“Pass vaccinali”: le criticità in tema di privacy

“Pass vaccinali”: le criticità in tema di privacy

Premessa. Il Decreto Legge n. 52/2021, avente ad oggetto le misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19, ha previsto che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Provincie Autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle certificazioni verdi (o “pass vaccinali”).

Tali pass possono costituire, altresì, una condizione di accesso a eventi se previsto dalle linee guida adottate dalla Conferenza delle Regioni o delle Provincie Autonome o dal Sottosegretario in materia di sport.

Le certificazioni possono essere rilasciate su richiesta dell’interessato al fine di attestarne il completamento del ciclo vaccinale, l’avvenuta guarigione e l’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2.

Quanto durano le certificazioni? Dipende, essenzialmente, dalle condizioni di rilascio: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione; 48 ore in caso di test con esito negativo.

Infine, il Decreto Legge prevede che con decreto del Presidente del Consiglio dei Ministri, adottato di concerto con il Ministri della salute, dell’innovazione tecnologica e della transizione digitale,  dell’economia e delle finanze, sentito il Garante della Privacy, siano stabilite le specifiche tecniche per assicurare l’interoperabilità delle certificazioni e la piattaforma nazionale per il DGC (Digital Green Certificate), nonché tra questa e le analoghe piattaforme istituite negli altri Stati membri dell’Unione Europea.

Le osservazioni formulate dal Garante Privacy. Tramite il provvedimento n. 156 del 23 aprile 2021, l’Autorità Garante della Privacy osserva, tuttavia, come con l’introduzione dei pass vaccinali non siano state adottate adeguate misure tecniche e organizzative per attuare in modo efficace i principi di protezione dei dati personali necessarie a soddisfare i requisiti previsti dal Regolamento UE 2016/679 e a tutelare i diritti degli interessati.

Ma quali sono le criticità osservate dal Garante Privacy in relazione alle disposizioni del Decreto Legge n. 52/2021 in tema di pass vaccinali?

Preliminarmente, il Garante evidenzia il proprio mancato coinvolgimento per una previa consultazione così da poter di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica rispettosa della disciplina in materia di protezione dei dati personali fin dalla sua progettazione.

Inoltre, il decreto non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite con l’introduzione delle certificazioni verdi al fine di valutare la proporzionalità della norma con quanto previsto dal Regolamento, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita: difatti, secondo l’Autorità, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione.

In secondo luogo, il decreto violerebbe il principio di minimizzazione dei dati, secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, ai sensi dell’art. 5, par. 1, lett. c) del Regolamento.

Atteso che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Provincie autonome collocati in zona arancione o rossa sono consentiti anche ai soggetti muniti dei pass vaccinali, così come la partecipazione a determinati eventi, l’Autorità ritiene che le certificazioni debbano riportare i seguenti dati: anagrafici per identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa.

Pertanto, alla luce del principio di minimizzazione, il Garante non riterrebbe pertinente indicare sui pass vaccinali ulteriori informazioni se non quelle sopra elencate.

Proseguendo nell’analisi, l’Autorità rileva il venir meno di altri due principi: quello di esattezza ex art. 5, par. 1, lett. d) e quello di trasparenza ai sensi dell’artt 5, par. 1, lett. e) e 6, par. 3, lett. b) sanciti dal Regolamento.

Secondo il primo dei due principi indicati, i dati forniti devono essere esatti e aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti.

La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi, appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato.

La violazione del principio di trasparenza, poi, riguarderebbe la poco chiara indicazione delle puntuali finalità perseguite, delle caratteristiche del trattamento e dei soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi: il decreto, infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.

Infine, l’Autorità rileva la violazione del principio di limitazione della conservazione dei dati i quali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati nonché il principio di integrità e riservatezza atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Conclusioni. Sulla base delle tali premesse, il Garante ha determinato di avvisare tutti i soggetti coinvolti – Presidente del Consiglio dei ministri, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali nonché la Conferenza delle Regioni o delle Provincie autonome – del fatto che il trattamento dei dati personali effettuati in attuazione delle disposizioni del Decreto Legge n. 52/2021 con riferimento ai pass vaccinali, possono violare le disposizioni sulla privacy in ottemperanza al Regolamento UE n. 679/2016.

L’Autorità ha comunque offerto al Governo la propria collaborazione per affrontare e superare le criticità rilevate.

         

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti