Anteprima DPCM su Certificati di Esenzione digitali con QR CODE.
La verifica del Green Pass per le persone esenti dal ciclo vaccinale finalmente si concilia con la Privacy
Di Christian Bernieri - DPO
Sin dall’introduzione del Green Pass si è posto il tema delle persone che, per varie ragioni, non hanno la possibilità di ottenere il certificato verde. A prima vista si potrebbe pensare che solo poche persone siano coinvolte e che, quindi, come spesso accade, lo sforzo per gestire il problema non sia bilanciato da un reale interesse diffuso o da adeguata visibilità.
Purtroppo non esiste un conteggio ufficiale e, per capire l’entità del problema, bisogna far riferimento, con la necessaria approssimazione, alle categorie di persone per le quali è prevista l’esenzione dall’effettuazione delle vaccinazioni anti covid-19.
Tra i soggetti con controindicazioni specifiche vi sono certamente il milione e mezzo di persone affette da malattie autoimmuni o autoinfiammatorie e i cinque milioni di persone con sistema immunitario fragile. Molti di questi possono essere già guariti dal covid e, quindi, possono essere in possesso del green pass, ma il Ministero non è in grado di fornire una stima attendibile. Potrà essere un conteggio impreciso ma, certamente, il tema riguarda direttamente qualche milione di cittadini.
Queste persone, da molti mesi, pur non essendo in alcun modo destinatari di limitazioni alla circolazione o all’accesso in determinati luoghi, si vedono chiedere quotidianamente il green pass come accade ad ogni altra persona, anche per il solo accesso ai luoghi di lavoro e, oggi, nei negozi.
Tuttavia, al contrario di chi si è potuto vaccinare, non hanno alcun green pass da esibire e sono costretti a dimostrare la propria esenzione nei modi più disparati. Anche il documento stesso di esenzione assume a volte connotati grotteschi poichè non ha una forma univoca e riconoscibile. La cronaca riporta casistiche al limite del ridicolo, se non vissute in prima persona, ma che rappresentano un dramma quotidiano per chi ne è direttamente e personalmente coinvolto. Un caso molto frequente si verifica ogni volta che chi procede ai controlli non ha ricevuto informazioni complete e, quando si presenta un caso anomalo, come un soggetto esente, deve chiedere istruzioni al proprio responsabile. Tutto ciò comporta ritardi che possono essere fastidiosi ma genera anche una forma di discriminazione per le persone coinvolte che si vedono negato l’accesso al quale avrebbero diritto, tempraneamente isolate come se fossero fonte di un rischio o un problema per l’azienda o l’esercente e, infine, si vedono identificate, additate e rese riconoscibili come “diverse” da tutti quelli che possono ostendere un green pass valido. Basti ricordare i casi eclatanti e plateali di verifiche a bordo dei treni o dei mezzi di trasporto collettivo. Il ritardo del mezzo causato dal necessario accertamento si traduce spesso in disappunto verso un inerme viaggiatore, colpevole solo del fatto di non potersi sottoporre al ciclo vaccinale e, di conseguenza, di dover giustificare il suo diritto a viaggiare pur se sprovvisto di green pass
Questa corsia differenziata, l’attesa causata da un verificatore male informato, il fatto di sentirsi diversi o trattati diversamente è, ancora oggi, un peso per milioni di persone e una macchia sulla coscienza del legislatore che, in tutti questi mesi, non ha saputo dare un riscontro ad un problema reale e ampiamente diffuso.
Con gli occhi di un DPO, il tema assume tinte ancor più fosche poichè il GDPR, il regolamento europeo che disciplina e tutela il diritto alla protezione dei dati personali, prevede alcuni principi che non permettono di giudicare legittima l’attuale normativa sui controlli del certificato verde. Non è lecito consentire che persone esentate dalla campagna vaccinale siano riconoscibili agli occhi di tutti. E’ necessario tutelare ogni individuo e prevedere modalità di verifica del Green Pass tali da escludere la pubblica gogna o ogni altra circostanza che possa essere lesiva della legittima pretesa di riservatezza.
