Nel documento il Garante parla di 6 punti di criticità relativi al pass vaccinale, e quindi:
- la mancata consultazione del Garante;
- l’inidoneità della base giuridica;
- violazione del principio di minimizzazione dei dati;
- violazione del principio di esattezza;
- violazione del principio di trasparenza;
- violazione del principi di limitazione della conservazione e di integrità e riservatezza.
UN BREVE ESTRATTO DELLE PARTI SALIENTI PER IL TESTO COMPLETO CONSULTARE GAZZETTA UFFICIALE
Per i profili di competenza dell’Autorita’ si osserva che il decreto-legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale.
Nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della misura determina per i diritti e le liberta’ degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del regolamento).
In particolare, si ritiene che le disposizioni di cui al decreto-legge del 22 aprile 2021, n. 52, presentino le seguenti criticita’:
1. Mancata consultazione del Garante
In via preliminare, si rileva che, in violazione dell’art. 36, par. 4, del regolamento, il decreto-legge del 22 aprile 2021, 52, e’ stato adottato senza che il Garante sia stato consultato.
Al riguardo, si evidenzia che, gia’ in data 8 aprile u.s., il Presidente dell’Autorita’ aveva rappresentato alla Commissione affari costituzionali del Senato della Repubblica la necessita’ di un coinvolgimento preventivo dell’Autorita’ nel processo legislativo, in relazione all’introduzione dei passaporti vaccinali, richiamando la proficua collaborazione istituzionale fornita con riferimento anche al sistema nazionale di allerta Covid (Memoria del Presidente del Garante – Profili costituzionali dell’eventuale introduzione di un «passaporto vaccinale» per i cittadini cui e’ stato somministrato il vaccino anti SARS COV-2 dell’8 aprile 2021).
Si segnala inoltre che l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le liberta’ degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle liberta’ personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del regolamento. Cio’, in particolare, in quanto la misura, prevista dal decreto legge, entra in vigore sin dal giorno successivo alla sua pubblicazione.
2. Inidoneita’ della base giuridica
Come anzidetto il predetto decreto-legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal regolamento (articoli 6, par. 2 e 9) e dal codice in materia di protezione dei dati personali (articoli 2-ter e 2-sexies). In via principale, l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalita’ perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalita’ della norma, richiesta dall’art. 6 del regolamento , anche alla luce di quanto affermato dalla Corte costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalita’ legittima perseguita.
Come rappresentato dal Presidente dell’Autorita’ nella citata memoria, soltanto una legge statale puo’ subordinare l’esercizio di determinati diritti o liberta’ all’esibizione di tale certificazione. Alla luce di cio’, si palesa, in primo luogo, l’indeterminatezza delle finalita’ della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.
3. Principio di minimizzazione dei dati
Il decreto-legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalita’ per le quali sono trattati (art. 5, par. 1 lettera c) del regolamento ).
4. Principio di esattezza
Il decreto-legge del 22 aprile 2021, 52, si ritiene violi anche il principio di esatezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita’ per le quali sono trattati (art. 5, par. 1, lettera d) del regolamento).
5. Principio di trasparenza
Il decreto-legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalita’ perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento).
6. Principi di limitazione della conservazione e di integrita’ e riservatezza
Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalita’ per le quali sono trattati (articoli 5, par. 1, lettera e) e 6, par. 3, lettera b) del regolamento).
Ritenuto
Alla luce delle rilevanti criticita’ sopra illustrate, occorre rilevare che la disciplina della certificazione verde delineata dal decreto-legge del 22 aprile 2021, n. 52, risulta pertanto non proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalita’ per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati (articoli 5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32 del regolamento).
Considerato che l’utilizzo della certificazione verde e’ operativo a partire dal giorno successivo alla pubblicazione del decreto-legge e’, quindi, urgente l’esigenza di intervenire al fine di tutelare i diritti e le liberta’ degli interessati.
Il regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento (art. 58, par 2, lettera a)).
Attesi i rischi elevati per le liberta’ e i diritti degli interessati, risulta, pertanto, necessario avvertire tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, dell’economia e delle finanze e degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto-legge del 22 aprile 2021, n. 52, in assenza di interventi correttivi, possono violare le disposizioni del regolamento di cui agli articoli 5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32.
Tutto cio’ premesso, il Garante
a) ai sensi dell’art. 58, par 2, lettera a), del regolamento avverte tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle regioni e delle province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto-legge del 22 aprile 2021, n. 52, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni del regolamento di cui agli articoli 5, 6, par. 3, lettera b), 9, 13, 14, 25 e 32; b) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri per le valutazioni di competenza; c) ai sensi dell’art. 154-bis, comma 3, del codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana. Roma, 23 aprile 2021
