oltre la pandemia

Fine stato di emergenza: cosa cambia in Italia e le differenze con l’Europa

La fine dello stato di emergenza pandemica in Italia al 31 marzo 2022 prevede l’abolizione dell’obbligo del green pass rafforzato sui luoghi di lavoro mentre in Europa si discute del certificato europeo digitale: cosa prevede il decreto italiano, le misure precedenti, a che punto è l’iter europeo

22 Apr 2022
Nadia Martini

Partner e Head of Data Protection Rödl & Partner

Flavia Terenzi

Senior Associate Dipartimento Data Protection Rödl & Partner

Il 31 marzo 2022 ha segnato la fine dello stato di emergenza pandemica, in vigore da oltre due anni.

Il 25 marzo è entrato infatti in vigore il Decreto-legge 24 marzo 2022 n. 24 (di seguito, “Decreto Legge”), “Disposizioni urgenti per il superamento delle misure di contrasto alla diffusione dell’epidemia da COVID-19, in conseguenza della cessazione dello stato di emergenza”, che ha disposto una serie di misure per la ripresa graduale delle attività produttive ed economiche e della vita quotidiana e sociale.

Il Decreto-legge ha fatto comunque salva la possibilità, entro e non oltre il 31 dicembre 2022, di adottare, su richiesta motivata delle Amministrazioni competenti, una o più deroghe[1], per preservare la necessaria capacità operativa e di pronta reazione delle strutture durante la fase di progressivo rientro nell’ordinario.

Green pass: cos’è, come farlo, a cosa serve e obblighi

Fine stato di emergenza pandemica: le novità del DL 24 marzo 2022

Le principali novità introdotte dal Decreto-legge sulla fine dello stato di emergenza pandemica riguardano:

  • la cessazione dello stato di emergenza al 31 marzo 2022;
  • la possibilità di prevedere delle norme che prolungano gli effetti di alcune disposizioni emergenziali;
  • l’obbligo di possesso, dal primo aprile e fino al 30 aprile 2022, della Certificazione Verde Covid-19 (“Green Pass”), in particolare del Green Pass base (a prescindere dall’età anagrafica) per accedere ai luoghi di lavoro privati e pubblici, e la cessazione al primo maggio 2022 dell’obbligo di possesso del Green Pass per accedere ai luoghi di lavoro;
  • il mantenimento delle disposizioni già in vigore dal primo marzo 2022 in tema di certificazioni di esenzione;
  • la proroga dello smart-working emergenziale (senza accordo individuale) al 30 giugno 2022
  • l’obbligo di mascherina (almeno chirurgica) nei luoghi di lavoro fino al 30 aprile 2022.

Fine emergenza pandemica: le misure prima in vigore sui luoghi di lavoro

Tra le misure di prevenzione e contrasto al Covid-19, oltre ai ben noti Protocolli anti-contagio sui luoghi di lavoro[2], il Decreto-legge n. 127/2021 convertito, con modificazioni, in L. 165/2021, ha previsto l’obbligo di possesso e di esibizione, su richiesta, di un Green Pass valido o di un’idonea certificazione di esenzione per accedere ai luoghi di lavoro pubblici e privati.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Introdotta dal 15 ottobre 2021 e fino al termine di cessazione dello stato di emergenza – allora fissato al 31 dicembre 2021 e poi prorogato fino al 31 marzo 2022 –, la misura prevedeva la verifica quotidiana, anche a campione, da parte di personale interno oppure esterno del titolare del trattamento appositamente nominato e istruito.

Il Green Pass valido era quello base, rilasciato a seguito di vaccinazione, guarigione, test antigenico rapido o molecolare con risultato negativo.

Dal punto di vista del trattamento dei dati personali, la normativa che ha introdotto l’obbligo di Green Pass ha previsto alcuni adempimenti: l’obbligo di un’informativa sotto forma di cartellonistica, l’integrazione del registro dei trattamenti, le nomine ad autorizzato e l’eventuale nomina a responsabile del trattamento.

