L'atto predisposto, con il quale l'Ente fornisce la delega alla cooperativa che gestisce in appalto la biblioteca comunale per poter effettuare, tramite loro personale incaricato, la verifica dei Green Pass per l’accesso ai locali della biblioteca come previsto dalla normativa in vigore è da integrare nei termini di cui alla motivazione.
MOTIVAZIONI
Le motivazioni del parere sono di seguito indicate.
FATTO
L'atto di delega predisposto dall'Ente è redatto prevedendo che:
- "Il SINDACO del Comune di XXX delega il soggetto appaltatore del servizio di gestione della Biblioteca Comunale XXX a verificare, per il tramite del personale incaricato, che gli utenti che accedono ai locali della Biblioteca comunale siano in possesso dei requisiti previsti dalle disposizioni normative vigenti. In particolare, il soggetto delegato alla verifica, dovrà:- scaricare l’applicazione “VerificaC19” su un dispositivo mobile. Tale applicazione consente di verificare la validità delle certificazioni senza la necessità di avere una connessione internet (offline), garantendo inoltre l'assenza di informazioni personali memorizzate sul dispositivo;- richiedere agli utenti, prima di accedere ai locali, di mostrare il QR Code del proprio certificato verde COVID-19, in formato digitale oppure cartaceo, e di esibire il proprio documento di riconoscimento;- verificare la validità del certificato e la corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall'applicazione;- riportare in una lista il nome, cognome e data di nascita dell’utente, annotando accanto ad ognuno l’avvenuta verifica della validità del certificato verde;- mantenere l’elenco degli utenti per un periodo di 14 giorni, ai fini di un eventuale tracciamento in caso di contagio.Nell’eseguire tale attività il soggetto appaltatore del servizio di gestione dovrà mettere a disposizione degli utenti l’informativa privacy predisposta dal Titolare". Il Titolare specifica, altresì, che: "l’incaricato dovrà esclusivamente chiedere l’esibizione del documento d’identità e della certificazione e limitarsi a verificarne la validità tramite lo strumento fornito. Non è pertanto consentita la raccolta, conservazione ed altri successivi trattamenti dei dati contenuti nelle medesime certificazioni e nei documenti connessi. Nell’adempimento dei propri compiti l’Incaricato si impegna:- a non diffondere o comunicare a soggetti non legittimati o autorizzati i dati personali comuni, sensibili, giudiziari, o altre informazioni direttamente o indirettamente acquisite nell’esercizio delle proprie funzioni e mansioni all’interno dell’ente. In caso di dubbio, è necessario accertarsi che i soggetti cui si dovessero comunicare i dati siano o meno legittimati o autorizzati a riceverli, mediante richiesta preventiva al proprio Responsabile/Referente;- a non lasciare incustoditi documenti, fascicoli, lettere, appunti, strumenti informatici contenenti file e quant’altro possa contenere dati personali e/o informazioni raccolti nell’espletamento della propria funzione;- a cancellare in modo permanente i dati personali comuni, sensibili, giudiziari, sanitari o altre informazioni di cui è venuto a conoscenza durante lo svolgimento della prestazione professionale".L'informativa privacy per l'utente, riportata in calce all'atto di delega allegato, è redatta prevedendo che: "L'accesso ai locali della Biblioteca comunale , in relazione alla normativa vigente, è consentito solo a chi è munito di una delle certificazioni verdi COVID19, cosiddetto “green pass”. Prima di accedere ai locali l’utente dovrà pertanto mostrare al nostro incaricato il QR Code del suo green pass, in formato digitale oppure cartaceo, ed esibire il suo documento di riconoscimento. I dati personali acquisiti saranno conservati per 14 giorni, come richiesto dalle disposizioni vigenti al fine di consentire il tracciamento in caso di necessità. I dati non saranno oggetto di diffusione a terzi, ma potranno essere comunicati alle autorità sanitarie e di pubblica sicurezza competenti. I dati personali e le informazioni ricavate dall’attività di verifica, saranno trattati esclusivamente dall’addetto ai controlli per consentire o negare l’accesso. Nello svolgimento di tali attività, l’operatore non registrerà alcun dato personale. In ogni caso le informazioni acquisite non saranno pubblicate, comunicate direttamente o indirettamente anche via mail, chat o telefono, web o social a soggetti terzi non autorizzati. Il trattamento delle informazioni di cui sopra non richiede il consenso dell’interessato ed è lecito ai sensi dell’art. 6 par. 1 lett. C) del Reg. 679/16, ovvero in attuazione degli obblighi di cui al Decreto-legge 52/2021. Il trattamento di dati particolari (ad. es. stato di salute) avviene ai sensi dell’art. 9 par. 2 lett. G) del GDPR, cioè per motivi di interesse pubblico rilevante sulla base del dritto dell’Unione o degli Stati membri". Nell'informativa privacy per l'utente, è specificato altresì, il Titolare del trattamento, il Responsabile della protezione dei dati (RPD)".
DIRITTO
Ciò premesso in via preliminare, nel merito, va dedotto quanto segue. La materia oggetto del quesito risulta disciplinata dalle seguenti fonti normative e/o regolamentari.
- l’art. 3 del Decreto-Legge n. 105/2021(Misure urgenti per fronteggiare l'emergenza epidemiologica da COVID-19 e per l'esercizio in sicurezza di attivita' sociali ed economiche), prevede, a far data dal 6 agosto 2021, l'impiego delle certificazioni verdi COVID-19 per consentire l'accesso a determinati tipi di servizi e attività. In particolare, prevede che i titolari o i gestori di tali servizi e attivita' sono tenuti a verificare che l'accesso ai predetti servizi e attivita' avvenga nel rispetto delle prescrizioni di cui al comma 1 (accesso consentito esclusivamente ai soggetti muniti di certificazione verde COVID-19). Le verifiche delle certificazioni verdi COVID-19 sono effettuate con le modalita' indicate dal decreto del Presidente del Consiglio dei ministri adottato ai sensi dell'articolo 9, comma 10;
- il Garante ha precisato, con riferimento all'App "Verifica C19", App predisposta dal Ministero della Salute per verificare la validità delle certificazioni, che “L’app consente al verificatore di controllare l’autenticità, la validità e l’integrità della certificazione e di conoscere le generalità dell’interessato, senza rendere visibili al verificatore le informazioni che hanno determinato l’emissione della certificazione (guarigione, vaccinazione o esito negativo del test molecolare/antigenico rapido) e senza conservare i dati relativi alla medesima oggetto di verifica”;
- l'art. 13 del Regolamento UE 679/2016 prevede le informazioni da fornire qualora i dati personali siano raccolti presso l'interessato,
- art. 28 del Regolamento UE 679/2016 (Responsabile del trattamento), secondo cui "Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".
In relazione alle fonti normative sopra citate, lo Scrivente Servizio protezioen dati (DPO), rileva quanto segue.
In primo luogo, si da per acquisito che, l'Ente, in qualità di Titolare del trattamento, è tenuto designare la cooperativa come Responsabile del Trattamento ai sensi dell'art. 28 del Reg. UE 679/2016, in quanto la cooperativa gestirà i dati per conto degli utenti del Titolare medesimo.
In secondo luogo, va rilevato che l'informativa privacy per l'utente riportata in calce alla delega trasmessa e predisposta dall'Ente, non risulta essere esaustiva, in quanto, non totlamente confrome alla normativa dell'art. art. 13 del Regolamento UE 679/2016. Tale informativa va integrata con le informazioni mancanrti, ed espressamente richieste dalla normativa. In particolare, l'informativa va integrata con le seguenti informazioni:
- Diritti dell'interessato: L'interessato puo' esercitare il diritto di chiedere l'accesso ai dati personali; chiedere la rettifica; chiedere la cancellazione ("diritto all'oblio"); chiedere la limitazione del trattamento; chiedere la portabilita' dei dati; di opporsi al trattamento; di non essere sottoposto a processo decisionale automatizzato, compresa la profilazione. - Diritto di revocare il consenso: Qualora il trattamento sia basato sul consenso, l'interessato ha diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceita' del trattamento basata sul consenso prestato prima della revoca - Diritto di reclamo: se l'interessato ritiene che il trattamento dei dati personali viene effettuato in violazione di quanto previsto dal GDPR, lo stesso ha il diritto di proporre reclamo al Garante, come previsto dall'art. 77 GDPR stesso, o di adire le opportune sedi giudiziarie (art. 79 GDPR) - Conferimento: Il conferimento e' obbligatorio, e l'eventuale rifiuto comporta l'impossibilita' di gestire il processo/procedimento/attivita' nel cui ambito vanno trattati i dati. - Processo decisionale automatizzato e profilazione: l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla Sua persona, salvi i casi previsti dal GDPR. - Ulteriori informazioni: In relazione alle finalita' sopra descritte, i dati personali, contenuti in fascicoli, archivi/banche dati elettroniche e cartacee, sono trattati mediante strumenti elettronici, e senza strumenti elettronici, con modalita' digitali e analogiche, e sono trasmessi attraverso reti non telematiche e telematiche unicamente dai soggetti designati e autorizzati al trattamento, operanti presso il titolare del trattamento, nonche' dai responsabili e contitolari del trattamento.
In ultimo, l'atto di delega predisposto dall'Ente, con il quale viene fornita la delega alla cooperativa che gestisce in appalto la biblioteca comunale per poter effettuare, tramite loro personale incaricato, la verifica dei Green Pass per l’accesso ai locali della biblioteca è da integrare, in quanto, va specificato che la cooperativa deve:
- trasmettere al titolare i nominativi dei singoli dipendenti incaricati per la verifica del Green pass;
- trasmettere al titolare le istruzioni impartite ai dipendenti medesimi per l'attività di verifica del Green pass.
CONCLUSIONI
In conclusione, lo Scrivente Servizio rileva quanto segue.
- Le integrazioni da effettuare in merito l'atto di delega predisposto dall'Ente sono:
- trasmettere al titolare i nominativi dei singoli dipendenti incaricati per la verifica del Green pass;
- trasmettere al titolare le istruzioni impartite ai dipendenti medesimi per l'attività di verifica del Green pass.
- Le integrazioni da effettuare in merito all'informativa privacy per l'utente riportata in calce alla delega sono:
- diritti dell'interessato;
- diritto di revocare il consenso;
- diritto di reclamo;
- conferimento;
- processo decisionale automatizzato e profilazione,
- ulteriori informazioni.