Il Green Pass che attesta con un QRcode o in cartaceo che siamo sani in sostanza è solo un lasciapassare, come ha precisato anche il Garante Privacy italiano. In pratica il QRcode non dice come si è ottenuto il Pass, se grazie alla vaccinazione, la guarigione o col tampone molecolare. Insomma non fornisce dati sanitari che per il Regolamento europeo 679 del 2016 sono “particolari” (quelli che nella vecchia norma italiana chiamavamo “dati sensibili”).
Altra cosa da sapere è che il Green Pass è europeo, ma ogni paese della Ue è libero di decidere se varare le normative interne o meno. Quindi la sua accettazione o applicazione è a totale discrezione del governo nazionale. Inoltre la Commissione Ue che lo ha varato insieme al Consiglio Ue con l’approvazione del Parlamento Ue, ha sottolineato che è una misura temporanea e sparirà finita la pandemia.
Ogni Stato quindi ha scelto se adeguarsi o meno. In Italia ci sono stati a maggio decisioni indipendenti su un pass Covid prese da alcuni enti locali, come la regione Val d’Aosta e la provincia autonoma di Bolzano e subito bocciati dal Garante: mancava infatti ancora una normativa nazionale che disciplinasse il tutto. Con un iter complicato e lungo finalmente il Ministero della salute e l’Autorità privacy a metà giugno hanno autorizzato l’app IO di Pago PA a rilasciare il Qrcode Covid 19.
Opinioni e testate autorevoli hanno accusato il Garante Privacy di essersi perso in cavilli burocratici. Questi signori non hanno letto le carte, vale a dire i provvedimenti del Garante. In questi provvedimenti infatti si legge che il Garante ha scoperto che i dati personali raccolti dall’app IO per cashback finivano su piattaforme di Google e Mixpanel in paesi terzi come gli Usa o l’Australia a totale insaputa degli interessati, aspetto che viola totalmente il Regolamento europeo privacy 679 del 2016. Sempre all’insaputa degli utenti venivano raccolti anche dati sulla geolocalizzazione. Pensate che l’App è stata scaricata da 11,5 milioni di utenti in Italia e attiva automaticamente 12 mila servizi riferibili a più di 5 mila enti. L’utente dovrebbe accorgersene e disattivare i servizi che non gli interessano. Dopo il controllo e le pressioni del Garante sono cambiante diverse cose per l’App IO, i dati saranno stoccati solo per 10 giorni e quelli finiti su Mixpanel sono stati “congelati” dal Garante e per ora non sono utilizzabili.
Quindi la prima lezione che si deduce da tutta questa storia: il consenso dell’utente deve essere acquisito, informato e fornito in un linguaggio chiaro e sintetico. Per cui prima di concedere il consenso a marketing, profilazione o altro leggete con cura e fino in fondo le modalità, tempo di conservazione dei vostri dati, chi è il titolare (vale a dire chi gestisce i dati), se vanno in paesi terzi. Spesso la privacy o meno è legata alle nostre scelte o non scelte quotidiane.
Intanto grazie al Green Pass potremmo partecipare a matrimoni e andare in villaggi o hotel.
Gianluca Amarù è un avvocato specializzato in privacy e se ne occupa da 25 anni. Alessandra Fava è una giornalista ed è Privacy Specialist. Fanno parte di un team con Marco Fossi, DPO di grandi aziende, 2fprivacy.it. Il team ha pubblicato una collana Compliance sul Regolamento europeo privacy entrato in vigore nel 2018 con Liberodiscrivere editore. E’ ora in uscita ‘Privacy in progress’ (Franco Angeli editore, Milano). Clicca qui per leggere tutti gli articoli.