10 Maggio 2021 by in Privacy e GDPR

Green Pass e Garante Privacy:

interessi contrapposti

Con il “Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52 – 23 aprile 2021” il Garante esprime tutte le sue perplessità sulle modalità di trattamento che vede coinvolti i dati di milioni di italiani, evidenziando criticità non trascurabili per le “Certificazioni Verdi”.

Fra le obiezioni sollevate dal Garante relative al c.d. “Decreto Riaperture”, quella che spicca maggiormente è che esso non garantisce una base giuridica idonea per giustificare l’utilizzo delle Certificazioni, e che lo stesso sembra trascurare completamente le valutazioni del caso relative ai potenziali rischi per i diritti dei cittadini e degli interessati.

Il Garante evidenzia infatti che è mancato il necessario coinvolgimento dell’Autorità durante la stesura del suddetto Decreto. Tale intervento, oltre a evitare il vizio procedurale, avrebbe consentito all’Autorità stessa di indicare tempestivamente modalità e garanzie, contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.

Allo stato attuale, infatti, il Decreto Riaperture non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della Certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita. Infatti, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione.

La mancata specificazione delle finalità per le quali possono essere utilizzate le Certificazioni verdi, assume infatti particolare rilievo con riferimento alla possibilità che tali documenti possano diventare vincolanti per scopi ancora non espressamente definiti (es. accesso in ambienti particolari o l’instaurazione di rapporti lavorativi). L’assenza di una puntuale indicazione delle finalità non consente neanche una valutazione in ordine alla compatibilità delle Certificazioni verdi con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione europea.

Analizzando tecnicamente la modulistica suggerita nel Decreto-legge, il Garante rileva inoltre che essa viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento): le Certificazioni Verdi dovrebbero riportare esclusivamente i dati che sono indispensabili per attestarne la validità e quindi dovrebbero contenere solo i dati anagrafici necessari a identificare l’interessato, l’identificativo univoco della certificazione e la data di fine validità della stessa. Il Garante, infatti, rileva che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.

Il Garante infine rileva che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrità e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (artt. 5, par. 1, lett. f) e 32 del Regolamento).

L’Autorità Garante ha trasmesso l’avvertimento attraverso il Provvedimento sopra citato a tutti i Ministeri ed agli altri soggetti coinvolti per le valutazioni di competenza, offrendo comunque al Governo la propria collaborazione per affrontare e superare le criticità rilevate, ma rilevando comunque queste anomalie come critiche per la tutela dei diritti degli interessati.

Comments
Share
Claudio Rivelli

«Il genio non è altro che una grande attitudine alla pazienza.» Nato a Roma l’08/08/1968, ha conseguito il diploma di maturità classica e si è laureato in Chimica con lode all’Università degli Studi “La Sapienza”. Dal 1996 occupata di salute e sicurezza nei luoghi di lavoro e nel 2004 ha fondato la Studio Rivelli Consulting s.r.l., credendo fortemente nell’importanza di realizzare sinergie di professionisti con specifiche competenze al servizio delle Aziende. Gli Imprenditori che si affidano a noi non trovano un semplice fornitore di servizi, ma un Partner affidabile che consente loro di pensare serenamente al proprio business.

logo

 Lun - Ven:
9.00 / 13.00 - 14.00 / 18.00
 +39 06 886 439 98