Certificazioni Verdi: parere favorevole dal Garante

Certificazioni verdi: green pass

Recentemente il Garante per la protezione dei dati personali è tornato ad esprimersi in merito alla vicenda legata alle Certificazioni Verdi con un nuovo provvedimento1, che fa seguito al precedente del 23 aprile2, emesso a seguito dei più recenti interventi normativi, tra cui spicca il d.l. 77/2021 con il quale è stata introdotta la Piattaforma nazionale-DGC, che hanno permesso di superare, almeno parzialmente, le riserve presentate dalla S.A. italiana circa l’adeguatezza del d.l. 52/2021.

Il “via libera” del Garante non è tuttavia incondizionato, dal momento che sono state poste alcune condizioni preliminari e richieste particolari garanzie al legislatore.

Nel corso del presente articolo si darà conto di quali tra le riserve precedentemente espresse dalla S.A. italiana sono state superate e di quali siano le problematiche riscontrate e soluzioni adottate.

Le criticità risolte dal legislatore

Preliminarmente, le censure riguardanti la violazione del principio di trasparenza legate alla mancata indicazione dei soggetti coinvolti nel trattamento è stata definitivamente superata: infatti, il recente d.l. 77/2021 ha attribuito la titolarità dei trattamenti effettuati attraverso la piattaforma nazionale-DGC al Ministero della Salute; non sarà inutile ricordare che la citata piattaforma è lo strumento normativamente previsto per la gestione, l’emissione e la validazione delle certificazioni verdi digitali.

Per maggiori dettagli circa le funzionalità, la composizione e i trattamenti effettuati dalla piattaforma si rimanda al provvedimento emesso dalla S.A. italiana in data 09/06/21.

Oltre a ciò, il Ministero della Salute ha indicato come responsabili del trattamento il Ministero dell’Economia e delle Finanze nonché le società Sogei s.p.a. e PagoPA s.p.a., coinvolte in operazioni collaterali alla gestione della Piattaforma nazionale-DGC. Sono state altresì indicate dal Titolare le categorie di soggetti deputati al controllo delle certificazioni stesse: pubblici ufficiali nell’esercizio delle proprie funzioni, il personale addetto ai servizi di controllo delle attività di intrattenimento e di spettacolo in luoghi aperti al pubblico o in pubblici esercizi iscritti in un apposito elenco, oltre che da soggetti titolari delle strutture recettive e dei pubblici esercizi per l’accesso ai quali è prescritto il possesso di un green pass vaccinale.

È stato altresì definito il periodo di conservazione dei dati raccolti al fine dell’emissione della certificazione verde: essi saranno infatti conservati per il solo periodo di validità della certificazione, salvo che gli stessi non risultino necessari per altri trattamenti, disciplinati da apposite disposizioni normative, che prevedono un tempo di conservazione più ampio.

Per quanto riguarda la preoccupazione espressa dal Garante circa il numero e la qualità dei dati trattati, le relative censure sono state parzialmente superate grazie al ricorso a particolari tecniche di verifica e controllo delle certificazioni stesse: infatti il personale deputato potrà effettuare le necessarie verifiche sul green pass tramite la lettura di un codice a barre, senza visionare, conservare né avere accesso ad alcuno dei dati del portatore della certificazione stessa.

In questo modo, pur essendo rimasti invariati i dati richiesti al fine dell’emissione rispetto a quelli previsti dal d.l. 52/2021, le misure poste a protezione degli stessi hanno portato il Garante ad esprimersi in maniera favorevole sulla questione.

La S.A. italiana ha altresì accolto favorevolmente l’implementazione da parte del legislatore di strumenti atti a garantire l’esercizio da parte degli interessati dei diritti di cui agli artt. 15 – 22 del Reg. U.E. 679/2016: è stato infatti messo a disposizione un numero di pubblica utilità al fine di consentire di avanzare richieste quali ad esempio quelle di rettifica e controllo dei dati forniti; in questo modo il legislatore ha saputo rispondere alle censure avanzate dal Garante in ordine al rispetto del principio di esattezza dei dati.