Chiaramente sarebbe assurdo e inapplicabile pretendere che la verifica venga fatta in locali isolati e protetti poichè il Green Pass viene chiesto quasi continuamente in una moltitudine di occasioni. Agli occhi di un DPO, e certamente anche agli occhi del Garante, è altrettanto assurdo non prevedere alcuna forma di tutela e protezione per milioni di persone che quotidianamente sono obbligate a condividere con chiunque un proprio dato particolare (lo stato di salute) in modo plateale, continuo e oggettivamente inopportuno.
In una parola, il GDPR chiede di minimizzare il trattamento di dati non necessari e, per un soggetto esente, mostrare la propria esenzione e differenziarsi dalla generalità delle persone, corrisponde a subire una violenza decisamente evitabile.
Finalmente il 14 Gennaio, l’esecutivo ha predisposto un DPCM, condiviso con il Garante Privacy, che dovrebbe mettere la parola fine a questa diffusa e inutile forma di discriminazione.
Il Garante ha preso parte a tavoli congiunti per addivenire ad un testo rispettoso dei principi del GDPR e che potesse consentire le verifiche necessarie per legge.
Questa fruttuosa interlocuzione dimostra, ancora una volta, che non esiste alcuna contrapposizione tra gli obblighi di protezione dei dati personali e le necessità contingenti di gestione di eventi critici come, nel nostro caso, la pandemia in corso. Il GDPR e “la privacy” sono perfettamente conciliabili con l’applicazione di qualsivoglia misura di prevenzione del contagio, di verifica del possesso di determinati documenti o dell’accertamento di situazioni soggettive particolari come l’esenzione dal ciclo vaccinale. Ciò che si è appena realizzato richiama il termine inglese win-win, ovvero ad un esito favorevole a tutti, dove tutti sono contenti e dove nessuno abbia dovuto cedere, comprimere le proprie aspettative o rinunciare alle proprie finalità. Nessuna contrapposizione, insomma.
Soprattutto, da oggi, il vero vincitore è ciascuna delle milioni di persone che non dovrà più dimostrare e giustificare con variegati certificati la propria esenzione dal ciclo vaccinale.
Il Garante ha infatti emesso un parere positivo e senza alcuna condizione o richiesta di modifica, validando interamente la bozza del DPCM e giudicandolo integralmente coerente con il GDPR, superando così un vaglio preventivo, rigoroso e focalizzato alla coerenza con l’esigenza di protezione dei dati personali.
(qui il testo https://gpdp.it/home/docweb/-/docweb-display/docweb/9742269)
Il DPCM in questione, dopo gli usuali “visto” e “considerato”, si compone di 15 articoli e tre allegati tecnici.
Si prevede, all’art 3, che le certificazioni di esenzione siano emesse dalla medesima piattaforma che oggi gestisce la generazione dei Certificati Verdi. L’aspetto sarà del tutto identico tra il certificato di esenzione e qualsiasi altro green pass, in entrambi i casi sarà presente un QR-CODE leggibile dalle app di verifica.
Nel caso del certificato di esenzione, la verifica darà esito favorevole (schermata verde) senza rendere pubblicamente evidenti elementi che permettano di distinguere il motivo del rilascio del documento ,rendendo indistinguibili, ai fini dell’uso il green pass e il nuovo certificato di esenzione.
Gli elementi contenuti del nuovo certificato di esenzione sono così dettagliati:
“Le certificazioni di esenzione dalla vaccinazione anti-COVID-19, rilasciate dalla Piattaforma nazionale- DGC, riportano nella sezione che include il QR code i seguenti dati generali:
- cognome e nome;
- data di nascita;
- identificativo univoco della certificazione digitale di esenzione dalla vaccinazione anti-COVID-19;
enei dettagli della certificazione i seguenti dati: - malattia o agente bersaglio: “COVID-19”;
- la dicitura: “Soggetto esente dalla vaccinazione anti SARS-CoV-2/COVID-19.”