Nonché il rispetto di alcuni principi:

  • la mera esibizione e consultazione dei dati contenuti nel Green Pass (nome e cognome, data di nascita) con esclusione di qualunque forma di raccolta dei dati;
  • l’esclusione di qualsiasi forma di conservazione del Green Pass in formato elettronico né tantomeno cartaceo;
  • l’esclusione della richiesta, la annotazione e la raccolta della data di scadenza del Green Pass;
  • la possibilità (ma non l’obbligo) di richiedere un documento di identità per la verifica del Green Pass;
  • la verifica dei soli dati identificativi (nome e cognome e data di nascita) risultanti dal Green Pass ed eventualmente dal documento di riconoscimento esibito su richiesta con divieto di richiedere qualunque altro dato;
  • il divieto di trattare categorie particolari di dati (ad esempio lo stato di salute relativo a doppia vaccinazione, guarito) dell’interessato neanche indirettamente, ad esempio la raccolta della data di scadenza del Green Pass;
  • il rispetto dei diritti e delle libertà degli interessati, nonché dei principi generali di cui all’art. 5 GDPR con riferimento ai principi di trasparenza e correttezza, minimizzazione dei dati, limitazione delle finalità, conservazione e integrità dei dati.

La verifica era stabilita tramite scansione del QR Code rilasciato con il Green Pass nell’App del VerificaC-19 approvata dal Ministero della Salute oppure secondo una delle altre modalità autorizzate dal Governo su parere dell’Autorità Garante per la protezione dei dati personali (es. NoiPA, GreenPass50+).

Fine stato emergenza pandemica: cosa prevedeva il DL 1/2022

Successivamente, il Decreto-legge n. 1 del 7 Gennaio 2022 ha introdotto – con decorrenza dall’8 gennaio 2022 e fino al 15 giugno del medesimo anno – l’obbligo vaccinale generale per tutti i cittadini italiani e di altri Stati membri dell’Unione Europea e cittadini stranieri residenti nel territorio dello Stato che avessero compiuto il cinquantesimo anno di età.

Di conseguenza, in riferimento ai luoghi di lavoro pubblici e privati, è stato introdotto l’obbligo di possesso del Green Pass rafforzato (ovvero rilasciato solo ai guariti o ai vaccinati) per i lavoratori over 50, a partire dal 15 febbraio 2022 e comunque fino al termine del 15 giugno 2022. Una novità non di poco conto rispetto a quanto indicato in precedenza.

L’introduzione dell’obbligo di Green Pass, di cui al Decreto Legge n. 127/2021 e s.m.i., aveva comportato non pochi problemi di carattere organizzativo[3] , ma il citato Decreto Legge 1/2022 li ha certamente ampliati.

Molto complesso è stato valutare il flusso più corretto per accertare l’età e, in base alla stessa, la necessità di un Green Pass base o rafforzato nel rispetto di quanto previsto dalla normativa in materia di protezione dei dati personali secondo i seguenti criteri:

1) per coloro che alla data di entrata in vigore della nuova disposizione avessero compiuto già 50 anni o che avrebbero compiuto 50 anni anche successivamente alla data di entrata in vigore della disposizione – e comunque entro e non oltre il termine del 15 giugno 2022 – la verifica avrebbe avuto ad oggetto il Green pass rafforzato;

2) per gli under 50 sarebbe stato possibile continuare ad accedere ai locali aziendali con il semplice Green Pass base, secondo il flusso di processo e le indicazioni già fornite a mezzo della documentazione in uso.

Quando è scaduta l’esenzione cartacea al vaccino

L’alternativa al Green Pass – rafforzato o base che fosse – per tutti coloro esentati dalla somministrazione del vaccino era il possesso di un’idonea certificazione di esenzione.

Fino al decreto del Presidente del Consiglio dei Ministri avvenuto il 7 febbraio 2022 era ammesso il possesso di una certificazione di esenzione cartacea, la cui validità è stata più volte prorogata, da ultimo sino al 28 febbraio 2022 con la circolare del Ministero della Salute n. 5125 del 25 gennaio 2022.

Tale decreto ha sancito:

  • a partire dal 7 febbraio 2022, il rilascio di tutte le nuove certificazioni di esenzione dalla vaccinazione anti-COVID-19 esclusivamente in modalità digitale;
  • tra il 7 febbraio 2022 e il 28 febbraio 2022 la riemissione in digitale su richiesta dell’interessato di tutte le certificazioni di esenzione rilasciate in forma cartacea;
  • fino al 28 febbraio 2022 la validità delle certificazioni di esenzione in formato cartaceo rilasciate prima del 7 febbraio 2022;
  • a partire dal primo marzo 2022, la verifica delle certificazioni di esenzione esclusivamente in forma digitale, per evitare di visualizzare dati ultronei, magari anche di natura particolare, presenti nella certificazione di esenzione in forma cartacea. Quindi, a decorrere da tale data, la cessazione della validità delle certificazioni di esenzione precedentemente emesse in modalità cartacea.