Le questioni rimaste aperte

L’Autorità di controllo non ha tuttavia mancato di segnalare il permanere di alcune criticità alla cui risoluzione è condizionata l’emissione di un parere positivo circa l’attuale implementazione delle certificazioni verdi.

La prima delle censure che il Garante ritiene non superata è quella riguardante la base giuridica: già nel precedente provvedimento era stata segnalata l’inidoneità del d.l. 52/2021 per mancanza di alcuni elementi essenziali richiesti dal decreto3, mancanza che il legislatore non ha provveduto a correggere.

Oltre a ciò, la S.A. italiana ha altresì sottolineato come in sede di conversione del d.l. 52/2021 andrà necessariamente prevista una riserva di legge statale per l’individuazione delle finalità per le quali possono essere utilizzate le certificazioni verdi; è opportuno ricordare che, come risulta dal dettato normativo4 oltre che da costante giurisprudenza5, la limitazione delle libertà personali effettuata anche attraverso il trattamento di dati (ad esempio subordinando l’accesso a luoghi o servizi al possesso della certificazione verde) è ammissibile solo ove prevista da una norma di legge statale.

Poiché manca ancora un’esaustiva indicazione delle finalità perseguite dal legislatore con lo strumento del pass vaccinale, l’introduzione di una apposita riserva di legge appare ancor più necessaria.

Il Garante ha altresì valutato negativamente la natura transitoria della normativa nazionale, destinata a perdere di efficacia in seguito all’adozione di un Regolamento europeo in materia di certificazioni verdi; nonostante la precisa richiesta in tal senso effettuata, il legislatore ha mancato di indicare le motivazioni che giustificavano l’adozione delle certificazioni nazionali stante l’imminente introduzione di un analogo strumento operante in ambito sovranazionale.

La S.A. ritiene preferibile che il legislatore modifichi la previsione della natura transitoria delle  disposizioni applicabili in ambito nazionale alle certificazioni verdi, così che le stesse possano mantenere la propria efficacia anche in seguito all’entrata in vigore del predetto regolamento europeo.

 In ordine infine alle modalità di ottenimento del Green Pass, il Garante ha espresso dubbi in merito ad uno tra gli strumenti digitali previsti, l’App IO, con particolare riferimento a rischi connessi all’attivazione automatica di servizi non richiesti dall’interessato nonché al trasferimento dei dati all’estero; in considerazione dei citati rischi, la S.A. italiana si è riservata di pronunciarsi sull’utilizzo dello strumento digitale solamente a seguito di nuove verifiche, ordinando in via d’urgenza alla società PagoPA (gestore dell’applicazione stessa) di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la suddetta App.

Cooperazione e risoluzione

In conclusione non si può che valutare positivamente lo sforzo compiuto dal legislatore al fine di adeguarsi alle indicazioni ricevute con il Provvedimento del Garante del 23/04/2021: a seguito di tali provvedimenti la società PagoPA ha provveduto a risolvere le criticità sulla condivisione di informazioni inerenti dati personali, in particolare l’interazione con Google e Mixpanel, per renderla conforme al GDPR.

L’App IO è stata quindi approvata dal Garante all’uso per le certificazioni verdi grazie al parere favorevole dopo le modifiche apportate da PagoPA. Le nuove disposizioni normative dimostrano attenzione verso le esigenze di tutela dei dati personali e la volontà di collaborare con l’Autorità preposta per un più efficace contemperamento delle diverse esigenze in campo.


1 Il provvedimento del Garante è consultabile a questo indirizzo

2 In merito al citato provvedimento si rimanda al nostro articolo del 13 maggio u.s. disponibile qui

3 Per economia espositiva, si invita il lettore a fare riferimento in merito al precedente articolo del 13 maggio u.s.

4 Si vedano sul punto gli artt. 6 par. 2, e 9 Reg. U.E. 679/2016 e gli artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali

5 Si vedano su tutte le sentenze nr. 271/2005 Cost. e 37/2021 Cost.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su