Seleziona Pagina

Green Pass Covid-19: non è solo un QR Code

Green Pass Covid-19: non è solo un QR Code

Green Pass Covid-19, ormai tra le tendenze del momento. L’agognato certificato verde che da qualche settimana tiene banco sui social, con una selvaggia condivisione degli utenti che lo hanno ricevuto, rivela molto più di quello che si possa pensare. Si sa, “da una grande quantità di dati, derivano grandi responsabilità” (semicit.).

Come ottenere il Green Pass Covid-19

Innanzitutto, è possibile ottenere il Green Pass Covid-19:

  • Attraverso il sito nazionale dedicato www.dgc.gov.it. Dopo aver effettuato la vaccinazione, anche dopo la prima dose, il cittadino viene informato della disponibilità del Green Pass Covid-19 con un sms o una mail contenenti un codice di autenticazione. Dopo essersi collegati al sito tramite identità digitale (Spid) oppure tessera sanitaria, e dopo aver inserito il codice ricevuto in precedenza, si potrà scaricare immediatamente il Green Pass Covid-19. Il codice a barre bidimensionale, o QR Code, si presenta con una firma digitale del Ministero della Salute per impedirne la falsificazione e potrà essere anche stampato;
  • Attraverso l’app Immuni, con un procedimento simile a quello adottato sul sito dedicato. La versione 2.5.0 dell’app ha integrato una nuova sezione denominata “EU Digital Covid Certificate”, all’interno della quale è possibile caricare il proprio certificato verde;
  • Attraverso l’app App IO, dalla quale sarà possibile scaricare il Green Pass Covid-19 muniti di carta di identità elettronica rilasciata dal proprio comune di residenza o di un account Spid;
  • Attraverso il Fascicolo sanitario elettronico, a cui si può accedere in modalità differenti a seconda della propria Regione o Provincia autonoma di appartenenza. Dopo aver effettuato l’accesso il proprio fascicolo avrà i documenti già caricati dall’Azienda sanitaria di riferimento con eventuale tampone negativo, attestazione di avvenuta vaccinazione o di avvenuta guarigione;
  • Attraverso il medico di base, pediatri o farmacie. Questa alternativa è stata pensata per quella parte di popolazione poco avezza all’uso della tecnologia o che non ne sia in possesso.

I dati contenuti nel QR Code del Green Pass Covid-19

I Green Pass Covid-19, rilasciati dalla Piattaforma nazionale-DGC, riportano i seguenti dati generali comuni a tutte e tre le tipologie di certificazioni:

  1. cognome e nome;
  2. data di nascita;
  3. malattia o agente bersaglio;
  4. soggetto che ha rilasciato la certificazione verde COVID-19: Ministero della salute;
  5. identificativo univoco della certificazione verde COVID-19.

Il Green Pass Covid-19 che certifica l’avvenuta vaccinazione riporta altresì le seguenti indicazioni:

  1. tipo di vaccino somministrato;
  2. denominazione del vaccino;
  3. produttore o titolare dell’autorizzazione all’immissione in commercio del vaccino;
  4. numero della dose effettuata e numero totale di dosi previste per l’intestatario della certificazione verde COVID-19;
  5. data dell’ultima somministrazione effettuata;
  6. Stato in cui è stata effettuata la vaccinazione.

Il Green Pass Covid-19 che certifica l’avvenuta guarigione riporta altresì le seguenti informazioni:

  1. data del primo test molecolare positivo;
  2. Stato che ha effettuato il primo test molecolare positivo;
  3. data inizio validità del Green Pass Covid-19;
  4. data fine validità del Green Pass Covid -19.

Il Green Pass Covid-19 che certifica il test antigenico rapido o molecolare con esito negativo riporta altresì le seguenti indicazioni:

  1. tipo del test;
  2. nome del test (facoltativo per test molecolare);
  3. produttore del test (facoltativo per test molecolare);
  4. data e ora del prelievo del campione per il test;
  5. risultato del test;
  6. centro o struttura in cui è stato eseguito il test;
  7. Stato in cui è stato effettuato il test.

Il QR Code contiene altresì la firma digitale che garantisce la validità delle informazioni contenute: senza quest’ultimo sigillo, l’intera certificazione non avrebbe validità.

Green Pass Covid-19: cosa è il QR Code? Come faccio a decifrarlo?

Cos’è un QR Code? Un codice a barre bidimensionale di forma quadrata, composto da molteplici moduli di colore nero inseriti all’interno di uno schema a sfondo bianco. La sua funzione principale è l’archiviazione di informazioni e dati.

La sua denominazione deriva dal termine inglese Quick Response Code, tradotto Codice a risposta rapida. L’espressione è utilizzata per evidenziare la velocità attraverso cui il QR Code è in grado di fornire le informazioni che racchiude al proprio “interno”. Tutte le informazioni contenute all’interno di un codice 2D sono, infatti, pensate per essere decodificate in maniera rapida mediante dispositivi mobile.

Green Pass Covid 19 QR Code

Infatti, per poter leggere un QR Code sarà sufficiente inquadrarlo con la fotocamera del proprio smartphone. In pochi secondi si verrà reindirizzati alla pagina di informazione desiderata. Ma attenzione: alcuni smartphone meno moderni non supportano nelle proprie impostazioni di default questa funzionalità di lettura. Se del caso, sarà necessario scaricare un’applicazione specifica, gratuita o a pagamento, che funzioni da lettore QR Code per avere accesso alle informazioni.

Nel caso del QR Code per il Green Pass Covid-19, tuttavia, la situazione appare differente. Contenendo dati personali particolari, il codice è crittografato. Nonostante questo, se un malintenzionato fosse in possesso delle chiavi di decriptazione, di fatto reperibili online, e di programmi open source per la lettura dei QR Code, avendo un po’ di esperienza coi PC potrebbe decifrarlo facilmente.

