Sul tema del Green Pass molto si può dire e forse ancor più tacere. Ma certamente, per quanto annunciata come l’ennesima misura salvifica dall’emergenza pandemica (a tal proposito: i risultati di Immuni dove sono?), pone alcuni problemi relativi all’attività di verifica e gestione. Per comprendere meglio il contesto basti pensare che il Garante Privacy, in seguito a molteplici segnalazioni, è dovuto arrivare a vestire letteralmente i panni di Capitan, per ricordare che il super green pass o green pass rafforzato non deve essere richiesto al di fuori delle ipotesi previste dalla legge, e che dunque l’utilizzo della app VerificaC19 per la tipologia di verifica c.d. rafforzata non è lecito.
Ora, andando a vedere come funziona la possibilità di configurazione della tipologia di verifica l’operatore può liberamente selezionare la tipologia di verifica fra base o rafforzata, senza poter visualizzare la condizione (tampone, vaccinazione, guarigione) che ha determinato l’emissione della certificazione. In che modo però garantire da abusi? Secondo lo schema di decreto su cui il Garante ha comunque espresso parere favorevole, è previsto che i soggetti delegati all’attività di verifica siano autorizzati e “specificamente istruiti in merito alla possibilità di utilizzare la modalità di verifica “rafforzata” esclusivamente nei casi in cui lo richieda la vigente legislazione”. Appare dunque che prevalgano gli accorgimenti di natura organizzativa (quali sono le istruzioni) su configurazioni tecniche che consentano di selezionare e distinguere i privilegi in base all’attività e ai requisiti normativi.
E certamente, sebbene il Garante prescriva di “adottare specifici accorgimenti volti a rendere evidente all’interessato la modalità di verifica utilizzata dal soggetto che effettua i controlli, introducendo, all’interno dell’app VerificaC19, specifici elementi testuali, grafici e visivi, come, ad esempio, diciture, simboli e colori, differenziati per le due modalità di verifica”, si spera di poter comunque sostenere che si sarebbe potuto fare di meglio in sede di sviluppo ed implementazione della funzionalità, sperando di non essere additati come oltranzisti o burocrati della privacy. Insomma: se la tutela deve essere effettiva e l’attività segue il principio di privacy by default di cui all’art. 25.2 GDPR, la garanzia è che vengano trattati “solo i dati personali necessari per ogni specifica finalità del trattamento” e che di conseguenza i soli soggetti appartenenti ad ambiti per cui è prescritta la verifica rafforzata possano accedere a tale funzione.
Esiste una soluzione facile? Che dire, nell’era dell’entusiasmo da SpID e digitalizzazione della PA – quanto meno negli annunci – forse ci si poteva ben aspettare qualche sforzo in tal senso. O anche la registrazione di un’utenza controllo con il codice ATECO dell’attività, che avrebbe automaticamente assegnato il privilegio.
O forse non ci si aspetta più niente, e il primo crollo del continuo terremoto privacy è proprio quello del poter ben sperare?
