Il nuovo pass vaccinale è conforme alla normativa in tema di Privacy?

Il D.L. n. 52/2021, cosiddetto Decreto Riaperture, sta destando innumerevoli perplessità con riferimento alla disciplina del trattamento dei dati personali. In particolare, il Garante per la Protezione dei Dati Personali ha rilevato come “la norma appena approvata per la creazione e la gestione delle “certificazioni verdi”, i cosiddetti pass vaccinali, presenta criticità tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia”. Per questa ragione, il Presidente dell’Autorità Garante, Pasquale Stanzione, ha inviato un avvertimento formale al Governo evidenziando che il D.L. n. 52/2021 non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale ed è gravemente incompleto in materia di protezione dei dati poiché privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.

Indice degli argomenti:

Il Decreto Riaperture: spostamenti e pass vaccinale.
L’avvertimento formale dell’Autorità Garante della Privacy e le criticità riscontrate sul pass vaccinale.
Conclusioni.

1. Il Decreto Riaperture: spostamenti e pass vaccinale.

Con il decreto-legge del 22 aprile 2021, n. 52 il Governo ha introdotto misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19 concernenti anche gli spostamenti sul territorio nazionale e le modalità di svolgimento di spettacoli aperti al pubblico, eventi sportivi, fiere, convegni e congressi. In particolare, il decreto prevede che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle c.d. certificazioni verdi. Tali certificazioni vengono rilasciate, su richiesta dell’interessato, al fine di attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 e l’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 (art. 9, comma 2). Le predette certificazioni hanno una diversa durata di validità in relazione alle condizioni per il rilascio: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione, 48 ore in caso di test con esito negativo. Vale la pena osservare che le disposizioni relative alla certificazione verde sono applicabili in ambito nazionale fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al regolamento del “Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19 che abiliteranno l’attivazione della Piattaforma nazionale digital green certificate”. In un contesto così delineato, occorre individuare chi sia il soggetto incaricato della gestione dei dati personali che confluiranno nelle certificazioni verdi e valutare se il sistema delineato dal D. L. n. 52/2021 sia idoneo alla loro protezione.

2. L’avvertimento formale del Garante e le criticità riscontrate sul pass vaccinale.

Le obiezioni ad un simile sistema non sono tardate ad arrivare. Infatti, il 23 aprile 2021 l’Autorità Garante ha inviato al Governo un provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal Decreto Riaperture, evidenziando i rischi che “l’implementazione della misura determina per i diritti e le libertà degli interessati” nonché la mancata adozione di “misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati”.

La mancata consultazione del Garante.

Il Decreto Riaperture è stato adottato senza la previa consultazione del Garante, in violazione dell’art. 36 par. 4 del GDPR[1]. Il suo coinvolgimento avrebbe invece consentito di “indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione”, soprattutto a fronte del fatto che la certificazione verde comporta un trattamento sistematico di dati personali nonché un rischio elevato per i diritti e le libertà degli interessati.

L’inidoneità della base giuridica del trattamento.

Ancora, il Garante ha osservato che il Decreto non rappresenta una valida base giuridica per l’introduzione delle certificazioni verdi, poiché privo degli elementi essenziali richiesti dal Regolamento sulla Privacy e dal Codice in materia di protezione dei dati personali. Oltre a non fornire un’indicazione delle finalità perseguite mediante l’introduzione della certificazione verde, non vengono neppure individuate puntualmente le fattispecie in cui essa può essere utilizzata né i casi in cui l’utilizzo di tale documento vada escluso. Ciò non consente di valutare la compatibilità delle predette certificazioni con quanto stabilito in sede comunitaria, tenuto peraltro anche conto del fatto che il loro utilizzo sembrerebbe essere temporaneo, in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione Europea.

Il principio di minimizzazione dei dati.

Ad essere violato è, altresì, il principio di minimizzazione dei dati, secondo cui gli stessi devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. Invero, secondo il Garante, le certificazioni dovrebbero riportare esclusivamente i dati anagrafici necessari a identificare l’interessato, un identificativo e univoco della certificazione e la data di fine validità della stessa. Tali dati sarebbero gli unici necessari al fine di verificare che la persona munita di certificazioni versi in una delle situazioni individuate dal decreto, ovverossia vaccinazione, guarigione o test negativo. Il suddetto principio rende, inoltre, inutile l’utilizzo di certificazioni diverse a seconda della condizione, dato che il Decreto non prevede ipotesi diverse per il loro utilizzo. La verifica sulla validità della certificazione potrebbe essere banalmente svolta osservandone la data di scadenza- dato, peraltro, attualmente non previsto dal Decreto.

