Parte il Green Pass ma ci sono ancora questioni privacy da risolvere. In particolare incognite da chiarire sul lato tecnologico e che avranno ancora l’attenzione del Garante privacy.
Lo stato normativo, almeno, è ora chiaro. Con DPCM dello scorso 17 giugno il Governo Draghi ha definito il quadro tecnologico per l’operatività del green pass, il certificato che consentirà a chi lo possiede maggiori libertà di movimento in Italia e in Europa.
Parallelamente il Parlamento ha approvato la legge di conversione del D.L. 52/2021 che all’articolo 9 contiene la disciplina cardine di questa normativa italiana innestata in un quadro comune europeo. In conversione sono stati accolti alcuni rilievi del Garante Privacy sulle finalità del trattamento dati.
Il quadro normativo
I provvedimenti infatti poggiano su quanto disposto a livello comunitario con il Regolamento (UE) 2021/953 che definisce un quadro per il rilascio, la verifica e l’accettazione di certificati interoperabili di vaccinazione, di test e di guarigione in relazione alla COVID-19 (certificato COVID digitale dell’UE) per agevolare la libera circolazione delle persone durante la pandemia di COVID-19 e pertanto avrà validità a livello europeo nonché in vari altri stati che negozieranno con l’Unione un livello di tutela corrispondente a quello dei certificati previsti dal Regolamento (salvo ovviamente provvedimenti specifici, che potrebbero limitare i movimenti anche all’interno dell’Unione ad esempio in caso di varianti).
Certificati verdi digitali COVID-19, la guida passo passo: ecco come funziona il sistema
Le problematiche privacy
La normativa relativa al Green Pass ha subito uno stallo di qualche giorno a causa dell’intervento del Garante Privacy, che ha sottoposto la bozza del DPCM a una puntuale serie di critiche, in particolare rivolte all’’app IO (destinataria infatti di un parallelo provvedimento di “blocco” dei servizi).
Questo intervento (criticato da alcuni perché ritenuto frutto di eccessivo formalismo, anche se non c’è nulla di formale nelle gravi falle segnalate dall’Autorità Privacy italiana) ha consentito una revisione migliorativa del DPCM, del decreto legge che ne ha disposto l’emissione e delle app destinate ad accogliere i Green Pass.
L’app IO promossa con riserva
Dopo la reprimenda del Garante, il gestore dell’app IO è corso ai ripari ottenendo il via libera privacy con provvedimento del 17 giugno 2021, in cui si prescrive comunque l’impossibilità di utilizzare i dati inviati al fornitore di PagoPA Mixpanel prima dell’introduzione dei correttivi e fino all’esito dell’istruttoria che sta portando avanti il Garante (e che verosimilmente si concluderà con l’imposizione di ulteriori migliorie all’applicativo).
Il Garante, in buona sostanza, ha autorizzato l’utilizzo dell’applicativo viste le misure “tampone” adottate tempestivamente da PagoPA e vista la situazione emergenziale, ma questo non significa che l’app IO sia promossa a pieni voti ed anzi il Garante prosegue nei suoi approfondimenti chiedendo a PagoPA di collaborare all’indagine finalizzata ad evidenziare e risolvere le criticità della piattaforma.
Pago PA ha infatti risolto alcune delle problematiche evidenziate dal Garante (rivedendo la condivisione dati con Google, ora limitata a notifiche push a contenuto generico e diminuendo il flusso dati verso la società di analytics Mixpanel) consentendo così un via libera “provvisorio” all’utilizzo dell’applicativo per il Green Pass, ma il percorso verso la compliance è ancora lungo.
Aspettiamo il messaggio del ministero per il pass, ma attenti alle truffe
In virtù di questi ultimi sviluppi normativi dal 17 giugno è già operativo il portale dgc.gov.it, ovvero il veicolo delle certificazioni verdi italiane, che poi potranno essere “scaricate” sull’app Immuni, sull’app IO o in cartaceo, quindi dal primo luglio il certificato sarà valido a livello europeo.
Oltre che sul portale, la Certificazione potrà essere richiesta al proprio medico di base, pediatra o in farmacia utilizzando la tessera sanitaria, mentre è in programma l’ottenimento del Green Pass anche attraverso il Fascicolo Sanitario Elettronico Regionale.
Nei prossimi giorni dovrebbero accelerare le comunicazioni ai vaccinati, guariti e sottoposti a test negativo per avvisare che la certificazione è disponibile (con le istruzioni su come ottenerla). Per quanto riguarda i vaccinati le certificazioni saranno comunque rese disponibili entro il 28 giugno.
Le comunicazioni arriveranno via email (dall’indirizzo noreply.digitalcovidcertificate@sogei.it, come indicato sulla piattaforma) o via SMS con mittente “Min Salute”.
È probabile che qualche malintenzionato profitti di questo flusso di dati per attività di phishing, sarà quindi importante per gli utenti verificare l’url a cui accedere per la richiesta del certificato, che deve essere dgc.gov.it.
