Passaporto vaccinale europeo, come funzionerà: il certificato e la firma digitale

Massimo Mangia

La Commissione europea ha presentato una proposta per creare un certificato digitale per facilitare la libera circolazione sicura dei cittadini nell’UE durante la pandemia Covid-19. Vediamo come sarà il certificato e come funzionerà

Articolo pubblicato in anteprima su AgendaDigitale.eu

Il Certificato Verde Digitale sarà un documento cartaceo o elettronico che attesterà che una persona:

  • Sia stata vaccinata per il Covid-19.
  • Abbia effettuato un test, risultato negativo, al Covid-19.
  • Sia guarito dal Covid-19.

Il Certificato Verde Digitale si basa su un codice QR che contiene una firma digitale per proteggerlo dalla falsificazione.

Sarà gratuito, redatto nella lingua nazionale del paziente e in inglese, valido in tutti i paesi dell’Unione Europea, Islanda, Liechtenstein, Norvegia e Svizzera.

Cosa contiene il certificato

Ogni ente emittente (ad esempio un ospedale, un centro di test, un’autorità sanitaria) avrà la propria chiave di firma digitale. Tutte queste saranno memorizzate in un database sicuro in ogni paese.

Per controllare il certificato sarà necessario scansionare il codice QR così da verificare la firma e leggere i dati.

Il certificato verde digitale conterrà soltanto le informazioni necessarie come il nome, la data di nascita, la data di rilascio, le informazioni rilevanti sul vaccino/test/guarigione e un identificatore unico.

Il certificato non potrà essere registrato dai paesi visitati. Ai fini della verifica, verrà controllata solo la validità e l’autenticità del certificato, verificando chi lo ha emesso e firmato. Tutti i dati sanitari rimarranno quindi nello stato membro che ha emesso il certificato.

La Commissione europea costruirà un gateway. Attraverso questo gateway, le firme dei certificati potranno essere verificate in tutta l’UE. I dati personali del titolare del certificato non passeranno attraverso il gateway, poiché non sono necessari per verificare la firma digitale.

La Commissione europea aiuterà anche gli Stati membri a sviluppare un software che le autorità possono usare per controllare i codici QR.

Quale sarà l’uso del Digital Green Certificate?

Il certificato nasce per facilitare la libera circolazione all’interno dell’UE, diritto fondamentale di tutti i cittadini europei e non costituirà una condizione preliminare per esercitare questo diritto. Il documento ha lo scopo di certificare il proprio stato immunologico (vaccinazione o guarigione) e i risultati dei test, che sono spesso richiesti dalle restrizioni di salute pubblica che possono essere in vigore in alcuni stati.

Il certificato è un’opportunità per gli stati membri di adeguare le restrizioni esistenti per motivi di salute pubblica. La Commissione Europa auspica che sia adoperato per facilitare i viaggi e gli spostamenti delle persone all’interno della UE.

L’infrastruttura tecnologica del Digital Green Certificate

Il certificato si basa su un’architettura di interoperabilità composta da tre componenti:

  • Un set di dati (dataset) minimo con le informazioni essenziali incluse nel certificato di vaccinazione;
  • Un identificatore unico del certificato di vaccinazione/attestazione, riferito a un corso di vaccinazione completato o parziale, che sia globalmente unico e verificabile.
  • Un framework di autenticazione, inclusa l’infrastruttura digitale, necessaria per stabilire l’autenticità e la validità dei certificati presentati.
    Dataset minimo

Dataset minimo

Contiene in modo strutturato le informazioni di base necessarie allo scopo. È stato concepito in modo da rappresentare una base per consentire possibili iniziative future transfrontaliere sulla vaccinazione, così come suggerito da parte dell’OMS per sviluppare certificati di vaccinazione intelligenti.

