EU Digital COVID Certificate: grinpass o non pass?

Ne parlano tutti. Come al solito (e mediamente) in Italia, a sproposito: un po’ perchè “medioman” imperat ed un po’ perchè, come cantava Ligabue, “pensa a chi non ci sente e poi ne vuol parlare”.

Vien da dire, prima di cominciare, che alla fine il Paese è pieno di persone che parlano del grinpas, che abbiano o non abbiano la Certificazione Verde, perchè fa sensazione parlare del grinpas. Peccato che a parte lo spelling, che penalizza un terzo almeno dei pronunciatori, ci sia il concetto da capire per parte dei restanti terzi.

Soprassendendo alla matematica, mi hanno chiesto di commentare la norma (cioè mi hanno detto: non mi importa perchè, dimmi cosa posso o non posso fare). Sapete che c’è? Che me ne frego. Perchè se commento la norma per illustrarne la ratio, sarà almeno un granello di sabbia nell’universo a dirne di più della consapevolezza collettiva. Chi ha la pazienza arriverà alla fine. Chi non l’ha… non l’avrebbe comunque.

Eccomi allora qui, a scrivere la mia consueta sintesi isterico-ironica di quel che si capisce della norma. Se qualcuno volesse approfondire, in calce trovate un riferimento scritto come si deve.

La prima cosa che è bene sapere è che l’oggetto del disquisire non si chiama “Green Pass”, la quale locuzione costituisce solo un nomignolo amichevole che gli abbiamo affibbiato, inesatto soprattutto a livello internazionale. Stamattina infatti ero in treno e mentre il controllore chiedeva in Italiano (ed in un perfetto Inglese) ad un viaggiatore spagnolo la certificazione, lo stesso non capiva. Il “Green Pass” non si chiama grinpas, come io non mi chiamo Chiaretta: il suo nome è Certificazione Verde COVID-19 (oppure EU Digital COVID Certificate nella lingua ufficiale della Unione Europea).

La seconda cosa da sapere (e spero non me vogliano troppo i rari ed ingombranti antieuropeisti con cui mi confronto) è che il grinpas, o meglio la Certificazione Verde, non è una invenzione di Draghi (o dei massoni nel dubbio) bensì una disposizione della UE che è diventata Regolamento a giugno scorso e che si chiama Regolamento UE 953/2021. Volevo far notare (specialmente ad antieuropeisti, antiutopisti, complottisti e no taxation without we don’t know…) che è un Regolamento, quindi direttamente applicabile (salva l’anarchia).

E pensate un po’, la tanto esecrata Certificazione Verde non è nata per restringere le libertà individuali, bensì per consentire la libera circolazione delle persone nel territorio della Unione durante il periodo della pandemia. Un modo un po’ sportivo per dire: sei negativo al COVID? Sei appena guarito? Hai fatto un vaccino (approvato dall’EMA)? Puoi andare in giro senza subire restrizioni. Vorrei precisare che questa non è la mia solita lettura disruptive e buonista della norma, è proprio scritto nel testo dei consideranda del Regolamento (ma chi li ha mai letti?). Ed è la cosa che mi piace di più, come sempre, della regolamentazione della UE, vale a dire la sua eleganza nel far riferimento ai diritti umani. La concentrazione sta nel garantire la libera circolazione delle persone senza comprometterne la riservatezza delle decisioni individuali (infatti la certificazione ha due strati, che potremmo dire uno visibile ed uno invisibile. Solo chi accede al secondo strato sa perchè il portatore della Certificazione abbia diritto a disporne: vaccinato, “tamponato” o guarito di recente).

Senza scendere nei dettagli ma per essere quel tanto saccente che basta, sappiate che è la disposizione europea che stabilisce con precisione i dati contenuti nella certificazione, la loro titolarità (solo le autorità nazionali, in Italia il Ministero della Salute), il livello di accessibilità delle informazioni (solo la schermata principale) e le soluzioni software utilizzabili (messe gratuitamente a disposizioni dallo Stato Membro). Nulla togliendo al governo che è rimasto al passo con l’Unione, non ci siamo inventati niente di rivoluzionario. Ne abbiamo solo esteso l’applicazione.

La nostra normativa nazionale, con successivi progressivi decreti (di cui una inopinabile conversione in legge), riprende natura e finalità e mutua ed estende l’uso della certificazione oltre al trasferimento tra i diversi Stati membri della Unione. Potremmo discutere dell’estensione, ma sarebbe discutere di politica, e il Diavolo veste Chiara non discute delle sue “categorie particolari”.

