Argomento: Legislazione | Categoria:
| Organo emanante: | Data:
Pubblicato su: | Numero Gazzetta: | Supplemento:
Data pubblicazione: | Numero supplemento: | Data suplemento:
Allegato:
Riassunto:
[doc. web n. 9578184]
Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per COvid-19 prevista dal d.l. 22 aprile 2021, n. 52 – 23 aprile 2021
(in corso di pubblicazione sulla Gazzetta Ufficiale)
Registro dei provvedimenti
n. 156 del 23 aprile 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
Con il decreto legge del 22 aprile 2021, n. 52, sono state introdotte misure urgenti per contenere e contrastare l’emergenza epidemiologica da Covid-19 concernenti anche gli spostamenti sul territorio nazionale, le modalità di svolgimento di spettacoli aperti al pubblico ed eventi sportivi e di fiere, convegni e congressi.
In particolare, il decreto prevede che gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa siano consentiti anche ai soggetti muniti delle certificazioni verdi (art. 2). Tali certificazioni inoltre possono costituire condizione di accesso a eventi qualora previsto dalle linee guida adottate dalla Conferenza delle Regioni o delle Province autonome o dal sottosegretario in materia di sport (art. 5, comma 4). Le linee guida adottate ai sensi dell’art. 1, comma 14, d.l. n. 33/2020 possono prevedere che l’accesso a fiere, convegni e congressi possa essere riservato soltanto ai soggetti in possesso delle certificazioni verdi (art. 7, comma 2).
Il decreto prevede che le certificazioni verdi possano essere rilasciate, su richiesta dell’interessato, al fine di attestare il completamento del ciclo vaccinale, l’avvenuta guarigione da Covid-19 e l’effettuazione di test antigenico rapido o molecolare con esito negativo al virus SARS-CoV-2 (art. 9, comma 2).
Il decreto dispone una diversa durata della validità delle predette certificazioni in relazione alle condizioni per il rilascio: sei mesi in caso di completamento del ciclo vaccinale e di avvenuta guarigione, 48 ore in caso di test con esito negativo (art. 9 commi 3, 4 e 5).
Le disposizioni relative alla certificazione verde sono applicabili in ambito nazionale, fino alla data di entrata in vigore degli atti delegati per l’attuazione delle disposizioni di cui al regolamento del “Parlamento europeo e del Consiglio su un quadro per il rilascio, la verifica e l’accettazione di certificazioni interoperabili relativi alla vaccinazione, ai test e alla guarigione per agevolare la libera circolazione all’interno dell’Unione Europea durante la pandemia di Covid-19 che abiliteranno l’attivazione della Piattaforma nazionale” digital green certificate (Piattaforma nazionale-DGC) (art. 9, comma 9).
Il decreto legge prevede inoltre che con decreto del Presidente del Consiglio dei ministri, adottato di concerto con i Ministri della salute, dell’innovazione tecnologica della transizione digitale e dell’economia e delle finanze, sentito il Garante per la protezione dei dati personali, siano stabilite: “le specifiche tecniche per assicurare l’interoperabilità delle certificazioni verdi Covid-19 e la piattaforma nazionale per il DGC, nonché tra questa e le analoghe piattaforme istituite negli altri Stati membri dell’Unione europea, tramite il Gateway europeo”, “i dati che possono essere riportati nelle certificazioni verdi COVID-19, le modalità di aggiornamento delle certificazioni, le caratteristiche e le modalità di funzionamento della Piattaforma nazionale -DCG, la struttura dell’identificativo univoco delle certificazioni verdi COVID-19 e del codice a barre interoperabile che consente di verificare l’autenticità, la validità e l’integrità delle stesse, l’indicazione dei soggetti deputati al controllo delle certificazioni, i tempi di conservazione dei dati raccolti ai fini dell’emissione delle certificazioni, e le misure per assicurare la protezione dei dati personali contenuti nelle certificazioni” (art. 9, comma 10).
Dalla data di entrata in vigore del decreto legge e nelle more dell’adozione del predetto decreto attuativo, le strutture sanitarie pubbliche e private, le farmacie, i medici di medicina generale e i pediatri di libera scelta possono comunque rilasciare le predette certificazioni verdi assicurando “la completezza degli elementi indicati” nell’allegato 1 al decreto.
