Il Dpcm del 17/6/21 regolamenta il funzionamento della piattaforma pubblica che fornisce la certificazione verde, c.d. “green pass”, ma indica anche quali imprese saranno obbligate al controllo delle certificazioni esibite dai clienti per accedere ai servizi e le modalità di svolgimento della verifica.
Le imprese, infatti, dovranno rispettare alcuni adempimenti per la tutela della privacy dei clienti e saranno tenute a seguire le istruzioni impartite dal Governo e dal Garante.
Le imprese soggette a tali obblighi sono quelle titolari delle strutture ricettive e dei pubblici esercizi; i proprietari o detentori di luoghi o locali ove si svolgono attività a partecipazione riservata; i vettori aerei marittimi e terrestri, i gestori delle strutture sanitarie.
Tali imprese si dovranno dotare dell’app “verifica C19” scaricabile gratuitamente dal sito dgc.gov.it, che permette il controllo della veridicità e regolarità del green pass del cliente, senza memorizzare informazioni personali del cliente stesso. L’app, infatti, indicherà solo l’autenticità del certificato senza rendere note le informazioni che ne hanno determinato l’emissione; sarà visibile anche il nome, cognome e codice fiscale del cliente. L’app non permette la conservazione, la copia o qualsiasi altra operazione sui dati del cliente.
Il Decreto dà la possibilità al verificatore di chiedere anche un documento di riconoscimento, in modo che si possa collegare il certificato alla persona che ci si trova davanti.
E’ chiaro, quindi, che, al momento del controllo, l’impresa viene a conoscenza dei dati sanitari e identificativi di una persona fisica e sarà pertanto necessario metterle a disposizione la relativa informativa.
Ma non finisce qui. L’art. 13 del Dpcm del 17/6/21 prescrive anche che eventuali soggetti incaricati dal titolare all’attività di controllo (siano essi dipendenti, prestatori d’opera o collaboratori a qualsiasi titolo) dovranno essere delegati dallo stesso con un atto formale.
Ritengo che per atto formale si debba intendere un atto scritto, il cui contenuto non potrà essere quello di una generica delega, ma dovrà necessariamente indicare che si tratta dell’attività di verifica delle certificazioni covid-19.
La delega dovrà essere nominativa e quindi sottoscritta dal delegato. Laddove il delegato sia legato all’impresa da un rapporto di lavoro o prestazione d’opera o collaborazione, sarà sufficiente la sottoscrizione per presa visione; in caso contrario, sarà importante che la sottoscrizione avvenga per accettazione.
L’atto di delega dovrà contenere anche le istruzioni e cioè le modalità di esercizio dell’attività conferita. Le istruzioni dovranno essere precise e dettagliate. Il Decreto non ci dà informazioni in proposito, ma è chiaro che l’attività di verifica non può comportare la raccolta e la conservazione dei dati personali (mediante foto, copie cartacee o memorizzazione in altri formati), salvo i casi espressamente previsti per legge. Oltre a ciò, dovrà essere resa nota, per esempio, la procedura da attuare in caso di ostruzionismo o rifiuto del cliente a fornire i documenti o contestazioni dello stesso; o in caso di tentativo di ingresso da parte di soggetti non autorizzati.
L’atto di delega dovrà essere conservato e messo a disposizione della Autorità preposte al controllo.
Infine, tutta l’operazione dovrà essere portata a conoscenza del DPO (laddove nominato) e occorrerà anche verificare se è necessario aggiornare il registro dei trattamenti (laddove presente).
