Il 6 aprile scorso, EDPB ed EDPS hanno pubblicato, su istanza della Commissione europea, la Joint Opinion riguardante le due proposte di Regolamento (“Regolamenti”) sul neo-battezzato “Digital Green Certificate” (“Certificato”) , che potrebbe presto essere utilizzato al fine di facilitare la circolazione delle persone fisiche all’interno dello Spazio Economico Europeo (“SEE”).
Il termine “Digital Green Certificate” identifica i tre certificati ufficiali attestanti gli status di vaccinazione, test e guarigione dalla patologia COVID-19. Grazie al Certificato i cittadini UE e i residenti di Paesi terzi potranno continuare a viaggiare e transitare all’interno del SEE godendo dei rispettivi diritti di libera circolazione garantiti dagli artt. 21 (2) e 77 (2) del Trattato sul Funzionamento dell’Unione Europea.
Entrambi i Regolamenti (Articolo 1)[1] danno priorità al tema del trattamento dei dati personali. In tal senso, EDPB ed EDPS, riferendosi al solo Regolamento per i cittadini UE[2], fanno luce sulle molte azioni ancora necessarie per garantire la sicurezza degli interessati del trattamento, dalla quale deriverà gran parte della fiducia nelle Istituzioni[3] e di conseguenza il grado di accoglienza del Certificato.
A tal proposito, la Joint Opinion ribadisce il concetto di trust framework (“Quadro di Fiducia”) di cui all’Articolo 4 della proposta di Regolamento[4], più volte identificato quale punto focale del Certificato[5]. Il Quadro di Fiducia può in effetti essere considerato come un pilastro dell’intero sistema di certificazione, rappresentando l’infrastruttura digitale per il rilascio e la verifica sicuri del Certificato[6]. Il suddetto sistema immagazzinerà al suo interno tanto dati personali di natura comune, quanto particolari categorie di dati. Appare quindi normale, visto anche l’alto tasso di trasferibilità che il Certificato avrà all’interno del SEE, che la Joint Opinion riscontri il poco approfondimento della definizione di “interoperabilità”[7] fra i sistemi tecnologici internazionali facenti capo al Quadro di Fiducia.
Nell’ambito della macro area dell’interoperabilità e da una visione d’insieme della Joint Opinion, traspare che la portabilità[8] dei dati ex Articolo 20 del Regolamento (UE) 679/2016 (“GDPR”) rappresenti una delle criticità del Certificato; portabilità legata al tipo di supporto digitale[9] e quindi allo scambio e alla ricevibilità del medesimo Certificato fra i diversi Stati membri.
Con riferimento ai diritti dell’interessato, spiccano invece i diritti di limitazione del trattamento e di rettifica dei dati personali.
Per quanto attiene alla limitazione del trattamento ex Artt. 15 (1) (e) e 18 GDPR, i dati personali degli interessati dovranno essere trattati solo ed esclusivamente per la finalità di facilitazione della libera circolazione all’interno del SEE e solo per la presente emergenza sanitaria. In tal senso, l’EDPB e l’EDPS si pongono in netto contrasto con la Commissione circa l’ipotesi di applicare la Proposta (e, quindi, anche il Certificato) nell’eventualità di una dichiarata emergenza sanitaria a livello internazionale con potenziale epidemiologico, che potrebbe essere dichiarata in futuro dall’OMS.
Circa il trattamento dei dati personali degli interessati, l’EDPB e l’EDPS raccomandano l’applicazione dei principi di proporzionalità ex art. 6 (4) GDPR e di non discriminazione, così come quelli di liceità del trattamento ex artt. 6 (1) (c) per i dati c.d. comuni, e 9 (2) (g) per le particolari categorie di dati personali; di minimizzazione (Articolo 5 (1) (c) GDPR) e di conservazione dei dati per il tempo strettamente necessario.