OSSERVA
Per i profili di competenza dell’Autorità si osserva che il decreto legge del 22 aprile 2021, n. 52, non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale.
Nel progettare l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, si ritiene che non si sia tenuto adeguatamente conto dei rischi, di seguito illustrati, che l’implementazione della misura determina per i diritti e le libertà degli interessati, e, quindi, non siano state adottate le misure tecniche e organizzative adeguate per attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento degli stessi le garanzie necessarie a soddisfare i requisiti previsti dal Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati (art. 25, par. 1, del Regolamento).
In particolare, si ritiene che le disposizioni di cui al decreto legge del 22 aprile 2021, n. 52, presentino le seguenti criticità:
1. Mancata consultazione del Garante
In via preliminare, si rileva che, in violazione dell’art. 36, par. 4, del Regolamento, il decreto legge del 22 aprile 2021, 52, è stato adottato senza che il Garante sia stato consultato.
Il tempestivo e necessario coinvolgimento dell’Autorità, previsto anche “durante l’elaborazione di una proposta di atto legislativo”, oltre a evitare il vizio procedurale, avrebbe consentito all’Autorità di indicare tempestivamente modalità e garanzie contribuendo all’introduzione di una misura necessaria al contenimento dell’emergenza epidemiologica, rispettosa della disciplina in materia di protezione dei dati personali fin dalla progettazione.
Il carattere di urgenza della norma non costituisce condizione ostativa al preventivo coinvolgimento dell’Autorità, atteso che il Garante, nell’ultimo anno, consapevole della necessità che le disposizioni sottoposte alla sua attenzione fossero adottate tempestivamente, ha sempre reso i pareri di propria competenza sugli atti normativi predisposti in merito all’emergenza sanitaria in tempi molto ristretti, fornendo, laddove necessario, il proprio parere anche d’urgenza a firma del Presidente (cfr. ex multis Parere sulla proposta normativa per la previsione di un’applicazione volta al tracciamento dei contagi da Covid-19 del 29 aprile 2020; Parere su uno schema di disposizione normativa volta a consentire indagini di sieroprevalenza sul SARS-COV-2 al Ministero della salute e all’Istat per finalità epidemiologiche e statistiche del 4 maggio 2020; Autorizzazione al Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19, di cui all’art. 6 del d.l. 30 aprile 2020, n. 20 del 1.6.2020; Parere su schema di decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria nell’ambito del sistema di Allerta Covid 19 di cui all’art. 6, comma 1 del decreto legge n. 30/04/2020, n. 28 del 1.6.2020; Parere d’urgenza del Presidente al MEF sulla ricetta elettronica dematerializzata del 19.3.20, ratificato dal Collegio il 26.3.20).
Al riguardo, si evidenzia che, già in data 8 aprile u.s., il Presidente dell’Autorità aveva rappresentato alla Commissione Affari Costituzionali del Senato della Repubblica la necessità di un coinvolgimento preventivo dell’Autorità nel processo legislativo, in relazione all’introduzione dei passaporti vaccinali, richiamando la proficua collaborazione istituzionale fornita con riferimento anche al sistema nazionale di allerta Covid (Memoria del Presidente del Garante – Profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS COV2 dell’8 aprile 2021).
Nell’imminenza dell’adozione del predetto decreto legge, il Presidente ha inoltre inviato una nota al Presidente del Consiglio dei Ministri e al Ministro della salute proprio in merito al necessario coinvolgimento dell’Autorità in fase di adozione dell’atto normativo in materia di passaporti vaccinali (note del 21 aprile 2021).
Si segnala inoltre che l’introduzione della certificazione verde, quale misura volta a contenere e contrastare l’emergenza epidemiologica da Covid-19, determinando un trattamento sistematico di dati personali, anche relativi alla salute, su larga scala, che presenta un rischio elevato per i diritti e le libertà degli interessati in relazione alle conseguenze che possono derivare alle persone con riferimento alla limitazione delle libertà personali, avrebbe reso sicuramente opportuno effettuare una preventiva valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento. Ciò, in particolare, in quanto la misura, prevista dal decreto legge, entra in vigore sin dal giorno successivo alla sua pubblicazione.
