La normativa sulle certificazioni COVID sta facendo molto discutere in questi giorni. Dopo qualche tentennamento il Governo Draghi sta seguendo il c.d. “modello francese” subordinando all’esibizione di un valido Green Pass l’accesso a una crescente serie di servizi e attività, elencati nel Decreto Legge 52/2021 e recentemente estesi dal D.L. 105/2021 del 23 luglio scorso.
Ma il green pass obbligatorio ha diverse spine.
Il controllo dei Green Pass
Cominciamo dal tema controlli.
L’art. 9 bis del D.L. 52/2021, introdotto dal D.L. 105/2021, ha introdotto un onere di controllo in capo ai gestori di servizi e di attività previste dall’aggiornamento alla normativa Green Pass del 23 luglio.
Quanto alle modalità di verifica dell’accesso a tali servizi ed attività, le stesse saranno indicate con apposito DPCM.
QR Code: cos’è, come funziona e per cosa si usa. Tutto quello che c’è da sapere
Il problema è che la normativa, per come è strutturata, finisce per imporre (per legge) un controllo in capo ai gestori solo per le attività da ultimo inserite fra i “casi d’uso” del Green Pass e non per quelle già previste dal D.L. 52/2021.
Le attività suscettibili di controllo da parte dei gestori sarebbero quindi solo le seguenti (a partire dal 6 agosto):
- accesso a palestre
- accesso a teatri, musei, cinema, mostre
- accesso a fiere, convegni, congressi
- accesso a parchi tematici, parchi divertimento
- accesso a sale gioco, sale scommesse, sale bingo
- partecipazione a concorsi pubblici
- accesso a ristoranti e bar al chiuso (ma non al bancone)
Mentre per queste ulteriori attività (già previste nell’originaria formulazione del D.L. 52/2021 e ad oggi vigenti) è previsto solo dal DPCM 17 giugno 2021 un controllo da parte dei gestori:
- spostamenti in entrata o uscita dai territori ricadenti in zona arancione o rossa (e con riguardo a questa ipotesi si tratta di un’esclusione fisiologica non essendoci un “gestore” a cui siano riferibili tali spostamenti);
- permanenza nelle sale d’attesa di dipartimenti d’emergenza e accettazione e dei reparti di pronto soccorso da parte di accompagnatori di pazienti non affetti da Covid-19;
- uscite temporanee da strutture di ospitalità e lungodegenza, residenze sanitarie assistite, hospice, strutture riabilitative e strutture residenziali per anziani, autosufficienti e non, strutture residenziali socioassistenziali e altre strutture elencate nel decreto;
- partecipazione a feste conseguenti alle cerimonie civili o religiose (matrimoni ecc.), anche al chiuso, anche organizzate mediante servizi di catering e banqueting;
- per consentire di derogare ai divieti di spostamento da e per l’estero o a obblighi di sottoporsi a misure sanitarie in dipendenza di tali spostamenti (quarantena) (norma che di fatto è subordinata all’emanazione di appositi DPCM o decreti del Ministero della Salute che individuino le misure derogabili e che, di nuovo, costituisce una esclusione fisiologica dall’onere di controllo del “gestore” non essendo questa figura applicabile al caso).
La situazione relativa ai controlli è quindi molto particolare, con un fondamento legislativo per il controllo dei gestori limitato ai “nuovi” casi d’uso del Green Pass e un controllo affidato alle modalità individuate con il DPCM per quanto riguarda le altre ipotesi.
Il problema è che il DPCM del 17 giugno ora vale anche per le ipotesi d’uso del Green Pass che entreranno in vigore il prossimo 6 agosto, e quindi un DPCM “pensato” per il controllo su determinate ipotesi, viene ad estendersi ad ipotesi che il DPCM non considerava minimamente e che lo costringono a “riadattarsi” a casi d’uso nuovi e in parte inediti.
Il problema del cartaceo: poca privacy
Questa situazione peculiare con riferimento agli obblighi di controllo non ha in molti casi impedito che zelanti gestori si attivassero (complice anche la vorticosa evoluzione, difficile da seguire, della normativa in tema di Green Pass) per chiedere ai propri clienti l’esibizione di Green Pass via mail in sede di prenotazione e/o di certificati medici attestanti vaccinazione / guarigione o l’effettuazione di un tampone.
La problematica è aggravata dal fatto che l’art. 9 co. 10 D.L. 52/2021 legittimava, nelle more dell’adozione del DPCM sulle modalità di verifica delle certificazioni digitali, l’utilizzo dei documenti attestanti l’avvenuta vaccinazione o guarigione, o ancora l’effettuazione di un tampone, rilasciati da strutture sanitarie pubbliche e private, dalle farmacie, dai laboratori di analisi, dai medici di medicina generale e dai pediatri.
Questa possibilità di utilizzo, fino all’emanazione del DPCM, i certificati cartacei, ha finito per frustrare le salvaguardie indicate dal Garante Privacy per la verifica dei certificati COVID, costruiti proprio per evitare di diffondere informazioni non necessarie ai verificatori, scrupolo essenziale se si pensa che con questo meccanismo si finisce per mettere nelle mani di tutta una serie di soggetti pubblici e privati dati sanitari di notevole rilievo (che magari questi soggetti destinatari non sono nemmeno attrezzati per gestire efficacemente).