I problemi privacy da risolvere ancora sul green pass
Le problematiche privacy dell’app non sono infatti finite e per questo la stessa PagoPA (che nel frattempo ha anche aggiornato la privacy policy di IO per informare sui cambiamenti apportati) si è impegnata a rilasciare una nuova versione dell’app entro il 9 luglio che includerà le seguenti modifiche:
- introduzione di un meccanismo di opt-in per l’attivazione dei servizi resi disponibili nell’app IO, garantendo così agli utenti una scelta esplicita, libera e specifica;
- introduzione di un meccanismo di opt-in per l’attivazione della funzionalità di inoltro via e-mail dei messaggi ricevuti nell’app.
Anche con riguardo al fornitore Mixpanel, l’app IO rimane sotto osservazione ed infatti il Garante nel proprio provvedimento del 9 giugno censurava anche il fatto che l’utilizzo del servizio di analytics statunitense non fosse sottoposto ad un meccanismo di opt-in (necessario vista la mole di dati trattati) nonché il fatto che questo potesse comportare un trasferimento di dati in USA.
I correttivi apportati non appaiono quindi sufficienti a risolvere tutte le problematiche evidenziate dall’Autorità Privacy ed infatti il Garante da un lato è in attesa di ricevere l’elenco completo degli eventi oggetto di tracciamento e delle relative informazioni oggetto di trasmissione all’azienda USA e dell’altro ha “congelato” il trattamento dei dati affidati a Mixpanel nel periodo compreso fra il 9 giugno e l’adozione delle misure correttive.
Non è inoltre chiaro se il meccanismo disposto per superare il problema dell’ID comunicato a Mixpanel sia sufficiente per scongiurare le preoccupazioni del Garante.
Nella relazione tecnica annessa al provvedimento del 9 giugno scorso l’Autorità evidenziava la problematica relativa alla creazione di un identificativo univoco utente legato al suo codice fiscale (così da consentire a Mixpanel di “rintracciare” un utente anche a seguito di un cambio dispositivo). Il Garante evidenziava come sia Mixpanel stessa a mettere a disposizione dei clienti strumenti per creare identificativi pseudocasuali e così superare queste problematiche.
Il correttivo di PagoPA consiste nell’utilizzo dell’ID hardware del dispositivo, correttivo che supera il problema principale evidenziato dal Garante (ora non è possibile “seguire” l’utente quando cambia il dispositivo), ma è distante dalla best practice descritta dal Garante (utilizzare ID pseudocasuali ed è peraltro una pratica sconsigliata nella stessa guida di Android per gli sviluppatori.
L’istruttoria del Garante (che potrebbe far emergere ulteriori elementi man mano che l’autorità approfondisce i flussi di dati generati dalla piattaforma) consentirà quindi all’Autorità di prendere una posizione definitiva sull’adeguatezza delle soluzioni adottate da PagoPA.
La conversione del Decreto Legge 52 del 2021
Altra normativa sotto la lente del Garante è il D.L. 52/2021, non va dimenticato infatti che il DPCM approvato dal Governo lo scorso 17 giugno poggia sull’art. 9 del D.L. 52 del 2021, convertito in legge con Legge 87 del 21.06.2021, che modifica il testo dell’art. 9 del Decreto Legge inserendo molti degli accorgimenti prescritti dal Garante nel proprio provvedimento del 9 giugno scorso.
Il Garante infatti, nell’esame dello schema di DPCM, ha evidenziato come lo stesso poggiasse su basi legislative malferme e da correggere in sede di conversione del decreto. L’attività del Garante, rivolta all’approvazione del DPCM, ha finito quindi per estendersi al testo legislativo, in quanto stiamo parlando di un trattamento dati di importanza primaria e di fondamento eccezionale, che non può trovare giustificazione se non in una adeguata base legislativa.
Le finalità del trattamento e utilizzo green pass
Il Garante ha innanzitutto prescritto che venissero definite le finalità del trattamento e introdotta una riserva di legge statale per l’utilizzo delle certificazioni Green Pass.
Il legislatore ha riportato nella Legge 87/21 questa prescrizione limitando l’utilizzo del Green Pass alle seguenti finalità:
- Spostamenti in entrata o uscita dai territori ricadenti in zona arancione o rossa;
- Permanenza nelle sale d’attesa di dipartimenti d’emergenza e accettazione e dei reparti di pronto soccorso da parte di accompagnatori di pazienti non affetti da COVID-19;
- Uscite temporanee alle persone ospitate presso strutture di ospitalità e lungodegenza, residenze sanitarie assistite, hospice, strutture riabilitative e strutture residenziali per anziani, autosufficienti e non, strutture residenziali socioassistenziali e altre strutture elencate nel decreto;
- Accesso a particolari eventi e spettacoli dal vivo secondo le prescrizioni di cui alle linee guida;
- Accesso a particolari fiere, convegni e congressi secondo le prescrizioni di cui alle linee guida;
- Partecipazione a feste conseguenti alle cerimonie civili o religiose, anche al chiuso, anche organizzate mediante servizi di catering e banqueting.