2. Inidoneità della base giuridica
Come anzidetto il predetto decreto legge non rappresenta una valida base giuridica per l’introduzione e l’utilizzo dei certificati verdi a livello nazionale in quanto risulta privo di alcuni degli elementi essenziali richiesti dal Regolamento (artt. 6, par. 2 e 9) e dal Codice in materia di protezione dei dati personali (artt. 2 ter e 2 sexies).
In via principale, l’impianto normativo non fornisce un’indicazione esplicita e tassativa delle specifiche finalità perseguite attraverso l’introduzione della certificazione verde, elemento essenziale al fine di valutare la proporzionalità della norma, richiesta dall’art. 6 del Regolamento, anche alla luce di quanto affermato dalla Corte Costituzionale nella sentenza n. 20 del 21 febbraio 2019, secondo cui la base giuridica che individua un obiettivo di interesse pubblico deve prevedere un trattamento di dati personali proporzionato rispetto alla finalità legittima perseguita.
Come rappresentato dal Presidente dell’Autorità nella citata memoria, soltanto una legge statale può subordinare l’esercizio di determinati diritti o libertà all’esibizione di tale certificazione. Alla luce di ciò, si palesa, in primo luogo, l’indeterminatezza delle finalità della disposizione relativa alla introduzione delle certificazioni verdi, determinata dalla mancata individuazione puntuale delle fattispecie in cui possono essere utilizzate con esclusione dell’utilizzo di tali documenti in altri casi non espressamente previsti dalla legge.
La mancata specificazione delle finalità per le quali possono essere utilizzate le predette certificazioni assume infatti particolare rilievo con riferimento alla possibilità che tali documenti possano successivamente essere ritenuti una condizione valida anche per l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici, allo stato non espressamente indicati nel decreto legge (es. in ambito lavorativo o scolastico).
L’assenza di una puntuale indicazione delle finalità non consente neanche una valutazione in ordine alla compatibilità delle predette certificazioni con quanto previsto a livello europeo, tenuto peraltro anche conto che il loro utilizzo sembrerebbe essere temporaneo in attesa dell’adozione delle analoghe certificazioni individuate dall’Unione europea.
Al riguardo, si rileva che la norma risulta anche priva dell’indicazione delle motivazioni in forza delle quali si rende necessario introdurre, in via provvisoria, le predette certificazioni verdi, stante la prossima adozione della proposta di regolamento del Parlamento europeo e del Consiglio sul certificato verde digitale (2021/0068 (COD) del 17.3.2021), con riferimento alla quale sono state fornite indicazioni dal Comitato europeo per la protezione dei dati (EDPB) e dall’European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021 (EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate).
La mancata indicazione delle motivazioni che hanno indotto il Governo all’adozione provvisoria delle predette certificazioni, in attesa degli analoghi documenti previsti a livello unionale, non permette infine di valutare se lo stesso abbia tenuto in debita considerazione i rischi di eventuali disallineamenti in merito alle caratteristiche e alle funzionalità dei due documenti.
Si evidenzia poi che le previsioni secondo cui, nelle more dell’adozione del previsto decreto di attuazione, è ammesso l’utilizzo delle certificazioni verdi redatte sulla base di quanto indicato nell’allegato 1 al decreto e dei certificati di guarigione rilasciati dalle strutture sanitarie, prima dell’entrata in vigore del decreto legge, non risultano conformi alla disciplina in materia di protezione dei dati personali, in quanto tali documenti risulterebbero essere rilasciati in assenza delle misure che saranno individuate con il decreto delegato indicato nell’art. 9, comma 10 (art. 9, commi 4 e 10).
3. Principio di minimizzazione dei dati
Il decreto legge viola il principio di minimizzazione dei dati secondo cui gli stessi devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento).
