Green pass: viaggio all’interno della carta verde che darà il via agli spostamenti tra territori.
La carta verde che consentirà gli spostamenti tra territori è stata analizzata dall’Autorità Garante che ha evidenziato le possibili violazioni della privacy del cittadino. Il certificato, che permetterà di spostarsi liberamente, è a parere del Garante una norma che andrebbe modificata a difesa della riservatezza individuale.
Di Alessia Ianniello
Il 22 aprile 2021 il Governo ha finalmente emanato il tanto atteso Decreto legge recante le “misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid – 19”, meglio conosciuto con il nome “decreto riaperture”, concernente anche gli spostamenti sul territorio nazionale, le modalità di svolgimento di spettacoli aperti al pubblico ed eventi sportivi, fiere, convegni e congressi
Con riguardo al tema degli spostamenti, il testo normativo ha introdotto la certificazione verde o green pass, che rappresenterà in sostanza un lascia passare, verde o rosso, per gli spostamenti in entrata e uscita dai territori collocati in zona arancione o rossa, che saranno consentiti, oltre che per le comprovate esigenze lavorative o per situazioni di necessità o per motivi di salute, nonché per il rientro al proprio domicilio, residenza o abitazione, anche ai soggetti muniti della predetta certificazione.
Il green pass sarà valido per 6 mesi per le persone vaccinate e per i guariti dall’infezione da COVID-19, 48 ore per le persone che abbiano effettuato il test molecolare e antigenico rapido con risultato negativo. Tre diverse certificazioni a seconda della condizione in cui versa la persona. Ma, il Governo, nel consentire una, seppur graduale, ripresa delle attività economiche in piena sicurezza, ha tralasciato le possibili implicazioni che dette certificazioni potrebbero comportare in tema di protezione dei dati personali
Infatti, come si legge nel provvedimento di avvertimento dell’Autorità Garante – n. 156 del 23 aprile 2021 – l’esecutivo, nel progettare l’introduzione delle certificazioni verdi, non ha tenuto adeguatamente conto che l’utilizzo delle predette certificazioni rappresenta un trattamento sistematico, su larga scala, di dati personali e particolari (sanitari) che può determinare elevati rischi per i diritti e le libertà degli interessati.
Ha altresì omesso di indicare le misure tecniche e organizzative adeguate a garantire la sicurezza dei dati trattati in violazione dell’art. 32 del GDPR. Di fatto, dice il Garante, il nuovo decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi, giacché risulta privo di alcuni elementi essenziali previsti dalla normativa europea e nazionale. Non fornisce una chiara indicazione delle specifiche finalità perseguite attraverso l’introduzione delle certificazioni, e viola taluni principi sanciti dal Regolamento Europeo: trasparenza, minimizzazione, esattezza, limitazione della conservazione dei dati e di integrità e riservatezza.
Nel dettaglio, lede il principio di trasparenza perché non indica in modo chiaro il titolare del trattamento e i soggetti che possono trattare i dati raccolti. Infatti, l’assenza di indicazioni in ordine alla titolarità del trattamento rende difficoltoso, se non impossibile, l’esercizio dei diritti degli interessati di cui agli artt. 15 e ss del Regolamento Europeo (accesso, rettifica, cancellazione, limitazione, portabilità e opposizione). Mentre per quanto riguarda l’individuazione dei soggetti, la norma si limita ad indicare solo la struttura sanitaria o l’esercente la professione sanitaria quali soggetti autorizzati a trattare il dato nel momento del rilascio delle certificazioni, ma nulla dice, invece, con riferimento ai soggetti autorizzati al trattamento in fase di controllo delle predette certificazioni.
Viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati allo stretto necessario rispetto alle finalità per le quali sono trattati. Invero, il decreto stabilisce una raccolta eccessiva di informazioni quali: nome e cognome, data di nascita, malattia, tipo di vaccino, prodotto medico vaccinale, produttore o titolare dell’autorizzazione all’immissione in commercio del vaccino, numero della dose effettuata e numero di dose previste per l’intestatario del certificato, data dell’ultima somministrazione effettuata ed infine lo stato membro di vaccinazione. Quando, invece, in considerazione della funzione del green pass, quale mero lascia passare, risulterebbe sufficiente l’utilizzo di un unico modello contenente dati anagrafici per identificare l’interessato, codice univoco che certifichi solo se l’interessato versi in una delle tre ipotesi che consentono lo spostamento (vaccinazione, guarigione, test negativo), senza, quindi, rivelare quale delle tre, e infine data di validità della certificazione stessa.
Ancora, viola il principio di esattezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati, prevedendo misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. Quindi, considerato che l’utilizzo delle predette certificazioni verdi costituirebbe una delle condizioni necessarie per gli spostamenti, è necessario che le stesse siano esatte e aggiornate in tempi rapidi (almeno entro 48 ore nel caso di test molecolare e antigenico rapido). Questo perché, nella malaugurata ipotesi che l’aggiornamento non avvenisse nei tempi previsti, si rischierebbe di creare significativi problemi in ordine alla reale efficacia della misura di contenimento e contrasto della diffusione epidemiologica da Covid-19.
Infine, contrasta il principio di limitazione della conservazione e di integrità e riservatezza dei dati. Il primo, in quanto manca una definizione dell’arco temporale di conservazione dei dati, cioè per quanto tempo saranno conservati i dati personali oggetto del trattamento (fino al contenimento e contrasto della diffusione epidemiologica da Covid-19?). Il secondo, dal momento che non sono indicate le misure tecniche e organizzative che si intendono adottare per garantire la sicurezza dei dati, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita degli stessi.
Ebbene, da quanto analizzato emerge ancora una volta la triste consapevolezza di una scarsa attenzione alla tematica della protezione dei dati da chi le regole non solo le fa ma le deve fare anche rispettare. Tale superficialità, nel procedimento di formazione di una legge, di certo non può trovare la sua giustificazione, qualora ce fosse bisogno, nella necessità di emanare in tempi rapidi un provvedimento atto a consentire la graduale riapertura. L’esecutivo, infatti, avrebbe potuto evitare tutto ciò, se solo avesse interpellato preventivamente, come previsto dalla normativa europea e nazionale, l’Autorità Garante per il rilascio di un parere tecnico volto all’adozione di un atto normativo legittimo.
Ciò nonostante, il Garante conclude il suo provvedimento invitando il Governo a porre in essere interventi correttivi al testo normativo, offrendo la propria collaborazione per affrontare e superare le criticità rilevate. Il tutto, si spera, nell’ottica del perseguimento del bene comune inteso come il bene della collettività.
Articoli correlati nella rubrica: Data Protection e Cybersecurity