Il dataset minimo per un certificato di vaccinazione, di guarigione o di test è organizzato in 3 sezioni:

  • Identificazione della persona
  • Informazioni sulla vaccinazione, la guarigione o il test (tre distinti set di dati)
  • Metadati del certificato

Il set di dati è definito come minimo dal punto di vista della registrazione dei dati rilevanti per il rilascio dei certificati. Alcuni campi possono essere mostrati o meno al destinatario del certificato. Anche se lo scopo d’uso definito potrebbe essere supportato dalle linee guida per il Patient Summary, il certificato di vaccinazione fornisce una soluzione complementare in cui il titolare del certificato fornisce i dati all’operatore sanitario direttamente. Nel medio e lungo termine, tutte le informazioni sulle vaccinazioni dovrebbero essere condivise attraverso MyHealth@EU, come parte del Patient Summary.

Il sistema del certificato di vaccinazione dovrebbe essere progettato in modo tale che la persona interessata possa controllare l’uso dei dati del certificato. Questo sarà ulteriormente chiarito come parte dello sviluppo del trust framework. Le informazioni dovrebbero essere divulgate al destinatario del certificato seguendo il principio di minimizzazione dei dati del GDPR.

Identificazione della persona

I dati previsti sono:

  • Cognome e nome della persona
  • Data di nascita
  • Identificativo del cittadino (opzionale), come ad esempio il codice fiscale
  • Sesso (opzionale)

Informazioni sulla vaccinazione / profilassi

I dati previsti sono:

  • Codice della malattia da cui difende la vaccinazione, in ICD10 o SNOMED CT (in futuro ICD11)
  • Descrizione del vaccino, codificato con SNOMED CT o ATC
  • Nome commerciale del vaccino
  • Nome del soggetto che possiede l’autorizzazione in commercio (EMA SPOR)
  • Numero della vaccinazione, ad esempio 1 di 2 dosi
  • Numero del lotto (solo per scopi di cura)
  • Data della vaccinazione (ISO 8601)
  • Centro vaccinale o nome dell’ente che ha effettuato la vaccinazione (solo per scopi di cura)
  • Nome o codice del medico vaccinatore (solo per scopi di cura)
  • Codice paese dove è avvenuta la vaccinazione (ISO3186)
  • Data della prossima vaccinazione (solo per scopi di cura)

Informazioni sulla guarigione

I dati previsti sono:

  • Codice della malattia da cui si è guariti, in ICD10 o SNOMED CT
  • Data del primo test positivo, in formato ISO8601
  • Codice paese dove è stato eseguito il test (ISO3186)

Informazioni sul test diagnostico

I dati previsti sono:

  • Codice della malattia per la quale è stato effettuato il test, in ICD10 o SNOMED CT
  • Tipo del test, codificato con LOINC o NPU
  • Nome commerciale del test
  • Produttore del test
  • Origine del campione (opzionale), SNOMED CT
  • Data e ora del prelievo del test (ISO 8601)
  • Data e ora di refertazione del test (ISO 8601)
  • Risultato del test codificato in SNOMED CT
  • Centro o nome dell’ente che ha effettuato il test
  • Nome o codice del professionista che ha eseguito il test (opzionale)
  • Codice paese dove è avvenuta il test (ISO3186)

Metadati del certificato

I dati previsti sono:

  • Entità che emesso il certificato
  • Identificatore univoco del certificato (UVCI)
  • Data inizio validità del certificato (ISO 8601)
  • Data fine validità del certificato (ISO 8601)
  • Versione minimum dataset (solo per scopi di cura).

Identificatore univoco della vaccinazione/profilassi

Lo Unique Vaccination Certificate/assertion Identifier (UVCI) è fondamentale per identificare ogni certificato e deve essere incluso in ogni documento rilasciato.

L’UVCI potrà essere utilizzato, in fasi successive, per verificare il certificato e anche come chiave di collegamento a informazioni aggiuntive sulla vaccinazione, una volta che le modalità e le piattaforme saranno state sviluppate e impiegate. L’UVCI è necessaria a livello UE per sostenere l’interoperabilità dei certificati di vaccinazione, mentre dovrebbe essere implementata sotto la responsabilità degli Stati membri in modo da lasciarli nel pieno controllo di come farlo.

La struttura dell’UVCI potrebbe evolvere nel tempo per accogliere ulteriori requisiti che potrebbero emergere. Dovrebbe essere flessibile per consentire agli stati membri di far coesistere versioni cartacee e digitali dei certificati.

