Pass vaccinali: Il Garante Privacy invia un avvertimento al governo
- Green pass e decreto riaperture: il provvedimento del Garante
- Le osservazioni del Garante Privacy
- Garante: le criticità nel decreto riaperture
- Garante: serve intervento urgente
Green pass e decreto riaperture: il provvedimento del Garante
In un provvedimento del Garante della Privacy (sotto allegato), in riferimento alla norma appena approvata (d.l. 22 aprile 2021, n. 52 - 23 aprile 2021, pubblicato sulla GU n.96 del 22-4-2021 e vigente dal 23/04/2021)) per la creazione delle "certificazioni verdi" o "pass vaccinali", viene riportato che "presenta criticità tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia. È quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone".
Il Garante osserva che il "decreto riaperture" non garantisce una base normativa idonea per l'introduzione e l'utilizzo dei certificati verdi su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
Il d.l. , in contrasto con il Regolamento Europeo in materia di protezione dei dati, "non definisce le finalità del trattamento dei dati sulla salute degli Italiani, lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee. Non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l'esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi."
Leggi anche Green pass: cos'è e come funziona
In particolare, il decreto prevede:
- che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle certificazioni verdi (art. 2). Tali certificazioni inoltre possono costituire condizione di accesso a eventi qualora previsto dalle linee guida adottate dalla Conferenza delle Regioni o delle Province autonome o dal sottosegretario in materia di sport (art. 5, comma 4). Le linee guida adottate ai sensi dell'art. 1, comma 14, d.l. n. 33/2020 possono prevedere che l'accesso a fiere, convegni e congressi possa essere riservato soltanto ai soggetti in possesso delle certificazioni verdi (art. 7, comma 2).
- che le certificazioni verdi possano essere rilasciate, su richiesta dell'interessato, al fine di attestare
- il completamento del ciclo vaccinale,
- l'avvenuta guarigione da Covid-19,
- l'effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 (art. 9, comma 2)
e dispone una diversa durata della validità delle predette certificazioni in relazione alle condizioni per il rilascio:
- sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione,
- 48 ore in caso di test con esito negativo (art. 9 commi 3, 4 e 5).
Le osservazioni del Garante Privacy
Per quanto di competenza il Garante osserva "che il decreto legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l'introduzione e l'utilizzo dei certificati verdi a livello nazionale. Nel progettare l'introduzione della certificazione verde, quale misura volta a contenere e contrastare l'emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l'implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento)".
Garante: le criticità nel decreto riaperture
1. Mancata consultazione del Garante
"in violazione dell'art. 36, par. 4, del Regolamento, il decreto legge del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato".
2. Inidoneità della base giuridica
"non rappresenta una valida base giuridica per l'introduzione e l'utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies)".
3. Principio di minimizzazione dei dati
"viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento)".
4. Principio di esattezza
"si ritiene violi anche il principio di esattezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. d) del Regolamento)".
5. Principio di trasparenza
non indica "in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all'emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l'autenticità delle certificazioni verdi".
6. Principi di limitazione della conservazione e di integrità e riservatezza
"le disposizioni del d.l.violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento)".
Garante: serve intervento urgente
Considerate le succitate criticità il Garante ritiene che "la disciplina della certificazione verde delineata dal decreto legge del 22 aprile 2021, n. 52, risulta pertanto non proporzionata rispetto all'obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde…".
Il Garante rimarca che le criticità rilevate si potevano risolvere se i soggetti, che hanno definito il d.l., si fossero consultati con l'Autorità richiedendone il previsto parere.
Inoltre il provvedimento è stato, come già riportato sopra, trasmesso al Presidente del Consiglio dei Ministri e a tutti i soggetti coinvolti nel trattamento e che il Garante si rende disponibile ad un dialogo istituzionale al fine di superare le summenzionate criticità.
Considerato che l'utilizzo della certificazione verde è operativo a partire dal giorno successivo alla pubblicazione del decreto legge è necessario intervenire con estrema urgenza al fine di tutelare i diritti e le libertà degli interessati.
Data: 26/04/2021 07:00:00
Autore: Antonio Accadia