Green Pass: una questione di principi

Green Pass Covid-19 certificato di vaccinazione digitale per la mobilità

Nell’ultimo articolo1 pubblicato su questo sito si è discusso del Decreto Legge 52/2021 con il quale venivano introdotti i c.d. “Green Pass” o pass vaccinali, certificazioni idonee a consentire una maggiore libertà di movimento e di frequentazione di eventi nel permanere delle restrizioni tutt’ora vigenti, e nonostante le riserve avanzate dal Garante per la Protezione dei Dati Personali circa il rispetto dei principi in materia di privacy nella redazione della citata norma.

La questione delle Certificazioni Verdi, di estrema attualità e di grande interesse dato il perdurare dell’emergenza pandemica, è stata fortemente discussa ed ha attirato opinioni diverse da molti soggetti autorevoli: tra queste opinioni spicca quella del Presidente della Corte Costituzionale Giancarlo Coraggio che, nel corso di una conferenza stampa sull’attività della Consulta durante il 2020, si è espresso nei seguenti termini: “Il bilanciamento è il cuore dell’attività della Corte. Anche nel caso del Green Pass il problema è di bilanciamento, da una parte maggiore libertà, dall’altra la sicurezza collettiva. C’è un valore ulteriore, la privacy. È una questione delicata. Il gioco vale la candela? È una risposta che ognuno deve dare, è una risposta di buonsenso”.

Il Presidente Coraggio ha poi chiarito la propria posizione affermando: “Io preferisco rinunciare a un po’ della mia riservatezza in cambio di maggiore movimento per riprendere la vita sociale, da due anni oramai quasi inesistente”.

Green Pass: non c’è contrapposizione tra privacy e libertà di movimento

Sulle parole del Presidente della Corte Costituzionale è intervenuto anche l’avv. Guido Scorza, componente del Garante per la protezione dei dati personali, che ha trasfuso il proprio pensiero in un articolo2 alla cui lettura integrale si rimanda per un corretto approfondimento. Per ragioni di economia espositiva qui ci si limita a riportare il pensiero in estrema sintesi: l’avv. Scorza ha sottolineato che l’antagonismo tra la tutela della riservatezza e la libertà di movimento è solo apparente, poiché le censure mosse dalla S.A. italiana alla norma riguardano la diffusione di dati personali ulteriori rispetto a quelli strettamente necessari per la finalità perseguita.

Non esistendo dunque una contrapposizione in termini assoluti tra le citate esigenze, l’avv. Scorza ritiene che sia profondamente sbagliato porre al cittadino, potenziale fruitore della certificazione verde, una scelta tra due diritti fondamentali quando la conflittualità potrebbe essere evitata prestando maggiore attenzione nella progettazione e nello sviluppo dello strumento normativo.

Necessario un ritorno ai principi chiave: privacy by design e privacy by default

Oltre a quanto già evidenziato dall’avv. Scorza nel proprio intervento, si ritiene che questa vicenda abbia evidenziato l’esistenza (rectius, il permanere) di un problema di comprensione e consapevolezza per quanto riguarda la materia della tutela della riservatezza dei dati personali, a partire da alcuni dei suoi principi cardine.

È conoscenza comune che la tutela della privacy nel corso dell’ultimo decennio si sia incardinata sui due fondamentali principi della privacy by design e della privacy by default, dei quali viene fornita una definizione normativa all’art. 25 del Reg. U.E. 679/2016 che riportiamo di seguito per maggiore chiarezza.

“ Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3.Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Orbene dalla lettura del provvedimento emesso dal Garante in riferimento al decreto legge n. 52/2021 non può che concludersi che i richiamati principi non sono stati applicati né tenuti nella dovuta considerazione dal legislatore: non si è certamente avuto cura, in fase di progettazione ed approvazione dello strumento normativo, di valutare attentamente una forma di necessario coordinamento dei principi cardine della privacy con le finalità perseguite, né si è cercato, come testimonia la violazione del principio di minimizzazione contestata dalla S.A. italiana, di limitare il trattamento ai soli dati che fossero indispensabili a garantire il buon funzionamento delle certificazioni verdi.

Appare piuttosto che il legislatore, così come anche il Presidente della Corte Costituzionale che si è poi espresso in materia, abbia visto la tutela della privacy come un contraltare rispetto alla maggiore libertà di movimento perseguita con il citato decreto legge, un’esigenza di segno opposto che ha andava sacrificata per consentire la tutela di una necessità di ordine superiore.

Differentemente, il principio della privacy by design impone che la tutela della privacy sia integrata all’interno di politiche e processi che tendono a diverse finalità in una posizione di parità e non di contrapposizione: due scopi da perseguire contemporaneamente e non alternativamente. A riprova di quanto affermato, un’attenta lettura del provvedimento del Garante dimostra come non sia stato chiesto in alcun modo di limitare l’efficacia del c.d. “Green Pass” o di effettuare rinunce di alcun genere in materia di libertà di movimento per addivenire ad una migliore tutela della riservatezza dei dati personali diffusi a mezzo della certificazione stessa.

Similmente, anche il principio della privacy by default non impedisce in modo assoluto il trattamento di dati personali nell’ambito di trattamenti finalizzati al raggiungimento di obiettivi di particolare interesse ma si limita a richiedere che non venga fatto un uso eccessivo di dati personali, limitando il trattamento alla quantità e qualità strettamente necessaria per le finalità perseguite in perfetta armonia con i principi di minimizzazione dei dati e proporzionalità del trattamento.

Una qualsiasi forma di trattamento che voglia essere coerente e aderente alla normativa in materia di tutela della riservatezza deve giocoforza partire dalla comprensione e dall’applicazione dei principi sopra citati: differentemente, i singoli interessati continueranno ad essere posti di fronte ad una scelta iniqua e immotivata tra la tutela della propria privacy e il godimento di diritti di diversa natura nell’ottica di una contrapposizione che, come sin qui dimostrato, non ha alcuna ragione di esistere.

In una società moderna ed interconnessa come quella attuale, la tutela della riservatezza si viene a legare con un numero sempre maggiore di ambiti, entrando in contatto con esigenze, interessi ed obiettivi di natura disparata: non si può che auspicare il raggiungimento di una maggiore consapevolezza da parte del legislatore e di chi è chiamato ad interpretare ed applicare la legge, in modo da poter addivenire ad una tutela reale ed effettiva.

Non sarà altresì inutile sottolineare che una posizione più matura da parte del legislatore in ambito privacy potrebbe facilmente portare ad una maggiore comprensione anche da parte dei Titolari del trattamento di natura pubblica e privata: è risaputo infatti che la disciplina del G.D.P.R. si è rivelata oscura e a tratti scarsamente comprensibile, e argomentazioni che pongano la tutela della riservatezza in contrapposizione con altri importanti diritti e libertà non può che creare ulteriore confusione.

Fondamentale in tal senso si rivela l’operato del Garante per la protezione dei dati personali, che anche in questa occasione non ha mancato di fornire il proprio importante contributo per rimarcare ancora una volta quelli che sono i principi chiave della materia e di mettere la propria competenza al servizio del legislatore al fine di addivenire all’approvazione di una norma che si riveli più adeguata ai medesimi principi.


1 L’articolo in questione è consultabile qui.

2 L’articolo è pubblicato sul sito dell’associazione Federprivacy e consultabile qui.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su