La disciplina interna delle certificazioni verdi, sotto il profilo della protezione dei dati, implica un trattamento legittimo nella misura in cui si inscriva nel perimetro delineato dalla normativa vigente.
A dirlo è il Garante per la protezione dei dati personali, che ha risposto ad alcuni quesiti sugli obblighi e sulle implicazioni della loro, eventuale, inosservanza da parte dei rispettivi destinatari.
Il trattamento dei dati sul Green pass è legittimo
L’Autorità ovviamente non entra nel merito della “ragionevolezza dell’estensione dell’ambito applicativo delle certificazioni verdi nei termini progressivamente delineati dai dd.ll. nn. 105 e 111 del 2021 e dalle implicazioni di tale estensione sulla proporzionalità del corrispondente trattamento”, ma rileva che il trattamento dei dati attraverso il Green pass è legittimo “nella misura in cui si limiti ai soli dati effettivamente indispensabili alla verifica della sussistenza del requisito soggettivo in esame (titolarità della certificazione da vaccino, tampone o guarigione), alle operazioni a tal fine necessarie e segua le modalità indicate dal dPCM 17 giugno 2021, attuativo dell’art. 9 del d.l. n. 52 del 2021”.
Secondo il Garante sono dunque leciti sia il controllo sia attraverso “VerificaC19”, sia il potere di verifica dell’identità del titolare del Green pass.
Il trattamento dei dati personali funzionale a tali adempimenti, se condotto secondo la normativa e nel rispetto delle norme in materia di protezione dei dati personali (e in primo luogo del principio di minimizzazione) non può comportare l’integrazione degli estremi di alcun illecito, né tantomeno l’irrogazione di sanzioni.
Ovviamente deve essere esclusa la raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione, in qualunque forma.
Certificazione di esenzione
Dovrà invece essere oggetto di garanzie maggiori, sotto il profilo della protezione dati, – precisa infine il Garante – la disciplina transitoria della certificazione, in forma cartacea, da rilasciare ai soggetti esenti dall’obbligo di ostensione del pass, che nel rispetto del principio di minimizzazione non deve comportare la rilevazione di dati eccedenti le finalità perseguite e, in particolare, di dati inerenti la condizione sanitaria dell’interessato.