Pass Vaccinali: le riserve del Garante sulle “Certificazioni Verdi”

Passaporto verde covid-19 e privacy

Con la recente approvazione del decreto legge del 22 aprile 2021 n.52 sono state introdotte le Certificazioni Verdi, altresì note come “pass vaccinali”, che consentirebbero ai soggetti che ne sono in possesso lo spostamento in entrata o uscita da Regioni e Province in zona rossa o arancione e che, ove previsto dalle linee guida adottate dalla Conferenza delle Regioni o delle Province autonome, possono altresì costituire condizione di accesso a determinati eventi come fiere, convegni e/o congressi.

Questo strumento mira a consentire una maggiore libertà per quei soggetti che, a causa del completamento di un ciclo vaccinale, della recente guarigione da covid-19 ovvero grazie ad un tampone molecolare negativo realizzato entro le 48 ore precedenti, posso essere considerati “a basso rischio” di contrarre e diffondere la malattia, anche al fine di favorire la ripresa delle attività produttive nonché di eventi di vario genere.

Per quanto l’introduzione del pass vaccinale possa apportare grandi benefici in tema di circolazione e ripresa, anche sul piano economico, essa non è priva di aspetti problematici, in particolare per quanto riguarda l’impatto che lo stesso può avere sui dati personali del portatore.

Sul punto è intervenuto il Garante per la Protezione dei dati personali con un provvedimento1 emesso lo scorso 23 aprile con il quale ha avvertito i soggetti coinvolti nella gestione delle Certificazioni verdi delle criticità riscontrate nello strumento; di seguito analizzeremo punto per punto le censure mosse dalla S.A. italiana per comprendere i motivi che hanno portato l’ente ad esprimersi in maniera negativa su uno strumento già da tempo discusso e atteso.

Le criticità rilevate dal Garante

La prima tra le criticità rilevate riguarda la violazione dell’art. 36 par. 4 del Reg. U.E. 679/2016 per la mancata preventiva consultazione del Garante in fase di adozione del decreto legge.

La S.A. italiana ha ricordato nel proprio provvedimento la frequente e proficua collaborazione intercorsa in passato con il legislatore, peraltro anche in riferimento all’emergenza pandemica, nonché i numerosi richiami già effettuati in precedenza al rispetto del principio di preventiva consultazione. Peraltro, neanche la natura d’urgenza dello strumento normativo adottato non avrebbe impedito il coinvolgimento del Garante, che già in precedenza ha reso il proprio parere anche in tempi alquanto ristretti.

La seconda delle censure avanzate riguarda l’inidoneità della base giuridica scelta per l’introduzione e l’utilizzo delle certificazioni verdi.

Il decreto legge del 22 aprile 2021 n.52 non contiene infatti un’indicazione esplicita e tassativa delle singole finalità perseguite con l’introduzione dei c.d. pass vaccinali, elemento che risulta indispensabile ai fini di valutare, ai sensi dell’art. 6 del GDPR, la proporzionalità della norma agli interessi pubblici perseguiti.

Tale incertezza comporta la sostanziale impossibilità di determinare con precisione l’uso che ne verrà fatto in futuro e, di conseguenza, di vagliarne in concreto l’adeguatezza e la proporzionalità: esso potrebbe venir utilizzato come condizione d’accesso a particolari luoghi o servizi (ad esempio in ambito scolastico e lavorativo), ovvero per l’instaurazione e l’individuazione delle modalità di svolgimento di rapporti giuridici.

Per altro la citata indeterminatezza delle finalità mal si concilia con la natura transitoria dello strumento: è infatti in fase di adozione, a livello comunitario, una proposta di legge che introduca un certificato verde digitale valido in tutto il territorio dell’Unione. Il legislatore italiano non ha chiarito le ragioni che hanno portato alla necessità di introdurre il pass vaccinale nelle more dell’imminente approvazione dello strumento unionale, né se ed in che modo le due certificazioni saranno compatibili.

Pur comprendendo la volontà di agire celermente per l’introduzione di una certificazione idonea a consentire spostamenti più liberi, il legislatore italiano avrebbe ben potuto creare uno strumento di natura temporanea e con finalità più circoscritte, ferma restando la possibilità di riallinearsi in seguito con la normativa europea.