Fine stato di emergenza pandemica: cosa prevede sui luoghi di lavoro

Con il Decreto Legge 24/2022, a partire dal primo aprile 2022 e fino al 30 aprile 2022 l’accesso ai locali aziendali pubblici e privati è consentito a tutti coloro che si trovano in possesso del Green Pass Base, inclusi le persone soggette all’obbligo vaccinale (ultracinquantenni).

Non c’è più l’obbligo per coloro che hanno compiuto cinquant’anni di accedere ai luoghi di lavoro solo su esibizione del Green Pass rafforzato (rilasciato a fronte di guarigione da Covid-19 o vaccinazione) ma è sufficiente sottoporsi ad un tampone antigenico o molecolare con esito negativo per accedere ai luoghi di lavoro con il Green Pass base.

Restano invariate, tuttavia, verosimilmente fino al 30 aprile 2022, le disposizioni in materia di certificazioni di esenzione digitali per l’accesso ai luoghi di lavoro che prevedono l’obbligo di esibire la sola certificazione di esenzione digitale – oramai in vigore dal 1 marzo 2022 – con scansione del QR Code tramite l’App Verifica C-19 come per il Green Pass.

In merito ai Protocolli anti-contagio, che prevedono ad esempio la misurazione della temperatura corporea in ingresso, il suggerimento – anche di buon senso – potrebbe essere di valutare il mantenimento di tale misura quantomeno fino al 30 aprile 2022, in considerazione della circostanza per cui l’obbligo di Green Pass si applica a categorie di interessati specifici previsti dal Decreto legge 127/2021 e s.m.i.

Fine stato emergenza pandemica: cosa accade in Europa

Mentre in Italia si susseguono provvedimenti, in Europa si discute di un regolamento per l’adozione di un certificato digitale europeo COVID-19.

Il 14 marzo 2022 il Comitato europeo per la protezione dei dati personali (di seguito, “EDPB”) e il Garante europeo per la protezione dei dati personali (di seguito, “EDPS”) hanno adottato il parere congiunto 1/2022 sulla proposta di regolamento del Parlamento europeo e del Consiglio – adottata dalla Commissione il 3 febbraio 2022 – che modifica il regolamento (UE) 2021/953 relativo a un quadro per l’emissione, la verifica e l’accettazione di COVID-19 interoperabile vaccinazione, test e recupero (certificato europeo digitale COVID-19) per facilitare la libera circolazione durante la pandemia COVID-19.

Sempre il 3 febbraio 2022, la Commissione ha anche adottato una proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) 2021/954 relativo a un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, test e recupero COVID-19 e di recupero interoperabili (certificato europeo digitale COVID-19) per quanto riguarda i cittadini di paesi terzi che soggiornano o risiedono legalmente nel territorio degli Stati membri durante la pandemia di COVID-19.

L’EDPS e l’EDPB rilevano che, oltre a prorogare l’applicazione del certificato europeo digitale COVID-19, le proposte mirano a modificare alcune disposizioni del regolamento quali:

1) Un ampliamento della definizione di test SARS-CoV-2 che si basano sull’individuazione di proteine virali (antigeni) per includere i test immunologici eseguiti in laboratorio e non solo i test rapidi sugli antigeni che danno risultati in meno di 30 minuti;

2) Un chiarimento esplicito che i certificati di vaccinazione devono contenere il numero di dosi somministrate al titolare, indipendentemente dallo Stato membro in cui sono state somministrate, per assicurarsi che il numero totale effettivamente somministrato sia accuratamente riflesso;

3) L’inclusione dei certificati di vaccinazione rilasciati per un vaccino COVID-19 in fase di sperimentazione clinica tra i certificati che possono essere accettati dagli Stati membri per derogare alle restrizioni alla libera circolazione;

4) la correzione di un riferimento incrociato errato nell’articolo 13, paragrafo 2, del regolamento (UE) 2021/953.

Il parere dell’EDPB-EDPS richiesto dalla Commissione si concentra sugli aspetti delle proposte relativi alla protezione dei dati personali, che rappresentano un aspetto fondamentale delle proposte.

Senza entrare nel merito di altri importanti aspetti etici e sociali sui quali le proposte possono avere un impatto in termini di rispetto dei diritti fondamentali, l’EDPB-EDPS sottolineano che è essenziale che le proposte siano coerenti e non contrastino in alcun modo con l’applicazione del regolamento generale sulla protezione dei dati (di seguito, “GDPR”).

L’EDPB e l’EDPS ricordano che il rispetto delle norme sulla protezione dei dati non costituisce un ostacolo alla lotta contro la pandemia di COVID-19 e che, allo stesso tempo, i principi generali relativi al trattamento dei dati personali di cui all’articolo 5 del GDPR, in particolare i principi della limitazione della conservazione, della limitazione delle finalità nonché il principio della trasparenza, devono guidare qualsiasi misura adottata dagli Stati membri o dalle istituzioni dell’UE che comportino il trattamento di dati personali per combattere la COVID-19.

