L’autorità, dopo aver espresso la propria contrarietà per non essere stata interpellata prima della stesura del decreto legge del 22 aprile 2021, ha emesso un avvertimento in merito ai trattamenti effettuati per la certificazione verde. Vediamo in dettaglio le osservazioni che sono state sollevate.
L’avvertimento, espresso sotto forma di delibera, è stato pubblicato nella Gazzetta Ufficiale del 3 maggio.
Il Garante dichiara che “per i profili di competenza dell’Autorità si osserva che il decreto-legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale”.
Aggiunge poi che “nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del regolamento)”.
Sono ben sei le criticità che il Garante ha rilevato e che riguardano:
- La sua mancata consultazione preliminare
- L’inidoneità della base giuridica
- La violazione del principio di minimizzazione dei dati
- La possibile violazione del principio di esattezza dei dati
- La violazione del principio di trasparenza verso i cittadini
- La violazione del principio di limitazione della conservazione e di integrità e riservatezza
Vediamone in dettaglio i contenuti.
Sul primo aspetto il Garante rileva la violazione dell’articolo 36, paragrafo 4, del regolamento, non essendo stato coinvolto in via preliminare alla stesura del decreto legge in questione.
Il Garante segnala inoltre l’opportunità di una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del regolamento, visto che il trattamento sistematico su larga scala di dati personali, anche relativi alla salute, presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali.
Per ciò che riguarda la base giuridica, il Garante afferma che il decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal regolamento (articoli 6, par. 2 e 9) e dal codice in materia di protezione dei dati personali (articoli 2-ter e 2-sexies).
Secondo il Garante l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del regolamento. In particolare l’assenza di una puntuale indicazione delle finalità non consente neanche una valutazione in ordine alla compatibilità delle predette certificazioni con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione europea.
Il Garante rileva inoltre che la norma risulta anche priva dell’indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17 marzo 2021).
Secondo il Garante il decreto legge viola anche il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lettera c) del regolamento ).
Il Garante ritiene che il certificato verde digitale debba riportare esclusivamente: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa. Questi dati sono necessari a consentire ai soggetti preposti ai controlli di verificare che la persona che esibisce la certificazione si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde.
Il Garante, alla luce del principio di minimizzazione, ritiene che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.
Per il Garante il decreto legge viola anche il principio di esattezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lettera d) del regolamento).
Questa osservazione si riferisce alla previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi redatte sulla base dell’allegato 1 del decreto che appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato.
Il predetto sistema transitorio non consente infatti di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle con- dizioni relative all’interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).
Il Garante rileva inoltre che il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.
In particolare il decreto non specifica la titolarità dei trattamenti effettuati attraverso la «Piattaforma Nazionale DGC» per l’emissione e validazione delle certificazioni verdi digitali Covid-19. Tale piattaforma, secondo quanto indicato nell’art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 per la quale il decreto non individua l’Ente presso il quale sarà istituita (SOGEI NdR).
L’assenza di indicazioni in ordine alla titolarità del trattamento non consente pertanto agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal regolamento (articoli 15 e ss. del regolamento).
Infine il Garante solleva anche il problema della violazione del principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento).
L’avvertimento si chiude con una dichiarazione di disponibilità a istaurare prontamente un dialogo istituzionale volto al superamento delle predette criticità.
Vedremo se l’invito verrà raccolto o se il Governo emetterà un nuovo decreto per superare i rilievi mossi dall’Autorità.