In epoca pandemica, il più delle volte, i provvedimenti governativi hanno tenuto banco ed hanno fatto discutere sui contenuti, sulla loro legittimità ed opportunità, sia dal punto di vista costituzionale sia Europeo.

Uno dei temi più caldi riguarda proprio la certificazione verde (green pass e super green pass o green pass rafforzato) rapportata alla normativa in tema di protezione dei dati personali, così come sancita a livello europeo dal GDPR 679/2016.

I più, si sono interrogati sulla legittimità del controllo della certificazione verde, sulle modalità e se questo controllo andasse a violare, in un qualche modo, la privacy dell’individuo.

Il presente articolo non ha la pretesa di valutare se l’impianto normativo adottato dal Governo sia opportuno o meno, ma semplicemente vuole far luce sulle modalità del controllo e sulla loro correttezza rispetto alla normativa di riferimento.

Come è ormai noto, la verifica circa il possesso e la validità del green pass spetta, sulla base della normativa vigente, ad una serie di soggetti tassativamente indicati, dei quali fanno parte i pubblici ufficiali e i titolari/gestori di locali. Questi ultimi possono delegare i propri lavoratori, incaricandoli con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica.

Pertanto, ponendo un primo punto fermo, i lavoratori sono legittimati ad eseguire i predetti controlli solo previa nomina formale da parte del datore di lavoro (abbinata ad un’attività di formazione) e non possono cedere la delega ricevuta né farsi sostituire da altri lavoratori né trattare i dati acquisiti mediante i controlli.

Quanto al contenuto della delega, è previsto che la stessa debba essere nominativa, contenere tutte le informazioni (come, ad esempio, quelle relative al divieto di raccolta dei dati) e le linee guida necessarie alla verifica, nonché prevedere delle soluzioni nel caso in cui l’interessato si rifiuti di esibire il green pass.

La verifica delle certificazioni verdi avviene mediante la lettura del codice a barre Qr code, utilizzando l’applicazione resa disponibile dal Governo (Verifica C19), scaricabile su tutti i telefoni, utilizzabile anche offline (e quindi senza la rete internet) che consente di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’intestatario.

L’app Verifica C19 è l’unico strumento di verifica esistente che garantisce, in primis il principio di esattezza dei dati trattati, così come anche previsto dall’art.5, par.1, lett.d del GDPR  ed, in secundis ,il rispetto della normativa in materia di trattamento dei dati personali degli utenti.

Ciò premesso, è lecito chiedersi se il soggetto sottoposto alla verifica possa chiedere al “controllore” o “verificatore”, che non sia il datore di lavoro, l’esibizione della delega al fine di accertare la sua legittimazione ad eseguire i controlli.

Sul punto, dal dettato normativo, appare implicito che la delega debba essere conservata -anche a tutela del datore di lavoro, Titolare del Trattamento – presso la sede interessata quanto meno al fine di consentire i necessari controlli da parte delle Autorità Pubbliche in mancanza del quale l’esercente sarebbe sottoposto a sanzioni pecuniarie.

Si ritiene inoltre opportuno che, in ambito aziendale, il datore di lavoro provveda ad inviare ai propri dipendenti una esplicita comunicazione nella quale vengano indicate le modalità di controllo che l’impresa ha adottato e, per l’appunto, l’eventuale soggetto delegato al controllo stesso (che potrebbe essere una figura interna o anche esterna all’impresa).

Quanto ai titolari o gestori di attività e loro delegati, in realtà non è rinvenibile uno specifico obbligo normativo di esibire, su richiesta dell’utente o visitatore o cliente, l’atto di incarico ricevuto, né di affiggere cartelli o informative al riguardo.

Ciò nonostante, considerata la peculiarità della verifica, che può essere eseguita, in via del tutto eccezionale, sulla base di una decretazione emergenziale, solo da soggetti tassativamente previsti e, al di fuori di questi, unicamente attraverso il sistema delle deleghe (nominative e non cedibili), si ritiene a parere di chi scrive che anche i soggetti delegati siano pur sempre tenuti a dimostrare di possedere la legittimazione ad eseguire un controllo che, in mancanza di delega, determinerebbe una violazione della privacy altrui.