Diffida Università per trattamenti illeciti di dati nella verifica del green pass – Segnalazione Garante Privacy

 

AL RETTORE DELL’UNIVERSITÀ DEGLI STUDI DI ____

________

Via pec: ___

 

 AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Via pec: protocollo@pec.gpdp.it

 

Oggetto: Diffida e segnalazione urgente in riferimento alle modalità di verifica del cd. green pass

Il/la sottoscritto/a ___________________, nato/a ______ il ____ e residente in _____, alla via ______, in qualità (descrivere la propria qualità, se studente, docente, dipendente etc)

Premesso che:

1) l’art. 1 del D.L. 6 agosto 2021, n. 111 (non ancora convertito in legge) ha inserito nel D.L. 22 aprile 2021 n. 52 (convertito con modificazioni dalla Legge 17 giugno 2021 n. 87), l’art. 9 ter;

2) quest’ultima disposizione al comma 1 prevede letteralmente che “dal 1° settembre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza, al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza nell’erogazione in presenza del servizio essenziale di istruzione, tutto il personale scolastico del sistema nazionale di istruzione e universitario, nonché gli studenti universitari, devono possedere e sono tenuti a esibire la certificazione verde COVID-19 di cui all’articolo 9, comma 2”;

3) il comma 4 della medesima norma dispone che “le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalità indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell’articolo 9, comma 10”, vale a dire il DPCM 17 giugno 2021 (pubblicato in G.U. n.143 del 17 giugno 2021);

4) l’art. 13 comma 1 di tale decreto (rubricato “Verifica delle certificazioni verdi COVID-19 emesse dalla Piattaforma nazionale-DGC”) richiede che la verifica delle certificazioni verdi COVID-19 sia effettuata “mediante la lettura del codice a barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’allegato B, paragrafo 4 [ossia l’app denominata “VerificaC19”] che consente unicamente di controllare l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione”; il comma 5 dello stesso articolo precisa chiaramente che “l’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma” (come evidenziato dal Garante per la protezione dei dati personali sia che nella risposta alla regione Piemonte di data 10 agosto 2021 – Doc. Web 9688875);

5) risulta indubitabile che il trattamento di tali informazioni debba avvenire –inter alia– nel pieno rispetto della normativa a protezione dei dati personali, ovvero del Regolamento (UE) 2016/679, noto come GDPR, e del d.lgs. 30 giugno 2003 n. 196 (novellato dal d.lgs. 10 agosto 2018 n. 101), denominato “Codice privacy”;

6) come noto, il GDPR prevede e disciplina agli artt. 37-39 la figura del Responsabile della protezione dei dati attribuendo a quest’ultimo il compito di “sorvegliare l’osservanza” del Regolamento stesso;

considerato, altresì, che:

7) risulta che personale dell’Istitutoin indirizzo abbia fornito indicazioni (o tenuto condotte) contrarie alla normativa anzidetta laddove ___________(riportare integralmente il testo della disposizione, circolare o direttiva contraria, oppure segnalare condotte fattive che, in concreto, violano la normativa);

 8) tale ipotesi di verifica o pretesa risulta palesemente contra legem in quanto fuoriesce dal perimetro normativo sopra citato e configura una raccolta di dati personali in assenza di idonea base giuridica e in spregio ai principi di liceità e di minimizzazione dei dati sanciti dall’art. 5 del GDPR (peraltro non viene resa agli interessati alcuna informativa, né risultano chiarite le modalità di trattamento);

9) la raccolta di dati personali effettuata in tal modo costituisce un trattamento illecito di dati personali punibile, a mente dell’art. 83 del GDPR, con sanzione amministrativa pecuniaria a carico del titolare del trattamento (con responsabilità per danno erariale in capo ai soggetti che con la loro condotta abbiano causato l’irrogazione della sanzione – cfr. sentenza n. 246/2019 della Corte dei conti del Lazio, relativa alla condanna di un Dirigente Scolastico);

10) l’indicazione del termine di validità (nove mesi a far data dal completamento del ciclo vaccinale, come ricordato nel suddetto messaggio email) comporta che il titolare del trattamento venga a conoscenza di informazioni non necessarie, dovendo il controllo esclusivamente appurare il possesso delle certificazioni verdi COVID-19 del medesimo soggetto;

11) il Garante per la protezione dei dati personali con proprio parere di data 31 agosto 2021 (relativo allo schema di decreto concernente Misure recanti modifiche ed integrazioni alle disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n.52) ha avuto modo di chiarire che in relazione alla specifica finalità del trattamento di cui all’art. 9-ter, commi 1 e 4, del d.l. n. 52/2021, devono essere trattati esclusivamente i dati necessari alla verifica del possesso della certificazione verde COVID-19 in corso di validità, rispettare i principi di liceità, correttezza e trasparenza, di limitazione della finalità, di minimizzazione, nonché della protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5, par. 1, lett. a), b) e c), 25 e 88 del Regolamento e art. 113 del Codice), con espresso richiamo “alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo”;

12) anche da tale parere, oltre che dal chiaro tenore letterale del DPCM 17 giugno 2021, si evince che l’unica modalità ordinaria di verifica delle certificazioni verdi Covid-19 consiste nell’utilizzo dell’App VerificaC19.

Per tutte le ragioni sopra esposte si

DIFFIDA

___(Indicare)___ dall’effettuare (anche nei singoli Dipartimenti) trattamenti illeciti di dati personali nell’ambito delle attività di verifica delle certificazioni verdi Covid-19 di cui all’art. art. 9 ter del D.L. 22 aprile 2021 n. 52 e, in particolare, dal richiedere (anche solo su base volontaria) e, comunque, dal raccogliere documenti, informazioni e dati personali (tra le quali la suddetta autocertificazione) inerenti allo stato vaccinale degli interessati, ovvero indirettamente alla mancata vaccinazione.

La presente viene inviata anche quale segnalazione al Garante per la protezione dei dati Personali a norma degli artt. 144 e segg. del d.lgs. 196/2003 e s.m.i. e degli art. 77 e segg. del Regolamento UE 679/2016, affinché assuma tutti i provvedimenti di sua competenza in ordine alle sopra descritte modalità di trattamento dei dati personali (o c.d. sensibili/particolari), nonché alla discriminazione che ne potrebbe derivare.

Tanto si doveva.

Luogo e data.

firma_______________

 

 

 

SOSTIENICI CON UNA DONAZIONE
IBAN: IT33Z0832703263000000002401

Print Friendly, PDF & Email