Green pass: è possibile snellire le operazioni di verifica?
A seguito dell’entrata in vigore del decreto legge n. 122, tutte le scuole (servizi 0-6 inclusi) hanno l’obbligo di verificare il green pass di chiunque acceda alle strutture scolastiche. Quindi il certificato verde va verificato sia per i membri dello staff sia per i genitori.
Ovviamente questa misura porta con sé svariate complessità dal punto di vista gestionale ed organizzativo. In molti, quindi, si stanno ponendo questa domanda: esiste oggi una modalità che consenta di effettuare queste verifiche in modo più automatizzato?
La domanda è lecita e semplice, ma, purtroppo, la risposta non è altrettanto scontata.
Abbiamo pensato di spiegarti la questione per mezzo di alcune domande, per le quali abbiamo formulato delle risposte semplici (il più possibile), ma allo stesso tempo esaustive. Ci auguriamo che le nostre risposte ti aiutino ad orientarti.
Non entreremo assolutamente nel merito del provvedimento dal punto di vista dell’efficacia o dal punto di vista politico; ci limiteremo a definire il perimetro da un punto di vista normativo e trarremo le relative conclusioni.
Cosa contiene il green pass?
Probabilmente non ti sei posto questa domanda, ma capire cosa c’è dentro quel “riquadro puntinato” (chiamato in gergo tecnico QR code) che costituisce il certificato verde ci aiuta a capire cosa possiamo e cosa non possiamo fare.
Il QR code non è altro che una rappresentazione digitale di un contenuto “testuale”. È come se le informazioni riguardanti il pass, al posto che essere scritte in lingua italiana, fossero trascritte con un linguaggio differente. Queste informazioni contengono: il nominativo della persona, le date di validità del pass, se il pass è stato rilasciato in seguito a tampone o vaccino, quale vaccino è stato inoculato, ecc.
Quindi il pass non contiene nulla di trascendentale, ma delle informazioni che riguardano la persona.
Queste informazioni vengono anche firmate elettronicamente dal Ministero: questo conferisce al pass autenticità e non permette la contraffazione.
Avere il QR code (o copia del QR code) del green pass significa quindi avere a disposizione queste informazioni personali, anche se scritte in una lingua differente e leggibili solo mediante un programma.
Il GDPR (Regolamento UE 2016/679), la normativa vigente in materia di trattamento dei dati personali, identifica i dati contenuti nel green pass come dati personali particolari di carattere sanitario.
Come si effettua la verifica del green pass?
Per verificare il green pass il Ministero della Salute ha rilasciato un’apposita applicazione per smartphone e tablet, chiamata VerificaC19.
In sintesi, una volta scansionato il QR code del green pass, l’app indica se il certificato è valido. Quindi l’output, cioè quello che viene visualizzato terminata la verifica, è una semplice informazione: SI — NO.
In altri termini, l’app non ci da alcuna informazione circa il contenuto del green pass. Inoltre, durante la verifica, l’app del Ministero non salva alcun tipo di informazione in locale (cioè all’interno del dispositivo utilizzato).
Ad oggi l’app VerificaC19 è l’unico strumento autorizzato dal Ministero per la verifica del green pass.
P.S. il codice sorgente dell’app VerificaC19 (cioè il codice informatico che fa funzionare l’app) è pubblico, quindi gli sviluppatori possono vedere nel dettaglio come funziona.
Perché non salvarsi i green pass degli utenti? La palestra che frequento lo fa…
Perché salvare il QR code, le informazioni in esso contenute o conservare copia della versione cartacea del Green Pass significa salvare dati personali di carattere sanitario.
La normativa in materia di trattamento dei dati personali vigente prevede che questa categoria di dati, chiamati dati particolari, possa essere trattata solo in casi specifici e da soggetti autorizzati (ad eccezione di qualche deroga specifica, es. medico del lavoro).
Una struttura per l’infanzia, quindi, non ha titolo per attuare un trattamento di questo tipo, men che meno creare una banca dati che contenga tali informazioni. Questo principio vale a prescindere dalla quantità e dalla tipologia di dati memorizzati: non è lecito nemmeno salvare la sola data di fine validità (che non è comunque sufficiente per provare la validità del pass, come spiegato al punto seguente).
In merito a questo ti potrà interessare questo intervento di Guido Scorza, componente del collegio dell’autorità Garante per la protezione dei dati personali: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9696596
Perché il pass di una persona va verificato ogni giorno?
Viene spontaneo chiederselo: se VerificaC19 dice che il pass è valido, non si può evitare di verificarlo ogni giorno fino alla data di fine validità?
La risposta è no.
Il Ministero della Salute, infatti, potrebbe revocare il green pass. Di conseguenza un pass che scade fra 3 mesi e che oggi risulta valido domani potrebbe non esserlo più.
Questa operazione viene compiuta invalidando la firma elettronica contenuta nel QR code.
Ma se faccio firmare al genitore/dipendente una liberatoria per la conservazione del pass?
Anche in questo caso la risposta è secca: non si può fare, per i motivi già esposti.
Il fatto che l’interessato “concordi” sul consegnarmi il suo green pass e mi conceda di conservarne la copia non mi autorizza a trattare il dato (perché è la norma che lo vieta).
Come abbiamo già detto conservare copia del green pass di un utente significa conservare le informazioni in esso contenute, in altre parole si mette in atto un trattamento di dati personali particolari senza che sia legittimo farlo.
Quindi non posso snellire le operazioni di verifica?
Al momento purtroppo no.
Sappiamo che ci sono aziende che spacciano soluzioni alternative a VerificaC19 (o si stanno adoperando per farlo), con la promessa di semplificare le operazioni di verifica dei pass. Sappiamo anche che ci sono consulenti privacy che stanno dando informazioni completamente diverse rispetto a quanto hai appena letto.
Ma si tratta di soluzioni non conformi alle indicazioni ministeriali e all’attuale normativa sul trattamento dei dati personali.
Ovviamente esiste poi il tema legato all’affidabilità, che è il motivo per cui il Ministero probabilmente non si è ancora espresso a riguardo: chi verifica che queste applicazioni non istituzionali eseguano la verifica in modo corretto?
Ad oggi, quindi, non esiste soluzione o procedura (che sia legittima) alternativa all’app del Ministero.
Ovviamente il quadro normativo è in continua evoluzione, quindi queste disposizioni in futuro potrebbero variare (ad esempio a fronte di un’incapacità da parte delle strutture di ottemperare a quanto richiesto).
Non escludiamo (anche se non sarà facile che ciò avvenga) che nelle prossime settimane le autorità permettano un’integrazione fra sistemi informatici per snellire le operazioni di controllo, che sia funzionale e rispettosa della privacy degli utenti.
Con questo articolo ci auguriamo di aver fatto luce su questo nuovo provvedimento e di averti aiutato a comprendere i motivi tecnici per cui la verifica del green pass va fatta in base a quanto stabilito dalla norma.
Ad oggi l’adozione di soluzioni diverse o di sistemi informatici che cerchino di sostituirsi all’app del Ministero non sono legali.
Articolo a cura di:
Ing. Alberto Sbeghen, CEO di Kindertap
https://www.kindertap.com
Dott. Davide Vedelago, pianificazione e controllo, sistemi informativi, sicurezza delle informazioni
https://scuadra.it
Una risposta
[…] data 13 settembre, con una comunicazione dedicata (puoi rileggere il testo qui), avevamo spiegato nel dettaglio perché l’unica modalità legale di verifica consistesse […]