- la data di inizio validità della certificazione;
- la data di fine di validità della certificazione, ove prevista;
- il codice fiscale del medico che ha rilasciato la certificazione;
- il codice univoco esenzione vaccinale (CUEV) assegnato dal Sistema TS;
- l’ente di emissione della certificazione digitale di esenzione dalla vaccinazione anti-COVID-19: Ministero della salute.”
Anche le procedure di emissione variano rispetto alla situazione attuale poichè è previsto che “ Il medico che emette la certificazione di esenzione dalla vaccinazione anti-COVID-19 rilascia all’assistito un’attestazione, in formato cartaceo o digitale, identificata con il codice univoco (CUEV), riportante i dati di cui al comma 1 del presente articolo e la motivazione che giustifica l’esenzione dalla vaccinazione anti- COVID-19, secondo le modalità riportate nell’Allegato C.”
L’art 4 prevede che la piattaforma nazionale sia modificata per permettere alcune funzioni specifiche legate al certificato di esenzione:
“La piattaforma nazionale-DGC rende disponibili, oltre alle funzioni e servizi descritti nell’allegato B del dPCM 17 giugno 2021, le funzioni e i servizi descritti nell’Allegato B al presente decreto, relativi a:
- raccolta e gestione delle informazioni necessarie per la generazione e la revoca della validità delle certificazioni di esenzione dalla vaccinazione anti-COVID-19, attraverso le funzionalità del Sistema TS;
- generazione e cessazione della validità delle certificazioni di esenzione dalla vaccinazione anti- COVID-19;
- messa a disposizione delle certificazioni di esenzione dalla vaccinazione anti-COVID-19 ai soggetti intestatari delle stesse;
- verifica delle certificazioni di esenzione dalla vaccinazione anti-COVID-19;
- messa a disposizione dei dati trattati per finalità epidemiologiche;
- messa a disposizione dei dati trattati per finalità di monitoraggio sulla correttezza, veridicità e
congruità dei dati medesimi.”
La piattaforma sarà alimentata dai dati del sistema Tessera Sanitaria e, anche in questo caso, i soggetti abilitati ad operare ed inserire dati sono:
- “medici vaccinatori delle strutture sanitarie, pubbliche e private accreditate, afferenti ai Servizi Sanitari Regionali;
- medici di medicina generale e pediatri di libera scelta;
- medici USMAF e medici SASN”
Il sistema prevede la possibilità di stampa e anche di invio tramite posta elettronica “i dette informazioni, identificate con il codice univoco CUEV di cui al comma 3, complete della motivazione clinica dell’esenzione, da fornire su richiesta all’interessato.”
Per il funzionamento dell’intero sistema è prevista la generazione attribuzione del codice univoco esenzione vaccinale (CUEV). Proprio questo codice, composto secondo regole tecniche descritte in allegato, permette la generazione anche del QR-CODE ai fini della verifica diretta tramite App VerificaC19.
Tutto questo confluisce, come d’abitudine, nel fascicolo sanitario elettronico.
Come per il Green pass, anche la certificazione di esenzione è messa a disposizione dell’interessato in vari modi:
- “Portale della Piattaforma nazionale-DGC, cui si accede sia attraverso identità digitale sia con autenticazione a più fattori;
- Fascicolo Sanitario Elettronico;
- App Immuni;
- App IO;
- Sistema TS, per il tramite dei soggetti di cui all’art. 11, comma 1, lettera e) del dPCM 17 giugno, nonché di cui all’art. 5, comma 2, del presente decreto.”
Le modalità di accesso alle certificazioni di esenzione dalla vaccinazione anti-COVID-19 sono quelle descritte nell’Allegato E del dPCM del 17 giugno 2021 che prevedono l’uso di meccanismi di sicurezza volti a minimizzare il rischio di accessi non autorizzati ai dati personali.