La terza criticità rilevata dal Garante riguarda la violazione del principio di minimizzazione dei dati sancito all’art. 5, par. 1 lett. c del Regolamento.

Ai fini di garantire il corretto funzionamento della certificazione, la S.A. italiana ritiene fosse sufficiente che venissero riportati i dati anagrafici necessari per identificare il soggetto, un identificativo univoco per il pass vaccinale stesso e la sua data di fine validità; la norma nazionale prevede invece l’indicazione di altri dati relativi alla ragione del rilascio della certificazione stessa (numero di dosi e data della vaccinazione, data della guarigione da covid-19 e struttura sanitaria che ha accertato la guarigione, data del tampone ecc.).

L’uso di questi dati sarebbe giustificabile qualora il decreto prevedesse usi diversi per ciascuno dei tre pass vaccinali: poiché però nella determinazione degli usi e delle finalità il legislatore non effettua alcuna distinzione tra i diversi strumenti, l’indicazione di ulteriori informazioni riservate risulta del tutto ingiustificata.

La quarta censura riguarda l’asserita violazione del principio di esattezza dei dati, il quale prevede che gli stessi devono essere esatti e costantemente aggiornati, con conseguente obbligo di cancellare e rettificare tempestivamente i dati inesatti.

Secondo l’opinione del Garante, sarebbe contrario al citato principio la previsione transitoria che consentirebbe l’uso di certificati di guarigione rilasciati prima dell’emissione del decreto legge: in questo modo sarebbe infatti possibile l’utilizzo di certificati riportanti indicazioni difformi da quelle richieste dalla normativa e potenzialmente non più accurate, con l’ulteriore conseguenza di inficiare la reale efficacia della misura di contenimento.

La S.A. italiana considera altresì violato il principio di trasparenza: oltre quanto già detto in merito all’indeterminatezza delle finalità perseguite, il decreto non contiene neppure i soggetti che tratteranno le informazioni raccolte e quelli che avranno accesso ad esse, anche ai fini di verificare la validità delle certificazioni stesse.

In particolare, appare molto significativa l’impossibilità di individuare in concreto i soggetti aventi la titolarità dei trattamenti connessi all’uso dei pass vaccinali, dal momento che questo comporta la conseguente impossibilità di esercitare i diritti riconosciuti agli artt. 15 e ss. del Regolamento Europeo.

L’ultima criticità rilevata dal Garante riguarda il mancato rispetto dei principi di limitazione della conservazione, integrità e riservatezza dei dati; viene infatti sottolineato come non vengano chiaramente indicate le misure adottate a garanzia della sicurezza dei dati trattati, anche in riferimento a possibili trattamenti non autorizzati o illeciti e come non venga indicato il periodo di conservazione che non dovrebbe avere un’eccessiva durata in considerazione della transitorietà della certificazione nazionale.

La necessità di maggiore collaborazione

Alla luce delle numerose problematiche rilevate, la S.A. italiana non ha potuto concludere che con un parere negativo circa la proporzionalità della norma nazionale rispetto all’obiettivo di interesse pubblico perseguito; il Garante ha altresì invitato i soggetti coinvolti a collaborare al fine di porre rimedio agli errori commessi evitando di esporre a rischi immotivati i dati trattati tramite l’introduzione e l’utilizzo delle certificazioni verdi.

Non si può che rammaricarsi del mancato preventivo coinvolgimento del Garante nel processo di adozione del decreto legge, segno che le problematiche relative alla tutela dei dati personali non vengono tenute nella dovuta considerazione da parte del legislatore; per quanto l’obiettivo di pubblico interesse perseguito sia di indiscussa importanza esso non deve essere perseguito tramite un’indebita compressione dei diritti degli interessati dal trattamento.

La tutela dei dati personali, esercitata anche tramite i principi della privacy by design e della privacy by default, deve diventare essere sempre considerata e contemperata con le diverse esigenze in gioco durante il processo di approvazione di una normativa nazionale: si auspica che l’intervento del Garante e le indicazioni fornite possano incentivare la futura collaborazione, soprattutto in considerazione del fatto che l’emergenza pandemica è ancora ben lontana dal termine e altri strumenti simili a quelli introdotti col decreto legge 52/2021 potrebbero rendersi necessari in futuro.


1 Il Provvedimento in questione è reperibile sul sito del Garante.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su