Ed infatti il Garante ha dato parere favorevole, nel proprio provvedimento n. 229 del 09 giugno scorso, alla verifica del Green Pass attraverso l’app Verifica C19, app che consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato, senza rendere visibili le informazioni che hanno determinato l’emissione della certificazione (guarigione, vaccinazione o esito negativo del test molecolare/antigenico rapido) e senza conservare i dati oggetto di verifica.
Questa efficiente attenzione alla minimizzazione del trattamento dei dati sanitari è stata completamente vanificata dalla possibilità di esibire i documenti attestanti la guarigione o vaccinazione o l’effettuazione del tampone, documenti che sono pensati per il soggetto che li riceve e che contengono una mole di dati ben superiore rispetto a quelli che sarebbero ottenibili attraverso la verifica del Green Pass.
Questo “rischio” avrebbe dovuto essere eliminato con l’entrata in vigore del DPCM 17.06.2021, che ora prescrive in via esclusiva l’utilizzo dell’app Verifica C19 per la verifica dei certificati, ma in realtà è prevista la possibilità di utilizzare i certificati cartacei fino al 12 agosto (per ovviare a i ritardi nell’emissione dei certificati digitali) prolungando così questo periodo transitorio che rischia di far pensare agli operatori che l’esibizione dei certificati medici (attestanti il vaccino o l’avvenuta guarigione) e le ricevute dei tamponi possano sempre sostituire il Green Pass.
Va quindi chiarito (e il Governo dovrà impegnarsi in questo senso) come la verifica del Green Pass (digitale o cartaceo che sia), dal 12 agosto in avanti, sarà l’unica modalità di verifica ammessa, evitando che le persone possano ritenere ancora attuale la possibilità “alternativa” di produrre i documenti rilasciati dalle strutture sanitarie, produzione problematica sia per i soggetti interessati (che si troverebbero in quel modo a comunicare molti più dati sanitari di quanto necessario) sia per i gestori che effettuano il controllo (che si troverebbero a trattare dati personali appartenenti a categorie particolari, pertanto molto delicati, senza una adeguata base giuridica e dovendo comune provvedere alla loro conservazione).
Il controllo dei certificati medici di esenzione
Il recente Decreto Legge 105/2021 introduce una importante disciplina con riguardo ai soggetti esentati dall’obbligo di esibire il Green Pass per accedere a determinate attività.
Di nuovo la formulazione del Decreto sembra riferire l’esenzione ai soli obblighi introdotti dal D.L. 105/2021 e non a quelli già presenti nel D.L. 52/2021 nella sua formulazione originale, con la conseguenza paradossale che un soggetto munito di certificato di esenzione da Green Pass potrebbe cenare in un tavolo al chiuso in un ristorante ma non partecipare alla festa conseguente a una cerimonia civile o religiosa.
Al di là di questa problematica, che potrebbe essere risolta in via interpretativa ovvero in sede di conversione in legge del D.L. 105/2021, di nuovo si pongono difficili interrogativi dal punto di vista privacy.
La normativa prevede infatti l’esclusione dall’obbligo di esibizione del Green Pass per i soggetti esclusi per età dalla campagna vaccinale e per i soggetti esenti sulla base di idonea certificazione medica.
Questa certificazione, che potrà essere rilasciata secondo i criteri che saranno definiti con apposita circolare del Ministero della Salute, consentirà ai soggetti che la possiedono di accedere ai vari servizi elencati dalla normativa pur in assenza di Green Pass, esibendo questo certificato in alternativa al Green Pass.
Alla Circolare del Ministero che definirà i criteri per il rilascio di queste certificazioni è rimesso il difficile compito di definire quale sarà la linea del Governo circa lo stato di salute necessario e sufficiente per esentare dal Green Pass, se quindi basti che un soggetto non sia tenuto ad effettuare il vaccino perché il campione studiato non include la sua situazione specifica (es. donne in gravidanza), ovvero se sia necessario che il soggetto sia impossibilitato a vaccinarsi per un problema di salute, o se sia invece necessario addirittura che il soggetto sia impossibilitato anche ad effettuare un tampone, oltre che il vaccino.
Di nuovo però il problema centrale risiede nell’attività di verifica di queste certificazioni.
Anche qui il Decreto Legge lascia ad un apposito DPCM individuare le specifiche tecniche per trattare in modalità digitale le già menzionate certificazioni, al fine di consentirne la verifica digitale, assicurando contestualmente la protezione dei dati personali in esse contenuti.
Questo decreto (per la cui emanazione verrà sentito il Garante Privacy) verosimilmente stabilirà delle modalità simili a quelle previste per la verifica del Green Pass anche per la verifica dei certificati di esenzione (con conseguente utilizzo di strumenti tecnologici e minimizzazione dei dati sanitari trasferiti al soggetto che effettua il controllo).
