Infermiere Forense
Sul tema della certificazione verde (o green pass) con la quale è permesso uscire dai territori rossi ed arancioni il Garante per la protezione dei dati personali afferma che si tratti di una violazione delle disposizioni del Regolamento UE 2016/679. E lo sostiene con un provvedimento di avvertimento indirizzato direttamente al Presidente del Consiglio dei ministri.
La certificazione verde per Covid-19 viola le regole della privacy
Il 22 aprile 2021 il Governo, al termine di una lunga ed estenuante trattativa, ha approvato il Decreto-legge n. 52. Si tratta di un primo segnale verso un lento ritorno ad una vita normale. Lo dimostra la possibilità di pranzare e cenare nei locali pubblici (per ora solo all’aperto) ed anche l’opportunità di partecipare ad eventi e fiere, purché in possesso delle certificazioni verdi Covid-19.
Peccato però che il Garante per la protezione dei dati personali, nel suo provvedimento di avvertimento datato 23 aprile, afferma che il decreto-legge in questione non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale: nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, si ritiene non si sia tenuto adeguatamente conto dei rischi che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate ad attuare in modo efficace i principi di protezione dei dati
.
Successivamente lo stesso Garante svela un retroscena a dir poco allarmante: all’interno dell’articolo 9 del già citato D.L. n. 52 si afferma che l’implementazione della certificazione verde sia stata concertata fra il Consiglio dei ministri, i Ministri della salute, per l’innovazione tecnologica e la transizione digitale e dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali.
A quanto pare, però, lo stesso Garante osserva di non essere mai stato consultato, infatti: il tempestivo e necessario coinvolgimento dell’Autorità, previsto anche durante l’elaborazione di una proposta di atto legislativo, oltre a evitare il vizio procedurale, avrebbe consentito alla stessa Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione
.
Così facendo si sarebbe evitata anche la cosiddetta “inidoneità della base giuridica” definibile come la mancanza della liceità del trattamento (normata dall’art. 6 del Regolamento UE 2016/679). Nello specifico l’impianto normativo non fornisce un’indicazione delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde.
La mancata specificazione delle finalità non consente neanche una valutazione in ordine alla compatibilità con quanto previsto a livello europeo. Risulta inoltre impossibile individuare in modo chiaro gli obiettivi perseguiti, le caratteristiche del trattamento ed i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi. In soldoni si traduce in una gestione fraudolenta ed incontrollata dei dati, seppur in buona fede, il tutto contornato dall’assenza di un “gestore ufficiale dei dati”.
Un terzo punto affrontato dal Garante riguarda il principio di minimizzazione, secondo il quale i trattamenti dei dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
In virtù di ciò, sempre secondo il Garante, le certificazioni da esibire dovrebbero contenere esclusivamente i seguenti dati:
- Dati anagrafici necessari a identificare l’interessato
- Identificativo univoco della certificazione
- Data di fine validità della stessa
Ne consegue che non è applicabile indicare sulla certificazione ulteriori informazioni e soprattutto non diviene necessario utilizzare modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo).
In conclusione, il Garante per la protezione dei dati personali, alla luce delle rilevanti criticità palesate dal decreto-legge 52, ritiene che i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi, ed in assenza di interventi correttivi, possano violare le disposizioni del Regolamento UE 2016/679, il quale – ricordiamolo - rappresenta una fonte del diritto internazionale ed in quanto tale portatore di un’efficacia vincolante per gli Stati membri e generatore di diritti soggettivi ed obblighi immediatamente operativi, prevalendo addirittura sulle leggi nazionali.
Alla luce di quanto deliberato in sede di Consiglio dei ministri ed avendo letto il parere del Garante della protezione dei dati, sarebbe stato opportuno realizzare una privacy policy, prerequisito indispensabile alla implementazione della certificazione verde per Covid-19.
Commento (0)
Devi fare il login per lasciare un commento. Non sei iscritto ?