Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – Il d.l. n. 52/2021, introduttivo della c.d. certificazione verde, quale misura atta a contrastare la diffusione del virus SARS-CoV-2, non costituisce idonea e lecita base giuridica del trattamento dei dati personali in essa contenuti, in primis poiché risulta del tutto privo di un’indicazione esplicita e tassativa delle specifiche finalità perseguite dal legislatore ed in secundis poiché si palesa del tutto lesivo di diversi fra i principi guida in materia di data protection, quali la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza.

Provvedimento: GPDP, Docweb n. 9578184 del 23 aprile 2021

Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9578184

Keywords: Certificazione verde, Covid-19, green pass, interessato, consultazione preventiva, valutazione d’impatto, trattamento, base giuridica del trattamento, interesse pubblico, minimizzazione dei dati, esattezza dei dati, trasparenza, limitazione della conservazione, integrità, proporzionalità

Riferimenti normativi: Decreto legge 22 aprile 2021 n. 52; artt. 5, 6, par. 2, 3 e 9, 9, 25, par.1, 32, 35, par. 10, 36, par. 4, 58, par 2, lett. a), GDPR; artt. 2ter, 2 sexiex, 154 bis, co. 3, Codice in materia di protezione dei dati personali

Data del commento: 9 ottobre 2021

Massima e Commento di Alice Incerti

1. Il caso

Con il decreto legge n. 52 del 22 aprile 2021, sono state introdotte nuove ed urgenti misure volte a contenere e contrastare l’emergenza epidemiologica da Covid-19, fra le quali le cc.dd. certificazioni verdi, il cui possesso è divenuto conditio sine qua non per spostamenti in entrata ed in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa, in relazione all’incidenza dei contagi, e per l’accesso ad eventi sportivi, fiere, convegni e congressi.

Il decreto in esame prevede, in particolare, che le certificazioni verdi possano essere rilasciate, su richiesta dell’interessato, al fine di attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 o l’effettuazione di un test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2. In relazione alla differente condizione di rilascio, il decreto attribuisce poi una diversa durata della validità delle predette certificazioni: sei mesi in caso di completamento del ciclo vaccinale o di avvenuta guarigione, 48 ore nell’ipotesi di esecuzione di un test con esito negativo.

La disciplina così introdotta ha carattere transitorio essendo applicabile, in ambito nazionale, fino all’entrata in vigore degli atti delegati all’attuazione del regolamento del “Parlamento europeo e del Consigli su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19 che abiliteranno l’attivazione della piattaforma nazionale (digitale green certificate – DGC)”.

Il decreto in esame dispone altresì che si provveda con successivo atto del Presidente del Consiglio, di concerto con i Ministri della salute, dell’innovazione tecnologica e dell’economia, e sentito il Garante, a stabilire le necessarie specifiche al fine di garantire l’interoperabilità delle certificazioni verdi e definire i dati che vi possano essere riportati, le modalità di aggiornamento, i tempi di conservazione, le misure per la verifica di autenticità, validità e integrità dei cc.dd. green passoltre che le misure per assicurare la riservatezza dei dati personali degli interessati.

Il Garante per la protezione dei dati personali, ritenendo che nel progettare l’introduzione della certificazione verde non si sia tenuto adeguatamente conto dei rischi che tale misura determina per i diritti e le libertà degli interessati, e quindi che non siano state adottate le misure tecniche ed organizzative adeguate ad una efficace data protection, con il provvedimento di avvertimento del 23 aprile 2021, docweb n. 9578184, ora in commento, analizza nel dettaglio le criticità del sopraccitato decreto.

2. Le questioni

Il d.l. n. 52/2021, senza preoccuparsi d’adottare opportune ed adeguate misure tecniche ed organizzative finalizzate ad una efficace data protection, introduce la certificazione verde quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19. Il decreto in esame, invero, non tiene in debito conto dei rischi che la definizione di tale misura determina necessariamente per i diritti e le libertà degli interessati, non curandosi di garantire l’attuazione dei ben noti principi di matrice comunitaria volti ad assicurare la protezione dei dati personali fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by defaul). Di più, si osserva come l’introduzione del c.d. green pass, determinando un trattamento sistematico di dati personali, anche relativi alla salute e su larga scala, avrebbe reso opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10, del Regolamento UE n. 679/2016. Ciò soprattutto in quanto l’introduzione del c.d. passaporto vaccinale è entrata in vigore sin dal giorno successivo alla pubblicazione del decreto.

Peraltro, la consultazione preliminare del Garante, in ragione del disposto contenuto nell’art. 36, par. 4, del Regolamento UE n. 679/2016, era oltre che dovuta, ed avrebbe consentito all’Autorità di indicare tempestivamente modalità e garanzie a presidio di diritti e libertà degli interessati, contribuendo all’introduzione normativa di una misura necessaria al contenimento dell’emergenza epidemiologica ed altresì rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.

