La base giuridica legittimante il trattamento dei dati delle certificazioni verdi per Covid-19

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) La legittimazione al trattamento dei dati ai sensi del par. 2 dell’art. 6 del GDPR, in relazione a quanto prescritto al par. 1, lett. c) e d) del medesimo articolo, deve derivare da una previsione normativa che ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo ed oggettivo e che introduca garanzie adeguate all’impatto del trattamento sui diritti e le libertà dei cittadini in relazione alla natura dei dati trattati.

Provvedimento: GPDP, Docweb n. 9592298 del 3 giugno 2021

Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9592298

Keywords: Green pass, Covid-19, App Mitiga Italia, controllo certificazioni verdi, base giuridica del trattamento

Riferimenti normativi: artt. 6, par. 2, 9 e 10 GDPR, d.l. 52/2021, d.l. 65/2021

Data del commento: 13 ottobre 2021

Massima e Commento di Mirco Turrini

1. Il caso

In occasione dell’evento calcistico “Finale Coppa Italia TIM Vision 2020/2021”, svoltosi il 19 maggio 2021 a Reggio Emilia, veniva impiegata l’App Mitiga Italia al fine di verificare il corretto possesso delle condizioni oggetto delle certificazioni verdi per Covid-19 e consentire, quindi, l’accesso allo stadio.

Del fatto veniva data ampia risonanza nelle cronache dei giornali, finendo, così, all’attenzione del Garante per la protezione dei dati personali.

Il Garante, che si era già espresso in merito ai trattamenti effettuati relativamente alle certificazioni verdi per Covid-19 con il provvedimento di avvertimento del 23 aprile 2023 (dove si evidenziavano le lacune del d.l. 52/2021 in merito alla disciplina dettata dal GDPR), preso atto che l’utilizzo della summenzionata applicazione era avvenuto in modo non conforme all’emanato avvertimento, disponeva, con il provvedimento in esame, nei confronti della società Mitiga s.r.l., la misura della limitazione provvisoria del trattamento posto in essere con l’App Mitiga Italia.

Il Garante ravvisava (considerato anche il disposto normativo del d.l. 52/2021) la mancanza di una valida base giuridica per il trattamento dei dati effettuato mediante l’utilizzo dell’app Mitiga Italia in occasione della sua utilizzazione finalizzata ad attestare il possesso delle condizioni oggetto delle certificazioni verdi per Covid-19 ai fini della partecipazione ad eventi e manifestazioni pubbliche.

2. La questione

La questione che il caso solleva afferisce alla (i) inidoneità del dettato normativo del d. l. 52/2021 a costituire una base giuridica legittimante il trattamento dei dati personali relativo alla verifica delle condizioni delle certificazioni verdi per Covid-19 alla luce di quanto disposto dall’art. 6 par 2 del GDPR ed alle sue implicazioni sull’utilizzo dell’App di controllo delle certificazioni verdi.

2.1. Inidoneità del d.l. 52/2021 a legittimare il trattamento dei dati personali relativo alle certificazioni verdi per Covid-19

Il d.l. n. 52/2021 e il d.l. 65/2021 hanno introdotto specifiche misure per la ripresa di spettacoli ed eventi sportivi aperti al pubblico, disponendo che, a decorrere dal 1 giugno 2021 tali manifestazioni debbano svolgersi nel rispetto delle linee guida adottate dalla Presidenza del Consiglio dei Ministri (che possono prevedere la possibilità di limitare l’accesso agli eventi soltanto ai soggetti in possesso delle certificazioni verdi Covid-19 di cui all’art. 9 del d.l. 52/2021).

L’intervento del Garante avviene nelle more dell’adozione del decreto del Presidente del Consiglio dei Ministri ex art. 9, comma 10 del d.l. 52/2021 (ossia di quell’atto normativo che avrebbe dovuto descrivere le specifiche tecniche delle certificazioni verdi per Covid-19) ed evidenzia come tali certificazioni, essendo state rilasciate in assenza del predetto intervento normativo, non sarebbero sorrette da una adeguata previsione normativa che ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo e oggettivo e che, altresì, introduca le opportune garanzie in elazione all’impatto del trattamento sui diritti e le libertà dei cittadini in relazione alla natura dei dati trattati.

Il trattamento dei dati personali relativi alle certificazioni verdi per Covid-19, effettuato ai sensi del d.l. 52/2021, risulterebbe non conforme ad alcuni degli elementi essenziali previsti dal par. 2 art. 6 GDPR. In particolare, secondo il Garante, l’impianto normativo del d.l. 52/2021 non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite dalla norma (elemento essenziale anche ai fini della valutazione della proporzionalità del trattamento rispetto alla finalità legittima perseguita).

