Articolo pubblicato su diritto.it
Nel corso di una audizione informale con le Commissioni riunite I, II e XII della Camera dei Deputati , il Prof. Stanzione è tornato sulle gravi criticità del decreto legge del 22 aprile 2021, n. 52 che istituisce i c.d. “pass vaccinali” di cui già ci siamo occupati in questo articolo
Sommario
- La disciplina delle certificazioni verdi Covid-19.
- Determinatezza della disciplina e tassatività delle finalità del trattamento.
- Conformità al principio di minimizzazione.
- L’architettura del trattamento, il ruolo dei soggetti coinvolti e il principio di trasparenza.
-
La disciplina delle certificazioni verdi Covid-19.
In apertura del proprio intervento, il Presidente dell’Autorità indipendente ha sottolineato l’obbligatorietà ai sensi dell’art. 36, p.4 del Regolamento 2016/679 (gdpr), della consultazione del Garante anche rispetto alla normazione primaria (che, nel caso del decreto legge del 22 aprile 2021, n. 52, è stata colpevolmente omessa), proprio al fine di garantire la conformità degli atti legislativi al parametro normativo europeo, rilevante anche ex art. 117, c. I Cost.
Si è successivamente soffermato sul merito dell’art. 9 del decreto-legge, evidenziandone alcune criticità come peraltro già evidenziate con il provvedimento di avvertimento del 23 aprile 2021. Con tale atto, rivolto a tutti i soggetti coinvolti nel trattamento, si è inteso sottolineare come lo svolgimento di quest’ultimo, nei termini previsti dal decreto-legge non previamente sottoposto all’Autorità, possa integrare gli estremi di alcune violazioni della disciplina di protezione dati.
-
Determinatezza della disciplina e tassatività delle finalità del trattamento.
Sotto il profilo della legittimità del trattamento, va considerato che quello funzionale al sistema delle certificazioni verdi è un trattamento effettuato sistematicamente, su larga scala, rispetto a dati anche sanitari in quanto suscettibili di inferenza, sia pur indiretta, sulla base dei dati contenuti nell’attestazione. Da un lato, infatti, il dato relativo alla guarigione presente nel relativo modello di pass rivela la condizione patologica, pur pregressa, dell’interessato. Dall’altro lato, poi, anche da un dato sull’avvenuta vaccinazione potrebbe evincersi, pur indirettamente, la sussistenza di patologie nel caso di soggetti i quali non rientrino, al momento di rilascio del pass, nella fascia di età dei soggetti eleggibili per la somministrazione del vaccino.
Ciò dimostra, dunque, l’impatto considerevole del trattamento sulla riservatezza individuale e, di qui, la sussistenza dei presupposti per la sottoposizione al Garante della valutazione d’impatto ai sensi dell’art. 35, par. 10 del Regolamento, che sarebbe stata necessaria prima dell’avvio del flusso informativo.
Sotto il profilo della proporzionalità del trattamento, inoltre, la norma presenta varie carenze tra le quali rileva, in primo luogo, l’indeterminatezza delle finalità (incompatibile con il principio di cui all’art. 5.1.b. del Regolamento) che legittimano la subordinazione di determinate attività all’ostensione del pass. Esso può essere infatti richiesto non soltanto ai fini degli spostamenti territoriali nei casi di cui all’art. 2, c.1 e 3 del decreto-legge, ma anche per la partecipazione agli eventi indicati dalle linee guida adottate ai sensi degli artt. 5, c. 4 e 7, c.2.
Tale indeterminatezza delle fattispecie legittimanti il trattamento dei dati personali, anche appunto di carattere sanitario, funzionali al sistema delle certificazioni verdi, appare poco compatibile con gli specifici requisiti che devono caratterizzare la base giuridica a tal fine (artt. 6, par. 2 e 9 del regolamento; artt. 2 ter e 2 sexies d.lgs. 196/03 e s.m.i.).
E’ dunque opportuno introdurre una precisazione che escluda l’utilizzo dei pass per finalità diverse da quelle espressamente previste dal decreto-legge, auspicabilmente circoscrivendo maggiormente ex-ante l’ambito rimesso alle determinazioni delle linee-guida (sempre che non si ritenga preferibile rinviare, anziché ad atti di soft law, ad atti, almeno, amministrativi generali).
Tale esigenza è tanto più rilevante in ragione della mancata esplicitazione delle ragioni per le quali si sia ritenuto di introdurre delle certificazioni nazionali, in via provvisoria e anticipatrice rispetto a quelle previste, a livello europeo, dalla bozza di regolamento attualmente in discussione.
-
Conformità al principio di minimizzazione.
