Per rendere più rapida possibile la ripresa delle attività sospese a causa della pandemia da coronavirus, il Decreto Riaperture dello scorso mese di aprile ha introdotto quella che viene definita certificazione verde Covid-19 (o Green Pass italiano).
Il Garante della Privacy ha tuttavia manifestato non poche perplessità riguardo alla creazione di questo documento.
Sembra infatti che il Governo abbia trascurato alcuni aspetti fondamentali, che a quanto pare rischierebbero di lasciare spazio a eventuali violazioni della privacy che potrebbero ledere la libertà dei cittadini.
Pass vaccinale europeo
Il pass vaccinale europeo (“Eu Digital Covid Certificate”) nasce con l’intento di reintrodurre gli spostamenti tra gli Stati in occasione dell’imminente apertura della stagione turistica.
Il certificato, che sarà introdotto dal primo di luglio con regolamento del Parlamento Europeo e del Consiglio, riguarderà gli spostamenti tra i Paesi appartenenti all’Unione.
Nell’attesa dell’entrata in vigore della normativa, ogni Stato membro ha vagliato ed elaborato una serie di misure nazionali volte ad anticipare le riaperture all’interno dei singoli territori.
Tuttavia, al fine di ridurre il rischio di ledere le libertà dei cittadini, è necessario che tale approccio digitale tenga scrupolosamente conto di quanto stabilito dal Regolamento generale sulla protezione dei dati, attenendosi ad ogni singola specifica.
Come funziona la certificazione verde italiana
A fronte della pressione da parte dell’opinione pubblica per anticipare le riaperture tra le Regioni e la conseguente ripresa delle comuni attività, il Governo ha scelto di introdurre il certificato verde con il Decreto Legge n. 52 del 2021.
Tale certificato è un documento che comprova l’avvenuta vaccinazione contro il Covid-19, la guarigione dall’infezione, o l’esito negativo di un tampone eseguito nelle 48 ore precedenti.
Il certificato, come specificato dal Ministero della Salute, viene rilasciato in formato cartaceo o digitale dalla struttura sanitaria o dall’ASL territoriale di competenza e sarà disponibile anche nel proprio fascicolo sanitario elettronico.
Per chi ha già fatto il vaccino sarà quindi la struttura che avrà erogato il trattamento sanitario a rilasciare il certificato e, come specificato nel nuovo Decreto-legge 65/2021, in vigore dal 18 maggio, il documento sarà rilasciato “anche contestualmente alla somministrazione della prima dose di vaccino, con validità dal quindicesimo giorno successivo alla somministrazione fino alla data prevista per il completamento del ciclo vaccinale”.
Nel caso di guarigione, invece, il certificato verrà rilasciato dalla struttura ospedaliera nelle quale si è stati ricoverati, dall’ASL o dai medici di medicina generale.
A chi farà un tampone rapido verrà consegnata una certificazione, valida per 48 ore dal prelievo, dalle strutture sanitarie pubbliche e private autorizzate o accreditate, dalle farmacie, o dai medici di medicina generale.
Decreto Riaperture e certificazione verde: la parola al Governo
Prima di considerare le critiche da parte del Garante al Decreto Riaperture, vediamo cosa dice il decreto di aprile riguardo alla certificazione verde:
- L’art. 2 del D.l. 52/2021 permette alle persone munite di pass vaccinale, oltre alle casistiche già note, di spostarsi liberamente tra Regioni o Province in zona rossa o arancione
- L’art. 5 comma 4 D.l. 52/2021 prevede l’opportunità di richiedere il pass vaccinale quale condizione di accesso ad eventi sportivi, qualora questo sia altresì previsto dalle linee guida fornite dalla Conferenza Stato Regioni o dal Sottosegretario allo sport
- L’art. 7 comma 2 D.l. 52/2021 consente che linee guida nazionali o fornite dalla Conferenza Stato Regioni possano considerare il pass vaccinale quale condizione per avere accesso a fiere, convegni e congressi
- L’art. 9 comma 2 D.l. 52/2021 stabilisce che le certificazioni siano rilasciate su richiesta dell’interessato
Come detto, tre sono le certificazioni previste: effettivo completamento del ciclo vaccinale, avvenuta guarigione da Covid-19 e esito negativo dato dal tampone rapido o molecolare.
