Articolo pubblicato su diritto.it
La norma appena approvata per la creazione e la gestione delle “certificazioni verdi”, i cosiddetti pass vaccinali, presenta criticità tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia. È quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone. Qui il testo del provvedimento.
Premessa
Secondo l’Autorità indipendente, il decreto legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale.
Nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, il Garante ha ritenuto che non si sia tenuto adeguatamente conto dei rischi che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento).
Mancata consultazione del Garante
In via preliminare, il Garante rileva che, in violazione dell’art. 36, par. 4, del Regolamento, il decreto legge del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato.
Il tempestivo e necessario coinvolgimento dell’Autorità, previsto anche “durante l’elaborazione di una proposta di atto legislativo”, oltre a evitare il vizio procedurale, avrebbe consentito all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.
Il carattere di urgenza della norma non costituisce condizione ostativa al preventivo coinvolgimento dell’Autorità. Oltre a ciò il Garante non manca di rilevare che l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento. Ciò, in particolare, in quanto la misura, prevista dal decreto legge, entra in vigore sin dal giorno successivo alla sua pubblicazione.
Inidoneità della base giuridica.
Il predetto decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies).
In via principale, l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita.
Come rappresentato dal Presidente dell’Autorità nella citata memoria, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione. Alla luce di ciò, si palesa, in primo luogo, l’indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.
La mancata specificazione delle finalità per le quali possono essere utilizzate le predette certificazioni assume infatti particolare rilievo con riferimento alla possibilità che tali documenti possano successivamente essere ritenuti una condizione valida anche per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto legge (es. in ambito lavorativo o scolastico).
L’assenza di una puntuale indicazione delle finalità non consente neanche una valutazione in ordine alla compatibilità delle predette certificazioni con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione europea.
La mancata indicazione delle motivazioni che hanno indotto il Governo all’adozione provvisoria delle predette certificazioni, in attesa degli analoghi documenti previsti a livello dell’unione europea, non permette infine di valutare se lo stesso abbia tenuto in debita considerazione i rischi di eventuali disallineamenti in merito alle caratteristiche e alle funzionalità dei due documenti.
Principio di minimizzazione dei dati.
Il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento).
In particolare, atteso che, in virtù di quanto disposto dagli artt. 2, 5 e 7 del decreto, gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa sono consentiti anche ai soggetti muniti delle certificazioni verdi e che la partecipazione a determinati eventi e manifestazioni aperte al pubblico può essere condizionata all’esibizione di tali certificazioni, l’Autorità ritiene che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa.
Tali dati si configurano infatti quali necessari a consentire ai soggetti preposti ai controlli di verificare che la persona che esibisce la certificazione si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde (in tal senso cfr. anche la posizione espressa dal Comitato europeo per la protezione dei dati (EDPB) e dall’European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021).
Alla luce del predetto principio di minimizzazione, il Garante ritiene infatti che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.
La verifica sulla validità della certificazione, in funzione della diversa durata di validità della stessa, può essere utilmente effettuata sulla base dell’indicazione nella certificazione della data di fine validità della stessa, campo attualmente non previsto tra quelli indicati nell’allegato 1 al decreto.
In conformità al richiamato principio di minimizzazione del dato, tali informazioni sarebbero sufficienti a consentire la verifica dei documenti senza far conoscere, al soggetto deputato al controllo, la condizione, anche relativa a vicende sanitarie dell’interessato, in funzione della quale la stessa è stata rilasciata.
Ciò stante, la previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, espressamente elencati nell’allegato 1 al decreto, si pongono in contrasto con il citato principio di minimizzazione dei dati.
Principio di esattezza.
Il decreto legge del 22 aprile 2021, 52, viola anche il principio di esattezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. d) del Regolamento).
Considerato che, secondo quanto indicato nel decreto, l’utilizzo delle predette certificazioni costituirebbe una delle condizioni per consentire gli spostamenti dalle regioni e province autonome collocati in zona arancione o rossa, ovvero per limitare la libertà di spostamento individuale, nonché per poter partecipare ad eventi e manifestazioni aperte al pubblico, è necessario che le stesse siano redatte sulla base di informazioni esatte e aggiornate. Il requisito di esattezza dei dati si pone infatti come essenziale nella valutazione della proporzionalità della limitazione e della idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica da Covid-19.
La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato.
Il predetto sistema transitorio non consente infatti di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all’interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).
Principio di trasparenza
Il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle c
ertificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.
Al riguardo, si rappresenta che il decreto legge non specifica la titolarità dei trattamenti effettuati ai fini dell’emissione e del controllo delle predette certificazioni verdi e in particolare di quelli posti in essere attraverso la “Piattaforma Nazionale DGC” per l’emissione e validazione delle certificazioni verdi digitali Covid-19. Tale piattaforma, secondo quanto indicato nell’art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. In particolare, si rileva che il decreto legge non individua l’Ente presso il quale sarà istituita la predetta piattaforma e non specifica la connessa titolarità dei trattamenti dei dati personali effettuati attraverso tale sistema informativo.
L’assenza di indicazioni in ordine alla titolarità del trattamento non consente pertanto agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal Regolamento (artt. 15 e ss. del Regolamento).
Principi di limitazione della conservazione e di integrità e riservatezza
Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento).
Ciò assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.
Viene rilevato inoltre che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrità e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (artt. 5, par. 1, lett. f) e 32 del Regolamento).
Conclusioni
Con il provvedimento in commento, emanazione del potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a), il Garante privacy ha avvertito tutti i soggetti coinvolti nel trattamento che la disciplina della certificazione verde delineata dal decreto legge del 22 aprile 2021, n. 52, risulta non proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, non individua le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento e non assicura un trattamento corretto e trasparente nei confronti degli interessati (artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento).
Considerato che l’utilizzo della certificazione verde è operativo a partire dal giorno successivo alla pubblicazione del decreto legge è, quindi, urgente l’esigenza di intervenire al fine di tutelare i diritti e le libertà degli interessati.
L’Autorità ha comunque offerto al Governo la propria collaborazione per affrontare e superare le criticità rilevate.