy e art. 29 GDPR), l’operazione di verifica può essere effettuata esclusivamente da soggetti specificamente autorizzati dalle istituzioni scolastiche ed universitarie, i quali devono essere attinti da dettagliate istruzioni in merito alle modalità delle operazioni di verifica da eseguire. Nell’ipotesi in cui tale operazione sia svolta da un soggetto esterno, lo stesso dovrà essere nominato responsabile del trattamento, ai sensi dell’art. 28 del GDPR. Ma vi è di più: con riferimento al profilo concernente la tutela dei diritti dell’interessato, il Garante ha caldeggiato – indicazione effettivamente recepita normativamente – il rispetto di alcuni principi fondamentali:

  • a) il fatto che l’interessato potesse esercitare il diritto di rettifica di cui all’art. 16 del Regolamento attraverso modalità semplificate rispetto a quelle ordinariamente previste per l’esercizio dei diritti, ricevendo un riscontro entro un termine congruo rispetto alla validità della certificazione rilasciata allo stesso attraverso un apposito servizio offerto dal numero di pubblica utilità dello stesso Dicastero (1500) (art. 16, comma 3, del D.P.C.M.);
  • b) la previsione di una comunicazione informativa in favore dell’interessato, in caso di revoca di certificazione verde, utilizzando i dati di contatto forniti dallo stesso.

Tale misura è stata ritenuta necessaria per assicurare un costante controllo, da parte dell’utente, circa l’esattezza dei dati trattati, utile quindi anche al fine di individuare precocemente eventuali revoche generate da dati non corretti (art. 8, comma 5, del D.P.C.M.); c) la predisposizione di un modello di informativa da rendere all’interessato in merito ai trattamenti effettuati attraverso la Piattaforma nazionale-DGC. Al riguardo, il Ministero ha accolto le osservazioni del Garante in ordine all’individuazione di una pluralità di canali di informazione in merito alle caratteristiche del trattamento (art. 16, comma 2, del decreto).

A seguito dell’introduzione dell’articolo 9 ter nel Decreto Legge n.52 del 22 aprile 2021, il Garante ha percepito l’esigenza di dover nuovamente intervenire, il 31 agosto scorso, con il provvedimento n.306 [doc. web n. 9694010] esprimendo parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che introduce modalità semplificate di verifica delle certificazioni verdi del personale scolastico, alternative a quelle ordinarie che prevedono l’uso dell’App VerificaC-19, la quale rimane comunque utilizzabile[5].

Gli obiettivi evidenziati dal Garante

Ancora una volta, il Garante Privacy sottolinea l’impegno delle istituzioni nell’accogliere le proprie indicazioni al fine di assicurare il corretto adempimento degli obblighi in materia di Green Pass per il personale scolastico ed il rispetto della disciplina sulla protezione dei dati personali, nella più ampia prospettiva di ricusazione di condotte discriminatorie nel contesto lavorativo.

In particolare, le istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC (il cui decreto di attivazione era già stato oggetto di parere favorevole da parte dell’Autorità nel provvedimento analizzato nel paragrafo precedente) – il mero possesso del Green Pass da parte del personale, trattando esclusivamente i dati necessari.

Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo chi è assente per specifici motivi, quali, ad esempio, per ferie, permessi o malattia.

Tali modalità, secondo il Garante, assicurano la conformità alle disposizioni nazionali, più specifiche e di maggior tutela, che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro, anche alla luce delle indicazioni fornite nel tempo dal medesimo Garante in materia. Si vedano, da ultimo, il provvedimento di avvertimento nei confronti della Regione Siciliana del 22 luglio 2021, n. 273, doc. web n. 9683814 ma anche, più in generale, provvedimento n. 198 del 13 maggio 2021 – Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, doc. web n. 9585300, documento di indirizzo “Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367, e FAQ in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo”, doc. web n. 9543615.

Il trattamento dei dati raccolti

A seguito dell’attività di controllo del Green Pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi previsti.

È bene ricordare, a tal proposito, che, ai sensi dell’art. 9-ter, la mancata esibizione del Green Pass da parte del personale scolastico è considerato assenza ingiustificata e, a decorrere dal quinto giorno di assenza, il rapporto di lavoro è sospeso e non sono dovuti la retribuzione né altro compenso o emolumento, comunque denominato. È previsto, inoltre, che il mancato possesso o la mancata esibizione del Green Pass da parte del personale scolastico, ovvero l’omessa verifica da parte dei dirigenti scolastici, venga punito con una sanzione amministrativa consistente nell’obbligo di pagamento di una somma di denaro compresa tra i 400 ed i 1.000 euro. All’atto dell’accertamento delle violazioni, ove necessario per impedire la prosecuzione o la reiterazione della violazione, si può disporre la chiusura provvisoria dell’attività o dell’esercizio per una durata non superiore a 5 giorni.

