Pass vaccinali, in Gazzetta l'"Avvertimento" del Garante privacy ai Ministeri

È stata pubblicata sulla Gazzetta Ufficiale del 3 maggio scorso n. 104 la delibera 23 aprile 2021 del Garante per la protezione dei dati personali contenente un "Avvertimento" ai Ministeri della Salute, dell'Interno, dell'Innovazione tecnologica e della Transizione digitale e dell'Economia, degli Affari regionali e la Conferenza delle Regioni sul fatto che i trattamenti di dati personali effettuati con la "certificazione verde", in attuazione del Dl 22 aprile 2021, n. 52, possono violare le disposizioni del Regolamento privacy. La delibera è stata inviata anche a Palazzo Chigi.

Diversi i rilievi mossi dall'Authority: si va dalla mancata consultazione che avrebbe evitato "il vizio procedurali" e "consentito di indicare tempestivamente" modalità e garanzie rispettose della disciplina in materia di protezione dei dati personali. All'inidoneità della base giuridica. Un punto su cui la delibera insiste molto.

In particolare, l'impianto normativo non fornisce un'indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l'introduzione della certificazione verde, elemento essenziale "al fine di valutare la proporzionalità della norma". Non vi è infatti una individuazione puntuale delle fattispecie "in cui possono essere utilizzate con esclusione dell'utilizzo di tali documenti in altri casi non espressamente previsti dalla legge".

E ciò, tenuto anche conto del fatto che tali certificati in futuro potrebbero essere ritenuti "una condizione valida anche per l'accesso a luoghi o servizi o per l'instaurazione o l'individuazione delle modalità di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto-legge (es. in ambito lavorativo o scolastico)".

Il Garante si interroga poi sulla necessità di tale strumento provvisorio vista la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17 marzo 2021), con riferimento alla quale sono state fornite indicazioni dal Comitato europeo per la protezione dei dati (EDPB) e dall'European Data Protection Supervisor (EDPS), correndo così il rischio di "eventuali disallineamenti in merito alle caratteristiche e alle funzionalità dei due documenti".

Violato poi il principio di minimizzazione dei dati. Le uniche informazioni dovrebbero infatti riguardare: dati anagrafici necessari a identificare l'interessato; identificativo univoco della certificazione; data di fine validità della stessa. Perché sufficienti a certificare che la persona si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde.

Non è invece pertinente indicare sulla certificazione ulteriori informazioni, né è necessario l'utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo). Per cui la previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l'interessato e l'indicazione sulle stesse di numerosi dati personali, anche relativi alla salute "si pongono in contrasto con il citato principio di minimizzazione dei dati".

Semaforo rosso anche rispetto al principio di esattezza con riguardo alla previsione transitoria secondo cui, nelle more dell'adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, viene consentito l'utilizzo delle certificazioni di guarigione rilasciate prima dell'entrata in vigore del decreto-legge e delle certificazioni verdi redatte sulla base dell'allegato 1 al decreto. In quanto non consente di verificare l'attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all'interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).

Il decreto-legge viola poi il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all'emissione e al controllo delle certificazioni verdi.

Le disposizioni del decreto infine violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più