Pass vaccinali: in Gazzetta l’"Avvertimento” del Garante privacy ai Ministeri
Nelle ultime settimane si è discusso molto circa la questione dei pass vaccinali e sulle loro finalità che preoccupano molto il Garante sulla Privacy.
Per il Garante della Privacy il pass vaccinale previsto dal Decreto riaperture presenta moltissime criticità e non andrebbe bene. Sono troppe le informazioni contenute, indeterminate le finalità del trattamento e carenti le misure sulla tutela dei dati raccolti. Secondo il Garante è mancata sicuramente una valutazione preliminare dei rischi che il certificato digitale potrà causare ai diritti e alle libertà dei cittadini.
Alla luce di queste considerazioni è stato pubblicata sulla Gazzetta Ufficiale del 3 maggio scorso n. 104 la delibera del 23 aprile 2021 del Garante per la protezione dei dati personali contenente un “Avvertimento” ai Ministri della Salute, dell’Interno, dell’Innovazione tecnologica e della Transizione digitale dell’Economia, degli Affari regionali e la Conferenza delle Regioni sul fatto che i trattamenti dei dati personali effettuati con la “certificazione verde”, in attuazione del Dl 22 aprile 2021 n. 52, possono violare le disposizioni del Regolamento privacy. Tale delibera è stata inviata anche a Palazzo Chigi.
Diversi i rilievi mossi dall'Authority: si va dalla mancata consultazione che avrebbe evitato “il vizio procedurale” e “consentito di indicare tempestivamente” modalità e garanzie rispettose della disciplina in materia di protezione dei dati personali, all’inidoneità della base giuridica, un punto su cui la delibera insiste molto.
La normativa
L’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale "al fine di valutare la proporzionalità della norma". Non vi è infatti un’individuazione puntuale delle fattispecie "in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge".
Il Garante si interroga poi sulla necessità di tale strumento provvisorio vista la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17 marzo 2021), con riferimento alla quale sono state fornite indicazioni dal Comitato europeo per la protezione dei dati (EDPB) e dall’European Data Protection Supervisor (EDPS), correndo così il rischio di "eventuali disallineamenti in merito alle caratteristiche e alle funzionalità dei due documenti".
Cosa non va per il Garante
Secondo il Garante è stato violato anche il principio di minimizzazione dei dati. Le uniche informazioni dovrebbero, infatti, riguardare: dati anagrafici necessari a identificare l’interessato, identificativo univoco della certificazione, data di fine validità della stessa in quanto sufficienti a certificare che la persona si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde. Non è invece pertinente indicare sulla certificazione ulteriori informazioni, né è necessario l'utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo). Per cui la previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute "si pongono in contrasto con il citato principio di minimizzazione dei dati".
Semaforo rosso anche rispetto al principio di esattezza con riguardo alla previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, viene consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto-legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al decreto in quanto non consente di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all’interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).
Il decreto-legge viola poi il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi.
Le disposizioni del decreto, infine, violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Il Garante, quindi, ribadisce che il trattamento dei dati personali connessi all’avvio di iniziative che limitano fortemente i diritti e le libertà delle persone può avvenire solo nel quadro di un’idonea base giuridica a seguito di una valutazione dei rischi e con l’adozione di adeguate misure a tutela degli interessati.
Fonte: Il Sole 24 Ore