L’EDPB e l’EDPS comprendono la necessità di estendere l’applicabilità del regolamento, date le seguenti ragioni: la continua minaccia rappresentata dalla SARS-CoV-2, compresa la sua variante “Omicron”, la cui maggiore infettività ha portato a tassi di notifica dei casi molto elevati in tutta l’Unione europea; l’impossibilità di prevedere l’impatto di un possibile aumento delle infezioni nella seconda metà del 2022; il rischio di un prolungamento della pandemia a seguito dell’emergere di nuove varianti di SARS-CoV-2.

Tuttavia, EDPB e EDPS sottolineano che qualsiasi restrizione alla libera circolazione delle persone all’interno dell’Unione europea per limitare la diffusione della SARS-CoV-2, compreso l’obbligo di presentare i certificati europei digitali COVID-19, dovrebbe essere revocata non appena la situazione epidemiologica lo consenta.

Inoltre, tali Autorità presteranno particolare attenzione all’evoluzione della pandemia di COVID-19 e, in particolare, all’uso dei dati personali dopo la fine della pandemia.

La proposta della Commissione non è stata accompagnata da una valutazione di impatto, probabilmente per il carattere di urgenza della proposta, ma si tratta di un aspetto ribadito dalle Autorità.

Infatti, anche la proposta originaria di regolamento non era accompagnata da una valutazione d’impatto, come riscontrato nel parere comune 04/2021 sul certificato verde digitale, imponendo alla Commissione di presentare, entro il 31 marzo 2022, una relazione al Parlamento europeo e al Consiglio sull’applicazione del regolamento.

Relazione che conteneva in particolare una valutazione dell’impatto del regolamento sulla facilitazione della libera circolazione, sui diritti fondamentali e sulla non discriminazione, nonché sulla protezione dei dati durante la pandemia di COVID-19.

EDPB e EDPS sono inoltre del parere che la relazione debba affrontare anche altre questioni tecniche emerse nell’applicazione pratica del regolamento, come la sicurezza dei dati personali relativa all’uso dei certificati.

Sottolineano quindi la necessità di valutare costantemente quali misure rimangono efficaci, necessarie e proporzionate rispetto allo scopo della lotta contro il COVID-19.

Infine, nel caso in cui il certificato europeo digitale COVID-19, che registra le tre dosi, o qualsiasi altra dose possibile, venga utilizzato per scopi diversi dalla libertà di movimento, le categorie necessarie di dati personali incluse nel codice QR devono essere rivalutate e devono essere adottate diverse soluzioni tecniche che migliorino la minimizzazione dei dati in casi d’uso diversi.

La Commissione è invitata ad assistere gli Stati membri nello sviluppo di tali specifiche tecniche.

Conclusioni

In Italia ci stiamo avvicinando alla fine dello stato di emergenza pandemica, al rallentamento delle misure di sicurezza fino alla loro totale eliminazione.

Tra tutte, l’utilizzo del Green Pass, fino a qualche tempo fa una delle poche misure davvero efficaci nella lotta alla pandemia e un incentivo efficace alla vaccinazione.

In Europa invece la strada sembra più lunga e le istituzioni europee, in particolare la Commissione, sembrano essere più caute nella lotta alla pandemia da COVID-19.

Non è dato sapere ciò che succederà: due anni di pandemia da Covid-19 ci hanno abituati a lente discese e a risalite della curva di infezione piuttosto repentine.

Le istituzioni e le Autorità Garanti europee e nazionali rimangono certamente focalizzate su un tema che – negli ultimi due anni – ha condizionato la vita personale e professionale della popolazione mondiale.

_____________________________________________________________________________________________

Note

  1. Individuate nel rispetto dei principi generali dell’ordinamento giuridico e delle norme dell’Unione europea, ai sensi di quanto previsto dall’articolo 26 del decreto legislativo 2 gennaio 2018, n. 1.
  2. Protocolli che prevedevano inter alia la rilevazione della temperatura corporea con divieto di ingresso nel caso di superamento della soglia corporea consentita (37,5º), nonché l’eventuale raccolta di autodichiarazioni
  3. Relativi ai trattamenti di dati personali, di assenze ingiustificate dei lavoratori e di carattere sanzionatorio/disciplinare alle aziende pubbliche e private, che si sono trovate a dover adeguarsi in tempi stretti alle novità introdotte

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4