Green Pass e protezione dei dati: La lezione dell’applicazione “Mitiga”

Con provvedimento n. 224 del 3 giugno 2021, il Garante Privacy ha disposto il blocco provvisorio dei trattamenti dei dati personali nei confronti della società che gestisce l’applicazione “Mitiga Italia”.

Forse molti di voi non lo sapranno, ma Mitiga Italia era stata utilizzata per la prima volta il 19 maggio scorso per consentire l’ingresso alla finale di Coppa Italia degli spettatori in possesso di certificazione attestante l’avvenuta vaccinazione, la guarigione o lo stato di negatività dal Covid-19.

Green Pass Covid 19 Mitiga

La misura si è resa necessaria essendo emersa la possibilità che l’applicazione, nei giorni successivi, potesse essere utilizzata per gestire l’accesso a altri eventi, spettacoli o iniziative sportive.

Nel provvedimento citato, il Garante ha sottolineato come non esistesse in quel momento una valida base giuridica per il trattamento di dati, anche particolarmente delicati come quelli di natura sanitaria, effettuato mediante l’applicazione, e finalizzato ad accertare la situazione “Covid free” di quanti partecipino ad avvenimenti sportivi, nonché ad altre manifestazioni pubbliche o accedano a locali aperti al pubblico.

La società Mitiga, infine, avendo il 1° aprile sottoposto all’Autorità l’applicativo, avrebbe comunque dovuto astenersi da ogni trattamento di dati non essendo decorso il tempo previsto dal GDPR per l’assunzione di una decisione da parte della stessa Autorità.

Il blocco è stato disposto con effetto immediato e si protrarrà per il tempo necessario a consentire all’Autorità la definizione dell’istruttoria già avviata.

La posizione del Garante Privacy sul Green Pass Covid-19

Nella giornata del 9 giugno 2021, il Garante Privacy è intervenuto per fornire il proprio parere in ordine al rispetto della normativa Data Protection da parte dello schema del DPCM con oggetto la previsione e l’attuazione della piattaforma nazionale DGC e il rilascio del Green Pass Covid-19.

Le prescrizioni del Garante

ll parere del Garante è risultato favorevole ma condizionato ai seguenti requisiti:

  • siano definite chiaramente le finalità di trattamento dei dati personali;
  • sia introdotta una riserva di legge statale per l’utilizzo di certificazioni che attestino l’avvenuta vaccinazione o guarigione da Covid-19 o l’esito negativo del tampone, per evitare che gli enti locali con ordinanze possano limitare sproporzionatamente la libertà dei cittadini che non sono in possesso del pass;
  • sia adeguatamente modificata la previsione della natura transitoria delle disposizioni applicabili in ambito nazionale alle certificazioni verdi, per evitare che le stesse cessino di avere efficacia nel momento dell’entrata in vigore del Regolamento europeo sul Green Pass Covid-19;
  • le certificazioni siano emesse, rilasciate e verificate attraverso le modalità indicate nello schema di decreto;
  • sia prevista l’applicabilità delle sanzioni con riferimento all’attività svolta dai soggetti preposti al controllo;
  • la raccolta dei dati relativi all’infezione da Covid-19 delle persone vaccinate sia effettuata solo a seguito della valutazione favorevole da parte del Garante stesso in ordine alle misure di sicurezza adottate;
  • l’utilizzo dell’App IO per il recupero delle certificazioni fosse consentito dopo il recepimento delle osservazioni contenute nel provvedimento correttivo adottato nei confronti della società PagoPA S.p.a. e subordinato ad una successiva valutazione favorevole da parte del Garante;
  • il trattamento dei dati di contatto degli interessati sia integrato attraverso l’indicazione della finalità perseguita, ovvero utilizzato esclusivamente per l’invio del codice univoco relativo al recupero della certificazione verde o della comunicazione di un eventuale revoca della stessa;
  • sia specificato il periodo di conservazione dei dati;
  • sia modificato l’allegato F dello schema di decreto relativa alla conservazione di alcune tipologie di dati, prevedendo che tali registrazioni siano usate ai soli fini della verifica della liceità del trattamento e per garantire la sicurezza dei dati personali.

“Non condividete i vostri QR Code del Green Pass Covid-19 sui social network”

L’appello arriva direttamente dalla pagina istituzionale della nostra Autorità di controllo nazionale.

Come è possibile comprendere, la pericolosità insita nella tecnologia utilizzata, ossia il QR Code, e la tendenza odierna di condivisione di ogni aspetto della nostra vita privata attraverso l’uso spesso non ragionato dei social network ha portato il Garante a una e vera propria richiesta, più che giustificata a parere di chi scrive.

Come dichiara il Garante, “ogni uso difforme dei dati personali coinvolti, soprattutto quelli sanitari, è pericoloso perché si lascia in giro per il web una scia di propri dati che chiunque potrebbe utilizzare per finalità malevole. Ad esempio, per desumere che la persona ha patologie incompatibili con la vaccinazione o è contraria al vaccino. E di qui negare impieghi stagionali, tenere lontani da un certo luogo, insomma per varie forme di discriminazione. O anche per fare truffe mirate o per fare profilazione commerciale. Immaginiamo la possibilità che questi dati finiscano in un database venduto e vendibile”.

Uomo avvisato…

Circa l'autore

Lorenzo Nosari

Sono Data Protection Consultant, specializzato in LegalTech per ambiti quali Blockchain, Artificial Intelligence, IoT e Big Data. Divulgo temi legali afferenti alle nuove tecnologie al fine di creare consapevolezza e sensibilizzazione nel prossimo.

Archivi mensili

ISCRIVITI ALLA NEWSLETTER