L’UVCI dovrebbe avere una struttura e un formato comuni per facilitare l’interpretazione delle informazioni e potrebbe riguardare elementi quali il paese di vaccinazione, il vaccino stesso e un identificatore specifico dello stato membro. Dovrebbe garantire agli stati membri flessibilità nel formato, nel pieno rispetto della legislazione sulla protezione dei dati.

L’UVCI non dovrà contenere dati personali, dal momento che il suo scopo principale è quello di essere una “chiave primaria” unica che consenta alle autorità sanitarie degli stati membri di verificare la situazione vaccinale di un individuo.

Trust framework

I certificati di vaccinazione dovranno essere emessi da entità fidate, e deve essere possibile verificare l’autenticità e la validità di un certificato e l’affidabilità della sua autorità emittente.

A seconda del supporto (carta, carta con elementi digitali come i codici QR o puramente digitali), gli scenari e i protocolli di verifica saranno diversi. I dettagli di questi protocolli dovranno essere elaborati come parte del lavoro di progettazione tecnica che è ancora in corso, anche in linea con le iniziative globali. Nella progettazione bisognerà effettuare un’analisi della sicurezza e la valutazione del rischio, al fine di assicurare un sufficiente livello di protezione contro la falsificazione dei certificati o il riutilizzo di certificati validi emessi per altre persone.

Gli elementi digitali permetteranno una verifica affidabile e la protezione contro la falsificazione, aumentando allo stesso tempo la velocità e migliorando l’usabilità del processo di verifica. Per un approccio coordinato a livello UE, è necessario un ulteriore lavoro nell’ambito della rete eHealth in collaborazione con altri gruppi e organizzazioni pertinenti al fine di:

  • Fornire meccanismi per stabilire l’autorizzazione degli emittenti di certificati;
  • Supportare la verifica dei certificati di vaccinazione;
  • Fornire supporto per funzioni aggiuntive, come la revoca dei certificati emessi;
  • Analizzare le implicazioni legali per un trust framework;
  • Progettare una possibile soluzione rispettando il quadro legale di protezione dei dati dell’UE e implementando i suoi principi di protezione dei dati.

Se volete approfondire gli aspetti tecnici potete consultare i documenti con gli elementi di base per l’interoperabilità:

I prossimi passi

Alla pubblicazione delle linee guida sugli elementi di base dell’interoperabilità di un certificato di vaccinazione Covid-19, seguiranno ulteriori lavori per l’attuazione del regolamento sul certificato verde digitale.

Un quadro di specifiche comuni per guidare l’attuazione di soluzioni interoperabili potrebbe essere sviluppato dalla rete eHealth, previa consultazione del comitato di sicurezza sanitaria, in stretta collaborazione con l’OMS.

Per le persone che non possono essere vaccinate a causa di un motivo medico, o che non possono ricevere la dose successiva, sarà predisposto un certificato ad hoc per questi casi. Il supporto per tali certificati e di altri test relativi al Covid-19 sarà esplorato in seguito dalla rete eHealth come parte del lavoro ulteriore sui certificati di vaccinazione e il toolbox che li supporta.

Gli Stati membri sono incoraggiati a sviluppare sistemi di informazione sull’immunizzazione e, più in generale, a prendere iniziative per digitalizzare ulteriormente il settore sanitario, ad esempio attraverso il Recovery and Resilience Fund (per tutto il 2021-2022).

Il certificato verde vaccinale dovrebbe essere operativo a giugno

3 thoughts on “Passaporto vaccinale europeo, come funzionerà: il certificato e la firma digitale

  1. Pingback: Passaporto vaccinale europeo, come funzionerà: il certificato e la firma digitale — Salute Digitale – Revolver Boots
  2. lino 26 Marzo 2021 / 10:40

    Neanche satana in persona avrebbe potuto far meglio……..

    Rispondi
  3. Pingback: Passaporto COVID-19 free: tutte le iniziative a livello regionale, nazionale, europeo ed internazionale - Salute Digitale

Rispondi