I trattamenti di dati personali previsti dalla norma che introduce la carta verde Covid-19 rischiano di violare la normativa privacy

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

 

Garante per la protezione dei dati personali: Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52 del 23 aprile 2021.

Premessa.

Nel provvedimento oggetto di commento, il Garante per la protezione dei dati personali è intervenuto per rendere il proprio parere in ordine al rispetto della normativa privacy delle disposizioni normative previste  dal d.l. 22 aprile 2021, n. 52.

Nello specifico il suddetto decreto legge ha introdotto delle misure urgenti per contrastare e contenere l’emergenza epidemiologica da Covid-19, con riguardo agli spostamenti sul territorio nazionale. In particolare, il decreto prevede che tali spostamenti, in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa, nonché l’accesso a manifestazioni, fiere e congressi, siano consentiti ai soggetti muniti di certificazioni verdi.

La normativa prevede che tali certificazioni possano essere rilasciate, su richiesta dell’interessato, per attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 e l’effettuazione del test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 e abbiano valenza in ambito nazionale fino all’entrata in vigore di un apposito regolamento europeo in materia che preveda una carta verde europea avente analogo contenuto e funzione.

Il decreto legge prevede, inoltre, l’introduzione di un decreto del Presidente del Consiglio dei ministri nel quale stabilire le specifiche tecniche per assicurare l’interoperabilità delle certificazioni verdi e la piattaforma nazionale per il DGC, la quale costituisce un sistema informativo nazionale per il rilascio, la verifica e l’accettazione di tali certificazioni a livello nazionale ed europeo, e per indicare i dati che possono essere riportati nelle certificazioni verdi Covid-19.

La decisione del Garante.

L’Autorità Garante per la protezione dei dati personali ha ritenuto che il decreto legge del 22 aprile 2021, n. 52 non rappresenta una valida base giuridica per legittimare i trattamenti di dati personali attraverso l’introduzione e l’utilizzo dei certificati verdi a livello nazionale, riconoscendo che la suddetta misura normativa non tiene conto adeguatamente dei rischi che tale trattamento dati determina per i diritti e le libertà degli interessati.

In particolare, l’Autorità ha individuato le seguenti criticità:

(i) In primis la mancata previa consultazione del Garante per l’adozione del suddetto decreto. Tale consultazione, secondo il Garante, avrebbe permesso all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria per il contenimento dell’emergenza epidemiologica, ma comunque rispettosa della disciplina in materia di protezione dei dati personali. Il carattere di urgenza della norma, secondo l’Autorità, non avrebbe dovuto impedire la preventiva consultazione dell’Autorità medesima, poiché essa durante il periodo di pandemia – consapevole della necessità di adottare interventi tempestivi – ha sempre reso i pareri di propria competenza sugli atti normativi in merito all’emergenza sanitaria in tempi molto ristretti.

(ii) In secondo luogo, l’Autorità ha rilevato l’inidoneità del decreto sopra detto a costituire base giuridica per legittimare i trattamenti dati conseguenti all’introduzione della certificazione verde, poiché mancano alcuni elementi essenziali richiesti dal Regolamento europeo e dal Codice in materia di protezione dei dati personali. L’impianto normativo, infatti, non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione delle certificazioni verdi, elemento ritenuto essenziale dal Regolamento europeo (e confermato dalla Corte Costituzionale) per valutare le misure previste dalla norma sono proporzionali rispetto ai rischi per i diritti e le libertà degli interessati. Infatti, la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato alla finalità legittima perseguita.

A tal proposito, ricorda il Garante, solo una legge statale può introdurre limitazioni all’esercizio di diritti o libertà della persona e l’indeterminatezza delle finalità della disposizione normativa in esame assume particolare rilievo con riferimento alla possibilità che tali certificazioni verdi possano essere successivamente ritenuti una condizione valida anche per l’accesso a luoghi o servizi per lo svolgimento di rapporti giuridici, come in ambito lavorativo o scolastico.

La mancata indicazione delle motivazioni che hanno indotto il Governo all’adozione provvisoria delle predette certificazioni (in attesa dell’adozione dell’analogo documento europeo) non permette, invece, di valutare se lo stesso abbia tenuto conto dei rischi di eventuali disallineamenti in merito alle caratteristiche e funzionalità dei due documenti (cioè della certificazione verde italiana e di quella europea).

Volume consigliato

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Cybersecurity e privacy: come proteggere il tuo sito - e-Book in pdf

Damiano Marinelli, Chiara Gambelunghe, Daniele Giancola, Michele Spigarelli, 2021, Maggioli Editore

L’ebook affronta la nuova tematica della cybersecurity connessa al mondo privacy in relazione al web, approfondendo sia gli aspetti giuridici che quelli tecnici propri del marketing, offrendo un chiaro quadro della normativa e spunti interessanti per ,muoversi al meglio in...



Note

(iii) Il Garante ha inoltre ritenuto che il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.  Alla luce del suddetto principio, l’Autorità ha ritenuto che non sia pertinente indicare nelle certificazioni informazioni ulteriori oltre quelle strettamente necessarie: quali i dati anagrafici per identificare l’interessato, l’identificativo univoco della certificazione e la data di fine validità della stessa. Tali informazioni sarebbero di per sé sufficienti a consentire la verifica dei documenti senza far conoscere, al soggetto deputato al controllo, la condizione, anche relativa a vicende sanitarie, dell’interessato, in funzione della quale la stessa è stata rilasciata.

(iv) Secondo l’Autorità il decreto legge n. 52/2021 viola anche il principio di esattezza dei dati, secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati. Il requisito di esattezza è dunque essenziale per valutare la proporzionalità della limitazione e l’idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica. Il sistema transitorio, istituito dal suddetto decreto legge, non consente invece di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto delle eventuali modificazioni delle condizioni relative all’interessato successive al momento del rilascio della stessa.

(v) L’Autorità Garante ha osservato, inoltre, che il decreto legge sopraindicato viola il principio di trasparenza, non indicando in modo chiaro e puntale le finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare dati raccolti in questi termini

(vi) Infine, secondo il Garante, la disposizione normativa in esame viola i principi di limitazione della conservazione e di integrità e riservatezza, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Alla luce delle criticità in questi termini rilevate, l’Autorità Garante per la protezione dei dati personali ha concluso il proprio provvedimento ritenendo che il decreto legge del 22 aprile 2021, n. 52 non sia proporzionato all’obiettivo di interesse pubblico perseguito, sebbene legittimo, poiché non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e le misure adeguate per garantire la protezione dei dati, secondo i principi di privacy by design e by default, durante tutte le fasi del trattamento.

Sulla base di ciò, il Garante ha avvertito tutti i soggetti coinvolti nel trattamento, tra cui, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto legge n. 52/2021 possono violare le disposizioni del Regolamento europeo.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. 

Non abbandonare Diritto.it
senza iscriverti alle newsletter!