Sarah Yacoubi: "Il Garante della privacy segnala gravi criticità sulle certificazioni verdi del Decreto Riaperture"
23 aprile 2021 22:12di SARAH YACOUBI*
Nella lotta alla pandemia da Covid-19, l’Unione Europea ha deciso di mettersi al lavoro per dar vita, entro fine marzo, a una proposta legislativa per creare e autorizzare il c.d. “passaporto vaccinale”. Ciò è quanto si evince dalle parole della presidente della Commissione Europea, Ursula von der Leyen, la quale ha annunciato l’ingresso del Digital Green Pass.
Tali certificati vaccinali dovrebbero consentire ai cittadini europei di tornare a viaggiare in sicurezza nel territorio dell’Unione e all’estero, soprattutto in vista dell’estate. Infatti, tali documenti conterranno prova dell’avvenuta vaccinazione o i risultati dei test per coloro che non hanno avuto ancora accesso alle campagne vaccinali nazionali. Inoltre, in caso di malattia pregressa, sarà presente anche l’attestazione di piena ripresa da Covid-19.
La presidente della Commissione ha affermato che il Digital Green Pass verrà introdotto nel rispetto della protezione dei dati, della sicurezza e della privacy. Tuttavia, nonostante siano state fornite tali rassicurazione, il Garante per la protezione dei dati personali ha esposto le sue preoccupazioni.
Il Garante, a seguito di comunicazione di tale proposta legislativa europea, ha richiamato l’attenzione dei decisori pubblici e degli operativi privati italiani sull’obbligo di rispettare la disciplina in materia di protezione dei dati personali.
Infatti, ha sottolineato come i dati relativi allo stato vaccinale di un soggetto costituiscono dati particolari, il cui trattamento non corretto può determinare conseguenze gravissime per la vita e i diritti fondamentali delle persone. Tali conseguenze, nel caso di specie, possono tradursi in discriminazioni, violazioni o compressioni illegittime di libertà costituzionali.
Pertanto, la richiesta del Garante, in merito al passaporto vaccinale, è chiara e prevede che debba essere oggetto di una norma di legge nazionale conferme ai principi in materia di protezione dei dati personali. Poiché, in assenza di tale eventuale base giuridica normativa, l’utilizzo, da parte di soggetti pubblici e di soggetti privati fornitori di servizi destinati al pubblico, di applicazioni e/o pass destinati a distinguere i cittadini vaccinati dai cittadini non vaccinati è da considerarsi illegittimo.
Il Garante ha inoltre affermato che la questione sarà oggetto di prossima segnalazione in Parlamento, sede in cui si discuterà nel merito la posizione assunta dall’autorità predisposta alla protezione dei dati personali.
La norma appena approvata per la creazione e la gestione delle ‘certificazioni verdi’, i cosiddetti pass vaccinali, presenta criticità tali da inficiare, se non opportunamente modificata, la validità e il funzionamento del sistema previsto per la riapertura degli spostamenti durante la pandemia. È quindi necessario un intervento urgente a tutela dei diritti e delle libertà delle persone”. Lo scrive il Garante per la protezione dei dati personali in un avvertimento formale trasmesso a al presidente del Consiglio e a tutti i ministeri e i soggetti coinvolti “per le valutazioni di competenza”, offrendo al Governo la propria collaborazione per affrontare e superare le criticità rilevate.
Il Garante osserva innanzitutto che il cosiddetto “decreto riaperture” non garantisce una base normativa idonea per l’introduzione e l’utilizzo dei certificati verdi su scala nazionale, ed è gravemente incompleto in materia di protezione dei dati, privo di una valutazione dei possibili rischi su larga scala per i diritti e le libertà personali.
Inoltre, in contrasto con quanto previsto dal Regolamento europeo in materia di protezione dei dati personali – prosegue il Garante privacy – il decreto non definisce con precisione le finalità per il trattamento dei dati sulla salute degli italiani, “lasciando spazio a molteplici e imprevedibili utilizzi futuri, in potenziale disallineamento anche con analoghe iniziative europee. Non viene specificato chi è il titolare del trattamento dei dati, in violazione del principio di trasparenza, rendendo così difficile se non impossibile l’esercizio dei diritti degli interessati: ad esempio, in caso di informazioni non corrette contenute nelle certificazioni verdi”.
La norma, prosegue l’analisi dell’authority, prevede inoltre “un utilizzo eccessivo di dati sui certificati da esibire in caso di controllo, in violazione del principio di minimizzazione. Per garantire, ad esempio, la validità temporale della certificazione, sarebbe stato sufficiente prevedere un modulo che riportasse la sola data di scadenza del green pass, invece che utilizzare modelli differenti per chi si è precedentemente ammalato di Covid o ha effettuato la vaccinazione. Il sistema attualmente proposto, soprattutto nella fase transitoria, rischia, tra l’altro – prosegue il Garante – di contenere dati inesatti o non aggiornati con gravi effetti sulla libertà di spostamento individuale. Non sono infine previsti tempi di conservazione dei dati né misure adeguate per garantire la loro integrità e riservatezza”.
Il Garante rimarca, infine, che “le gravi criticità rilevate si sarebbero potute risolvere preventivamente e in tempi rapidissimi se, come previsto dalla normativa europea e italiana, i soggetti coinvolti nella definizione del decreto legge avessero avviato la necessaria interlocuzione con l’Autorità, richiedendo il previsto parere, senza rinviare a successivi approfondimenti”.
*Data Protection Officer