***
Il DPCM 17 giugno 2021 ha previsto all’ art. 13 che una serie di soggetti (indicati al c. 2, lett. da A ad F) verifichino tali certificazioni mediante lettura del codice a barre bidimensionale ivi presente attraverso un’applicazione mobile che consente solo di controllare autenticità, validità e integrità della certificazione e di conoscere le generalità dell’intestatario del certificato, senza però rendere visibili le informazioni che ne hanno determinato l’emissione. La verifica della certificazione non comporta in alcun caso la raccolta dei dati dell’intestatario in qualunque forma.
Al c. 3 del cit. art. 13 è previsto che alcuni di tali soggetti delegati al controllo (tra cui, lett. F c.2,“i gestori delle strutture che erogano prestazioni sanitarie, socio – sanitarie e socio – assistenziali per l’accesso alle quali, in qualità di visitatori, sia prescritto il possesso di certificazione verde COVID 19, nonché i loro delegati”) siano “incaricati con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica”
Al c. 4 è invece previsto che, su richiesta dei verificatori, l’intestatario della certificazione debba dimostrare la propria identità mediante l’esibizione di un documento di identità.
Il Ministero dell’Interno, con circolare del 10/8/21, ha fornito alcune indicazioni sulle modalità di verifica dei documenti di identità di cui al cit. c.4 DPCM. La verifica dell’identità della persona in possesso della certificazione ha in ogni caso natura discrezionale, ma “si renderà comunque necessaria nei casi di abuso o elusione delle norme, come, ad esempio, quando appaia manifesta l’incongruenza con i dati anagrafici contenuti nella certificazione”.
Viene da pensare quando, a titolo di esempio, l’età apparente del possessore della certificazione appaia incompatibile con l’età anagrafica riportata nella certificazione medesima.
L’art. 3 D.L. 127/21“ (dal 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di prevenire la diffusione dell'infezione da SARS-CoV-2, a chiunque svolge una attività lavorativa nel settore privato è fatto obbligo, ai fini dell'accesso ai luoghi in cui la predetta attività è svolta, di possedere e di esibire, su richiesta, la certificazione verde COVID-19 di cui all'articolo 9, comma 2.”) ha esteso la verifica della certificazione e l’accertamento della violazione dell’obbligo del suo possesso anche a coloro che svolgano nella struttura, a qualsiasi titolo un’attività lavorativa, di formazione o volontariato anche sulla base di contratti esterni.
All’ art. 15 DCPM è previsto che titolare del trattamento dei dati inseriti nella piattaforma nazionale - digital green certificate sia il ministero della salute e che responsabili esterni del trattamento siano solo il ministero dell’economia e delle finanze, la sogei s.p.a. e pagopa s.p.a. .
Tanto è vero che gli intestatari delle certificazioni possono esercitare i diritti previsti dal Regolamento UE 2016/679 (o GDPR) utilizzando l’Informativa privacy della Piattaforma Nazionale, resa ai sensi degli artt. 13 e 14 del cit. Regolamento, consultabile sui siti www.dgc.gov.it e www.salute.gov.it, come peraltro evidenziato nella certificazione.
Ciò induce a pensare che la mera attività di verifica della certificazione verde Covid 19 (ex art. 13 DPCM) non possa essere qualificabile come attività di trattamento dati ex art. 4 par. 1 n. 2 GDPR.
E questo perché i soggetti preposti alla verifica non devono essere autorizzati dal titolare o dai responsabili esterni del trattamento (quali quelli indicati all’art. 15 DPCM), non essendo ciò contemplato dal DPCM. Mentre gli autorizzati al trattamento dei dati personali necessitano invece di una specifica autorizzazione da parte del Titolare o del Responsabile esterno ex artt. 29 GDPR e 2 quaterdecies Codice Privacy.
Né un’autorizzazione consimile potrebbe essere rilasciata dai soggetti deputati alla verifica ex c. 2 art. 13 DPCM, non essendo questi né Titolari, né Responsabili del trattamento dei dati personali dei possessori delle certificazioni.
Quindi è da ritenere come l’atto formale di incarico alla verifica con le necessarie istruzioni sull’esercizio dell’attività di verifica medesima che, ad esempio, il gestore di una struttura sanitaria dovrà rilasciare in favore dei soggetti verificatori, assuma la forma non di un’autorizzazione al trattamento dati, ma di un mero atto amministrativo interno che autorizzi il personale all’uopo prescelto alla verifica della regolarità della certificazione verde COVID 19.