Il principio di esattezza.

Il D. L. n. 52/2021 istituisce la Piattaforma nazionale digital green certificate (Piattaforma nazionale-DGC) per l’emissione e validazione delle certificazioni verdi COVID-19: si tratta di un sistema informativo nazionale per il rilascio, la verifica e l’accettazione di certificazioni COVID-19 interoperabili a livello nazionale ed europeo. La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato: questo sistema transitorio non consente, infatti, di verificare l’attualità delle condizioni attestate nella certificazione perché non può tener conto – in assenza della piattaforma – delle eventuali modificazioni delle condizioni relative all’interessato successive al momento del rilascio della stessa.

Il principio di trasparenza.

In aggiunta, secondo l’Autorità, non sono individuate né le puntuali finalità perseguite né le caratteristiche del trattamento o i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni. In particolare, non è individuato l’Ente presso il quale sarà costituita la “Piattaforma Nazionale DGC” che, secondo quanto indicato nell’art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. Questo preclude agli interessati l’esercizio dei diritti in materia di protezione dei dati personali previsti dal Regolamento sulla privacy[2].

I principi di limitazione della conservazione e di integrità e riservatezza.

Infine, è bene precisare che la nuova disciplina violerebbe anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Inoltre, non sono state indicate le misure idonee a garantire un’adeguata sicurezza dei dati personali e ciò viola i principi di integrità e sicurezza.

3. Conclusioni.

A fronte delle criticità evidenziate, il Garante ha dichiarato la propria disponibilità ad avviare tempestivamente un dialogo istituzionale col Presidente del Consiglio dei Ministri. Le preoccupazioni dell’Autorità e l’urgenza di porre rimedio alle problematiche riscontrate deriverebbero dal fatto che l’utilizzo della certificazione verde è operativo a partire dal giorno successivo alla pubblicazione del decreto-legge. Pertanto, onde evitare che gli elevati rischi per le libertà e i diritti degli interessati si trasformino in danni, si auspica che gli avvertimenti del Garante nei confronti dei Ministeri della Salute, dell’Interno, dell’Innovazione Tecnologica e della Transizione Digitale, dell’Economia e delle Finanze e degli Affari Regionali e la Conferenza delle Regioni o delle Province autonome portino ad un ripensamento e alla ricerca di un correttivo dell’attuale e recentissima disciplina. Allo stato attuale, difatti, i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto-legge del 22 aprile 2021, n. 52, ove non debitamente modificato, rischiano di violare le disposizioni del Regolamento UE 2016/679 di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32.

Bibliografia

In riferimento al D.L. n. 52/2021 (testo integrale): https://www.gazzettaufficiale.it/eli/id/2021/04/22/21G00064/sg

In riferimento al Provvedimento di avvertimento formale dell’Autorità Garante della Privacy (testo integrale): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9578184

[1] Se vuoi saperne di più in tema di privacy, dai un’occhiata a https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/.

[2] Sullo storage di informazioni sanitarie consulta anche https://www.legaltechitalia.eu/blockchain-privacy/

UNISCITI A NOI!
Se vuoi dirci la tua e rimanere aggiornato sul mondo legaltech unisciti alla community Telegram! Clicca qui per partecipare!

Il 1° novembre 2023, il Comitato europeo per la protezione dei dati ha emesso una decisione vincolante imponendo a Meta, società madre di Facebook e Instagram, di interrompere l’uso dei dati personali degli utenti per fini di marketing senza consenso esplicito. Questa mossa segue precedenti controversie sulla privacy, compreso uno scandalo del 2018 su Facebook, con l’autorità di protezione dei dati irlandese che ha già multato Meta per violazioni del GDPR. La decisione del Comitato europeo mira a far rispettare norme sulla protezione dei dati, vietando a Meta di utilizzare il legittimo interesse come base giuridica per trattare i dati degli utenti europei a fini pubblicitari. In risposta, Meta ha introdotto un servizio di abbonamento a pagamento senza pubblicità per Facebook e Instagram nell’UE, cercando di conformarsi al GDPR e mitigare preoccupazioni sulla profilazione dei dati. Tuttavia, la possibilità di interrompere la profilazione è riservata agli utenti a pagamento, sollevando interrogativi sulla monetizzazione del consenso e suscitando attenzione sulle strategie di Meta.