L’esenzione può essere emessa unicamente qualora la vaccinazione sia “omessa o differita per la presenza di specifiche condizioni cliniche documentate, che la controindichino in maniera permanente o temporanea, come stabilito dalle circolari del Ministero della salute citate in premessa ed eventuali successivi aggiornamenti”
Tuttavia, “Le motivazioni che giustificano il rilascio della certificazione di esenzione dalla vaccinazione anti-COVID- 19 non sono riportate nella certificazione digitale, ma sono indicate in fase di alimentazione del Sistema TS dai soggetti indicati dal comma 2 per finalità epidemiologiche e di monitoraggio sulla correttezza, veridicità e congruità dei dati.” Il Ministero della Salute ha piena visibilità di tutti i dati inseriti così come i dipartimenti di prevenzione delle singole regioni e province autonome.
Tutte le nuove certificazioni di esenzione dovranno essere emesse unicamente attraverso questo sistema solo dopo 20 giorni dall’entrata in vigore del DPCM.
Anche la revoca è prevista e disciplinata:
“La Piattaforma nazionale-DGC genera una revoca delle certificazioni di esenzione dalla vaccinazione anti- COVID-19 eventualmente già rilasciate e ancora in corso di validità, secondo le modalità descritte all’articolo 8, commi 5 e 6, del dPCM 17 giugno 2021 e nei casi ivi previsti.” I soggetti abilitati ad operare sul sistema possono revocare le certificazioni inserendo, inolte, la data di fine validità e la relativa motivazione.
Con riferimento alla verifica dell’esenzione, l’articolo 9 prevede una sotanziale identità di utilizzo rispetto al Green Pass:
“1. La verifica delle certificazioni di esenzione dalla vaccinazione anti-COVID-19 è effettuata con le stesse modalità per la verifica della certificazioni verdi COVID-19, stabilite con decreto del Presidente del Consiglio dei ministri 17 giugno 2021, mediante la lettura del codice a barre bidimensionale, che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.”
E, soprattutto, “le verifiche effettuate con le modalità automatizzate descritte negli Allegati G e H del dPCM 17 giugno 2021 forniscono il medesimo esito del caso di possesso di una certificazione verde COVID-19 in corso di validità.”
In realtà, anche le altre modalità di verifica (previste dagli allegati G, I, L e M del DPCM 17 Giugno) restituiscono il medesimo esito del possesso di Green Pass valido anche per chi possiede la certificazione di esenzione.
Pertanto, sono scongiurate discriminazioni anche nei controlli automatizzati, remotizzati e massivi.
Come per il Green Pass, a richiesta del verificatore, deve essere dimostrata la propria identità con altro documento per verificare la titolarità effettiva del certificato di esenzione.
E’ ribadito dal DPCM che “L'attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma.”
L’art. 10 prevede che, per accedere ai tamponi gratuiti in farmacia, il titolare dell’esenzione possa esibire il documento anche solo nella forma del QRCODE, evitando di dover allegare documentazione sanitaria. Il Farmacista potrà verificare alcune informazioni ulteriori e, in questo caso, accertare che il QR CODE sia rilasciato per esenzione e non per altra ragione, al fine di gestire correttamente la gratuità e la rendicontazione dei tamponi effettuati.
L’Art 11 chiarisce i ruoli di titolare, di responsabile, e di ogni soggetto coinvolto nell’intera filiera del trattamento. Sono ben chiariti i termini di conservazione e i tempi necessari per la cancellazione dei dati nonchè le modalità di esercizio dei diritti degli interessati.
Tutte le misure di sicurezza sono mutuate direttamente da quanto già previsto per la gestione del Greeen Pass e dettagliato nell’Allegato F del dPCM 17 giugno 2021.
Il DPCM si chiude con gli allegati che riguardano
Allegato A (artt. 3 e 5) – Dati trattati per le certificazioni di esenzione dalla vaccinazione anti- COVID-19
Allegato B (artt. 4, 5, 6 e 7) - Funzioni e servizi della Piattaforma Nazionale-DGC (PN-DGC) per le certificazioni di esenzione dalla vaccinazione anti-COVID-19 e struttura del QR code
Allegato C (artt. 3, 5, 8) - Documento tecnico Sistema TS: funzionalità di acquisizione dati per i certificati di esenzione dalla vaccinazione anti-Covid-19. Dati e relativo trattamento