Ci ha pensato il Garante della Privacy a mettere ordine nella questione che in questi giorni sta sollevando una certa perplessità da parte dei frequentatori abituali di palestre e centri sportivi. Molti degli utenti infatti si sono visti presentare la richiesta di consegnare al personale incaricato all’accettazione dei clienti, oltre al consueto certificato di sana e robusta costituzione, richiesto per legge a chi pratica attività sportiva, anche un altro documento.

Si tratta del green pass, da consegnare possibilmente in copia cartacea. Il problema in effetti, come si può immaginare non è quello del formato richiesto, che può essere facilmente prodotto, quanto quello di dovere consegnare ad estranei un documento che contiene dei dati sanitari, che come tali rientrano tra i dati personali sensibili e possono essere richiesti e trattati solo in particolari situazioni e dietro presentazione di garanzie per quanto riguarda il loro trattamento e la loro conservazione.

Diciamolo subito: il Garante della Privacy ha immediatamente alzato la voce, escludendo che qualcuno, anche solo a fini, evidentemente di comodità, così da non doverne chiedere in continuazione il documento, potesse chiederne una copia da conservare nel proprio archivio.

Che cosa è il green pass

Si tratta del cosiddetto certificato vaccinale, che viene rilasciato a chi abbia ricevuto almeno una dose di uno dei quattro vaccini autorizzati in Italia, sia guarito dalla malattia da meno dei sei mesi o si sia sottoposto nei due giorni precedenti a un tampone con esito negativo.

Scaricabile dal sito del Ministero della salute,

può essere conservato dal titolare sia in forma cartacea che digitale. Al momento costituisce l’unico titolo valido per partecipare al alcune attività, o per accedere ad alcuni locali,

che secondo le risultanze ottenute dal Comitato Tecnico Scientifico siano particolarmente a rischio diffusione focolai di Covid 19.

Un’analoga certificazione è stata introdotta anche in Europa, consentendo con il green pass ottenuto in Italia di circolare in tutti i paesi del vecchio continente che hanno aderito. Ogni paese ha comunque la facoltà di introdurre regole più restrittive, ma non quella di ledere la riservatezza di cittadini o stranieri che esibiscano il documento.

Il green pass deve essere solo esibito

Il green pass è stato introdotto in Italia a partire dal 6 agosto con un Decreto Legislativo, poi convertito in legge. Il DL numero 105 del 23 luglio 2021 specifica che

il certificato vaccinale deve essere detenuto e esibito a ogni richiesta di chi ne abbia titolo e letto con l’app Verifica covid 19.

Questa semplice dichiarazione esclude che lo stesso possa essere chiesto in copia, o debba per qualche ragione essere consegnato.

Si ricorda che sul sito del Ministero della Salute che rilascia i certificati, uno dei consigli dati agli utenti che decidano di stampare il proprio pass è quello di piegarlo in modo da mostrare al verificatore solo la pagina con il QR-code da leggere. La raccomandazione è sempre quella di tenere riservata la pagina dove sono elencate la data di scadenza e la ragione per cui è stato rilasciato.

Chiedere copia dal green pass da conservare è un abuso

Guido Scorza, uno dei componenti del Garante della Privacy in un intervento su CyberSecurity360, ripreso anche nelle newsletter del sito ufficiale dal difensore dei dati personali precisa che

una palestra o chiunque altro chiede una copia del green pass sul quale si possa leggere la data di scadenza, e che abbia l’intenzione di archiviarlo, commette un atto illecito contrario al regolamento che si occupa della protezione dei dati personali.

Pur ammettendo che una pratica di questo tipo probabilmente è fatta solo per agevolare il lavoro dei gestori del centro sportivo, e che non ci sia dietro nessuna intenzione losca, si tratta comunque di qualcosa di vietato. L’utente ha sempre il diritto di rifiutarsi di consegnare una copia e se lo ritenga, ha anche la facoltà di rivolgersi al garante per presentare un esposto.

I dati del green pass devono essere minimizzati

Il principio su cui si basa il delicato equilibrio che il Governo è riuscito a trovare con la legge sul green pass si basa sul concetto della minimizzazione. La necessità di far riprendere a funzionare l’economia e a circolare le persone si scontra in questo caso con quella della protezione dei dati personali sensibili. 

Non potendo evitare che dati di questo tipo possano entrare a conoscenza di altre persone, l’unica soluzione è quella di ridurre al minimo sia la mole di dati che possa essere diffusa, sia il numero di soggetti che vi possano accedere. Escluso che tali informazioni possano essere archiviate al di fuori dei sistemi predisposti dal Governo, a tutela dei quali sono stati studiati sistemi di sicurezza difficilmente violabili.

La stessa persona autorizzata a fare le verifiche entrerà in contatto solo con i dati identificati del controllato. Sulla app di verifica gli apparirà solo un colore diverso a seconda dell’esito del controllo. Verde nel caso il pass sia valido anche per tutta Europa, azzurro se valido solo in Italia e infine rosso se invalido. Nessuna indicazione riceverà in merito alle ragioni del colore rosso.