Le criticità sollevate dal Garante sono molteplici ed attengono principalmente alla (i) inidoneità del d.l. n. 52/2021 quale base giuridica del trattamento dei dati personali riportati nelle certificazioni verdi ed alla (ii) violazione di diversi fra i principi guida in materia di data protection, quali la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza.

2.1. Inidoneità del d.l. n. 52/2021 quale base giuridica del trattamento dei dati personali

A parere del Garante il decreto n. 52/2021 non può rappresentare una valida base giuridica per il trattamento dei dati personali, conseguente all’introduzione ed all’utilizzo delle certificazioni verdi, in quanto del tutto privo di alcuni degli elementi essenziali richiesti dal Regolamento UE n. 679/2016 e dal Codice in materia di protezione dei dati personali. Se è vero infatti che l’art. 6 del sopraccitato Regolamento UE individua, fra le possibili condizioni di liceità del trattamento dei dati personali, un obiettivo di interesse pubblico è altrettanto vero che lo stesso deve essere circoscritto da una legge statale che fornisca al contempo un’indicazione esplicita e tassativa delle specifiche finalità perseguite dal legislatore. Nel caso di specie, è del tutto evidente per il Garante come l’impianto normativo rappresentato dal d.l. in esame, nell’andare a subordinare l’esercizio di determinati diritti e libertà all’esibizione della certificazione verde, non precisa in alcun modo le specifiche finalità perseguite attraverso l’introduzione del c.d. green pass. La mancata indicazione delle finalità per le quali possono essere utilizzate le predette certificazioni, precisa l’Autorità, “assume infatti particolare rilievo con riferimento alla possibilità che tali documenti possano successivamente essere ritenuti una condizione valida anche per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto legge (es. in ambito lavorativo o scolastico)”. Ciò risulta altresì aggravato dal fatto che “la norma risulta anche priva dell’indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale”. La mancata indicazione delle motivazioni che hanno indotto il Governo all’adozione provvisoria dei c.d. green pass, in attesa degli analoghi documenti previsti a livello unionale, non permette peraltro come evidenziato dall’Autorità “di valutare se lo stesso abbia tenuto in debita considerazione i rischi di eventuali disallineamenti in merito alle caratteristiche e alle funzionalità dei due documenti”.

Se è vero quindi che l’interesse pubblico perseguito (il contrasto all’emergenza sanitaria) è legittimo, la disciplina della certificazione verde delineata dal d.l. n. 52/2021 emerge quale del tutto sproporzionata rispetto all’obiettivo cercato, non essendo individuate oltre alla finalità, come più sopra rimarcato, “le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati”, “in ossequio ai principi di privacy by design e by default”.

2.2. Violazione di diversi fra i principi guida in materia di data protection

A parere del Garante, il decreto legge in esame viola anzitutto il principio di minimizzazione dei dati personali, in ragione del quale gli stessi devono risultare adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali gli stessi sono trattati. Nell’evidenza delle ragioni sottese all’esibizione delle certificazioni verdi, l’Autorità garante ritiene “che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa”. Sono queste le informazioni che si configurano infatti quali necessarie a consentire ai soggetti preposti ai controlli di verificare che la persona che esibisce la predetta certificazione si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire del c.d. green pass. Alla luce del principio di minimizzazione quindi, il Garante ritiene “che non sia pertinente indicare sulla certificazione ulteriori informazioni” e che altresì “non sia necessario l’utilizzo di modelli di certificazione verde diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate”, atteso peraltro che il decreto in esame non prevede ipotesi diverse per il relativo utilizzo.

L’Autorità garante ritiene inoltre che il decreto violi altresì il principio di esattezza dei dati personali secondo il quale gli stessi devono essere esatti e, se necessario, aggiornati prevedendo al contempo l’adozione di misure ragionevoli, funzionali a provvedere tempestivamente alla cancellazione o alla rettifica di eventuali dati inesatti rispetto alle finalità per le quali gli stessi sono trattati. Risulta quindi del tutto ovvio che le certificazioni verdi “siano redatte sulla base di informazioni esatte e aggiornate”. La vigenza dell’attuale sistema normativo, del tutto transitorio, poiché vigente nelle more dell’attuazione della futura normativa unionale, non consente in alcun modo di verificare l’attualità delle condizioni attestate nella certificazione, perché inevitabilmente non può tener conto, in assenza della piattaforma prospettata dal legislatore, dell’eventuale mutamento delle condizioni relative all’interessato (quali ad esempio l’eventuale sopraggiunta positività) intervenute successivamente al rilascio del c.d. green pass.