Il trattamento dei dati sarebbe quindi giustificabile sulla base di finalità di interesse pubblico rilevante e di obblighi di legge (a seconda che si tratti di dati particolari ovvero di natura comune). Il Digital Green Certificate, inoltre, dovrebbe poter essere accessibile sia in forma elettronica che cartacea, menzionare la data di scadenza (informazione al momento prevista per il solo certificato di guarigione) e prevedere unicamente l’indicazione del virus SARS-CoV-2, comprese le sue varianti, favorendo così la minimizzazione dei dati. Sempre a proposito di data minimisation, si raccomanda l’adozione di un approccio improntato su misure di sicurezza innovative, come, ad esempio, i codici QR per rendere inaccessibili i dati ictu oculi (“a vista”) e al contempo favorire l’interoperabilità fra i sistemi di ciascuno Stato membro UE.
L’EDPB e l’EDPS identificano il termine ultimo di conservazione dei dati con la data di scadenza del Certificato. Con la scadenza si esaurisce anche la finalità del trattamento, e quindi la ragion d’essere dei dati personali nei server dei titolari (le istituzioni che emettono il Certificato) e dei responsabili (i soggetti coinvolti nel controllo e convalida del certificato, all’interno del Quadro di Fiducia).
Sulla medesima posizione di cautela a favore del principio di data retention, se da un lato i dati dovranno essere trattati per il tempo strettamente necessario ad affrontare la pandemia, dall’altro, proprio a causa del grande flusso di dati all’interno dell’Unione, non si escludono eventuali azioni di contraffazione del Certificato ovvero altri utilizzi impropri. A conferma di tale preoccupazione si specifica l’adozione delle misure di sicurezza di cui all’Art. 32 GDPR, come ad esempio i sistemi di identificazione univoca, i codici a barre e la già citata interoperabilità, sia fra i sistemi tecnologici, che fra le normative a livello internazionale[10]. A ciò si aggiunga la pressione per l’applicazione di misure tecniche e organizzative adeguate, pianificate sulla base dei principi di privacy by design (che attiene tanto alla fase decisionale e prodromica del trattamento, quanto a quella operativa e specifica) e by default (o di tipo standard, che trova nel GDPR la sua ragion d’essere), ex art. 25 GDPR[11].
Tutto considerato, il Certificato rappresenta al momento un esperimento unico in tema data protection, nell’ambito del quale il raggiungimento di un adeguato livello di protezione degli interessati gioca un ruolo di supporto per l’intera infrastruttura del Quadro di Fiducia. L’attuazione dei Regolamenti e la loro modifica in funzione della protezione dei dati personali non è, quindi, una questione esclusivamente legale, ma altresì politica, economica e umanitaria. In questo frangente, il trattamento dei dati personali assumerà un’importanza fondamentale al fine di garantire, oltre che la salute dei cittadini, anche gli interessi economici e personali degli interessati.
[1] In verità la proposta più rilevante è la prima, relativa alla libera circolazione dei cittadini UE all’interno del SEE. La seconda proposta, relativa ai cittadini non-UE, riprende per intero il contenuto della prima all’interno del suo articolo 1.
[2] Ut supra, il Regolamento ripreso alla lettera dal Regolamento per i cittadini provenienti da Paesi terzi.
[3] Il tema della fiducia, “trust”, è ricorrente nella Joint Opinion, che tiene a ribadire più volte (paragrafi 12, 22, 50, 55) il concetto di “trust framework” enunciato all’Art. 4 della proposta di Regolamento per i cittadini UE.
[4] Proposta di Regolamento 2021/0068, Articolo 4, “Quadro di fiducia del certificato verde digitale”.
[5] Reuters, “Start work on vaccination certifoicates, von der Leyen tells EU, Reuters Staff”, 5 marzo 2021.
[6] Ut supra, par. 1.
[7] Ut supra, Art. 2 par. 6.
[8] Regolamento (UE) 679/2016, Artt. 13 par. (1) lett. (b), 20, e Considerando 68, 73, 156.
[9] EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate), para. 38.
[10] Ut supra, nota 5, Articolo 8.
[11] 25. Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita, GDPR e Normativa Privacy, Commentario, a cura di G. M. Riccio, G. Scorza, E. Belisario, IPSOA, 2018, p. 245.