Il trattamento dovrà essere effettuato nel rispetto dei principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, nonché della protezione dei dati fin dalla progettazione e per impostazione predefinita, come espressamente statuito sia dal Regolamento sia dal Codice Privacy[6] artt. 5, par. 1, lett. a), b) e c), 25 e 88 del Regolamento e art. 113 del Codice prevedendo in particolare che:

  • a) la Piattaforma nazionale-DGC consenta ai soggetti tenuti ai controlli di visualizzare la sola informazione, di tipo booleano, relativa al possesso di una certificazione verde in corso di validità, evitando che il trattamento abbia a oggetto le ulteriori informazioni conservate, o comunque trattate, nell’ambito della Piattaforma nazionale-DGC;
  • b) i soggetti tenuti ai controlli possano utilizzare la predetta funzionalità esclusivamente per la finalità di verifica quotidiana del possesso delle certificazioni verdi del personale in servizio presso la singola istituzione scolastica.

Il ruolo assunto dai soggetti coinvolti nel trattamento di dati personali in questione dovrà essere correttamente individuato, in relazione alla specifica finalità perseguita, anche al fine di assicurare la trasparenza nei confronti degli interessati, nonché consentire una chiara ripartizione degli obblighi e delle responsabilità previste dalla normativa privacy, chiarendo che i soggetti tenuti ai controlli (Uffici scolastici regionali e istituti scolastici statali) operano in qualità di titolari del trattamento e che il Ministero dell’istruzione, limitatamente alla funzionalità in questione, agisce in qualità di responsabile del trattamento per conto del Ministero della salute.

Il personale della scuola interessato al processo di verifica, inoltre, dovrà essere opportunamente informato dall’istituzione scolastica di appartenenza sul trattamento dei dati attraverso una specifica informativa, anche mediante comunicazione resa alla generalità del personale.

Le misure di sicurezza da adottare

Particolare attenzione è stata prestata anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza.

Per evitare eventuali abusi, la procedura di verifica del possesso dei Green Pass da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito. Occorre, in aggiunta, puntualizzare che le operazioni di trattamento legate alla verifica della certificazione verde dovranno essere contenute nel Registro dei Trattamenti di cui all’art. 30 del GDPR, il quale dovrà essere opportunamente aggiornato mediante apposita scheda afferente alla verifica del Green Pass.

È inoltre previsto che la valutazione di impatto, effettuata dal Ministero della Salute, relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi Covid-19, sia integrata e aggiornata tenendo conto degli specifici scenari di rischio legati ai dati sanitari del circa un milione di lavoratori della scuola, prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

Conclusioni

Pare evidente che il susseguirsi di numerosi provvedimenti, a ridosso dell’inizio del nuovo anno scolastico, accompagnati dalla supervisione del Garante in relazione alle misure adottate, veicoli la crescente e sempre attuale esigenza di contemperare il diritto alla salute pubblica con la tutela dei dati personali. Ciò richiede un investimento adeguato in termini di competenza ed informazione che transita ormai necessariamente attraverso un rilevante procedimento di digitalizzazione. La tutela del dato personale è un elemento imprescindibile di qualsiasi trattamento, pertanto le istituzioni scolastiche sono chiamate allo svolgimento di un compito delicato che non può e non deve trovarle impreparate.

Da questo punto di vista, dunque, appare fondamentale per le scuole di ogni ordine e grado essere informate adeguatamente sulle procedure da seguire ed implementare le misure a protezione dei dati personali, al fine di garantire che il trattamento degli stessi sia pienamente conforme alla normativa privacy vigente.

Note

  1. Circolare n.35209 del 4 agosto 2021
  2. Il comunicato stampa n. 35 del Consiglio dei Ministri 
  3. Testo disponibile 
  4. Disponibile al seguente url 
  5. La necessità di una procedura di verifica automatizzata che sopperisse ai limiti della procedura ordinaria – in particolare alla scansione giornaliera del QR code del personale scolastico e degli studenti – era stata evidenziata anche dal Ministero dell’Istruzione in una nota del 30 agosto 2021, disponibile al seguente url e tenuta in considerazione dal Garante nell’espressione del parere favorevole in esame.
  6. Articoli 5, par. 1, lett. a), b) e c), 25 e 88 del Regolamento e art. 113 del Codice.
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4