Il decreto legge viola inoltre, dall’esame dello studio compiuto dal Garante, il ben noto principio di trasparenza poiché, oltre a non indicare in modo chiaro le puntuali finalità perseguite come più sopra esposto, non evidenzia le caratteristiche del trattamento e non individua in alcun modo i soggetti che trattano le informazioni contenute nei cc.dd. green pass e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi. L’assenza di tali indicazioni, specie quelle attinenti alla titolarità del trattamento, non consente peraltro “agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal Regolamento UE n. 679/2016”.

Il Garante osserva infine come le disposizioni in esame violino anche il principio di limitazione della conservazione, secondo il quale i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità perseguite. Ciò assume particolare rilievo tenuto conto che il d.l. n. 52/2021 sembra introdurre misure temporanee, destinate a essere sostituite dall’atteso impianto normativo europeo. La disciplina in esame inoltre non fornisce adeguata garanzia anche avuto riguardo ai principi di integrità e riservatezza, atteso che il legislatore nazionale non ha provveduto ad individuare alcuna misura tecnica od organizzativa adeguata, finalizzata a garantire un’adeguata sicurezza dei dati personali contenuti nei cc.dd. green pass da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o dal danno accidentali.

3. Precedenti

Non risultano precedenti specifici sul c.d. green pass rappresentando, l’introduzione della certificazione verde, un quid novi.

A riguardo, giova evidenziare che, già in data 8 aprile 2021, il Presidente dell’Autorità aveva segnalato alla Commissione Affari Costituzionali del Senato della Repubblica la necessità di un coinvolgimento preventivo del Garante nel processo legislativo teso all’adozione del decreto in esame, specie in relazione proprio all’introduzione dei cc.dd. passaporti vaccinali, richiamando peraltro la proficua collaborazione istituzionale fornita sino a quel momento, con riferimento anche al sistema nazionale di allerta Covid (si veda a riguardo, la memoria del Presidente del Garante per la protezione dei dati personali – Profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS-CoV-2 dell’8 aprile 2021, Docweb n. 9574242). Nell’imminenza dell’adozione del decreto legge n. 52/2021, il Presidente dell’Autorità ha inoltre inviato in data 21 aprile 2021 una nota, al Presidente del Consiglio dei Ministri e al Ministro della salute, proprio in merito al necessario coinvolgimento dell’Autorità in fase di adozione dell’atto normativo in materia di passaporti vaccinali.

Il Garante per la protezione dei dati personali inoltre, nel mentre dell’emergenza pandemica, ha reso molteplici pareri sugli atti normativi predisposti in merito. Tra i provvedimenti più significatici, si vedano ad esempio GPDP, Docweb n. 9328050 del 29 aprile 2020, parere sulla proposta normativa per la previsione di un’applicazione volta al tracciamento dei contagi da Covid-19; GPDP, Parere su uno schema di disposizione normativa volta a consentire indagini di sieroprevalenza sul SARS-CoV-2 al Ministero della salute e all’ISTAT per finalità epidemiologiche e statistiche del 4 maggio 2020; GPDP, Docweb n. 9356568 del 1 giugno 2020, autorizzazione al Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19, di cui all’art. 6 del d.l. 30 aprile 2020, n. 20; Gpdp, Docweb n. 9561715 del 1 giugno 2020, parere su schema di decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria nell’ambito del sistema di Allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge n. 30 aprile 2020, n. 28; GPDP, Docweb n. 9296257 del 19 marzo 2020, parere d’urgenza del Presidente al Ministero dell’Economia e delle Finanze sulla ricetta elettronica dematerializzata.

4. Bibliografia

Sulla liceità del trattamento, si vedano in particolare D. Poletti, Comm. sub. art. 6 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 191 ss.; F. Cardarelli, Comm. sub. art. 6 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1011 ss.; F. Bravo, Le condizioni di liceità del trattamento, in G. Finocchiaro, La protezione dei dati personali in Italia, Torino, 2019, pp. 110 ss.; G. Mulazzani, Il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in G. Finocchiaro, La protezione dei dati personali in Italia, cit., pp. 194 ss.

Sui principi applicabili al trattamento dei dati personali, si vedano in particolare G. Malgeri, Comm. sub. art. 5 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 176 ss.

Sul trattamento di categorie di dati particolari, si vedano in particolare A. Thiene-L. Scaffardi, Comm. sub. art. 9 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 239 ss.; F. Cortese, Comm. sub. art. 2-sexies D.lgs. n. 196/2003, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 1043 ss.; A. Cataleta, Categorie particolari di dati: le regole generali e i trattamenti specifici, in G. Finocchiaro, La protezione dei dati personali in Italia, cit., pp. 204 ss.; A. Mulazzani, Il trattamento di categorie particolari di dati personali, necessario per motivi di pubblico interesse rilevante, in G. Finocchiaro, La protezione dei dati personali in Italia, cit., pp. 229 ss.