Pur non potendo conseguire dei dati al momento della verifica del green pass, tale controllo è certamente un momento nel quale il soggetto deputato dall’azienda a tale adempimento svolge di fatto un trattamento.
La verifica della certificazione verde, pertanto, per rientrare appieno nel regime del sistema privacy di cui l’azienda si è dotata, deve essere disciplinata puntualmente, e ciò soprattutto in relazione alle modalità in cui viene effettuato il controllo. Le persone che, all’interno del comparto aziendale, dovranno occuparsi di tale incombente, saranno quindi individuati dall’impresa come i soggetti incaricati del trattamento: per far ciò, occorrerà pertanto munirsi di un atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica. Nella pratica, con i nostri clienti, identifichiamo tale documento con la denominazione di “Istruzioni agli Incaricati”, inserendolo nel contesto della funzione coinvolta e collegandolo materialmente all’ulteriore documentazione di riferimento predisposta per il responsabile del comparto (denominata anch’essa “Istruzioni al Responsabile d’Area”).
Il predetto atto (redatto ai sensi del combinato disposto dell’art. 29 del Regolamento europeo 679/2016 e dell’art. 2 quaterdecies del Codice privacy) recherà le necessarie indicazioni sull’esercizio delle misure di verifica (di primo, secondo o addirittura terzo livello) e avrà cura di individuare, in particolare, le modalità ritenute idonee dall’impresa a tutelare la riservatezza della persona nei confronti dei terzi durante il controllo del green pass e, eventualmente, del documento di identità.
A questo proposito, il Titolare ben potrà sottoporre l’incaricato a formazione circa la nuova tipologia di trattamento che è stato chiamato a compiere. Occorrerà quindi verificare in concreto le modalità con le quali la verifica viene effettuata, se gli spazi ove si procede a verifica sono idonei a garantire la riservatezza dei dati, quali misure di sicurezza sono state adottate sul dispositivo prescelto per la verifica.
In tale ambito, considerando che la App coinvolta nel processo (“VerificaC19”) è stata realizzata anche per funzionare off line, stiamo suggerendo ai nostri partner di prendere in considerazione la valida misura di sicurezza di adottare un dispositivo non più connesso alla rete ed adibito in via esclusiva allo scopo.
In linea generale, invece, al fine di garantire il rispetto del principio di trasparenza (art. 5 GDPR), il Titolare dovrà completare la documentazione del sistema privacy rendendo ai soggetti interessati adeguata informativa (art. 13 GDPR) relativa al trattamento dei dati effettuato tramite la verifica del green pass. Tale informativa dovrà, quindi, avere la più ampia diffusione possibile. Dovrà essere esposta nei pressi del luogo ove viene effettuata la rilevazione per consentire agli interessati di poterla consultare, oltre che sul sito internet, ove presente.