Green Pass e docenti: i nodi privacy e la storia infinita delle scuole in tempo di covid - Agenda Digitale

trattamento dati

Green Pass e docenti: i nodi privacy e la storia infinita delle scuole in tempo di covid

Ancora molti i nodi da sciogliere in merito alla questione del Green Pass per il personale scolastico. Qualche considerazione sui temi privacy, in attesa di conoscere ulteriori dettagli sulla piattaforma che ogni mattina dirà ai presidi se i docenti sono in regola

27 Ago 2021
Francesco Maldera

Data Protection Officer e Data Specialist

Photo by kyo azuma on Unsplash

I professori, ormai l’abbiamo capito, devono avere il Green Pass. Abbiamo capito anche che il controllo spetta ai dirigenti scolastici che, però, non sono contenti di farlo perché questo implicherebbe un rallentamento delle operazioni di ingresso nelle aule.

Allora, che si fa? Si mette in piedi un’altra app e, probabilmente, un’altra piattaforma per agevolare le verifiche. Nell’attesa di sapere qualcosa di più sulla piattaforma e di avere qualche ulteriore precisazione del Garante per la Protezione dei Dati Personali, ci permettiamo di fornire qualche contributo.

Green pass e docenti, ecco la piattaforma: come funziona e i rischi

Green pass e trattamento dati

Il fatto che i dati personali (ricordiamo che dato personale è qualsiasi informazione riguardante persone fisiche identificate o identificabili) transitino all’interno di una nuova piattaforma significa che ci sarà un “nuovo” trattamento. Nel nuovo trattamento saranno coinvolti soggetti diversi (il fornitore della piattaforma), nuovi strumenti e così via. Questo, dal punto di vista della normativa in materia, significa che bisogna considerare nuovi rischi e, poiché si tratta di un trattamento su larga scala relativo anche a dati riguardanti la salute, che il trattamento si colloca pienamente nell’art. 35 del GDPR: ci vuole una valutazione d’impatto sulla protezione dei dati (DPIA).

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Una delle prime domande che bisogna farsi quando si esegue una DPIA è: il trattamento è necessario? Nel caso specifico, la risposta è: no. Esiste già un sistema (e la relativa normativa per l’utilizzo cioè il DPCM del 17/6/2021) che serve a verificare il Green Pass e, quindi, non è necessario sovrapporne un altro. Né, come alcuni presunti esperti stanno dicendo in queste ore, una norma (decreto legge o DPCM) inciderebbe sul principio di “necessità” che dovrebbe essere esclusivamente collegato alla finalità. In generale, una norma non dovrebbe andare contro il senso logico delle cose e, soprattutto, non dovrebbe sovrapporre rischi di lesione per i diritti e le libertà degli interessati.

In ogni caso, l’eventuale nuova norma dovrebbe essere preceduta, come detto, da una DPIA che, in casi come questi, dovrebbe anche ottenere un parere dal Garante per la Protezione dei Dati Personali. Intanto, il tempo stringe e nelle scuole, in realtà, i docenti stanno già entrando per le attività preparatorie al periodo didattico ordinario.

C’è da aggiungere che mettere in piedi in così poco tempo una piattaforma specifica che dovrebbe gestire poco più di un milione di soggetti (tra personale docente e personale tecnico amministrativo) è un’impresa molto rischiosa. È probabile che il Ministero dell’Istruzione pensi di implementare ulteriori funzioni nell’ambito della piattaforma che attualmente gestisce il personale scolastico magari studiando meccanismi di cooperazione applicativa con la piattaforma del Green Pass. Ma queste operazioni sono facili a dirsi e difficili a farsi e richiedono un po’ di tempo per lo sviluppo, per il testing e, soprattutto, per l’avvio in esercizio tenendo conto che il personale che userà queste funzioni dovrà essere addestrato e informato adeguatamente sull’uso prudente del sistema.

Una considerazione ulteriore, poi, riguarda la creazione di un “precedente”. Se è stata consentita una app specifica alle scuole perché non anche ai musei, ai ristoranti, agli aeroporti? In fondo, il tempo è prezioso per tutti. La proliferazione di questi “duplicati” potrebbero moltiplicare i rischi per i dati delle persone.

La verifica del Green Pass

In realtà, l’approssimazione con la quale la questione Green Pass è stata affrontata fin dal principio è legata ad elementi che, sulle prime, potrebbero sembrare secondari. La verifica del Green Pass, ormai devoluta ai soggetti più vari (camerieri, receptionist, steward, ecc.), può essere effettuata con uno smartphone qualunque. Nella stragrande maggioranza dei casi lo smartphone è quello personale del soggetto incaricato (del cameriere, del receptionist, dello steward): quali garanzie sono offerte da questi apparati? Chi ci dice che su questi apparati non siano presenti appositi malware che catturano i dati che l’app VerificaC19 fornisce in risposta al controllo? Oppure che il verificatore non abbia trovato un meccanismo per crearsi un database (nome, cognome, data di nascita e stato vaccinale) di persone fisiche da utilizzare per gli scopi più disparati? Per fortuna, questo è accertato, gli sviluppatori di VerificaC19 hanno inibito la possibilità di effettuare semplici screenshot.

Insomma, è preferibile che si impieghi un po’ di tempo in più nella verifica tramite l’app del Ministero della Salute per non aggiungere rischi a rischi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2