I tre certificati avranno durata di validità differente: quelli relativi al ciclo vaccinale e alla guarigione da Covid-19 saranno validi per 6 mesi, mentre la certificazione di tampone negativo per 48 ore.
Tali disposizioni saranno valide fino all’entrata in vigore della normativa europea, dopodiché sarà necessario rivedere la normativa nazionale per consentire alla piattaforma che raccoglierà i dati relativi ai certificati verdi di essere interoperabile con la piattaforma prevista invece per raccogliere i green pass europei, che a propria volta dovrà poter comunicare con l’analoga piattaforma nazionale prevista per ognuno degli Stati appartenenti all’UE.
Certificazione verde: la parola al Garante della Privacy
Secondo il Garante della Privacy, quanto espresso dal Decreto Riaperture non sarebbe sufficiente a garantire la tutela dei diritti e delle libertà dei cittadini.
Proprio per questo, lo scorso 23 aprile l’Autorità ha palesato al Governo tutte le criticità relative alla certificazione verde e ai pericoli che la stessa potrebbe inevitabilmente comportare: il tutto attraverso il Provvedimento 23 aprile 2021 n.156.
Il Garante recrimina in primis una mancata consultazione preventiva da parte del Governo, necessaria al fine di eseguire un’opportuna valutazione di impatto delle norme racchiuse nel decreto su quelli che sono i diritti e le libertà dei cittadini.
Lo stesso Garante ha espresso inoltre il proprio disappunto circa la base giuridica su cui verte la certificazione verde, ritenuta invalida poiché carente di tutti quegli elementi essenziali previsti dal Regolamento Europeo e dal Codice in materia di protezione dei dati personali.
Il Decreto Riaperture sembrerebbe infatti non indicare in modo chiaro ed esaustivo le finalità per le quali è richiesto il certificato.
Viene da sé al contrario che l’indicazione circa le finalità del trattamento dei dati inclusi nello stesso appare imprescindibile al fine di stabilire se il “sacrificio della privacy” preteso ai cittadini sia realmente utile o in realtà semplicemente eccessivo.
A destare perplessità nel Garante della privacy è anche la scelta da parte del Governo di adottare il pass provvisorio prima dell’avvio del certificato europeo, previsto per il mese di luglio, col rischio che tale sistema nazionale possa rivelarsi successivamente disallineato rispetto a quello continentale.
Il Garante ha inoltre sottolineato che sarebbe utile limitare le informazioni contenute nel certificato verde a quelle strettamente indispensabili, quali dati anagrafici, identificativo della stessa certificazione, e relativa validità.
Altrettanto discutibile è la scelta di adottare tre certificazioni diverse, quando sarebbe invece sufficiente istituire un unico certificato, uguale per tutti, che imprima la durata della validità, senza la necessità di dover comunicare quelle che sono le informazioni sanitarie del soggetto.
Cosa ancor più grave, la mancanza nel Decreto Riaperture delle indicazioni legate al titolare del trattamento dei dati, così come quelle relative all’ente presso il quale avrà sede la piattaforma nazionale di raccolta dei dati.
Secondo il Garante queste lacune costituirebbero una grave violazione delle normative sulla privacy, così come il non aver stabilito un termine ben preciso circa la conservazione dei dati personali raccolti, pregiudicandone in questo modo l’integrità e la riservatezza.
A questo punto, dato il provvedimento esposto al Governo da parte del Garante della Privacy, non resta altro da fare che attendere una risposta chiara ed esaustiva ed eventuali “giustificativi” che monitorino tali scelte piuttosto azzardate quanto potenzialmente lesive.