Al fine di garantire il rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1 lett. c) del Regolamento – tanto più rilevante in ragione della natura “particolare” di alcuni dei dati trattati – è indispensabile espungere dalla previsione relativa al contenuto dei certificati ogni dato ultroneo rispetto alle finalità di verifica della condizione del soggetto, non ostativa alla libera circolazione. A questi fini, le sole informazioni necessarie appaiono essere i dati identificativi, il numero univoco della certificazione e il suo termine di validità (che sarà naturalmente diverso in ragione dell’oggetto dell’attestazione).
In tal senso, appaiono eccedenti non solo l’indicazione del numero di dosi di vaccino somministrate al soggetto, ma anche la previsione di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in virtù della quale esse sono rilasciate.
La verifica della validità della certificazione necessita, infatti, della sola indicazione della sua estensione temporale, che non è invece ricompresa tra i campi previsti nell’allegato 1 al decreto. Quest’ultimo, in particolare, dovrà essere la sola fonte idonea a disciplinare le tipologie di dati contenute nelle certificazioni, laddove oggetto del dPCM di cui al comma 10 dovranno essere, segnatamente, le categorie di dati suscettibili di trattamento nell’ambito della Piattaforma Nazionale DGC.
Si legga anche:”Il passaporto vaccinale europeo”
-
L’architettura del trattamento, il ruolo dei soggetti coinvolti e il principio di trasparenza.
Ai fini della legittimità del trattamento è necessaria l’individuazione dei titolari, con particolare riferimento alle attività di emissione e controllo delle certificazioni verdi e delle operazioni svolte sulla “Piattaforma Nazionale DGC”, che rappresenterebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. L’omessa individuazione dell’ente presso il quale sarà istituita la piattaforma e dei soggetti istituzionali ai quali è assegnata la titolarità dei trattamenti effettuati mediante tale sistema informativo, oltre a privare della necessaria certezza normativa la disciplina di riferimento, non rende possibile agli interessati l’esercizio dei diritti e delle tutele remediali loro riconosciute dalla normativa di protezione dei dati personali.
E’ dunque necessario, in osservanza del principio di trasparenza, definire tali elementi strutturali del trattamento, oltre a garanzie adeguate per le certificazioni di cui all’ultimo periodo dell’art. 9, c.10, ovvero quelle rilasciate, nelle more dell’adozione del dPCM cui è demandata la previsione della disciplina di dettaglio, dalle strutture sanitarie pubbliche e private, dalle farmacie, dai medici di medicina generale e pediatri di libera scelta. Per tali certificazioni si prevede, infatti, soltanto un vincolo di contenuto “minimo”, dovendo esse riportare le informazioni previste in allegato al decreto-legge.
Per questi certificati non è contemplata alcuna delle garanzie che saranno invece, doverosamente, introdotte con il citato dPCM, in ordine al termine di conservazione dei dati, alle misure di protezione di natura tecnica e organizzativa idonee a prevenire trattamenti non autorizzati o illeciti o la perdita, la distruzione o il danno accidentali e, infine, alle modalità di aggiornamento delle certificazioni stesse. In assenza di misure volte a garantire l’aggiornamento di tali attestazioni come in seguito sarà possibile grazie alla citata piattaforma, infatti, non sarà possibile verificarne l’attualità in caso di sopravvenuta modificazione dei presupposti di validità (ad esempio, per sopraggiunta positivizzazione).
E’ pertanto opportuno che tali garanzie, se realizzabili pur nell’ambito del sistema transitorio precedente l’emanazione del dPCM, siano inserite direttamente nel decreto-legge, essendo altrimenti preferibile la soppressione dell’ultimo periodo del comma 10.
Con i perfezionamenti su indicati, la disciplina delle certificazioni verdi nazionali può realizzare un congruo bilanciamento tra privacy, esigenze sanitarie, libertà di circolazione e di iniziativa economica. Si può, in tal senso, delineare un valido strumento (ancorché in via transitoria rispetto alla disciplina europea), al fine di consentire delle riaperture in sicurezza e, con esse, un’almeno parziale ripresa economica.
Tuttavia, ai fini della migliore efficacia – oltre che della piena legittimità- di tale strumento è indispensabile che esso contempli le garanzie essenziali ad assicurare, anche in questo caso, quella sinergia tra diritti individuali ed istanze collettive sulla quale si è fondata sinora l’azione di contrasto della pandemia. Essa ha, infatti, saputo rifuggire la logica dell’eccezione (secondo cui necessitas non habet legem), riaffermando il valore della mediazione democratica per la ricerca dell’equilibrio più alto tra individuale e collettivo, persona e Stato, libertà e potere.