Manca quindi la riserva di legge statale prescritta dal Garante, ma la limitazione, prescritta per legge, alle finalità appena descritte dovrebbe escludere interventi “espansivi” da parte di fonti di rango inferiore.
Le uniche disposizioni che stridono con quanto voluto dal Garante sono l’art. 5 co. 4 e l’art. 7 co. 2 del D.L. 52/2021, che lasciano alle Linee Guida l’individuazione dei “particolari” eventi, spettacoli dal vivo, fiere, convegni o congressi a cui sarà consentito l’accesso solo con Green Pass, questa possibilità è però limitata nella tipologia per legge e questo consente comunque un “contenimento” della disciplina di rango inferiore a quello legislativo.
Non si rinviene, invece, una esplicita estensione delle sanzioni previste dall’art. 4 D.L. 19/2020 anche all’attività posta in essere dai soggetti preposti al controllo delle certificazioni Green Pass, pur richiesta dal Garante nel provvedimento del 9 giugno scorso. Va detto che la richiesta del Garante appariva sibillina, essendo evidente che tali soggetti preposti non sono, sol perché “preposti” al controllo delle certificazioni, in una posizione di eccezione rispetto all’art. 4 D.L. 19/2020 e dovranno quindi rispettare anch’essi la normativa.
La tutela da frodi, invece, è assicurata dalla disciplina che punisce il falso ideologico e materiale (peraltro oggetto di un comprensivo richiamo all’art. 13 co. 2 del D.L.).
Green Pass anche dopo la prima dose di vaccino
La Legge di conversione del D.L. 52/2021 introduce inoltre l’interessante novità per cui il Green Pass viene rilasciato anche contestualmente alla somministrazione della prima dose di vaccino e ha validità dal quindicesimo giorno successivo alla somministrazione fino alla data prevista per il completamento del ciclo vaccinale, la quale deve essere indicata nella certificazione all’atto del rilascio.
La legge di conversione precisa poi che (ovviamente) il Green Pass decade nel momento in cui venisse accertato che il soggetto che ne è munito è positivo al virus.
Il DPCM 17.06.2021
Il DPCM approvato dal Governo Draghi lo scorso 17 giugno contiene alcuni correttivi rispetto alla bozza esaminata dal Garante, in particolare all’art. 16 è stata introdotta, come richiesto dall’Autorità, la disciplina relativa al periodo di conservazione dei dati, secondo cui i dati relativi ai Green Pass saranno eliminati alla scadenza della validità del certificato (salvo intervengano altre normative che giustifichino il prolungamento del trattamento).
L’Allegato F del Decreto (contenente l’elenco delle misure di sicurezza adottate) contiene la precisazione dei dati registrati nella Piattaforma nazionale-DGC e relativi agli accessi (sia alla piattaforma che alla base dati da questa generata), precisando che tali registrazioni potranno essere usate ai soli fini della verifica della liceità del trattamento e per garantire l’integrità e la riservatezza dei dati personali.
L’Allegato A precisa invece i dati trattati con riferimento alla singola tipologia di trattamento (vaccino, guarigione o tampone) nonché i dati riportati sul certificato. Nell’allegato è precisata la finalità perseguita con riferimento al trattamento dei dati di contatto degli interessati (in via alternativa numero di cellulare o email), ovvero quello dell’invio dell’AUTHCODE, mentre nell’art. 16 del decreto è precisato che anche i dati di contatto verranno conservati fino alla scadenza della validità del certificato.
Il provvedimento quindi introduce i correttivi prescritti dal Garante, che già aveva espresso il proprio parere favorevole allo schema sottopostogli all’inizio del mese. Se dal punto di vista normativo quindi il Green Pass non presenta ora criticità di sorta, è il lato tecnologico che continua a presentare incognite con l’app IO approvata “con riserva” e ancora sotto esame da parte dell’Autorità.
Gli ulteriori compiti del Garante
Il ruolo del Garante non è poi venuto meno dopo i correttivi tecnologici e normativi approntati ed infatti dovranno essere sottoposte al Garante le misure adottate per garantire l’integrità, la riservatezza e l’esattezza dei dati estratti dalla piattaforma dell’ISS e relativi a infezioni/vaccinazioni avvenute prima dell’entrata in vigore del D.L. 52/2021 prima del loro utilizzo per emettere Green Pass (utilizzo che avverrà entro il 27 giugno 2021 secondo le previsioni del Governo).
Il Garante inoltre vigilerà sull’attività posta in essere dal Ministero al fine di informare gli interessati della delicatezza dei dati riportati nelle certificazioni e che gli stessi sono tenuti a esibire le stesse solo ai soggetti preposti ai controlli previsti dalla legge, attività ritenuta essenziale dal Garante e già indicata nel provvedimento del 9 giugno scorso.
Il percorso di compliance privacy del Green Pass è quindi solamente all’inizio e il Garante con questo approccio rigido ma efficiente verosimilmente cambierà, in meglio, il modo in cui l’amministrazione ed il legislatore si approcceranno, in futuro, al tema privacy, senza relegare questo fondamentale aspetto della nostra vita di relazione ad una sorta di diritto di serie b.