Il Garante è intervenuto in materia di “certificazioni verdi”, i cosiddetti “pass vaccinali”, previsti con il Decreto-legge del 22 aprile 2021, n. 52 (il Decreto riaperture).

Il GDPR attribuisce infatti al Garante il potere correttivo di rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento quando “i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento” (art. 58, par 2, lett. a)).

E’ quanto è accaduto con il Decreto riaperture.

Cosa sono le certificazioni verdi

Il suddetto Decreto prevede che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle certificazioni verdi (art. 2). Tali certificazioni possono inoltre costituire la condizione per accedere a determinati eventi in via di specificazione.

Le certificazioni verdi sono definite dall’art. 9 del Decreto come quelle certificazioni comprovanti lo stato di avvenuta vaccinazione, guarigione dall’infezione ovvero l’effettuazione di un test molecolare o antigenico rapido con risultato negativo al virus.

Queste certificazioni sono rilasciate su richiesta dell’interessato in formato cartaceo o digitale ed hanno una durata diversa a seconda della giustificazione: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione, 48 ore in caso di test con esito negativo.

Queste norme sulle certificazioni verdi saranno valide fino all’attuazione delle disposizioni europee per il rilascio di certificazioni interoperabili per la libera circolazione all’interno dell’Unione Europea che abiliteranno l’attivazione della Piattaforma nazionale “digital green certificate” (Piattaforma nazionale-DGC).

Le criticità

Il Garante ha evidenziato tutta una serie di criticità in rapporto al GDPR ed ai requisiti dallo stesso richiesti.

L’inidonea base giuridica ed il mancato rispetto del principio di privacy by design

L’Autorità ha in primo luogo riscontrato la carenza di un’idonea base giuridica per il trattamento dei dati personali sotteso all’introduzione e all’utilizzo dei certificati verdi su scala nazionale. L’esistenza di una base normativa idonea costituisce un elemento essenziale per la legittimità di un trattamento effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Il Decreto non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies).

Non sono indicate in modo esplicito e tassativo le finalità perseguite con la conseguente impossibilità di comparare la proporzionalità del trattamento con la suddetta finalità. Non vi è inoltre una puntuale indicazione dei casi in cui possono essere utilizzate le certificazioni verdi sussistendo anzi l’eventualità che tali documenti possano successivamente essere ritenuti una condizione valida anche per l’accesso a luoghi o altri servizi ad oggi non espressamente indicati (es. in ambito lavorativo o scolastico).

Il Decreto non ha inoltre tenuto in debito conto i rischi per i diritti e le libertà delle persone fisiche e non ha quindi previsto le misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati fin dalla progettazione.

La violazione dei principi del trattamento

L’Autorità ha individuato la violazione di diversi principi generali del trattamento dei dati personali elencati dall’art. 5 GDPR: il principio di trasparenza, il principio di minimizzazione, di limitazione delle finalità e della conservazione.

Il Decreto non identifica le puntuali finalità del trattamento e non specifica la titolarità dei trattamenti effettuati ai fini dell’emissione e del controllo delle certificazioni verdi. Non viene nemmeno individuato l’Ente presso il quale sarà istituita la “Piattaforma Nazionale DGC”. Tale mancanza ha dei risvolti pratici rilevanti tra cui l’impossibilità, per gli interessati, di esercitare i diritti assegnati loro dal GDPR quali il diritto di accesso, di rettifica o di cancellazione. L’identificazione del titolare permette infatti di individuare il soggetto verso cui avanzare i suddetti diritti.

Per quanto riguarda il principio di minimizzazione, questo prevede di limitare il trattamento dei dati personali a quelli necessari rispetto alle finalità per le quali sono trattati. Il Decreto si pone in violazione con tale principio in quanto prevede un utilizzo “eccessivo” dei dati sui certificati da esibire in caso di controllo.

La già rimarcata mancata indicazione delle finalità per il trattamento dei dati si ripercuote altresì nella mancata indicazione dei tempi di conservazione. Tale circostanza viola il principio di limitazione della conservazione secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti.

Infine il Garante rileva l’inadeguata garanzia rispetto al principio di integrità e riservatezza dei dati. Non sono infatti indicate misure per garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati e dalla perdita.

Conclusioni

In forza delle criticità sopra delineate il Garante, ritenendo necessario intervenire con urgenza per tutelare i diritti e le libertà degli interessati, ha avvisato formalmente ai sensi dell’art. 58, par 2, lett. a del GDPR tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, dell’economia e delle finanze e degli affari regionali e la Conferenza delle Regioni o delle Province autonome.

L’Autorità ha peraltro fatto presente che, tutte le criticità riscontrate, si sarebbero potute evitare se il Governo avesse correttamente richiesto il suo preventivo parere come previsto dalla normativa ed ha offerto comunque la propria collaborazione per trovare ogni soluzione correttiva.

Deve essere però rimarcata l’esigenza che questa collaborazione sia intrapresa con urgenza in considerazione dell’immediata applicazione delle norme previste dal Decreto riaperture al momento della sua pubblicazione.