In particolare, atteso che, in virtù di quanto disposto dagli artt. 2, 5 e 7 del decreto, gli spostamenti in entrata e in uscita dai territori delle Regioni e delle Province autonome collocati in zona arancione o rossa sono consentiti anche ai soggetti muniti delle certificazioni verdi e che la partecipazione a determinati eventi e manifestazioni aperte al pubblico può essere condizionata all’esibizione di tali certificazioni, si ritiene che le stesse debbano riportare esclusivamente i seguenti dati: dati anagrafici necessari a identificare l’interessato; identificativo univoco della certificazione; data di fine validità della stessa.
Tali dati si configurano infatti quali necessari a consentire ai soggetti preposti ai controlli di verificare che la persona che esibisce la certificazione si trovi in una delle condizioni indicate dal decreto (vaccinazione, guarigione o test negativo) per usufruire della certificazione verde (in tal senso cfr. anche la posizione espressa dal Comitato europeo per la protezione dei dati (EDPB) e dall’European Data Protection Supervisor (EDPS) nel parere congiunto reso il 31 marzo 2021).
Alla luce del predetto principio di minimizzazione, si ritiene infatti che non sia pertinente indicare sulla certificazione ulteriori informazioni e che non sia necessario l’utilizzo di modelli di certificazioni verdi diversi a seconda della condizione (vaccinazione, guarigione, test negativo) in forza della quale le stesse sono rilasciate, atteso che il decreto non prevede ipotesi diverse per il relativo utilizzo.
La verifica sulla validità della certificazione, in funzione della diversa durata di validità della stessa, può essere utilmente effettuata sulla base dell’indicazione nella certificazione della data di fine validità della stessa, campo attualmente non previsto tra quelli indicati nell’allegato 1 al decreto.
In conformità al richiamato principio di minimizzazione del dato, tali informazioni sarebbero sufficienti a consentire la verifica dei documenti senza far conoscere, al soggetto deputato al controllo, la condizione, anche relativa a vicende sanitarie dell’interessato, in funzione della quale la stessa è stata rilasciata.
Ciò stante, la previsione di tre differenti modelli di certificazioni verdi in funzione della condizione in cui versa l’interessato e l’indicazione sulle stesse di numerosi dati personali, anche relativi alla salute, espressamente elencati nell’allegato 1 al decreto, si pongono in contrasto con il citato principio di minimizzazione dei dati.
4. Principio di esattezza
Il decreto legge del 22 aprile 2021, 52, si ritiene violi anche il principio di esatezza dei dati secondo cui gli stessi devono essere esatti e, se necessario, aggiornati e devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. d) del Regolamento).
Considerato che, secondo quanto indicato nel decreto, l’utilizzo delle predette certificazioni costituirebbe una delle condizioni per consentire gli spostamenti dalle regioni e province autonome collocati in zona arancione o rossa, ovvero per limitare la libertà di spostamento individuale, nonché per poter partecipare ad eventi e manifestazioni aperte al pubblico, è necessario che le stesse siano redatte sulla base di informazioni esatte e aggiornate. Il requisito di esattezza dei dati si pone infatti come essenziale nella valutazione della proporzionalità della limitazione e della idoneità della misura di contenimento e contrasto dell’emergenza epidemiologica da Covid-19.
La previsione transitoria secondo cui, nelle more dell’adozione del decreto attuativo che istituisce la piattaforma nazionale DGC, sia consentito l’utilizzo delle certificazioni di guarigione rilasciate prima dell’entrata in vigore del decreto legge e delle certificazioni verdi redatte sulla base dell’allegato 1 al predetto decreto appare in contrasto con il principio di esattezza dei dati, ponendo inoltre significativi rischi in ordine alla reale efficacia della misura di contenimento e alla compromissione indebita dei diritti e delle libertà fondamentali dell’interessato.
Il predetto sistema transitorio non consente infatti di verificare l’attualità delle condizioni attestate nella certificazione, perché non può tener conto, in assenza della piattaforma, delle eventuali modificazioni delle condizioni relative all’interessato (sopraggiunta positività) successive al momento del rilascio della stessa (art. 9, comma 4).
