Usciva ieri l’intervista all’avv. Guido Scorza, componente del Garante per la protezione dei dati personali, in cui indicava quali fossero i timori circa il decreto-legge (D.L. 22 aprile 2021, n. 52) che stava per uscire sul cosiddetto Green Pass, ovvero la certificazione sanitaria, cartacea o digitale, per la libera circolazione delle persone anche in quelle zone d’Italia che, dopo il 26 aprile 2021, fossero ancora in zona arancione, o addirittura rossa, per il Covid-19.
Il primo dei punti cruciali era il fatto che il Consiglio dei Ministri non avesse ancora affatto interpellato il Garante in merito alla parte della privacy del decreto-legge, rischiando di andare incontro, come già qui anticipiamo, all’illegittimità del provvedimento stesso.
Da marzo, inoltre, il Garante stava chiedendo una legge per discutere e disciplinare gli aspetti della protezione dei dati personali del pass, legge di cui non si ha nemmeno sentore, a tutt’oggi e nonostante l’entrata in vigore dalla data odierna dello stesso Green Pass.
Si verificano così i vari dubbi del Garante stesso, che prevedeva una mancanza di base giuridica, e molteplici irregolarità su altri aspetti richiesti dal Regolamento Europeo.
Vediamo di quali si tratta.
- Mancata consultazione del Garante. Il Regolamento Europeo richiede che si consulti il Garante per la privacy al momento della delineazione di una legge che abbia al suo interno un trattamento di dati personali, in modo da consentire all’Autorità di delineare modalità e garanzie richieste affinché il trattamento sia conforme al DGPR. Non solo non si è consultato il Garante, come detto, ma addirittura ignorato ogni sollecito effettuato dal Garante stesso alle varie figure istituzionali (Presidente della Repubblica, Presidente del Consiglio dei ministri, Ministeri e commissione Affari Costituzionali del Senato).
- Inidoneità della base giuridica. In vista degli artt. 6, par.2 e 9 del GDPR, e degli artt. 2 ter e 2 sexies del Codice in materia di protezione dei dati personali, il decreto-legge non rappresenta una base giuridica per l’introduzione e l’utilizzo dei certificati verdi, in quanto privo di alcuni elementi essenziali richiesti dai citati articoli. Innanzitutto, non si fornisce alcuna indicazione esplicita su quali siano le finalità specifiche perseguite, indicazioni essenziali per valutare la proporzionalità della norma (“la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita” – sentenza n. 20 del 21 febbraio 2019 della Corte Costituzionale e art. 6 GDPR). Inoltre, solo una legge statale può subordinare l’esercizio delle libertà e dei diritti all’esibizione di tale certificazione. Ancora, la mancata determinazione delle finalità (e relative esclusioni dell’utilizzo del pass in tutti gli altri ambiti) potrebbe far sì che tale documento diventi successivamente condizione valida per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici in vari ambiti (es. lavorativo, o scolastico), mettendo in atto, di fatto, una discriminazione tra chi è in possesso del pass e chi no.
- Principio di minimizzazione dei dati. Il decreto-legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. C del Regolamento). Per l’utilizzo del pass i dati minimi occorrenti sono soltanto il nome e cognome (dati identificativi) della persona, il codice di certificazione (sì-no, accesso-non accesso, permesso-non permesso, verde-rosso o in qualunque modo si voglia dare l’indicazione di validità o meno) e la data di scadenza della validità, senza dover aggiungere se la validità è data da vaccinazione, guarigione o risultato negativo al tampone. Non è infatti necessario che chi controlla debba sapere altro, oltre i dati minimi necessari, sulla persona che sta controllando, come le vicende sanitarie o meno che abbiano portato il soggetto al rilascio del pass. Ancora, la previsione di tre differenti pass a seconda del motivo di rilascio dello stesso rientra quindi nell’eccesso di dati necessari all’utilizzo del pass stesso, violando il principio di minimizzazione dei dati disposto dal DGPR.
- Principio di esattezza. Il decreto-legge del 22 aprile 2021, 52, si ritiene violi anche il principio di esattezza dei dati secondo cui gli stessi devono essere esatti e aggiornati, e vi devono essere misure atte a cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. D del Regolamento). Si prevede che, in attesa della costituzione della piattaforma nazionale DGC sia consentito l’uso delle certificazioni rilasciate in data precedente all’entrata in vigore di questo, rischiando sia l’inesattezza del dato (sopravvenuta positività rispetto alla data della certificazione) sia la reale efficacia del pass come mezzo di contrasto e limitazione alla diffusione del virus.
- Principio di trasparenza. Il decreto-legge non indica le finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti sia durante l’emissione che durante l’accertamento del pass e l’accertamento dell’autenticità dello stesso. Si indica solo che vi sarà una piattaforma nazionale DGC per l’emissione e la validazione dei certificati, senza individuare l’Ente presso cui tale piattaforma sarà istituita, e pertanto non attribuendo la titolarità del trattamento ad un soggetto definito, invalidando il principio di esercizio dei propri diritti in materia di protezione dei propri dati personali (artt. 15 e succ. del Regolamento).
- Principio di limitazione della conservazione e di integrità e riservatezza. Le disposizioni del decreto-legge violano il principio di limitazione della conservazione dei dati, non indicando l’arco di tempo non superiore al quale devono essere conservati (tempo necessario per la finalità per la quale i dati sono trattati). Inoltre, violano il principio di integrità e riservatezza, in quanto non indicano le misure tecniche e organizzative adeguate alla sicurezza contro il rischio di trattamento illecito da soggetti non idonei allo stesso, alla perdita, alla distruzione o danno accidentale.
Considerato tutto ciò, il Garante rileva l’inadeguatezza del decreto-legge per le finalità a cui dovrebbe servire, l’elevato rischio di illeciti da parte di vari soggetti nel trattamento dei dati, l’elevato rischio per le libertà e i diritti degli interessati, senza che abbiano neppure la possibilità di fare ricorso ad un titolare del trattamento, non essendo indicato, e l’urgenza di un dialogo istituzionale, peraltro più volte sollecitato dal Garante stesso, volto a superare tali criticità.
Per ulteriori approfondimenti si riportano i link dell’intervista all’avv. Guido Sforza
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9577714
e il provvedimento emesso in data odierna dal Garante per la protezione dei dati personali