Con il d.l. 23 luglio 2021, n. 105 “Misure urgenti per fronteggiare l’emergenza epidemiologica da COVID-19 e per l’esercizio in sicurezza di attività sociali ed economiche” è emersa l’oramai nota e diffusa questione del Green Pass come misura per l’accesso a determinati eventi e strutture.
Ma chi è il soggetto che materialmente deve svolgere i controlli? E soprattutto: ci sono adempimenti da svolgere ai sensi della normativa in materia di protezione dei dati personali?
La risposta alla prima domande è nell’art. 13 DPCM 17 giugno 2021, il quale indica come “verificatori”, oltre i pubblici ufficiali nell’esercizio delle proprie funzioni, anche gli addetti ai servizi di controllo delle attività di intrattenimento e spettacolo iscritti all’elenco prefettizio, nonché una serie di soggetti quali:
- i titolari, proprietari o detentori di strutture, luoghi o locali presso cui l’accesso è condizionato dal possesso del Green Pass;
- i gestori delle strutture che erogano prestazioni sanitarie, socio-sanitarie e socio-assistenziali per l’accesso alle quali è prescritto il Green Pass;
- i vettori aerei, marittimi e terrestri.
Con riferimento a queste tre ultime categorie, è prevista la possibilità di delegare tale attività di controllo, purché avvenga mediante incarico “con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica” (comma 3 del citato articolo 13).
E dunque, inquadrati così i soggetti, si può considerare che l’atto formale consista almeno in un atto scritto e che fornisca evidenze circa l’effettiva conoscenza della delega da parte del destinatario, quale può essere una sottoscrizione datata per ricevuta da parte di questi.
Sotto la lente della normativa in materia di protezione dei dati personali, si legge un’attribuzione di funzioni e compiti a soggetti designati indicata dall’art. 2-quaterdecies Cod. Privacy per cui è possibile, nell’assetto organizzativo del titolare o del responsabile del trattamento, prevedere che “specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.”. Tale prescrizione altro non è che una specifica declinazione operativa dell’art. 29 GDPR, il quale generalmente prescrive che i soggetti che accedono ai dati personali possono trattarli solo previa istruzione da parte del titolare del trattamento.
Dal momento che l’art. 13 comma 5 stabilisce che “L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma.”, va esclusa ogni registrazione dei dati di accesso e men che meno dei documenti di identità, i quali, a richiesta, devono solo essere esibiti al verificatore ai sensi del comma 4 del medesimo articolo.
Ciò comporta di conseguenza che il dato non può essere conservato né trasmesso, ma che comunque occorrerà fornire, anche oralmente, un’informativa all’interessato (indicando come finalità il controllo degli accessi e come base giuridica l’applicazione delle disposizioni emergenziali) e provvedere ad aggiornare di conseguenza i registri delle attività di trattamento.
Ultimi ma non meno importanti, gli aspetti della sicurezza e della sensibilizzazione degli operatori, per cui occorrerà una particolare cura nel saperli riferire al contesto operativo senza ricorrere a formalismi inutili (in difetto) né paralizzanti (in eccesso).