5. Principio di trasparenza
Il decreto legge viola il principio di trasparenza non indicando in modo chiaro le puntuali finalità perseguite, le caratteristiche del trattamento e i soggetti che possono trattare i dati raccolti in relazione all’emissione e al controllo delle certificazioni verdi (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento). Il decreto infatti, oltre a non individuare in modo puntuale le finalità, non indica i soggetti che trattano le predette informazioni e che possono accedervi, nonché quelli deputati a controllare la validità e l’autenticità delle certificazioni verdi.
Al riguardo, si rappresenta che il decreto legge non specifica la titolarità dei trattamenti effettuati ai fini dell’emissione e del controllo delle predette certificazioni verdi e in particolare di quelli posti in essere attraverso la “Piattaforma Nazionale DGC” per l’emissione e validazione delle certificazioni verdi digitali Covid-19. Tale piattaforma, secondo quanto indicato nell’art. 9 del decreto, costituirebbe il sistema informativo nazionale per il rilascio e la verifica e l’accettazione di certificazioni Covid-19 interoperabili a livello nazionale ed europeo. In particolare, si rileva che il decreto legge non individua l’Ente presso il quale sarà istituita la predetta piattaforma e non specifica la connessa titolarità dei trattamenti dei dati personali effettuati attraverso tale sistema informativo.
L’assenza di indicazioni in ordine alla titolarità del trattamento non consente pertanto agli interessati di esercitare i diritti in materia di protezione dei dati personali previsti dal Regolamento (artt. 15 e ss. del Regolamento).
6. Principi di limitazione della conservazione e di integrità e riservatezza
Le disposizioni del decreto violano anche il principio di limitazione della conservazione, secondo cui i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (artt. 5, par. 1, lett. e) e 6, par. 3, lett. b) del Regolamento).
Ciò assume particolare rilievo tenuto conto che le disposizioni sembrerebbero introdurre misure temporanee, destinate a essere sostituite da quelle individuate in sede europea.
Si rileva inoltre che le disposizioni del decreto non forniscono adeguata garanzia rispetto al principio di integrità e riservatezza, atteso che non sono indicate le misure che si intende adottare per garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (artt. 5, par. 1, lett. f) e 32 del Regolamento).
RITENUTO
Alla luce delle rilevanti criticità sopra illustrate, occorre rilevare che la disciplina della certificazione verde delineata dal decreto legge del 22 aprile 2021, n. 52, risulta pertanto non proporzionata rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito, in quanto non individua puntualmente le finalità per le quali si intende utilizzare la certificazione verde e, in ossequio ai principi di privacy by design e by default, le misure adeguate per garantire la protezione dei dati, anche appartenenti a categorie particolari, in ogni fase del trattamento, e un trattamento corretto e trasparente nei confronti degli interessati (artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32 del Regolamento).
Considerato che l’utilizzo della certificazione verde è operativo a partire dal giorno successivo alla pubblicazione del decreto legge è, quindi, urgente l’esigenza di intervenire al fine di tutelare i diritti e le libertà degli interessati.
Il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a)).
Attesi i rischi elevati per le libertà e i diritti degli interessati, risulta, pertanto, necessario avvertire tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale, dell’economia e delle finanze e degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati nell’ambito dell’utilizzo delle certificazioni verdi di cui al decreto legge del 22 aprile 2021, n. 52, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32.
Il Garante ritiene altresì di comunicare il presente provvedimento al Presidente del Consiglio dei ministri, per le valutazioni di competenza, rendendosi disponibile a istaurare prontamente un dialogo istituzionale volto al superamento delle predette criticità.
TUTTO CIÒ PREMESSO, IL GARANTE
a) ai sensi dell’art. 58, par 2, lett. a), del Regolamento avverte tutti i soggetti coinvolti nel trattamento e, in particolare, i Ministeri della salute, dell’interno, dell’innovazione tecnologica e della transizione digitale e dell’economia e delle finanze, degli affari regionali e la Conferenza delle Regioni o delle Province autonome del fatto che i trattamenti di dati personali effettuati in attuazione delle disposizioni di cui al decreto legge del 22 aprile 2021, n. 52, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni del Regolamento di cui agli artt. 5, 6, par. 3, lett. b), 9, 13, 14, 25 e 32;
b) trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri per le valutazioni di competenza;
c) ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 23 aprile 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei