L’Informativa Privacy sul sito ufficiale del Green Pass mette nero su bianco che è previsto il trattamento dei … dati relativi alla positività al SARS-Cov-2, successiva alla vaccinazione o guarigione da SARS-CoV-2, per la revoca delle certificazioni verdi COVID-19 eventualmente già rilasciate alla persona e ancora in corso di validità
. In altre parole, se dopo essere guariti o aver ricevuto il vaccino ci si ammala, scatta la revoca. Un principio sacrosanto, se l’obiettivo del documento è quello di mantenere al sicuro luoghi e attività che potrebbero altrimenti moltiplicare il numero dei contagi, con tutto ciò che ne consegue in termini di salute pubblica e tempi necessari per l’uscita dalla crisi sanitaria. È però davvero così?
La revoca del certificato o del Green Pass
A sollevare la questione un confronto su GitHub, nel repository della versione Android di VerificaC19. Prendiamo in esame anzitutto le specifiche tecniche dettate dall’Europa a proposito della certificazione (PDF), piuttosto chiare: una volta emessi, i certificati non possono essere revocati.
È previsto che i certificati sanitari non possano essere revocati in modo affidabile una volta emessi, soprattutto se questa specifica fosse implementata a livello globale. Pubblicare le informazioni di recupero contenenti identificatori potrebbe creare problemi riguardanti la privacy…
Eppure, nel documento relativo alla Piattaforma Nazionale nostrana (PDF) si legge ben altro, con una sezione dedicata proprio alle Modalità di revoca delle certificazioni verdi COVID-19
che riportiamo di seguito.
Le certificazioni verdi COVID-19 possono essere revocate mediante l’inserimento del codice univoco della certificazione verde all’interno della “lista di revoca”. Tale lista di revoca contiene esclusivamente il codice univoco associato a ciascun certificato revocato e nessun’altra informazione e/o dato personale. La lista di revoca è oggetto di scambio con gli altri Stati Membri … La revoca delle certificazioni verdi COVID-19 può avvenire in caso di nuova positività accertata al SARS-CoV-2 dopo avvenuta vaccinazione o guarigione (casi di reinfezione). In detti casi, a seguito della comunicazione alla PN-DGC da parte delle aziende sanitarie, dei medici di medicina generale, dei pediatri di libera scelta e dei medici USMAF/SASN, di una nuova positività al SARS-CoV-2, effettuata tramite una specifica funzionalità del Sistema TS, il codice univoco della o delle certificazioni verdi COVID-19, rilasciata/e all’interessato precedentemente alla nuova positività accertata, viene inserita all’interno della “lista di revoca”.
Nello sviluppo della discussione qualcuno invita legittimamente a non ignorare la differenza tra certificazione (ciò che attesta guarigione, vaccino o test valido) e pass o Green Pass (ciò che garantisce l’accesso a locali e attività). Un distinguo corretto a livello concettuale, ma inapplicabile nella pratica poiché, allo stato attuale, il controllo della validità del Green Pass eseguito tramite l’app VerificaC19 si basa su due soli parametri: l’avvenuta emissione dell’EU Digital COVID Certificate e la sua durata.
Tra le soluzioni suggerite l’emissione di pass dalla durata ridotta, anche a pochi giorni, da rinnovare periodicamente controllando di volta in volta la validità del certificato e la sua non presenza all’interno della lista di quelli revocati. Non si può però ignorare che questo creerebbe notevoli grattacapi a coloro che hanno poca dimestichezza con gli strumenti tecnologici.
La lista a cui fa riferimento il documento nostrano altro non è che una CRL (Certificate Revocation List), che però non può essere allestita per le già citate ragioni inerenti la tutela della privacy. In ogni caso, la versione oggi distribuita di VerificaC19 non ne prevede il controllo. Il tutto è ben riassunto nel video condiviso da Matteo Flora con gli interventi di Carlo Piana e Stefano Zanero.
In verità, il documento europeo fa riferimento alla possibilità di revoca:
… anche se queste CRL non sono al momento impiegate da alcuno stato membro, dovranno essere integrate nelle applicazioni future.
Ancora:
I validatori dei Digital Green Certificati non devono eseguire alcun controllo di revoca sul Document Signer Certificate durante il processo di validazione.
Siamo certamente di fronte a una questione complessa, ma è lecito parlare di pasticcio all’italiana? Sì, se continuiamo a non distinguere tra certificazione e pass (ne abbiamo tutti responsabilità, noi della stampa in primis). No, se consideriamo che, anche nel momento in cui un intestatario di Certificato Verde si ammala, rimane pur sempre vaccinato o già guarito in precedenza (dopotutto si può essere vaccinati e positivi), in altre parole il certificato in relazione a quello specifico evento non decade. Sì, se attribuiamo a VerificaC19 il compito di consentire o negare l’ingresso di un cliente in un locale (come di fatto è) oltre a quello di confermare la validità di un certificato. No, se si confronta il funzionamento dell’applicazione con quanto previsto dalle linee guida continentali.
Il tutto senza dimenticare che la prima e più importante regola da seguire per la tutela della salute pubblica e individuale dovrebbe essere una e una soltanto, quella dettata dal buon senso. Chi si ammala di COVID-19 vuol davvero ignorarlo andando come niente fosse al ristorante, rischiando di trasmettere il virus a commensali e agli altri clienti? O in palestra? In caso di risposta affermativa, saremmo di fronte a un problema ben più grande rispetto a quelli legati a tecnicismi ed elenchi di revoca.