Escluso in modo assoluto che anche questi risultati possano essere conservati o archiviati. Solo per i controlli da effettuare a scuola, ai fini di evitare che ci siano abusi da apre dei verificatori tutti gli accessi sono controllati. Ma quello che rimane nel sistema è solo il nome di chi sia stato oggetto di verifica e mai l’esito che la stessa ha avuto.

Quali soni i dati personali nel green pass

Con dati personali si intendono tutti quelli che sia in modo diretto che indiretto identificano una persona. Ci riferiamo sia a quelli classici come il nome e il cognome, e che possono fornire indicazioni sullo stile di vita di una persona, sulle sue abitudini, o sui gusti. Un concetto, quindi piuttosto ampio che rende l’idea di quanti sono i dati personali che ogni giorno diffondiamo senza averne neppure consapevolezza.

In questa ottica nel green pass troviamo dei dati personali, che meritano tutela, che sono per esempio il nome e la data di nascita, ma che il legislatore ha ritenuto potessero essere messi a conoscenza del verificatore.

Un piccolo sacrificio per quanto riguarda la nostra privacy, ma che non poteva essere evitato vista la necessità di appurare, se del caso chiedendo anche un documento di identità, la corrispondenza tra il nome indiato sul certificato e la persona che lo esibisce.

Quali sono i dati sensibili sul green pass

Diverse e più severe sono le regole, invece per i dati personali sensibili, che si è ritenuto, basandosi sul principio della minimizzazione non dovessero essere sacrificati. Sono quelli che riguardano la salute del titolare e che per esempio ci dicono se quale soggetto si è ammalato i Covid 19 e quando, oppure se è vaccinato o ha il pass con validità si soli due giorni, perché si è sottoposto di recente a un tampone.

Troviamo una definizione di dati personali sensibili all’articolo 9 del Regolamento numero 679 del 2016 secondo il quale

i dati che identifichino la razza, le convinzioni religiose o politiche, nonché l’identità sessuale e tutto quanto riguardi la salute sono considerati sensibili e devono avere una tutela rafforzata.

Anche nelle ipotesi in cui sia legittimo conservare dati sensibili la legge impone che siano rispettate particolari norme di sicurezza a difesa degli archivi cartacei o digitali utilizzati.

L’uso deve essere limitato solo alle ragioni per cui quei dati siano stati raccolti e per i quali si è ricevuta autorizzazione da parte del titolare. Infine i tempi di conservazione devono essere solo quelli indispensabili, dopodiché i dati devono essere distrutti.

Perché devo consegnare il certificato medico e non il green pass?

Innanzitutto il certificato medico è qualcosa di previsto da una legge. La legge 8 novembre numero 189 del 2012 indica quali sono i tipi di certificati possibili. Si va da quello agonistico, a quello rivolto a chi faccia attività a livello dilettantistico, ma sia comunque iscritto a una associazione sportiva per i quali il certificato ed alcuni esami clinici sono obbligatori.

Passiamo ai casi più diffusi. Chi svolge attività sportiva solo per scopi ludici o per mantenersi in forma. In questi casi non è richiesto in modo tassativo alcun certificato.

Legittimo, però da parte di una palestra o di un centro sportivo chiedere che, soprattutto per ragioni di copertura assicurativa, venga consegnato un documento che attesti la sana e robusta costituzione e l’idoneità a svolgere attività sportiva.

La richiesta deve essere fatta a un medico sportivo o al proprio medico di famiglia. Lo stesso farà una visita generale, se del caso prescriverà ulteriori esami. Infine rilascerà il certificato della durata di un anno da consegnare alla palestra.

I dati del certificato sono personali, quelli del green pass sono sensibili

Il problema è stato già risolto nel momento in cui ci si è trovati a dover affrontare da un lato la necessità di fornire il certificato per continuare a frequentare un centro sportivo e dell’atro di difendere i propri dati personali.

Lo ha fatto in modo definitivo il Garante per la Privacy con la nota numero 41878 del 1998 dove precisa che

il certificato richiesto dalle palestre quando è inteso come una informazione che attesti l’idoneità psicofisica di un soggetto a svolgere attività sportiva va inserito tra i dati comuni.

Diverso è invece il caso in cui a una persona sia rilasciato un referto che ne attesti l’inidoneità a svolgere una qualunque attività.

In quel caso visto che probabilmente si farà riferimento anche alle patologie che giustifichino la decisione del medico ci si trova di fronte a informazioni riguardati la salute e quindi a dati sensibili che non possono essere richiesti e tanto meno archiviati.

Come abbiamo già sottolineato, invece i dati contenuti nel green pass che giustificano le ragioni per cui è stato rilasciato sono indubbiamente dati sensibili. E lo sono anche quelli che possono dare informazioni sanitarie in modo solo indiretto: per esempio la data di scadenza. Diverso sarebbe se questa avesse la stessa durata temporale per tutti.