La novità più rilevante contenuta nel Decreto Riaperture (Decreto legge 22 Aprile 2021, n. 52) è l’introduzione su tutto il territorio nazionale delle “certificazioni verdi, Covid-19″ (Green Pass) per gli spostamenti tra le regioni in zona rossa o arancione.
La certificazione verde, prevista dal recente Decreto governativo, ha lo scopo di provare l’avvenuta vaccinazione contro il Sars-CoV-2 o la guarigione dall’infezione o l’effettuazione di un test molecolare o antigenico rapido con risultato negativo. Le certificazioni di vaccinazione e quelle di avvenuta guarigione hanno validità pari a sei mesi, mentre quella relativa al risultato negativo è valida per 48 ore.
Le certificazioni rilasciate dagli Stati membri dell’Unione europea sono riconosciute come equivalenti, così come quelle rilasciate in uno Stato terzo a seguito di una vaccinazione riconosciuta nell’Unione europea.
È previsto che tali certificazioni possano essere anche condizione di accesso a eventi qualora previsto dalle linee guida adottate dalla Conferenza delle Regione o dalle Province autonome.
Con un provvedimento di avvertimento formale trasmesso al Presidente del Consiglio, in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19, si è pronunciato il Garante per la protezione dei dati personali. Si osserva in particolare che il decreto legge del 22 Aprile 2021 non rappresenti una valida base giuridica per l’introduzione e l’utilizzo di certificati verdi a livello nazionale.
La misura pensata per contenere e contrastare l’emergenza epistemologica non è stata adeguatamente misurata con i rischi che essa comporta in termini di diritti e libertà degli interessati, non essendo state tanto meno attuate le misure tecniche e organizzative necessarie per garantire la protezione dei dati ai sensi del GDPR.
Il vizio procedurale di tale misura sarebbe stato facilmente evitabile con il tempestivo e necessario coinvolgimento dell’Autorità durante l’elaborazione dell’atto legislativo, che avrebbe contribuito all’implementazione di una misura rispettosa della disciplina in materia di protezione dei dati personali.
In primis, l’impianto normativo, violando il principio di trasparenza, non specifica adeguatamente le finalità perseguite attraverso la certificazione verde, risultando mancante delle puntuali fattispecie per cui esse possano essere utilizzate. Tale mancata specificazione risulta particolarmente gravosa con riferimento alla possibilità che tali documenti possano essere ritenuti condizione valida per l’accesso a determinati luoghi o servizi. Il decreto, oltre a non individuare in modo puntale le finalità, non indica i soggetti che trattano le informazioni e che possono accedervi, nonché i soggetti autorizzati a controllare la validità e autenticità delle certificazioni verdi. I controlli verranno eseguiti dalle forze dell’ordine? Potranno avere accesso ai pass solo i medici? Nell’attuale regolazione non è possibile cogliere delle risposte. La filiera dei soggetti che possono avere accesso a diverso titolo a queste informazioni è un aspetto che il decreto non dovrebbe sottovalutare.
Un altro principio cardine del GDPR, e che risulta violato dal presente decreto, è il principio di minimizzazione dei dati, ai sensi del quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati trattati.
I dati necessari a consentire ai soggetti preposti i controlli la validità della certificazione dovrebbero essere i seguenti: dati anagrafici a identificare l’interessato, identificativo univoco della certificazione, data di fine validità della stessa. Contrariamente, il decreto prevede, Allegato 1, informazioni ulteriori rispetto a quelle strettamente necessarie.
Il sistema di certificazioni, come attualmente pensato, rischia di contenere dati inesatti o non aggiornamenti comportando gravi effetti sulla libertà di spostamento individuale, in quanto non permette di verificare l’attualità delle condizioni attestate nelle certificazioni che possono aver subito delle modifiche successivamente al loro rilascio.
In tali termini a essere gravemente violato è il principio di esattezza dei dati, ponendo allo stesso tempi significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato.
Da ultimo, il garante mette in luce come il decreto non fornisca adeguata garanzia in merito ai principi di limitazione della conservazione, di integrità e di riservatezza dei dati trattati. Le disposizioni, infatti, prevedono che i dati vengano conservati in una forma che ne consenta l’identificazione per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Ma, quando effettivamente il conseguimento di tale finalità può dirsi raggiunto non è dato saperlo né tantomeno il Decreto in questione aiuta alla sua comprensione.
Alla luce delle analizzate criticità, il Garante rileva la non conformità del decreto legge del 22 Aprile con il Regolamento europeo, risultando non proporzionato rispetto alle finalità perseguite, seppur legittime.
Il decreto, come si è visto, è stato adottato in totale assenza della previa consultazione del Garante, necessaria ai sensi del GDPR per introdurre le garanzie necessarie, non soltanto ai fini della legittimità delle misure, ma anche per individuare il corretto bilanciamento possibile tra le esigenze pubblicistiche e la riservatezza individuale.
Il fattore positivo è che finalmente il Governo ha fatto ricorso a un Decreto legge, che in tal modo scongiura il rischio di provvedimenti amministrativi che, come già avvenuto, comporterebbero seri dubbi di legittimità. La strada adottata dunque è quella corretta, se non fosse che il Governo ha tralasciato che il nostro diritto agli spostamenti, segno di ritorno alla normalità, non può essere pagato a discapito della privacy.
Come ben affermato da Pasquale Stanzione, presidente del Garante della protezione dei dati personali: «La privacy ha dimostrato di essere un diritto straordinariamente duttile e mai tiranno, capace di continui bilanciamenti con le esigenze collettive. Non si è mai posto un aut aut tra salute e privacy, ma si è suggerito come realizzare la migliore sinergia tra le due».