Il problema è che anche in questo caso il D.L. 105/2021 prevede che, nelle more dell’adozione del DPCM, sia possibile utilizzare le certificazioni rilasciate in formato cartaceo.
Dunque, è possibile che, nel periodo intercorrente fra l’adozione della circolare del Ministero della Salute sui criteri per l’emissione delle certificazioni e l’adozione del DPCM relativo all’attività di verifica, siano utilizzati i certificati “in chiaro” per consentire l’accesso ai soggetti esentati alle attività riservate ai possessori di Green Pass dalla legge.
Anche in questo caso si rischia quindi di comunicare ai soggetti cui è affidato il controllo (e, ricordiamo, stiamo parlando sia di pubblici ufficiali che di semplici soggetti privati) una serie di dati sanitari molto più estesa di quanto sia effettivamente necessario per comprovare il diritto all’esenzione.
Di nuovo il Governo dovrà impegnarsi per ottenere in fretta l’approvazione del DPCM sulle modalità di controllo, per evitare che si crei un periodo transitorio in cui si dia corso, di fatto, ad un trattamento dati illegittimo.
Spostamenti fra paesi UE
Nuovi problemi privacy coinvolgono gli spostamenti fra i vari paesi UE che, nonostante il GDPR regoli la normativa in tema di protezione dei dati personali in maniera armonizzata a livello di Unione, hanno intrapreso strade a volte molto diverse nell’affrontare il bilanciamento fra il diritto alla riservatezza e la tutela della salute collettiva.
Basta pensare che se è una donna in gravidanza non vaccinata che vuole entrare a Malta, la stessa deve esibire (oltre al certificato di un tampone negativo effettuato nelle 48 ore precedenti l’arrivo), anche il certificato di gravidanza!
Nonostante alcuni paesi dell’Unione non abbiano introdotto limiti agli eventi o servizi a cui possono accedere i soggetti non in possesso del Certificato COVID, tutti i paesi UE hanno invece previsto norme stringenti per l’accesso di stranieri (comunitari ed extracomunitari) nel loro territorio, spesso introducendo, peraltro, oneri accessori (come il Passenger Locator Form (Plf), obbligatorio per accedere in Italia, Malta e Grecia e gli altri moduli richiesti in vari altri stati UE per l’ingresso).
C’è da augurarsi che queste differenze verranno superate una volta che saranno emessi gli atti delegati per l’attuazione delle disposizioni di cui al Regolamento del Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di COVID-19, Regolamento approvato il 15 giugno scorso ed entrato in vigore il 1 luglio (Reg. UE 2021/953) e che le problematiche privacy vengano superate garantendo un elevato livello di tutela per i dati sanitari dei cittadini dell’Unione, così consacrando il Green Pass quale vero e proprio “passaporto sanitario” dei cittadini dell’Unione.
Il paradosso della “zona sicura”
L’obiettivo dichiarato del Governo è quello di far accedere a una serie di attività “a rischio” solamente a una serie di soggetti di cui si è certi che non siano contagiosi.
Il problema è che questa idea (fatta propria dal Governo e che sostiene anche giuridicamente l’estensione dei casi d’uso del Green Pass) si scontra con una serie di “esenzioni” che potrebbero portare all’ingresso in queste “zone sicure” di soggetti che in realtà potrebbero essere contagiosi.
Da un lato vi sono infatti i certificati medici che consentono l’esenzione dal Green Pass e dall’altro lato va considerata la sostanziale “esenzione” dal Green Pass di tutti i soggetti che non sono “ospiti” delle attività/eventi/servizi per cui serve il Green Pass, bensì sono impiegati per fornire le stesse attività/eventi/servizi (gestori, dipendenti e collaboratori).
L’obiettivo dichiarato del Governo, che non ha finora dato mostra di voler introdurre un vero e proprio obbligo vaccinale (salvo per il personale sanitario), è sempre stato quello di lasciare libertà di scelta ai cittadini, non volendo arrivare ad imporre la vaccinazione ai lavoratori a contatto con il pubblico o comunque a richiedere loro un Green Pass basato su tampone (difficile da “mantenere” con costanza per un’attività quotidiana come quella lavorativa vista la sua scadenza ogni 48 ore).
Se questa direttiva non cambierà dovremo quindi ammettere la possibilità che in un ristorante al chiuso potranno essere presenti al tavolo non solo soggetti muniti di Green Pass, ma anche soggetti con certificato medico che li esenta da questo obbligo, e che entrambi potrebbero essere serviti da personale sprovvisto di Green Pass.
Sarà importante quindi non abbassare la guardia in queste “bolle” riservate ai possessori di Green Pass, informando i cittadini e formando i fornitori/gestori sulla necessità non solo di far accedere solamente soggetti in possesso di Green Pass, ma anche di far rispettare le misure prescritte per evitare i contagi, non essendo certo che le aree accessibili solo ai possessori di Green Pass siano esenti dal rischio di contagio (è inoltre verosimile che il Garante Privacy non consentirà una “disclosure” sul fatto se l’accesso è stato consentito in virtù del Green Pass o del certificato di esenzione, perché si tratterebbe di accedere a dati sanitari dei soggetti che accedono).