Quindi, rimaniamo sulla norma e sfatiamo qualche mito (come mio solito).

Il famigerato Green Pass , la Certificazione Verde COVID-19, attesta alternativamente una delle seguenti condizioni (con rispettive durate):

• avvenuta vaccinazione anti COVID-19 (prima emissione 15 giorni dopo la prima dose, durata 12 mesi dalla seconda)
• esito negativo di un test antigenico rapido o molecolare recente (durata 48 ore)
• guarigione dal COVID-19 (durata sei mesi)

contiene, in sé, quindi, una non trascurabile informazione di natura personale sanitaria ed eventualmente relativa anche all’orientamento filosofico di opposizione alla vaccinazione del suo intestatario.

Questa informazione, però, è accessibile solo (per Regolamento UE e norma Italiana) al legittimo intestatario ed al Ministero della Salute. Nessun altro può né deve accedere alle informazioni riservate del certificato (es. scadenza e ragione, oltre alle informazioni sul test, sul vaccino o sulla malattia) . Da “fuori” si possono verificare solo alcuni dati anagrafici (nome, cognome e data di nascita) del titolare e stato di validità.

Quindi cosa può vedere chi può verificare? Solo “il primo strato”, per intenderci, nulla di più. Che significa anche, indirettamente, poter verificare che l’intestario della certificazione ne sia il portatore (il soggetto preposto alla verifica può richiedere l’esibizione di un documento di identità all’interessato per fare la corrispondenza tra le sue generalità e quelle conservate sul Green Pass, senza registrare nessun estremo del documento, dato che chiedere copia del documento o registrarne gli estremi non ha requisiti di legittimità).

Come fare la verifica? Unicamente ed esclusivamente attraverso l’app VerificaC19, applicazione emessa a cura del Ministero della Salute secondo le previsioni del Regolamento UE 953/2021 e del D.L. 52/2021. Perchè? Perchè è l’unica applicazione che rispetta tutti i requisiti delle citate norme, che comprendono il rispetto della minimizzazione (sopra descritta), della limitazione della conservazione (nessuna salvo che per il MinSal – solo per la durata della validità del certificato) e della esattezza (è l’unica app che può collegarsi alla piattaforma DCG nazionale e verificare l’effettiva validità delle certificazioni, al netto delle revoche eventualmente emesse). Come dice lo stesso Garante per la protezione dei dati, è importante precisare che l’uso di certificazioni alternative (es. autocertificazioni) oppure di strumenti di verifica diversi da VerificaC19 non è legittimo perché non questi strumenti non garantiscono il rispetto del principio di esattezza dei dati trattati oltre che quello di minimizzazione.

Facciamo il punto, cosa fare per rispettare la normativa sulla protezione dei dati?

• Individuare e nominare con atto formale i soggetti a cui viene attribuito il compito di accertare le violazioni. 
• Documentare la modalità organizzativa di verifica delle certificazioni, perché è l’unico modo di dimostrare efficacemente il rispetto della norma (ed anche dell’art 5 del GDPR).

E poi effettuare i controlli:

• Solo ed esclusivamente tramite dispositivi su cui sia installata l’app VerificaC19 (almeno finché non sarà cambiato il testo del vigente D.L.)
• Tenendo presente di garantire che l’applicazione sia online o venga collegata online  almeno una volta al giorno, per scaricare i codici univoci delle revoche
• Solo ed esclusivamente verificando l’informazione binaria “il titolare del documento ha o non ha un Green Pass valido”
• Senza registrare alcuna informazione ulteriore rispetto al possesso di una certificazione valida
• Senza richiedere alcuna attestazione o certificazione sostitutiva della Certificazione Verde
• Senza registrare gli estremi o fotocopiare i documenti di identità di eventuali esterni che accedano con Green Pass valido.

Ultimo, ma non trascurabile: anziché mendicare decreti attuativi , leggetevi il testo delle vigenti disposizioni (con allegato labirinto). Il testo di legge che vige è sempre e solo il D.L. 52/2021 convertito in legge dalla L. 87/2021, le altre costituiscono le celebri successive modificazioni ed integrazioni (i.e. s.m.i) sovente citate e mai enucleate!

Per chi volesse approfondire: https://www.euroconference.it/editoria/la_circolare_di_lavoro_e_previdenza