Si segnala, altresì, che l’indeterminatezza delle finalità e la mancanza di adeguate specifiche tecniche in relazione all’introduzione delle certificazioni verdi pone seri problemi in merito alla corretta individuazione delle circostanze in cui tali certificazioni possono essere legittimamente utilizzate.

Sin dalla pronuncia del 23 aprile 2021, emerge la preoccupazione del Garante in merito alla circostanza che la mancata specificazione di requisiti e finalità possa legittimarne un uso disinvolto delle certificazioni verdi anche come condizione per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici che allo stato non sono espressamente indicati nel decreto legge.

Il Garante sottolinea, quindi, l’importanza di arrivare a costruire una valida base giuridica per il trattamento dei dati personali che sia in armonia con quanto richiesto dal par. 2 dell’art. 6 del GDPR, in relazione alla possibilità per gli Stati membri dell’UE di mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del GDPR.

I considerando n. 41 e n. 45 forniscono alcune indicazioni in merito a come debba essere il supporto normativo da porre come base giuridica ex par. 2 dell’art. 6 del GDPR in merito ai trattamenti di dati personali effettuati per adempiere ad un obbligo di legge [art. 6, par. 1, lett. c), del GDPR] o nell’esecuzione di un compito di interesse pubblico connesso all’esercizio dei pubblici poteri [art. 6, par. 1, lett. e), del GDPR].

Per il considerando n. 41 la misura legislativa nazionale di specificazione non deve per forza essere un atto legislativo di emanazione del parlamento, ben potendo, quindi, essere un atto normativo dell’esecutivo. Il considerando n. 41 puntualizza, altresì, che la misura legislativa nazionale di specificazione, per poter essere legittimamente considerata base giuridica legittimante del trattamento, debba essere chiara, precisa e di prevedibile applicazione per le persone che vi sono sottoposte.

Il considerando n. 45 raccomanda, infine, che tale atto preveda “le specificazioni per stabilire il titolare del trattamento, il tipo dei dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali (…)”.

Pertanto, la legittimazione al trattamento dei dati, ai sensi del par. 2 dell’art. 6 del GDPR, deve derivare da una previsione normativa che ne circoscriva, in maniera sufficientemente determinata, l’estensione dal punto di vista soggettivo ed oggettivo e che introduca garanzie adeguate all’impatto del trattamento sui diritti e le libertà dei cittadini in relazione alla natura dei dati trattati

Il Garante, con l’avvertimento del 23 aprile 2021 e con la pronuncia in oggetto, ha ritenuto carente a tal fini il disposto normativo del d. l. 52/2021 considerandolo, tra le altre cose, non idoneo a costituire la base giuridica legittimante il trattamento dei dati personali delle certificazioni verdi per Covid-19.

3. Precedenti

Come già evidenziato in merito al caso in esame, sussiste una precedente pronuncia (il provvedimento di avvertimento del Garante del 23 aprile 2021, Docweb n. 9578184) che si è occupata in modo specifico della non conformità del d. l. 52/2021 ai requisiti previsti dal GDPR in relazione al trattamento dei dati personali per quanto attiene le certificazioni verdi per Covid-19.

Si tratta di una pronuncia di più largo respiro rispetto a quella qui analizzata, che, oltre al tema relativo all’inidoneità del d.l. 52/2021 a costituire una base giuridica legittimante il trattamento, evidenzia come tale impianto normativo presenti carenze in rapporto al GDPR in relazione al principio della minimizzazione dei dati, al principio di esattezza, a quello di trasparenza, nonché carenze in tema di conservazione, integrità e riservatezza.

4. Bibliografia

Sulla liceità del trattamento si vedano, in particolare, F. Bravo, Le condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 110-193; F. Bravo, Il consenso e le altre condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, pp. 101-178; D. Poletti, Commento sub art. 6 GDPR, in R. D’orazio-G. Finocchiaro-G. Pollicino-G.Resta (a cura di), Codice della Privacy e della data protection, Milano, 2021, pp. 180 ss; F. Resta, Commento all’art. 6. Liceità del trattamento, in G.M. Riccio, G. Scorza, E. Belisario (a cura di), GDPR e Normativa Privacy. Commentario, Milano, 2018 pp. 63 ss; F. Pizzetti, Protezione dei dati personali in Italia tra GDPR e codice novellato, Torino 2021, pp. 89 ss.

Si veda anche il commento al cit. provvedimento del Garante del 23 giugno 2021 di A. Incerti, Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52, su questo sito.