Certificazione verde COVID-19 (meglio nota come green pass).
Visti gli artt. 28, 29, 32 e 39 del GDPR, e considerato ormai assodato che il titolare del trattamento dei dati personali particolari è il Ministero della Salute (vedi foto) come chiaramente indicato sulla pagina ufficiale salute.gov.it. (https://www.salute.gov.it/portal e/p5_0.jsp?id=51), nascono nuovi quesiti in ordine alla sicurezza e alla manipolazione dei dati sanitari a seguito di verifica a mezzo scansione del green pass con l’utilizzo dell’app VerificaC19, unica appufficiale per la verifica QR code.
Attenzione! i dati sanitari sono una categoria particolare dei dati personali e la manipolazione di tali dati secondo le indicazioni del Garante Privacy deve avvenire in modo protetto, spieghiamo adesso cosa accade nella quotidianità.
Che cosa è il Green Pass?
“Il Green Pass è un documento digitale (che può eventualmente essere stampato) che nasce per facilitare la libera circolazione in sicurezza dei cittadini attraverso i confini dell’Unione Europea durante la pandemia di COVID-19”.
Il documento contiene un QR code, Quick Response Code, che è una sorta di versione bidimensionale di codice a barre, di forma quadrata dal quale, attraverso appositi lettori, è possibile decodificare dati.
I QR code sono molto più efficaci e versatili da usare rispetto ai vecchi codici a barre, poiché possono essere scansionati da ogni direzione e possono contenere molte più informazioni.
Su un QR Code possono essere memorizzati fino a 4296 caratteri. All’interno del simbolo possono essere convogliati indirizzi web, testi o numeri di telefono. Per leggere un QR code basta la fotocamera di uno smart-phone di ultima generazione, oppure un’applicazione dedicata.
All’interno del QR code del Green Pass, pochi lo sanno, sono memorizzate le informazioni anagrafiche del titolare del pass, la motivazione per la quale è stato emesso (vaccinato, test tampone o guarigione), l’eventuale data di inoculazione, il tipo di vaccino utilizzato (chiaramente se il green pass è stato emesso in seguito a vaccinazione) ed una serie di date a convalida delle informazioni, ovvero una importante quantità di dati personali, che racconta molti particolari sulla salute dell’interessato.
Queste informazioni si basano sui protocolli definiti dall’Unione Europea in materia di certificati di vaccinazione per i suoi stati membri. Qui di seguito i link alla documentazione tecnica:
Il possessore della suddetta certificazione, quindi, può dimostrare di essersi sottoposto a vaccino o di essere risultato negativo al test da tampone o di essere guariti dal Covid-19.
Nel momento in cui il possessore del green pass si trova davanti ad un verificatore, si ravvisano due distinte possibilità:
- Verifica del possesso del green pass, pertanto basterà mostrare di averlo con sé;
- Verifica mediante la scansione del QR code.
In merito, il DPCM del 17 dicembre 2021, che modifica il DPCM del 17 giugno 2021, all’art. 1 lettera H, recita quanto segue: all’art. 15, dopo il comma 9 è aggiunto il seguente: «10. Tutti i soggetti preposti alla verifica del possesso delle certificazioni verdi in corso di validità devono essere appositamente autorizzati dal titolare del trattamento, ai sensi degli articoli 29 e 32, paragrafo 4, del regolamento (UE) n. 2016/679 e 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196 e devono ricevere le necessarie istruzioni in merito al trattamento dei dati connesso all’attività di verifica, con particolare riferimento alla possibilità di utilizzare, ai sensi dell’art. 13, comma 1-bis, la modalità di verifica limitata al possesso delle certificazioni verde COVID-19 di avvenuta vaccinazione o guarigione esclusivamente nei casi in cui la fruizione di servizi, lo svolgimento di attività e gli spostamenti siano consentiti dalla vigente legislazione ai soggetti muniti delle suddette certificazioni»”.
Si mette qui in evidenza come il DPCM del 17 dicembre restringa le possibilità di controllo ai soli soggetti autorizzati, non dalla propria azienda, ma personalmente e nominativamente dal Ministero della Salute, alla verifica del possesso.
Orbene, anche se da GDPR il soggetto autorizzato ovvero il soggetto nominato al trattamento dei dati può essere un ente o un autorità pubblica, il DPCM indica che il soggetto autorizzato deve ricevere istruzioni, e a ricevere istruzioni può essere solo un soggetto fisico, e l’art. 1 lettera H del DPCM 17 dicembre chiarisce che è rivolto a tutti i soggetti fisici, cioè persone che dovranno ricevere l’autorizzazione direttamente dal titolare o non possono effettuare controlli e ciò è corroborato anche dall’art. 2 quaterdecies del decreto legislativo 30 giugno 2003, n. 196.
Il richiamato Articolo 2 quaterdecies Codice della privacy rubricato “Attribuzione di funzioni e compiti a soggetti designati” recita: “1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.55
2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.
Pertanto chi controlla il green pass dovrà avere i 4 requisiti richiesti ai sensi degli art. 28, 29, 32 e 39 del GDPR: 1) autorizzazione rilasciata dal titolare del trattamento dei dati (Ministero Salute); 2) attestazione della avvenuta formazione al trattamento dei dati sensibili/particolari; 3) rilasciare l’informativa privacy almeno in versione semplificata (che deve però contenere il link ipertestuale alla versione completa); 4) documentare per iscritto il consenso informato dell’interessato.
Chiarito quanto sopra, passiamo adesso al caso della scansione, che si presume debba avvenire attraverso un cellulare o un tablet in possesso del verificatore che avrà scaricato l’app VerificaC19.
E ci chiediamo: è veramente possibile che accada sempre così?
VerificaC19 è l’app ufficiale del Governo Italiano, sviluppata dal Ministero della Salute, per il tramite di SOGEI, in collaborazione con il Ministero per l’Innovazione Tecnologica e la Digitalizzazione, il Ministero dell’Economia e delle Finanze e il Commissario Straordinario per l’Emergenza COVID-19, per abilitare gli operatori alla verifica (quindi l’utilizzo deve essere abititato solo a chi possiede i 4 requisiti sopra elencati) della validità e dell’autenticità delleCertificazioni verdi COVID-19 prodotte in Italia dalla Piattaforma nazionale-DGC del Ministero della salute e dei Certificati europei digitali COVID (“EU Digital COVID Certificate”) rilasciati dagli altri Stati Membri dell’Unione Europea.
Si tratta di un’applicazione completamente open source, il cui codice sorgente è disponibile su Github (android, iOS).
Nel caso in cui si provasse a scansionare il codice con un normale lettore di QR code comparirebbe sullo schermo una lunga e incomprensibile stringa di lettere e numeri.
Questo accade perché il QR code usato per il Green Pass è stato ulteriormente codificato in modo da renderlo sicuro.
Nonostante questa misura di sicurezza, non è poi così complesso decriptare il codice per chi abbia un po’ di esperienza informatica: si tratta infatti di una codifica Base45 compressa con zlib. In aiuto a persone meno tecniche, ci sono poi varie app liberamente disponibili sugli “store” che servono a decifrare tali informazioni, rendendo così possibile la lettura in chiaro di tutta una serie di informazioni sanitarie che non tutti vorrebbero consapevolmente condividere con altri.
All’interno del QR code troviamo poi la cosiddetta firma digitale, che assicura l’autenticità del Green Pass e che solo l’app VerificaC19 può decodificare.
Tale App governativa, a differenza dei sistemi di decriptazione citati prima, verifica solamente se si possieda un valido pass e condivide con l’operatore soltanto Nome, Cognome e Data di nascita.
Quindi, chi ci controlla tramite app VerificaC19 non viene a conoscenza di alcuna altra informazione non necessaria.
Molto importante, VerificaC19 non salva sul dispositivo utilizzato per il controllo i dati dei singoli Green Pass.
Secondo il Garante della Privacy, l’app VerificaC19 è sviluppata e rilasciata nel pieno rispetto della protezione dei dati personali dell’utente e della normativa vigente, in particolare del decreto- legge del 22 aprile 2021, n. 52, nonché delle specifiche tecniche europee approvate dall’eHealth Network per l’EU Digital COVID Certificate (già Digital Green Certificate) e deve quindi essere l’unica app autorizzata ed ufficiale per la verifica del green pass.
Al contempo Il Garante ha messo in guardia contro eventuali truffe, poiché il rischio di furto di dati personali è molto alto.
Vediamo un paio di esempi di come sottrarre i QR code e quindi tutti i dati personali presenti al suo interno:
si sviluppa una app identica come aspetto a quella ufficiale, all’interno della quale si inseriscono delle righe di codice software affinché il QR code venga poi salvato localmente. Ricordiamo che avere a disposizione l’open source dell’app ufficiale rende questo lavoro molto semplice e veloce per gli esperti informatici. Per evitare il problema sarebbe bastato crittografare il QR Code, ma le autorità hanno preferito puntare sulla semplicità di diffusione del Green Pass, mettendo in secondo piano i rischi.
un’altra tecnica riguarda l’esecuzione di malware o più app contemporaneamente sullo stesso lettore mentre si utilizza l’app VerificaC19. Il caso più semplice è un registratore di tutto ciò che compare sul video o sulla telecamera memorizzando così i QR code letti.
Con riferimento, invece, al dpcm 2 marzo 2022, che ancora una volta modifica quello del 17 giugno 2021, si rileva l’introduzione dell’art. 2-bis, che introduce l’obbligo, per i verificatori, di “utilizzare l’ultima versione dell’applicazione di verifica”, nonché di “adottare adeguate misure volte ad assicurare” che sia utilizzata “l’ultima versione delle librerie software, resa disponibile sulla piattaforma utilizzata dal Ministero della Salute”.
Ciò, naturalmente, comporta che l’informativa privacy indichi puntualmente la versione utilizzata e le modalità di aggiornamento dei dati, nonché le specifiche misure adottate al fine di garantire il rispetto delle disposizioni, a tutela dei cittadini. Un eventuale controllo privo di tali garanzie non può che considerarsi nullo e in violazione di legge.
Il medesimo dpcm 2 marzo 2022, dispone che sia necessario che la documentazione riporti un particolare riferimento alla possibilità di conoscere la tipologia del green pass.
In altre parole, utilizzare la specifica funzione della app VerificaC19 in grado di discriminare le certificazioni da vaccinazione, guarigione e test richiede un permesso ulteriore rispetto a quello previsto per la verifica generica.
Una ultima nota sul dpcm in questione riguarda la rubrica dell’art. 17-bis, il quale attiene alle “modalità di verifica del rispetto dell’obbligo vaccinale dei lavoratori subordinati” di cui al DL 44/2021.
Vale la pena sottolineare che il Presidente del Consiglio dei ministri ci conferma implicitamente la validità del brocardo “Lex specialis derogat legi generali”, ovvero il fatto che ai lavoratori soggetti all’obbligo vaccinale non può essere chiesto il green pass. Il dpcm, infatti, prevede espressamente che le modalità di verifica siano diverse.
Poiché poi il controllo dei Green Pass avviene solitamente con lo smart-phone privato, delle Forze dell’Ordine o degli esercenti, ecco che si sommano altri rischi come la presenza di virus informatici o manomissioni volute dell’hardware.
